Приказ минпрома Ставропольского края от 06.04.2015 N 73-о/д "Об утверждении Политики обработки и обеспечения безопасности персональных данных в министерстве энергетики, промышленности и связи Ставропольского края"

МИНИСТЕРСТВО ЭНЕРГЕТИКИ, ПРОМЫШЛЕННОСТИ И СВЯЗИ
СТАВРОПОЛЬСКОГО КРАЯ

ПРИКАЗ
от 6 апреля 2015 г. № 73-о/д

ОБ УТВЕРЖДЕНИИ ПОЛИТИКИ ОБРАБОТКИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ЭНЕРГЕТИКИ,
ПРОМЫШЛЕННОСТИ И СВЯЗИ СТАВРОПОЛЬСКОГО КРАЯ

В соответствии с Федеральным законом "О персональных данных" приказываю:

1. Утвердить прилагаемую Политику обработки и обеспечения безопасности персональных данных в министерстве энергетики, промышленности и связи Ставропольского края.
2. Контроль за выполнением настоящего приказа возложить на заместителя министра Кольцова П.В.
3. Настоящий приказ вступает в силу со дня его подписания.

Министр
В.П.ХОЦЕНКО





Утверждена
приказом
министерства энергетики,
промышленности и связи
Ставропольского края
от 06 апреля 2015 г. № 73-о/д

ПОЛИТИКА
ОБРАБОТКИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В МИНИСТЕРСТВЕ ЭНЕРГЕТИКИ, ПРОМЫШЛЕННОСТИ И СВЯЗИ
СТАВРОПОЛЬСКОГО КРАЯ

I. Общие положения

1. Настоящая Политика разработана в соответствии с Федеральным законом "О персональных данных" (далее - Федеральный закон).
2. Настоящая Политика раскрывает основные принципы и правила, используемые министерством энергетики, промышленности и связи Ставропольского края (далее - министерство) при обработке персональных данных, в том числе определяет цели, правовые основания, условия и способы такой обработки, категории субъектов персональных данных, персональные данных которых обрабатываются министерством, а также содержит сведения об исполнении министерством обязанностей в соответствии с Федеральным законом и сведения о реализуемых министерством требованиях к защите обрабатываемых персональных данных. Политика действует в отношении всех персональных данных, обрабатываемых министерством.
3. Политика является общедоступным документом, декларирующим концептуальные основы деятельности министерства при обработке персональных данных, и подлежит опубликованию на официальном сайте министерства в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") по адресу: http://www.stavminprom.ru.
4. Понятия и термины, используемые в настоящей Политике, применяются в значениях, установленных Федеральным законом.
5. Настоящая Политика может быть дополнена либо изменена. Изменения в Политику вносятся по решению министра энергетики, промышленности и связи Ставропольского края.

II. Информация об операторе

6. Министерство в соответствии с Федеральным законом является оператором, организующим и осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
7. Информация об операторе.
Наименование оператора:
министерство энергетики, промышленности и связи Ставропольского края;
адрес местонахождения: г. Ставрополь, проезд Черняховского, 2;
почтовый адрес оператора: 355031, г. Ставрополь, проезд Черняховского, 2;
ИНН: 2635118217;
регистрационный номер записи в реестре операторов, осуществляющих обработку персональных данных: 08-0015852;
дата и основание внесения оператора в реестр операторов, осуществляющих обработку персональных данных: 05.09.2008, приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций № 150.

III. Правовые основания и цели обработки персональных данных

8. Министерство при обработке персональных данных руководствуется следующими нормативными правовыми актами:
Конституция Российской Федерации;
Трудовой кодекс Российской Федерации;
Налоговый кодекс Российской Федерации;
Федеральный закон "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования";
Федеральный закон "О порядке рассмотрения обращений граждан Российской Федерации";
Федеральный закон и принятые в соответствии с ним нормативные правовые акты Российской Федерации;
Положение о министерстве энергетики, промышленности и связи Ставропольского края утвержденное постановлением Губернатора Ставропольского края от 16 августа 2012 г. № 559 "Об утверждении Положения о министерстве энергетики, промышленности и связи Ставропольского края".
9. Министерство обрабатывает персональные данные в следующих целях:
ведение кадрового учета работников министерства;
ведение бухгалтерского учета, расчет заработной платы работникам министерства;
обработка обращений граждан.

IV. Категории субъектов персональных данных, персональные
данные которых обрабатываются министерством, источники
их получения, сроки обработки и хранения

10. Министерство обрабатывает персональные данные следующих категорий субъектов персональных данных:
работники министерства, состоящие в трудовых отношениях с министерством;
кандидаты на замещение вакантных должностей министерства;
работники учреждений, подведомственных министерству;
физические лица, посещающие министерство, обработка персональных данных которых необходима для пропуска таких лиц в служебные помещения министерства;
физические лица, обратившиеся в министерство с просьбами, жалобами и предложениями.
11. Источниками получения персональных данных, обрабатываемых министерством, являются:
субъекты персональных данных (работники министерства, кандидаты на замещение вакантных должностей министерства, посетители);
обращения граждан, поступившие в министерство;
иные государственные органы и уполномоченные организации в случаях, предусмотренных законодательством Российской Федерации.
12. Содержание и объем обрабатываемых министерством персональных данных категорий субъектов персональных данных, указанных в пункте 11 настоящей Политики, определяются в соответствии с целями обработки персональных данных, указанными в пункте 10 настоящей Политики. Министерство не обрабатывает персональные данные, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями.
13. В случаях, установленных пунктами 2 - 11 части 1 статьи 6 Федерального закона, обработка министерством персональных данных осуществляется без согласия субъекта персональных данных на обработку его персональных данных. В иных случаях обработка министерством персональных данных осуществляется только с письменного согласия субъекта персональных данных на обработку его персональных данных в соответствии со статьей 9 Федерального закона.
14. Сроки обработки и хранения персональных данных министерством определяются для каждой цели обработки персональных данных в соответствии с законодательно установленными сроками хранения документов, образующихся в процессе деятельности министерства, в соответствии со сроком действия договора с субъектом персональных данных, сроками исковой давности, сроками хранения документов бухгалтерского учета и на основании "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения", утвержденного приказом Министерства культуры Российской Федерации от 25 августа 2010 г. № 558, и иных требований законодательства Российской Федерации.

V. Принципы и способы обработки персональных данных,
перечень действий, совершаемых с персональными данными

15. Министерство в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона.
16. Министерство осуществляет обработку персональных данных путем сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи, обезличивания, блокирования, уничтожения.
17. В министерстве используется смешанный (с использованием средств автоматизации и без использования средств автоматизации) способ обработки персональных данных с передачей информации по внутренней локальной сети министерства и с передачей информации по сети "Интернет" в защищенном режиме.
18. Министерство не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, частной жизни субъектов персональных данных.
19. Министерство не осуществляет трансграничную передачу персональных данных на территории иностранных государств.
20. Министерство передает обрабатываемые персональные данные в уполномоченные организации, государственные органы, государственные внебюджетные фонды только на основаниях и в случаях, предусмотренных законодательством Российской Федерации.
21. В целях информационного обеспечения в министерстве созданы общедоступные источники персональных данных (справочники), в которые с письменного согласия работника министерства включаются его фамилия, имя, отчество, сведения о должности и месте работы, служебные телефонные номера и иные персонифицированные сведения, сообщаемые работником министерства для размещения в указанных источниках.
22. Министерство прекращает обработку персональных данных в следующих случаях:
достижение цели обработки персональных данных;
изменение, признание утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
выявление неправомерной обработки персональных данных, осуществляемой министерством;
отзыв субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Федеральным законом обработка персональных данных допускается только с согласия субъекта персональных данных.
Уничтожение министерством персональных данных осуществляется в порядке и сроки, предусмотренные Федеральным законом.

VI. Общая характеристика принимаемых министерством мер
по обеспечению безопасности персональных данных
при их обработке

23. Министерство обеспечивает конфиденциальность обрабатываемых персональных данных: не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.
24. Министерство обеспечивает защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
25. Министерство принимает необходимые правовые, организационные, технические, физические и криптографические меры защиты персональных данных, а также меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Такие меры включают:
назначение работника министерства, ответственного за организацию обработки персональных данных;
издание нормативных актов, регламентирующих вопросы обработки и защиты персональных данных;
ознакомление работников министерства, непосредственно осуществляющих обработку персональных данных, под роспись с положениями законодательства Российской Федерации о персональных данных, требованиями к защите персональных данных, нормативными актами министерства, регламентирующими вопросы обработки и защиты персональных данных, а также с ответственностью за разглашение персональных данных, нарушение порядка обращения с документами, содержащими такие данные, и иные неправомерные действия в отношении персональных данных;
создание системы внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации и требованиям к защите персональных данных;
анализ и оценка угроз безопасности персональных данных при их обработке в информационных системах персональных данных министерства;
реализация разрешительной системы доступа работников министерства и иных лиц к персональным данным и связанным с их использованием работам, материальным носителям; обеспечение соблюдения условий, при которых работники министерства, иные лица получают доступ к персональным данным только в пределах, необходимых для выполнения своих должностных обязанностей, либо в объемах, вызванных необходимостью;
регистрация и учет действий работников министерства, допущенных к персональным данным;
ограничение доступа работников министерства и иных лиц в помещения, где размещены технические средства, предназначенные для обработки персональных данных, и хранятся носители персональных данных, к информационным ресурсам, программным средствам обработки и защиты информации;
учет материальных (машинных, бумажных) носителей персональных данных и обеспечение их сохранности;
определение мест хранения материальных носителей персональных данных и обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
предотвращение внедрения в информационные системы вредоносных компьютерных программ;
резервирование технических средств и дублирование массивов и носителей информации;
обеспечение защиты персональных данных при подключении информационных систем персональных данных министерства к информационно-телекоммуникационным сетям, в том числе сети "Интернет";
обеспечение защиты персональных данных при их передаче по каналам связи, в том числе сети "Интернет", с использованием средств криптографической защиты информации;
восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
своевременное обнаружение фактов разглашения, утечки, несанкционированного доступа к персональным данным и принятие мер по таким фактам;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем;
контроль за принимаемыми мерами по обеспечению безопасности персональных данных.
26. Меры по обеспечению безопасности персональных данных при их обработке принимаются министерством с соблюдением требований Федерального закона, иных нормативных правовых актов Российской Федерации, в том числе следующих:
постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
приказ Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";
иные нормативные документы Федеральной службы по техническому и экспортному контролю, нормативные документы Федеральной службы безопасности Российской Федерации, регламентирующие работу по обеспечению безопасности персональных данных.

VII. Права субъекта персональных данных

27. Субъект персональных данных имеет право на:
получение информации, касающейся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами, в том числе по основаниям, установленным частью 8 статьи 14 Федерального закона;
обжалование действий или бездействия министерства в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что министерство осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы;
защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
требование от министерства уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также уведомления о внесенных изменениях и предпринятых мерах третьих лиц, которым персональные данные, относящиеся к соответствующему субъекту, были переданы;
отзыв своего согласия на обработку персональных данных в соответствии со статьей 9 Федерального закона (в случаях, когда обработка министерством персональных данных осуществляется на основании согласия субъекта персональных данных).
28. Информация, касающаяся обработки персональных данных, предоставляется субъекту персональных данных или его представителю в доступной форме при обращении в министерство или при получении министерством запроса субъекта персональных данных или его представителя. Указанный запрос должен быть оформлен в соответствии с требованиями части 3 статьи 14 Федерального закона и может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
29. Министерство обязано сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, предоставить безвозмездно возможность ознакомления с такими персональными данными при обращении субъекта персональных данных или его представителя, либо в течение тридцати дней со дня получения запроса субъекта персональных данных или его представителя, а также, в установленных Федеральным законом случаях, порядке и сроки, устранить нарушения законодательства Российской Федерации, допущенные при обработке персональных данных, уточнить, блокировать или уничтожить персональные данные соответствующего субъекта персональных данных.
Министерство обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.


------------------------------------------------------------------