Приказ Госкомитета РБ по торговле от 05.05.2014 N 132 "Об организации обработки персональных данных без использования средств автоматизации в Государственном комитете Республики Башкортостан по торговле и защите прав потребителей"
Зарегистрировано в Управлении РБ по организации деятельности мировых судей и ведению регистров правовых актов 19 июня 2014 г. № 4874
-----------------------------------------------------------------------------
ГОСУДАРСТВЕННЫЙ КОМИТЕТ РЕСПУБЛИКИ БАШКОРТОСТАН
ПО ТОРГОВЛЕ И ЗАЩИТЕ ПРАВ ПОТРЕБИТЕЛЕЙ
ПРИКАЗ
от 5 мая 2014 г. № 132
ОБ ОРГАНИЗАЦИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ
В ГОСУДАРСТВЕННОМ КОМИТЕТЕ РЕСПУБЛИКИ БАШКОРТОСТАН
ПО ТОРГОВЛЕ И ЗАЩИТЕ ПРАВ ПОТРЕБИТЕЛЕЙ
Во исполнение требований Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных", в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" приказываю:
1. Утвердить прилагаемое Положение об организации обработки персональных данных без использования средств автоматизации в Государственном комитете Республики Башкортостан по торговле и защите прав потребителей.
2. Назначить ответственными за допуск сотрудников к персональным данным, обрабатываемым без использования средств автоматизации, заведующих структурными подразделениями.
3. Назначить ответственным за организацию допуска сотрудников к персональным данным, обрабатываемым без использования средств автоматизации в Государственном комитете Республики Башкортостан по торговле и защите прав потребителей, начальника отдела организационной работы и мобилизационной подготовки - Карамова А.Г.
4. Требования настоящего Приказа довести до всех заинтересованных лиц.
5. Контроль за исполнением настоящего Приказа оставляю за собой.
Председатель
Р.Р.КАМАЛЕТДИНОВ
Утверждено
Приказом Государственного комитета
Республики Башкортостан
по торговле и защите прав потребителей
от 5 мая 2014 г. № 132
ПОЛОЖЕНИЕ
ОБ ОРГАНИЗАЦИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ
В ГОСУДАРСТВЕННОМ КОМИТЕТЕ РЕСПУБЛИКИ БАШКОРТОСТАН
ПО ТОРГОВЛЕ И ЗАЩИТЕ ПРАВ ПОТРЕБИТЕЛЕЙ
Основные термины и определения
Информационная система персональных данных (далее - ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные (далее - ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
I. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Положение об организации обработки персональных данных без использования средств автоматизации (далее - Положение) в Государственном комитете Республики Башкортостан по торговле и защите прав потребителей (далее - Госкомитет РБ по торговле) разработано в соответствии с законодательством Российской Федерации о ПДн и нормативно-методическими документами исполнительных органов государственной власти по вопросам безопасности ПДн при их обработке в ИСПДн.
1.2. Основными нормативно-правовыми и методическими документами, на которых базируется настоящее Положение, являются:
- Федеральный закон от 27 июля 2006 года № 152-ФЗ "О персональных данных" (далее - ФЗ "О персональных данных"), устанавливающий основные принципы и условия обработки ПДн, права, обязанности и ответственность участников отношений, связанных с обработкой ПДн;
Постановление Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
1.3. Все изменения в Положение вносятся приказом председателя Госкомитета РБ по торговле.
1.4. Все сотрудники Госкомитета РБ по торговле, допущенные к обработке ПДн без использования средств автоматизации, должны быть ознакомлены с настоящим Положением под роспись.
II. ОБЛАСТЬ ПРИМЕНЕНИЯ И ЦЕЛЬ ПОЛОЖЕНИЯ
2.1. Настоящее Положение принято в целях определения основных принципов обеспечения безопасности ПДн от несанкционированного доступа, неправомерного их использования или их утраты при обработке ПДн в Госкомитете РБ по торговле без использования средств автоматизации.
2.2. Обработка ПДн, содержащихся в ИСПДн либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (далее - неавтоматизированной), если такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются без использования средств автоматизации.
III. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. ПДн при их неавтоматизированной обработке должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм.
3.2. Не допускается хранение ПДн различных категорий на одном материальном носителе.
3.3. Не допускается фиксация на одном бумажном носителе ПДн, цели обработки которых заведомо не совместимы;
3.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее - типовая форма), должны соблюдаться следующие условия:
- типовая форма или связанные с ней документы должны содержать сведения о цели обработки ПДн, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн;
- типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на неавтоматизированную обработку ПДн, при необходимости получения письменного согласия на обработку ПДн;
- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;
- типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
3.5. Должно обеспечиваться раздельное хранение материальных носителей, содержащих ПДн, обработка которых осуществляется в различных целях.
3.6. При несовместимости целей неавтоматизированной обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн, должны быть приняты меры по обеспечению раздельной обработки ПДн, в частности:
- при необходимости использования или распространения определенных ПДн отдельно от находящихся на том же материальном носителе других ПДн, осуществляется копирование ПДн, подлежащих распространению или использованию, способом, исключающим одновременное копирование ПДн, не подлежащих распространению и использованию, используется (распространяется) копия ПДн;
- при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию.
3.7. Сотрудники, осуществляющие неавтоматизированную обработку персональных данных, имеют доступ к определенному перечню форм документов согласно приложению № 1, содержащих ПДн в соответствии с Журналом ознакомления и допуска сотрудников, обрабатывающих персональные данные без использования средств автоматизации согласно приложению № 2.
3.8. Необходимо принимать организационные (охрана помещений) и технические меры, исключающие возможность несанкционированного доступа к материальным носителям ПДн.
3.9. Госкомитет РБ по торговле не передает материальные носители ПДн любым лицам без письменного согласия субъектов ПДн, за исключением случаев, когда это необходимо в целях, предупреждения угрозы жизни и здоровью субъекта ПДн, а также в иных случаях.
3.10. При передаче материальных носителей, содержащих ПДн, третьей стороне должны быть приняты меры, исключающие возможность несанкционированного доступа к ПДн.
3.11. При передаче материальных носителей, содержащих ПДн, третьей стороне должно быть подготовлено сопроводительное письмо, в котором зафиксирован состав передаваемых материальных носителей, с указанием количества страниц для бумажных носителей, с указанием степени конфиденциальности (если необходимо).
3.12. О факте передачи/приема материальных носителей, содержащих ПДн, делаются советующие записи в журналах делопроизводителя.
3.13. При приеме материальных носителей, содержащих ПДн, должны быть приняты меры, обеспечивающие их сохранность. При приеме бумажных носителей работа с такими носителями должна быть организована в соответствии с принципом конфиденциального делопроизводства, действующим в Госкомитете РБ по торговле.
IV. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ.
4.2. Материальные носители ПДн должны храниться в пределах контролируемой зоны.
4.3. Территория контролируемой зоны определяется приказом председателя Госкомитета РБ по торговле.
4.4. Запрещен вынос или копирование носителей ПДн.
4.5. В нерабочее время и время отсутствия необходимости использования персональных данных материальные носители ПДн должны храниться, в шкафу. Шкаф должен быть оснащен механизмами запирания. Шкаф должен опечатываться.
4.6. Ключи от хранилища материальных носителей ПДн должны храниться у ответственного сотрудника, обозначенного в Журнале учета хранилищ носителей персональных данных согласно приложению № 3.
4.7. Доступ сотрудников к материальным носителям ПДн должен определяться в Журнале учета хранилищ носителей персональных данных.
V. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.
5.2. Уничтожение носителей ПДн осуществляется в течение 30 дней с момента отзыва субъектом ПДн согласия на обработку ПДн или истечения сроков обработки ПДн, в том числе хранения в архивах.
5.3. Уничтожением бумажных носителей ПДн в Госкомитета РБ по торговле занимается комиссия по организации работ по защите ПДн, утвержденная председателем Госкомитета РБ по торговле.
5.4. Бумажные носители ПДн (документы, их копии, выписки) уничтожаются путем измельчения на мелкие части, исключающие возможность последующего восстановления информации, или сжигаются.
5.5. По окончании уничтожения бумажных носителей комиссией составляется Акт об уничтожении бумажных носителей персональных данных согласно приложению № 4.
5.6. Комиссия составляет и подписывает в двух экземплярах соответствующий Акт об уничтожении бумажных носителей персональных данных. В течение трех дней после составления Акт направляется на утверждение председателем Госкомитета РБ по торговле. После утверждения один экземпляр Акта остается у ответственного за обеспечение безопасности персональных данных, второй экземпляр передается в архив на хранение.
VI. ОТВЕТСТВЕННОСТЬ
6.1. Ответственность за надлежащее и своевременное выполнение функций, предусмотренных настоящим Положением, несет сотрудник, ответственный за организацию обработки персональных данных.
6.2. На ответственного за организацию обработки персональных данных возлагается персональная ответственность за:
- создание надлежащих условий для использования документов;
- сохранность документов.
Приложение № 1
к Положению об организации
обработки персональных
данных без использования
средств автоматизации
в Государственном комитете
Республики Башкортостан по торговле
и защите прав потребителей
ПЕРЕЧЕНЬ
форм, содержащих персональные данные
инв. № ________________________
Начат: "__" __________ 20__ г.
Окончен: "__" __________ 20__ г.
На __________ листах
№ п/п
Наименование формы
Срок хранения
Основание
Подразделение
1
2
3
4
5
1
Т-1 Приказ о приеме на работу
№ 1 05.01.2004 (Постановление Госкомстата России)
2
Т-2 Личная карточка
№ 1 05.01.2004 (Постановление Госкомстата России)
3
Т-5 Приказ о переводе сотрудника на работу
№ 1 05.01.2004 (Постановление Госкомстата России)
4
Т-6 Приказ о предоставлении отпуска сотруднику
№ 1 05.01.2004 (Постановление Госкомстата России)
5
Т-8 Приказ об увольнении работника
№ 1 05.01.2004 (Постановление Госкомстата России)
6
Т-9 Приказ о командировке
№ 1 05.01.2004 (Постановление Госкомстата России)
7
Трудовой договор с сотрудником
Трудовой договор с сотрудником
Приложение № 2
к Положению об организации
обработки персональных
данных без использования
средств автоматизации
в Государственном комитете
Республики Башкортостан по торговле
и защите прав потребителей
ЖУРНАЛ
ознакомления и допуска сотрудников, обрабатывающих
персональные данные без использования средств автоматизации
инв. № ________________________
Начат: "__" __________ 20__ г.
Окончен: "__" __________ 20__ г.
На __________ листах
№ п/п
Наименование должности
Основание для предоставления доступа/лишения доступа
Формы документов
1
2
3
4
Приложение № 3
к Положению об организации
обработки персональных
данных без использования
средств автоматизации
в Государственном комитете
Республики Башкортостан по торговле
и защите прав потребителей
ЖУРНАЛ
учета хранилищ носителей персональных данных
инв. № ________________________
Начат: "__" __________ 20__ г.
Окончен: "__" __________ 20__ г.
На __________ листах
№ п/п
Регистрационный (учетный) номер хранилища
Вид хранилища
Дата постановки на учет
Фамилия и подпись принявшего (ответственного), дата
Место расположения (номер помещения)
Дата и номер акта о выводе из эксплуатации
Примечание
1
2
3
4
5
6
7
8
Приложение № 4
к Положению об организации
обработки персональных
данных без использования
средств автоматизации
в Государственном комитете
Республики Башкортостан по торговле
и защите прав потребителей
АКТ
"__" ______________ 20__ г. № _______
Уфа
Об уничтожении бумажных носителей персональных данных
Экспертная комиссия в составе:
Председатель:
________________________________ ______________________________
Члены комиссии:
1. _____________________________ ______________________________
2. _____________________________ ______________________________
3. _____________________________ ______________________________
составили настоящий акт о том, что в результате проведенной экспертной оценки подлежат уничтожению следующие документы, срок хранения которых истек (опись прилагается):
№ п/п
Дата окончания срока обработки зафиксированных на носителе персональных данных
Название бумажного носителя
1
2
3
Перечисленные бумажные носители персональных данных уничтожены путем
___________________________________________________________________________.
(разрезания, сжигания, механического уничтожения, сдачи предприятию по
утилизации вторичного сырья и т.п.)
Председатель:
_____________________________ _______________ __________________________
Члены комиссии:
_____________________________ _______________ __________________________
_____________________________ _______________ __________________________
_____________________________ _______________ __________________________
------------------------------------------------------------------
Зарегистрировано в Управлении РБ по организации деятельности мировых судей и ведению регистров правовых актов 19 июня 2014 г. № 4874
-----------------------------------------------------------------------------
ГОСУДАРСТВЕННЫЙ КОМИТЕТ РЕСПУБЛИКИ БАШКОРТОСТАН
ПО ТОРГОВЛЕ И ЗАЩИТЕ ПРАВ ПОТРЕБИТЕЛЕЙ
ПРИКАЗ
от 5 мая 2014 г. № 132
ОБ ОРГАНИЗАЦИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ
В ГОСУДАРСТВЕННОМ КОМИТЕТЕ РЕСПУБЛИКИ БАШКОРТОСТАН
ПО ТОРГОВЛЕ И ЗАЩИТЕ ПРАВ ПОТРЕБИТЕЛЕЙ
Во исполнение требований Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных", в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" приказываю:
1. Утвердить прилагаемое Положение об организации обработки персональных данных без использования средств автоматизации в Государственном комитете Республики Башкортостан по торговле и защите прав потребителей.
2. Назначить ответственными за допуск сотрудников к персональным данным, обрабатываемым без использования средств автоматизации, заведующих структурными подразделениями.
3. Назначить ответственным за организацию допуска сотрудников к персональным данным, обрабатываемым без использования средств автоматизации в Государственном комитете Республики Башкортостан по торговле и защите прав потребителей, начальника отдела организационной работы и мобилизационной подготовки - Карамова А.Г.
4. Требования настоящего Приказа довести до всех заинтересованных лиц.
5. Контроль за исполнением настоящего Приказа оставляю за собой.
Председатель
Р.Р.КАМАЛЕТДИНОВ
Утверждено
Приказом Государственного комитета
Республики Башкортостан
по торговле и защите прав потребителей
от 5 мая 2014 г. № 132
ПОЛОЖЕНИЕ
ОБ ОРГАНИЗАЦИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ
В ГОСУДАРСТВЕННОМ КОМИТЕТЕ РЕСПУБЛИКИ БАШКОРТОСТАН
ПО ТОРГОВЛЕ И ЗАЩИТЕ ПРАВ ПОТРЕБИТЕЛЕЙ
Основные термины и определения
Информационная система персональных данных (далее - ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные (далее - ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
I. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Положение об организации обработки персональных данных без использования средств автоматизации (далее - Положение) в Государственном комитете Республики Башкортостан по торговле и защите прав потребителей (далее - Госкомитет РБ по торговле) разработано в соответствии с законодательством Российской Федерации о ПДн и нормативно-методическими документами исполнительных органов государственной власти по вопросам безопасности ПДн при их обработке в ИСПДн.
1.2. Основными нормативно-правовыми и методическими документами, на которых базируется настоящее Положение, являются:
- Федеральный закон от 27 июля 2006 года № 152-ФЗ "О персональных данных" (далее - ФЗ "О персональных данных"), устанавливающий основные принципы и условия обработки ПДн, права, обязанности и ответственность участников отношений, связанных с обработкой ПДн;
Постановление Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
1.3. Все изменения в Положение вносятся приказом председателя Госкомитета РБ по торговле.
1.4. Все сотрудники Госкомитета РБ по торговле, допущенные к обработке ПДн без использования средств автоматизации, должны быть ознакомлены с настоящим Положением под роспись.
II. ОБЛАСТЬ ПРИМЕНЕНИЯ И ЦЕЛЬ ПОЛОЖЕНИЯ
2.1. Настоящее Положение принято в целях определения основных принципов обеспечения безопасности ПДн от несанкционированного доступа, неправомерного их использования или их утраты при обработке ПДн в Госкомитете РБ по торговле без использования средств автоматизации.
2.2. Обработка ПДн, содержащихся в ИСПДн либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (далее - неавтоматизированной), если такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются без использования средств автоматизации.
III. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. ПДн при их неавтоматизированной обработке должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм.
3.2. Не допускается хранение ПДн различных категорий на одном материальном носителе.
3.3. Не допускается фиксация на одном бумажном носителе ПДн, цели обработки которых заведомо не совместимы;
3.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее - типовая форма), должны соблюдаться следующие условия:
- типовая форма или связанные с ней документы должны содержать сведения о цели обработки ПДн, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн;
- типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на неавтоматизированную обработку ПДн, при необходимости получения письменного согласия на обработку ПДн;
- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;
- типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
3.5. Должно обеспечиваться раздельное хранение материальных носителей, содержащих ПДн, обработка которых осуществляется в различных целях.
3.6. При несовместимости целей неавтоматизированной обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн, должны быть приняты меры по обеспечению раздельной обработки ПДн, в частности:
- при необходимости использования или распространения определенных ПДн отдельно от находящихся на том же материальном носителе других ПДн, осуществляется копирование ПДн, подлежащих распространению или использованию, способом, исключающим одновременное копирование ПДн, не подлежащих распространению и использованию, используется (распространяется) копия ПДн;
- при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию.
3.7. Сотрудники, осуществляющие неавтоматизированную обработку персональных данных, имеют доступ к определенному перечню форм документов согласно приложению № 1, содержащих ПДн в соответствии с Журналом ознакомления и допуска сотрудников, обрабатывающих персональные данные без использования средств автоматизации согласно приложению № 2.
3.8. Необходимо принимать организационные (охрана помещений) и технические меры, исключающие возможность несанкционированного доступа к материальным носителям ПДн.
3.9. Госкомитет РБ по торговле не передает материальные носители ПДн любым лицам без письменного согласия субъектов ПДн, за исключением случаев, когда это необходимо в целях, предупреждения угрозы жизни и здоровью субъекта ПДн, а также в иных случаях.
3.10. При передаче материальных носителей, содержащих ПДн, третьей стороне должны быть приняты меры, исключающие возможность несанкционированного доступа к ПДн.
3.11. При передаче материальных носителей, содержащих ПДн, третьей стороне должно быть подготовлено сопроводительное письмо, в котором зафиксирован состав передаваемых материальных носителей, с указанием количества страниц для бумажных носителей, с указанием степени конфиденциальности (если необходимо).
3.12. О факте передачи/приема материальных носителей, содержащих ПДн, делаются советующие записи в журналах делопроизводителя.
3.13. При приеме материальных носителей, содержащих ПДн, должны быть приняты меры, обеспечивающие их сохранность. При приеме бумажных носителей работа с такими носителями должна быть организована в соответствии с принципом конфиденциального делопроизводства, действующим в Госкомитете РБ по торговле.
IV. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ.
4.2. Материальные носители ПДн должны храниться в пределах контролируемой зоны.
4.3. Территория контролируемой зоны определяется приказом председателя Госкомитета РБ по торговле.
4.4. Запрещен вынос или копирование носителей ПДн.
4.5. В нерабочее время и время отсутствия необходимости использования персональных данных материальные носители ПДн должны храниться, в шкафу. Шкаф должен быть оснащен механизмами запирания. Шкаф должен опечатываться.
4.6. Ключи от хранилища материальных носителей ПДн должны храниться у ответственного сотрудника, обозначенного в Журнале учета хранилищ носителей персональных данных согласно приложению № 3.
4.7. Доступ сотрудников к материальным носителям ПДн должен определяться в Журнале учета хранилищ носителей персональных данных.
V. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.
5.2. Уничтожение носителей ПДн осуществляется в течение 30 дней с момента отзыва субъектом ПДн согласия на обработку ПДн или истечения сроков обработки ПДн, в том числе хранения в архивах.
5.3. Уничтожением бумажных носителей ПДн в Госкомитета РБ по торговле занимается комиссия по организации работ по защите ПДн, утвержденная председателем Госкомитета РБ по торговле.
5.4. Бумажные носители ПДн (документы, их копии, выписки) уничтожаются путем измельчения на мелкие части, исключающие возможность последующего восстановления информации, или сжигаются.
5.5. По окончании уничтожения бумажных носителей комиссией составляется Акт об уничтожении бумажных носителей персональных данных согласно приложению № 4.
5.6. Комиссия составляет и подписывает в двух экземплярах соответствующий Акт об уничтожении бумажных носителей персональных данных. В течение трех дней после составления Акт направляется на утверждение председателем Госкомитета РБ по торговле. После утверждения один экземпляр Акта остается у ответственного за обеспечение безопасности персональных данных, второй экземпляр передается в архив на хранение.
VI. ОТВЕТСТВЕННОСТЬ
6.1. Ответственность за надлежащее и своевременное выполнение функций, предусмотренных настоящим Положением, несет сотрудник, ответственный за организацию обработки персональных данных.
6.2. На ответственного за организацию обработки персональных данных возлагается персональная ответственность за:
- создание надлежащих условий для использования документов;
- сохранность документов.
Приложение № 1
к Положению об организации
обработки персональных
данных без использования
средств автоматизации
в Государственном комитете
Республики Башкортостан по торговле
и защите прав потребителей
ПЕРЕЧЕНЬ
форм, содержащих персональные данные
инв. № ________________________
Начат: "__" __________ 20__ г.
Окончен: "__" __________ 20__ г.
На __________ листах
№ п/п
Наименование формы
Срок хранения
Основание
Подразделение
1
2
3
4
5
1
Т-1 Приказ о приеме на работу
№ 1 05.01.2004 (Постановление Госкомстата России)
2
Т-2 Личная карточка
№ 1 05.01.2004 (Постановление Госкомстата России)
3
Т-5 Приказ о переводе сотрудника на работу
№ 1 05.01.2004 (Постановление Госкомстата России)
4
Т-6 Приказ о предоставлении отпуска сотруднику
№ 1 05.01.2004 (Постановление Госкомстата России)
5
Т-8 Приказ об увольнении работника
№ 1 05.01.2004 (Постановление Госкомстата России)
6
Т-9 Приказ о командировке
№ 1 05.01.2004 (Постановление Госкомстата России)
7
Трудовой договор с сотрудником
Трудовой договор с сотрудником
Приложение № 2
к Положению об организации
обработки персональных
данных без использования
средств автоматизации
в Государственном комитете
Республики Башкортостан по торговле
и защите прав потребителей
ЖУРНАЛ
ознакомления и допуска сотрудников, обрабатывающих
персональные данные без использования средств автоматизации
инв. № ________________________
Начат: "__" __________ 20__ г.
Окончен: "__" __________ 20__ г.
На __________ листах
№ п/п
Наименование должности
Основание для предоставления доступа/лишения доступа
Формы документов
1
2
3
4
Приложение № 3
к Положению об организации
обработки персональных
данных без использования
средств автоматизации
в Государственном комитете
Республики Башкортостан по торговле
и защите прав потребителей
ЖУРНАЛ
учета хранилищ носителей персональных данных
инв. № ________________________
Начат: "__" __________ 20__ г.
Окончен: "__" __________ 20__ г.
На __________ листах
№ п/п
Регистрационный (учетный) номер хранилища
Вид хранилища
Дата постановки на учет
Фамилия и подпись принявшего (ответственного), дата
Место расположения (номер помещения)
Дата и номер акта о выводе из эксплуатации
Примечание
1
2
3
4
5
6
7
8
Приложение № 4
к Положению об организации
обработки персональных
данных без использования
средств автоматизации
в Государственном комитете
Республики Башкортостан по торговле
и защите прав потребителей
АКТ
"__" ______________ 20__ г. № _______
Уфа
Об уничтожении бумажных носителей персональных данных
Экспертная комиссия в составе:
Председатель:
________________________________ ______________________________
Члены комиссии:
1. _____________________________ ______________________________
2. _____________________________ ______________________________
3. _____________________________ ______________________________
составили настоящий акт о том, что в результате проведенной экспертной оценки подлежат уничтожению следующие документы, срок хранения которых истек (опись прилагается):
№ п/п
Дата окончания срока обработки зафиксированных на носителе персональных данных
Название бумажного носителя
1
2
3
Перечисленные бумажные носители персональных данных уничтожены путем
___________________________________________________________________________.
(разрезания, сжигания, механического уничтожения, сдачи предприятию по
утилизации вторичного сырья и т.п.)
Председатель:
_____________________________ _______________ __________________________
Члены комиссии:
_____________________________ _______________ __________________________
_____________________________ _______________ __________________________
_____________________________ _______________ __________________________
------------------------------------------------------------------