Распоряжение администрации Тверской области от 16.03.2011 № 231-ра "Об отдельных вопросах обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных"

Подробности

Просмотров: 35

ПРАВИТЕЛЬСТВО ТВЕРСКОЙ ОБЛАСТИ
РАСПОРЯЖЕНИЕ
от 20 сентября 2019 года N 641-рп
Об отдельных вопросах обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных

В целях осуществления мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", в аппарате Правительства Тверской области и исполнительных органах государственной власти Тверской области:

1. Утвердить типовые формы следующих документов операторов персональных данных:

1) правила обработки персональных данных (приложение 1);

2) правила рассмотрения запросов субъектов персональных данных или их представителей (приложение 2);

3) правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным законодательством Российской Федерации в сфере персональных данных (приложение 3);

4) правила работы с обезличенными данными (приложение 4);

5) перечень информационных систем персональных данных (приложение 5);

6) перечень персональных данных, обрабатываемых в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций (приложение 6);

7) перечень должностей, замещение которых предусматривает проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных (приложение 7);

8) перечень должностей работников, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (приложение 8);

9) должностной регламент (должностные обязанности) ответственного за организацию обработки персональных данных (приложение 9);

10) обязательство работника, непосредственно осуществляющего обработку персональных данных, прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, в случае расторжения с ним служебного контракта (контракта) или трудового договора (приложение 10);

11) согласие на обработку персональных данных субъекта персональных данных (приложение 11);

12) разъяснение субъекту персональных данных юридических последствий отказа предоставить свои персональные данные (приложение 12);

13) порядок доступа работников в помещения, в которых ведется обработка персональных данных (приложение 13).

2. Заместителю Председателя Правительства Тверской области - руководителю аппарата Правительства Тверской области в срок до 1 декабря 2019 года:

1) утвердить документы операторов персональных данных аппарата Правительства Тверской области в соответствии с типовыми формами, предусмотренными настоящим распоряжением;

2) назначить ответственных за организацию обработки персональных данных из числа лиц, замещающих должности государственной гражданской службы не ниже категории "Руководители".

3. Руководителям исполнительных органов государственной власти Тверской области в срок до 1 декабря 2019 года:

1) обеспечить подготовку и принятие правовых актов, утверждающих документы операторов персональных данных в соответствии с типовыми формами, предусмотренными настоящим распоряжением;

2) назначить ответственных за организацию обработки персональных данных из числа лиц, замещающих должности государственной гражданской службы не ниже высшей группы должностей категории "Руководители";

3) направить информацию о реализации подпунктов 1, 2 настоящего пункта в Главное управление региональной безопасности Тверской области.

4. Рекомендовать органам местного самоуправления муниципальных образований Тверской области подготовить и утвердить документы операторов персональных данных, указанные в пункте 1 настоящего распоряжения.

5. Признать утратившими силу:
1) распоряжение Администрации Тверской области от 16.03.2011 N 231-ра "Об отдельных вопросах обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных";

2) распоряжение Правительства Тверской области от 07.09.2011 N 34-рп "О внесении изменения в распоряжение Администрации Тверской области от 16.03.2011 N 231-ра".

6. Контроль за исполнением настоящего распоряжения возложить на начальника Главного управления региональной безопасности Тверской области.
Отчет об исполнении распоряжения представить в срок до 20 февраля 2020 года.

7. Настоящее распоряжение вступает в силу со дня его официального опубликования.

Губернатор Тверской области
И.М.РУДЕНЯ

Приложение 1
к распоряжению Правительства
Тверской области
от 20 сентября 2019 г. N 641-рп

ПРАВИЛА обработки персональных данных

Раздел I Общие положения

1. Настоящие Правила устанавливают в аппарате Правительства Тверской области/в исполнительном органе государственной власти Тверской области процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

В настоящих Правилах используются понятия, определенные Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".

2. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без использования средств автоматизации.

Особенности обработки персональных данных с использованием средств автоматизации, а также без использования таких средств устанавливаются федеральными законами и иными нормативными правовыми актами Российской Федерации.

3. До начала обработки персональных данных операторы должны:

1) пройти процедуру регистрации в Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Тверской области, за исключением случаев, предусмотренных федеральным законодательством;

2) образовать комиссию по определению уровня защищенности персональных данных при их обработке в информационных системах персональных данных и определить требуемый уровень защищенности персональных данных. Результаты определения уровня защищенности оформляются актом определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных, утверждаемым руководителем оператора, по форме согласно приложению к настоящим Правилам;

3) получить согласие субъектов персональных данных, за исключением случаев, предусмотренных федеральным законодательством.

4. Руководитель оператора:

1) утверждает перечень должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

2) утверждает перечень должностей, замещение которых предусматривает проведение мероприятий по обезличиванию обрабатываемых персональных данных;

3) назначает ответственного за организацию обработки персональных данных;

4) утверждает перечень информационных систем персональных данных.

Раздел II Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных

5. Для выявления и предотвращения нарушений законодательства Российской Федерации в сфере персональных данных операторами реализуются следующие процедуры:

1) реализация мер, предусмотренных законодательством в сфере безопасности персональных данных, направленных на обеспечение выполнения оператором персональных данных своих обязанностей при обработке персональных данных и прав субъекта персональных данных;

2) организация внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным законодательством в области персональных данных и локальными документами операторов;

3) оценка вреда, который может быть причинен субъектам персональных данных;

4) ознакомление работников операторов, осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящими Правилами и (или) обучение работников;

5) ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;

6) осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленными законодательством Российской Федерации в области персональных данных;

7) недопущение обработки персональных данных, несовместимых с целями сбора персональных данных;

8) недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

9) соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки (обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки);

10) обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.

Раздел III Содержание и порядок обработки персональных данных в связи с реализацией служебных и трудовых отношений

6. К субъектам персональных данных (далее - субъекты) в связи с реализацией служебных и трудовых отношений относятся:

1) государственные гражданские служащие, замещающие должности государственной гражданской службы Тверской области;

2) лица, замещающие государственные должности Тверской области;

3) лица, замещающие должности, не отнесенные к должностям государственной гражданской службы Тверской области;

4) лица, замещающие должности руководителей подведомственных операторам государственных учреждений Тверской области и унитарных предприятий Тверской области (далее - сотрудники);

5) граждане, претендующие на замещение должностей, указанных в подпунктах 1 - 4 настоящего пункта (далее - претенденты).

7. Целями обработки персональных данных являются:

1) обеспечение кадровой работы, в том числе содействие сотрудникам в прохождении государственной гражданской службы Тверской области, выполнении работы, в обучении и должностном росте, обеспечении личной безопасности сотрудников и членов их семей, обеспечении сохранности принадлежащего им имущества и имущества операторов, учета результатов исполнения ими должностных обязанностей, обеспечении установленных законодательством Российской Федерации условий осуществления служебной деятельности и труда, гарантий и компенсаций;

2) формирование кадрового резерва на государственной гражданской службе Тверской области;

3) формирование резерва управленческих кадров Тверской области;

4) противодействие коррупции.

8. В целях, указанных в пункте 7 настоящего раздела, обрабатываются следующие персональные данные сотрудников и претендентов:

1) фамилия, имя, отчество - при наличии (в том числе предыдущие фамилии, имена и (или) отчества в случае их изменения, дата, место и причина изменения);

2) число, месяц, год рождения;

3) место рождения;

4) сведения о гражданстве (в том числе в случае изменения гражданства - предыдущие гражданства, иные гражданства, дата и причина изменения гражданства);

5) вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

6) адрес места жительства (адрес регистрации, фактического проживания);

7) номер контактного телефона или сведения о других способах связи;

8) реквизиты документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета;

9) идентификационный номер налогоплательщика;

10) реквизиты страхового медицинского полиса обязательного медицинского страхования;

11) реквизиты свидетельства государственной регистрации актов гражданского состояния;

12) фотография;

13) семейное положение, состав семьи и сведения о близких родственниках (отце, матери, братьях, сестрах и детях), а также о муже (жене), в том числе бывших;

14) сведения о служебной (трудовой) деятельности;

15) сведения о воинском учете и реквизиты документов воинского учета;

16) сведения об образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, направление подготовки или специальность, квалификация по документу об образовании);

17) сведения о послевузовском профессиональном образовании (наименование и год окончания образовательной или научной организации), ученой степени, ученом звании (дата присвоения, номера дипломов, аттестатов);

18) сведения о владении иностранными языками, степень владения;

19) результаты обязательных предварительных (при поступлении на государственную гражданскую службу, работу, участии в конкурсе на включение в кадровый резерв) и периодических медицинских осмотров;

20) сведения, содержащиеся в служебном контракте (трудовом договоре), дополнительных соглашениях к служебному контракту (трудовому договору);

21) сведения о пребывании за границей (страна, год и цель пребывания), серия, номер заграничного паспорта, наименование органа, выдавшего его, дата выдачи;

22) сведения о присвоенном классном чине федеральной государственной гражданской службы, государственной гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатическом ранге, воинском или специальном звании, классном чине юстиции, классном чине прокурорского работника (кем и когда присвоен);

23) сведения о наличии или отсутствии судимости;

24) сведения об оформленных допусках к государственной тайне (форма, номер и дата);

25) государственные награды, иные награды и знаки отличия (кем и когда награжден);

26) сведения о профессиональной переподготовке и (или) повышении квалификации;

27) справка о доходах, расходах, имуществе и обязательствах имущественного характера;

28) номер расчетного счета субъекта;

29) номер банковской карты субъекта;

30) иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 7 настоящих Правил.

9. Обработка персональных данных субъектов осуществляется при условии получения их согласия на обработку персональных данных в порядке, установленном статьей 9 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

10. В случаях, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", согласие субъекта персональных данных оформляется в письменной форме либо в форме электронного документа, подписанного электронной подписью субъекта персональных данных.

11. Обработка персональных данных субъектов осуществляется уполномоченными работниками операторов и включает в себя следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

12. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов осуществляются путем:

1) получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы);

2) копирования оригиналов документов;

3) внесения сведений в учетные формы (на бумажных и электронных носителях);

4) формирования персональных данных в ходе кадровой работы;

5) внесения персональных данных в информационные системы операторов.

13. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляются путем получения персональных данных непосредственно от субъектов.

14. В случае возникновения необходимости получения персональных данных субъектов у третьей стороны уполномоченные работники операторов обязаны известить их об этом, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.

15. Обработка специальных категорий персональных данных субъектов, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 статьи 10 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

16. При сборе персональных данных уполномоченный работник оператора, осуществляющий сбор (получение) персональных данных непосредственно от субъектов, обязан разъяснить субъектам юридические последствия отказа предоставить их персональные данные.

17. Персональные данные сотрудников содержатся в кадровых документах (личные дела, личные карточки, трудовые книжки, распоряжения (приказы) по личному составу и другие документы, связанные с прохождением государственной гражданской службы Тверской области и выполнением работы) и бухгалтерских документах (расчетно-платежные ведомости и другие).

Раздел IV Условия и порядок обработки персональных данных в связи с предоставлением государственных услуг и исполнением государственных функций

19. Операторы осуществляют обработку персональных данных физических лиц в целях предоставления государственных услуг и исполнения государственных функций.

20. Категории субъектов, персональные данные которых обрабатываются операторами в связи с предоставлением государственных услуг и исполнением государственных функций, а также перечни обрабатываемых персональных данных утверждаются руководителями операторов.

21. Персональные данные, содержащиеся в обращениях юридических лиц, а также граждан, обратившихся к операторам лично или направивших индивидуальные (коллективные) письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений.

22. В случаях, предусмотренных законодательством, обработка персональных данных может осуществляться без согласия субъектов персональных данных.

23. Обработка персональных данных, необходимых в связи с предоставлением государственных услуг и исполнением государственных функций, осуществляется операторами, предоставляющими соответствующие государственные услуги и (или) исполняющими государственные функции, и включает в себя следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

24. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов, обратившихся к операторам для получения государственной услуги или в целях исполнения государственной функции, осуществляются путем:

1) получения от субъектов оригиналов необходимых документов (заявление);

2) заверения копий документов;

3) внесения сведений в учетные формы (на бумажных и электронных носителях).

25. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляются путем получения персональных данных непосредственно от субъектов персональных данных (заявителей), если иное не предусмотрено законодательством Российской Федерации.

26. При предоставлении государственной услуги или исполнении государственной функции операторам запрещается запрашивать персональные данные у субъектов персональных данных и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации.

27. При сборе персональных данных уполномоченное должностное лицо оператора, осуществляющее получение персональных данных непосредственно от субъектов персональных данных, обратившихся за предоставлением государственной услуги или в связи с исполнением государственной функции, обязано разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные, если иное не предусмотрено законодательством Российской Федерации.

28. Передача (распространение, предоставление) и использование персональных данных в связи с предоставлением государственных услуг и исполнением государственных функций операторами осуществляются лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации.

Раздел V Сроки обработки и хранения персональных данных

29. Сроки обработки и хранения персональных данных определяются в соответствии с требованиями части 7 статьи 5 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

30. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект.

31. Сроком обработки персональных данных сотрудников является срок замещения ими соответствующей должности. Срок хранения бумажных носителей персональных данных сотрудников составляет 50 (пятьдесят) лет.

32. Сроком обработки и хранения персональных данных претендентов, включенных в кадровый резерв на государственной гражданской службе Тверской области или резерв управленческих кадров Тверской области, является срок их нахождения в соответствующем резерве.

33. Сроком обработки персональных данных претендентов, не допущенных к участию в конкурсных процедурах, и претендентов, участвовавших в конкурсных процедурах, но не прошедших конкурсный отбор, является срок проведения конкурсных процедур. Персональные данные претендентов, не допущенных к участию в конкурсных процедурах, и претендентов, участвовавших в конкурсных процедурах, но не прошедших конкурсный отбор, хранятся на бумажных носителях в течение трех лет со дня завершения конкурса, если они не были возвращены по письменным заявлениям претендентов.

34. Сроки обработки и хранения персональных данных, предоставляемых субъектами операторам в связи с получением государственных услуг и исполнением государственных функций, определяются нормативными правовыми актами, регламентирующими порядок предоставления государственных услуг или исполнения государственных функций.

35. Персональные данные, предоставляемые субъектами на бумажном носителе в связи с предоставлением операторами государственных услуг и исполнением государственных функций, хранятся на бумажных носителях у соответствующего оператора, к полномочиям которого относится обработка персональных данных в связи с предоставлением государственной услуги или исполнением государственной функции, в соответствии с утвержденным положением о соответствующем операторе.

36. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители операторов.

Раздел VI Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

37. Уничтожению подлежат персональные данные при достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

38. Уничтожение персональных данных может быть произведено любым способом, исключающим возможность восстановления материального носителя персональных данных, согласно акту об уничтожении персональных данных.

39. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

40. В случае отсутствия возможности уничтожения персональных данных оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.

Приложение
к Правилам обработки персональных данных

                                                                  УТВЕРЖДАЮ

                                                               Руководитель

                                   аппарата Правительства Тверской области/

                              исполнительного органа государственной власти

                                                           Тверской области

                                                    _______________________

                                                    "__" __________ 20__ г.

Акт определения уровня защищенности персональных данных при их обработке в информационной системе персональных данных

    Комиссия в составе:

    председатель комиссии - _______________________________,

    члены комиссии:

    __________________________,

    __________________________,

рассмотрев исходные данные для определения уровня защищенности персональных

данных  при  их  обработке  в  информационной  системе  персональных данных

"____________"  (далее  - ИСПДн) и руководствуясь требованиями Федерального

закона  от  27.07.2006  N  152-ФЗ "О персональных данных", в соответствии с

Постановлением  Правительства Российской Федерации от 01.11.2012 N 1119 "Об

утверждении  требований  к  защите  персональных  данных при их обработке в

информационных системах персональных данных" установила:

    -   категория   персональных   данных,   обрабатываемых   в   ИСПДн,  -

    ______________________________________________________________________;

    -    тип    актуальных    угроз    -   для   ИСПДн   актуальны   угрозы

    ______________________________________________________________________;

    - субъекты персональных данных - _____________________________________;

    - объем обрабатываемых персональных данных - _________________________.

    На основе анализа характеристик персональных данных комиссия определила

_____ уровень защищенности персональных данных - УЗ__.

    Председатель комиссии: _____________ _____________________

                                               (Ф.И.О.)

    Члены комиссии:        _____________ _____________________

                                               (Ф.И.О.)

                           _____________ _____________________

                                               (Ф.И.О.)

Приложение 2
к распоряжению Правительства
Тверской области
от 20 сентября 2019 г. N 641-рп

ПРАВИЛА рассмотрения запросов субъектов персональных данных или их представителей

1. Настоящие Правила определяют порядок рассмотрения в аппарате Правительства Тверской области/в исполнительном органе государственной власти Тверской области (далее - оператор) запросов субъектов персональных данных или их представителей.

2. Субъекты, персональные данные которых обрабатываются операторами (далее - субъекты персональных данных), имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";

8) информацию об осуществленной или предполагаемой трансграничной передаче данных;

9) фамилию, имя, отчество (при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные законодательством Российской Федерации.

3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

4. Субъекты персональных данных вправе требовать от оператора уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5. Сведения, указанные в пункте 2 настоящих Правил, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Полномочия представителя субъекта персональных данных должны быть подтверждены соответствующим документом посредством его предъявления при обращении к оператору либо его направления вместе с запросом.

6. Направляемое в соответствии с пунктом 4 настоящих Правил оператору требование субъекта персональных данных или его представителя должно содержать:

1) номер документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

2) сведения, подтверждающие участие субъекта персональных данных в правоотношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором;

3) подпись субъекта персональных данных или его представителя.

7. В случае несоответствия содержания запроса субъекта персональных данных требованиям, предусмотренным пунктом 6 настоящих Правил, он подлежит возврату заявителю без исполнения не позднее десяти рабочих дней со дня поступления с указанием причин такого возврата и разъяснением условий, при которых такой запрос может быть направлен повторно.

8. Требование, направляемое в соответствии с пунктом 4 настоящих Правил, может быть направлено в форме электронного документа и подписано электронной подписью в соответствии с законодательством Российской Федерации.

9. При поступлении запроса субъекта персональных данных или его представителя оператору он должен быть зарегистрирован в установленном порядке.

10. Сведения, указанные в пункте 2 настоящих Правил, должны быть предоставлены субъекту персональных данных оператором в течение тридцати календарных дней со дня получения запроса. Сведения предоставляются в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

11. В случае отказа в предоставлении информации о наличии персональных данных или сведений, указанных в пункте 2 настоящих Правил, оператор обязан дать субъекту персональных данных или его представителю в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати календарных дней со дня обращения или получения запроса субъекта персональных данных или его представителя.

12. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

13. В случае, если сведения, указанные в пункте 2 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать календарных дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

14. Субъект персональных данных вправе обратиться повторно к оператору или направить повторный запрос в целях получения сведений, указанных в пункте 2 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 13 настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 6 настоящих Правил, должен содержать обоснование направления повторного запроса.

15. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 13, 14 настоящих Правил. Такой отказ должен быть мотивированным. Уведомление об отказе в выполнении повторного запроса должно быть направлено субъекту персональных данных в срок, не превышающий тридцати календарных дней со дня получения повторного запроса.

Приложение 3
к распоряжению Правительства
Тверской области
от 20 сентября 2019 г. N 641-рп

ПРАВИЛА осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным законодательством Российской Федерации в сфере персональных данных

1. Настоящие Правила определяют основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных в аппарате Правительства Тверской области/в исполнительном органе государственной власти Тверской области (далее - оператор) требованиям к защите персональных данных, установленным законодательством Российской Федерации в сфере персональных данных (далее - внутренний контроль).

2. В целях осуществления внутреннего контроля операторами проводятся плановые и внеплановые периодические проверки условий обработки персональных данных (далее при совместном упоминании - проверки).

3. Проверка проводится на основании ежегодно утверждаемого руководителем оператора плана осуществления внутреннего контроля (плановые проверки) или на основании поступившей информации о нарушениях оператором правил обработки персональных данных (внеплановые проверки).

4. Проведение внеплановой проверки организуется в течение трех рабочих дней со дня поступления информации о нарушениях оператором правил обработки персональных данных.

5. Проверка проводится комиссией, состав которой утверждается руководителем оператора (далее - Комиссия).

6. В проведении проверки не могут участвовать работники операторов, прямо или косвенно заинтересованные в ее результатах.

7. Проверка осуществляется непосредственно на месте обработки персональных данных путем опроса либо при необходимости путем осмотра служебных мест работников операторов, участвующих в процессе обработки персональных данных.

8. При проведении проверки должны быть полностью, объективно и всесторонне установлены следующие условия обработки персональных данных:

1) порядок и условия применения организационных и технических мер, необходимых для выполнения требований к защите персональных данных;

2) порядок и условия применения средств защиты информации;

3) эффективность принимаемых мер по обеспечению безопасности персональных данных до их ввода в информационные системы персональных данных;

4) учет носителей персональных данных;

5) факты нарушения правил доступа к персональным данным;

6) факты нарушения порядка доступа в помещения, в которых ведется обработка персональных данных;

7) факты несанкционированного доступа к персональным данным и принятие необходимых мер;

8) факты проведения мероприятий по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

9. Комиссия имеет право:

1) запрашивать у работников операторов информацию, необходимую для реализации полномочий;

2) вносить предложения работникам операторов, осуществляющих обработку персональных данных, об уточнении, блокировании или уничтожении недостоверных или полученных незаконным путем персональных данных;

3) в установленном порядке вносить предложения о:

совершенствовании правового, технического и организационного обеспечения безопасности персональных данных при их обработке;

приостановлении или прекращении обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации о персональных данных.

10. Члены Комиссии должны обеспечивать конфиденциальность сведений, ставших им известными в ходе проведения мероприятий внутреннего контроля.

11. Проверка должна быть завершена не позднее чем через тридцать календарных дней со дня принятия решения о ее проведении.

12. Не позднее чем через десять рабочих дней со дня завершения проверки председателем Комиссии утверждается письменное заключение с указанием мер, необходимых для устранения выявленных нарушений.

Приложение 4
к распоряжению Правительства
Тверской области
от 20 сентября 2019 г. N 641-рп

ПРАВИЛА работы с обезличенными данными

1. Настоящие Правила определяют порядок работы с обезличенными данными в аппарате Правительства Тверской области/в исполнительном органе государственной власти Тверской области (далее - оператор).

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (далее - обезличивание).

2. Обезличивание может быть проведено в статистических или иных исследовательских целях для предупреждения ущерба от разглашения персональных данных, а также по достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3. Обезличивание должно обеспечивать не только защиту персональных данных от несанкционированного использования, но и возможность их обработки.

4. Обезличивание возможно любыми незапрещенными способами.

5. Операторами могут быть использованы следующие способы обезличивания при условии их дальнейшей обработки:

1) сокращение перечня обрабатываемых персональных данных;

2) замена части сведений идентификаторами;

3) понижение точности некоторых сведений в зависимости от цели обработки персональных данных (например, сведения о месте жительства могут состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);

4) деление сведений на части и обработка разных персональных данных в разных информационных системах;

5) иными способами, определяемыми операторами, исходя из целей обезличивания персональных данных.

6. Ответственными за проведение мероприятий по обезличиванию являются сотрудники операторов, замещающие должности, включенные в соответствующие перечни должностей, утверждаемые руководителями операторов.

7. Руководители структурных подразделений операторов, осуществляющие обработку персональных данных, вносят руководителям операторов предложения по обезличиванию с указанием обоснования необходимости обезличивания и способа обезличивания.

8. Решение о необходимости и способе обезличивания принимают руководители операторов.

9. Работники операторов, замещающие должности, замещение которых предусматривает осуществление обработки персональных данных, проводят непосредственное обезличивание выбранным способом.

10. Обезличенные персональные данные конфиденциальны и не подлежат разглашению.

11. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.

12. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение парольной политики, антивирусной политики, правил работы со съемными носителями (если они используются), правил резервного копирования, порядка доступа в помещения, где расположены информационные системы персональных данных.

13. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение правил хранения бумажных носителей и правил доступа в помещения, где они хранятся.

Приложение 5
к распоряжению Правительства
Тверской области
от 20 сентября 2019 г. N 641-рп

Перечень информационных систем персональных данных

Приложение 6
к распоряжению Правительства
Тверской области
от 20 сентября 2019 г. N 641-рп

Перечень персональных данных, обрабатываемых в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций

    1.  Перечень  персональных данных, обрабатываемых в связи с реализацией

служебных или трудовых отношений:

    - ____________________________________________________________________;

    - ____________________________________________________________________;

    - ____________________________________________________________________.

    2.   Перечень   персональных   данных,   обрабатываемых   в   связи   с

осуществлением государственных функций:

    - ____________________________________________________________________;

    - ____________________________________________________________________;

    - ____________________________________________________________________.

    3.  Перечень  персональных  данных,  обрабатываемых в связи с оказанием

государственных услуг:

    - ____________________________________________________________________;

    - ____________________________________________________________________;

    - ____________________________________________________________________.

    4.   Перечень  персональных  данных,  обрабатываемых  в  информационной

системе персональных данных "_______":

    - ____________________________________________________________________;

    - ____________________________________________________________________;

    - ____________________________________________________________________.

Приложение 7
к распоряжению Правительства
Тверской области
от 20 сентября 2019 г. N 641-рп

Перечень должностей, замещение которых предусматривает проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных

Приложение 8
к распоряжению Правительства
Тверской области
от 20 сентября 2019 г. N 641-рп

Перечень должностей работников, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным

Приложение 9
к распоряжению Правительства
Тверской области
от 20 сентября 2019 г. N 641-рп

ДОЛЖНОСТНОЙ РЕГЛАМЕНТ (ДОЛЖНОСТНЫЕ ОБЯЗАННОСТИ) ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Раздел I Общие положения

1. Ответственный за организацию обработки персональных данных (далее - ответственный) в аппарате Правительства Тверской области/наименование исполнительного органа государственной власти Тверской области (далее - оператор) назначается из числа работников приказом руководителя оператора и отвечает за организацию обработки персональных данных оператором.

2. Ответственный в рамках исполнения обязанностей по организации обработки персональных данных подчиняется непосредственно руководителю оператора и осуществляет организацию и контроль соответствия обработки персональных данных установленным требованиям к защите персональных данных оператором, нормативным и организационно-распорядительным документам по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных оператора (далее - ИСПДн).

3. Методическое руководство работой ответственного осуществляется уполномоченным исполнительным органом государственной власти Тверской области в сфере защиты информации.

4. Ответственный в своей работе руководствуется федеральным законодательством Российской Федерации, положениями, руководящими и нормативными документами Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации по защите информации и организационно-распорядительными документами и несет персональную ответственность за свои действия.

Раздел II Обязанности ответственного

5. Ответственный обязан:

1) знать и выполнять правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;

2) знать и выполнять действующие нормативные и руководящие документы, а также внутренние инструкции и распоряжения, регламентирующие порядок действий по обработке и защите персональных данных;

3) обеспечивать выполнение режимных и организационных мероприятий на месте эксплуатации ИСПДн, а также следить за выполнением требований к размещению средств вычислительной техники и их сохранностью;

4) осуществлять ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных;

5) организовывать обучение работников оператора, непосредственно осуществляющих обработку персональных данных;

6) принимать правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке, предусмотренные соответствующими нормативными правовыми актами, для выполнения установленных Правительством Российской Федерации требований к защите персональных данных при их обработке, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

7) при обработке персональных данных, осуществляемой без использования средств автоматизации, выполнять требования, установленные Постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

8) в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организовывать проведение плановых и внеплановых проверок условий обработки персональных данных оператором;

9) докладывать о результатах проведенных проверок и мерах, необходимых для устранения выявленных нарушений, руководителю оператора;

10) осуществлять контроль за принятием организационных мер, направленных на исключение несанкционированного доступа в помещение с ИСПДн.

Раздел III Права ответственного за организацию обработки персональных данных

6. Ответственный имеет право:

1) требовать от пользователей ИСПДн выполнения установленной технологии обработки персональных данных, инструкций и других нормативных правовых документов по обеспечению безопасности персональных данных;

2) участвовать в разработке мероприятий оператора по совершенствованию безопасности персональных данных;

3) инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения безопасности персональных данных, несанкционированного доступа к ИСПДн, утраты, порчи защищаемых персональных данных и программных и аппаратных средств из состава ИСПДн;

4) обращаться к руководителю оператора с предложением о приостановке процесса обработки персональных данных или отстранении от работы пользователя в случаях нарушения установленной технологии обработки персональных данных или нарушения режима конфиденциальности;

5) вносить предложения по совершенствованию правовых, организационных и технических мер по обеспечению безопасности персональных данных при их обработке оператором.

Приложение 10
к распоряжению Правительства
Тверской области
от 20 сентября 2019 г. N 641-рп

Обязательство работника, непосредственно осуществляющего обработку персональных данных, прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, в случае расторжения с ним служебного контракта (контракта) или трудового договора

    Я, ___________________________________________________________________,

___________________________________________________________________________

                     (должность, Ф.И.О. (при наличии))

обязуюсь прекратить обработку персональных данных, ставших известными мне в

связи  с исполнением должностных обязанностей, в случае расторжения со мной

служебного  контракта (трудового договора), освобождения меня от замещаемой

должности и увольнения.

В соответствии со статьей 7 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" я уведомлен(а) о том, что персональные данные являются конфиденциальной информацией, и я обязан(а) не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, ставших известными мне в связи с исполнением должностных обязанностей.

Положения об ответственности, предусмотренной Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и другими федеральными законами, мне разъяснены.

Приложение 11
к распоряжению Правительства
Тверской области
от 20 сентября 2019 г. N 641-рп

Согласие на обработку персональных данных субъекта персональных данных

    Я, ___________________________________________________________________,

                 (Ф.И.О. (при наличии) субъекта персональных данных)

проживающий(ая) по адресу ________________________________________________,

документ, удостоверяющий личность _______________, серия ___________, номер

____________, дата выдачи документа _________________, наименование органа,

выдавшего документ ______________________________________________, даю свое

согласие _______________________________________________ (далее - Оператор)

                      (наименование оператора)

на обработку своих персональных данных с целью ____________________________

__________________________________________________________________________,

          (указывается цель в соответствии с правилами обработки

              персональных данных, утвержденными оператором)

а  также  предоставлять  сведения  в  случаях, предусмотренных федеральными

законами и иными нормативными правовыми актами, следующих моих персональных

данных:

    - ____________________________________________________________________.

    (указываются персональные данные в соответствии с перечнем персональных

     данных, обрабатываемых в связи с реализацией служебных или трудовых

        отношений, а также в связи с оказанием государственных услуг и

        осуществлением государственных функций, утвержденным оператором)

    Настоящее  согласие  предоставляется  на осуществление любых действий в

отношении  моих  персональных  данных,  которые  необходимы или желаемы для

достижения  указанных  выше  целей,  включая  сбор, запись, систематизацию,

накопление,   хранение,   уточнение  (обновление,  изменение),  извлечение,

использование,    передачу   (распространение,   предоставление,   доступ),

обезличивание,  блокирование,  удаление, уничтожение персональных данных, а

также  осуществление  любых  иных  действий  с моими персональными данными,

предусмотренных   действующим   законодательством   Российской   Федерации.

Обработка   моих   персональных   данных   может   осуществляться   как   с

использованием  средств  автоматизации,  так  и  без  их  использования (на

бумажных носителях).

    Разрешаю  обмен  (прием,  передачу, обработку) моих персональных данных

между   Оператором   и  третьими  лицами   в  соответствии  с  заключенными

контрактами  (договорами)  и  соглашениями в целях соблюдения моих законных

прав и интересов.

    Оператор   гарантирует,   что   обработка   моих   персональных  данных

осуществляется  в  соответствии  с действующим законодательством Российской

Федерации  и  правилами  обработки  персональных  данных  в  информационных

системах персональных данных, утвержденными оператором.

    Данное  Согласие  действует  с ___________________________________ и до

                                  (дата подписания настоящего Согласия)

истечения  сроков,  установленных  действующим законодательством Российской

Федерации.

    Я  уведомлен(а)  о  праве  на  досрочный  отзыв  настоящего  Согласия в

соответствии с частью 2 статьи 9 Федерального закона от 27.07.2006 N 152-ФЗ

"О персональных данных".

    Права   и   обязанности   в  области  защиты  персональных  данных  мне

разъяснены.

    Я  подтверждаю, что,  давая  такое Согласие, я действую своей волей и в

своих интересах.

    ______________ /                            "____" ___________ 20___ г.

      (подпись)        (расшифровка подписи)          (дата подписи)

Приложение 12
к распоряжению Правительства
Тверской области
от 20 сентября 2019 г. N 641-рп

Разъяснение субъекту персональных данных юридических последствий отказа предоставить свои персональные данные

    Уважаемый (ая) _______________________________________________________.

                         (фамилия, имя, отчество (при наличии)

                             субъекта персональных данных)

    Лица,  которые  намерены  вступить  в  те или иные правовые отношения с

__________________________________________________________________________,

                         (наименование оператора)

не  обязаны  предоставлять  персональные  данные,  однако  непредоставление

данной  информации  может  сделать  невозможным  установление (продолжение)

правовых отношений с

___________________________________________________________________________

                         (наименование оператора)

и выполнение юридических и иных обязательств.

    Персональные данные хранятся и обрабатываются в

___________________________________________________________________________

в соответствии с законодательством.

Приложение 13
к распоряжению Правительства
Тверской области
от 20 сентября 2019 г. N 641-рп

ПОРЯДОК доступа работников в помещения, в которых ведется обработка персональных данных

1. Настоящий Порядок определяет правила доступа работников аппарата Правительства Тверской области/исполнительного органа государственной власти Тверской области (далее - оператор) в помещения, в которых ведется обработка персональных данных.

2. Доступ в административные здания, которые используются работниками оператора, осуществляется в соответствии с режимом, исключающим возможность бесконтрольного входа (выхода) лиц, вноса (выноса) имущества.

3. Помещения, в которых ведется обработка персональных данных, должны обеспечивать их сохранность, исключать возможность бесконтрольного проникновения в помещение и визуального просмотра персональных данных посторонними лицами.

4. Персональные данные на бумажных носителях должны находиться в недоступном для посторонних лиц месте.

5. Помещения, в которых ведется обработка персональных данных, запираются на ключ. В случае утраты ключей от помещений, в которых ведется обработка персональных данных, немедленно заменяется замок.

6. Вскрытие помещения, в котором ведется обработка персональных данных, и право самостоятельного входа в него производят работники, уполномоченные руководителем оператора. Передавать ключи от помещений третьим лицам запрещается.

7. При обнаружении неисправности двери и запирающих устройств работники оператора обязаны:

1) не вскрывая помещение, в котором ведется обработка персональных данных, доложить об обнаруженных неисправностях непосредственному руководителю;

2) в присутствии не менее двух иных работников оператора, включая непосредственного руководителя, вскрыть помещение и осмотреть его;

3) составить акт о выявленных нарушениях и передать его руководителю оператора для организации служебного расследования.

8. Техническое обслуживание компьютерной и организационной техники, сопровождение программных средств, а также проведение других работ в помещении, в котором ведется обработка персональных данных, осуществляются в присутствии работников, уполномоченных руководителем оператора.

9. В случае необходимости принятия в нерабочее время экстренных мер при срабатывании пожарной или охранной сигнализации, авариях в системах энерго-, водо- и теплоснабжения помещение, в котором ведется обработка персональных данных, вскрывается комиссией в составе не менее двух человек.

10. Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на руководителя оператора.

• Назад
• Вперёд