Об утверждении Правил обработки персональных данных в Управлении Федеральной антимонопольной службы по Республике Тыва

г. Кызыл

Об утверждении Правил обработки персональных данных

в Управлении Федеральной антимонопольной службы

 по Республике Тыва

Во исполнение абзаца второго подпункта "б" пункта 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 (Собрание законодательства Российской Федерации, 2012, N 14, ст. 1626; 2013, N 30, ст. 4116; 2014, N 37, ст. 4967)

п р и к а з ы в а ю:

1. Утвердить прилагаемые Правила обработки персональных данных в Управлении Федеральной антимонопольной службы по Республике Тыва согласно приложению.

2. Контроль исполнения настоящего приказа оставляю за собой.

Руководитель управления                                                   Ф.А. Хаджиев

Приложение

к приказу Тывинского УФАС России

Правила обработки персональных данных в Управлении Федеральной антимонопольной службы по Республике Тыва

1. Настоящими  Правилами определяется порядок получения, обработки, хранения и передачи персональных данных государственных гражданских служащих Управления Федеральной антимонопольной службы по Республике Тыва в соответствии со статьей 42 Федерального закона от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации", Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ), Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации", постановлением Правительства Российской Федерации от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах передачи данных", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и иными нормативными правовыми актами Российской Федерации.

2. Источником информации обо всех персональных данных является непосредственно гражданский служащий, работник Управления Федеральной антимонопольной службы по Республике Тыва (далее - Тывинское УФАС России).

Если персональные данные возможно получить только у третьей стороны, гражданский служащий, работник Тывинского УФАС России в письменной форме уведомляется об этом. В случае согласия передачи таких персональных данных указанные лица дают письменное согласие.

Представитель нанимателя обязан сообщить гражданскому служащему, работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа дать письменное согласие на их получение.

3. К документам, содержащим персональные данные гражданских служащих и работников Тывинского УФАС России, относятся:

- документы, связанные с поступлением и прохождением государственной гражданской службы, заключением служебного контракта, назначением на должность государственной гражданской службы, освобождением от замещаемой должности, увольнением гражданского служащего с государственной гражданской службы и выходом его на пенсию за выслугу лет;

- материалы и документы по анкетированию, тестированию;

- подлинники и копии приказов (распоряжений) по кадровым вопросам;

- личные дела и трудовые книжки;

- дела, содержащие основания к приказу по личному составу;

- дела, содержащие материалы комиссий (аттестационной, конкурсной и др.);

- дела, содержащие материалы служебных проверок;

- справочно-информационный банк данных по персоналу (картотеки, журналы и др.);

- подлинники и копии отчетных, аналитических и справочных материалов;

- копии отчетов, направляемых в государственные органы (статистики, налоговые, МВД);

- любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

4. Обработка персональных данных может осуществляться с согласия гражданских служащих, работников, за исключением случаев, предусмотренных Законом N 152-ФЗ.

5. Обработка персональных данных должна осуществляться на законной и справедливой основе.

6. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных, объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.

Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

7. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Гражданский служащий, организующий и (или) осуществляющий обработку персональных данных (далее - оператор), должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных либо неточных данных.

8. Персональные данные гражданских служащих, работников Тывинского УФАС России могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).

9. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

10. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

11. При обработке персональных данных, осуществляемой без применения средств автоматизации, следует соблюдать следующие требования:

- использование отдельных материальных носителей при обработке персональных данных в различных целях и их раздельное хранение;

- информирование лиц, осуществляющих обработку персональных данных, о правилах такой обработки;

- обеспечение сохранности персональных данных при хранении материальных носителей и исключение случаев несанкционированного к ним доступа.

12. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных.

13. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

14. При необходимости блокирования части персональных данных блокируется материальный носитель с предварительным копированием сведений, не подлежащих блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих блокированию.

15. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

16. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

- типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;

- типовая форма должна быть составлена так, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

- типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

17. Персональные данные, которые обрабатываются в информационных системах, подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

При возникновении необходимости обработки персональных данных структурные подразделения Тывинского УФАС России должны обратиться в Управление информационных технологий для выделения специализированного, не связанного с локальной сетью персонального компьютера для этих целей.

В случае необходимости распределенной обработки персональных данных Управление информационных технологий на этапе проектирования системы обработки персональных данных прорабатывает комплекс организационно-технических мер защиты.

18. Реализация требований по обеспечению безопасности персональных данных в информационных системах возлагается на специалиста 1 разрядаТывинского УФАС России совместно с другими структурными подразделениями Тывинского УФАС России, эксплуатирующими эти системы.

19. При обработке персональных данных в информационных системах должно быть обеспечено:

- проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачу их лицам, не имеющим права доступа к такой информации;

-       своевременное обнаружение фактов несанкционированного доступа к персональным данным;

- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

- незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- осуществление постоянного контроля над обеспечением уровня защищенности персональных данных.

20. При обработке персональных данных, осуществляемой без использования средств автоматизации, выполняют требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

21.  При эксплуатации информационных систем персональных данных принимает правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке, предусмотренные соответствующими нормативными правовыми актами, для выполнения установленных Правительством Российской Федерации требований к защите персональных данных при их обработке, исполнение которых обеспечивает установленные уровни защищенности персональных данных.

21. Руководитель управления обязан обеспечить такой порядок хранения персональных данных, который бы ограничивал несанкционированный доступ к ним. Необходимо обеспечить раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

22. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

23. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

24. Режим конфиденциальности в отношении персональных данных гражданского служащего, работника Тывинского УФАС России снимается:

- в случае их обезличивания;

- по истечении 75 лет срока их хранения;

- в других случаях, предусмотренных законодательством Российской Федерации.

25. Гражданский служащий, работник Тывинского УФАС России имеет право:

- получать от представителя нанимателя: доступ к своим персональным данным и возможность ознакомления с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные; сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; перечень обрабатываемых персональных данных и источник их получения; сведения о том, какие юридические последствия может повлечь за собой обработка его персональных данных;

- требовать от представителя нанимателя уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для представителя нанимателя персональных данных;

- требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

- обжаловать неправомерные действия или бездействие работодателя при обработке и защите персональных данных.

26. По письменному запросу начальника структурного подразделения Тывинского УФАС России копии документов и выписки персональных данных гражданского служащего, работника Тывинского УФАС России предоставляются исключительно в служебных целях.