Приказ управления Ставропольского края по строительному и жилищному надзору от 02.06.2015 N 287-од "Об утверждении Положения об обработке и защите персональных данных в управлении Ставропольского края по строительному и жилищному надзору"
УПРАВЛЕНИЕ СТАВРОПОЛЬСКОГО КРАЯ
ПО СТРОИТЕЛЬНОМУ И ЖИЛИЩНОМУ НАДЗОРУ
ПРИКАЗ
от 2 июня 2015 г. № 287-од
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ В УПРАВЛЕНИИ СТАВРОПОЛЬСКОГО КРАЯ ПО СТРОИТЕЛЬНОМУ
И ЖИЛИЩНОМУ НАДЗОРУ
Руководствуясь Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", постановлениями Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", приказываю:
1. Утвердить прилагаемое Положение об обработке и защите персональных данных в управлении Ставропольского края по строительному и жилищному надзору.
2. Работникам отделов кадрового, документационного и информационного обеспечения, правового обеспечения, финансового и хозяйственного обеспечения, консультанту управления, руководителям структурных подразделений управления в своей работе руководствоваться настоящим Положением.
3. Признать утратившим силу приказ управления Ставропольского края - государственной жилищной инспекции от 29 декабря 2012 года № 104-од "Об утверждении Положения об обработке персональных данных в управлении Ставропольского края - государственной жилищной инспекции".
4. Контроль за исполнением настоящего приказа оставляю за собой.
5. Настоящий приказ вступает в силу со дня его подписания.
Начальник управления
В.А.САВЧЕНКО
Утверждено
приказом
управления Ставропольского края
по строительному и жилищному надзору
от 02 июня 2015 г. № 287-од
ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В УПРАВЛЕНИИ
СТАВРОПОЛЬСКОГО КРАЯ ПО СТРОИТЕЛЬНОМУ И ЖИЛИЩНОМУ НАДЗОРУ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение об обработке и защите персональных данных в управлении Ставропольского края по строительному и жилищному надзору (далее - Положение) разработано с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных и устанавливает единый порядок обработки и защиты персональных данных в управлении Ставропольского края по строительному и жилищному надзору (далее - управление).
1.2. Обработка персональных данных в управлении Ставропольского края по строительному и жилищному надзору (далее - управление) осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных, настоящим Положением и другими нормативными правовыми актами, касающимися обработки персональных данных.
1.3. В настоящем Положении используются следующие основные понятия:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор - управление Ставропольского края по строительному и жилищному надзору;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
конфиденциальность персональных данных - обязанность операторов и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;
доступ к информации - возможность получения информации и ее использования;
под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах;
базой данных является представленная в объективной форме совокупность самостоятельных материалов, систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ).
Иные понятия в настоящем Положении используются в значениях, определенных Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ).
1.4. Целью настоящего Положения является обеспечение защиты персональных данных граждан от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, в том числе права на неприкосновенность частной жизни, личную и семейную тайну.
1.5. Настоящее Положение устанавливает и определяет:
1) процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
2) цели обработки персональных данных;
3) содержание обрабатываемых персональных данных для каждой цели обработки персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) сроки обработки и хранения обрабатываемых персональных данных;
6) порядок уничтожения обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований.
1.6. Основные условия обработки персональных данных:
1.6.1. Обработка персональных данных осуществляется после принятия необходимых мер по защите персональных данных, а именно:
после получения согласия субъекта персональных данных, за исключением случаев, предусмотренных пунктами 2 - 7, 9 - 11 части 1 статьи 6 Федерального закона № 152-ФЗ;
после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Ставропольскому краю, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона № 152-ФЗ.
1.6.2. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации.
2. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. В состав персональных данных, обрабатываемых в управлении, входит информация, необходимая управлению в связи с трудовыми отношениями и касающаяся конкретного сотрудника, а также сведения о фактах, событиях и обстоятельствах жизни как сотрудника, так и лица, обратившегося в управление (далее - субъект персональных данных), позволяющие идентифицировать его личность. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.
К персональным данным относятся:
все биографические сведения субъекта персональных данных;
образование;
специальность;
занимаемая должность;
наличие судимостей;
адрес местожительства;
домашний телефон;
состав семьи и наличие иждивенцев;
место работы или учебы членов семьи и родственников;
характер взаимоотношений в семье;
размер заработной платы;
содержание трудового договора и дополнений к нему;
состав декларируемых сведений о наличии материальных ценностей;
подлинники и копии распоряжений (локальных нормативных актов) по личному составу;
личные дела, личные карточки (форма Т2) и трудовые книжки сотрудников;
социальное положение;
основания к распоряжениям (локальным нормативным актам) по личному составу;
дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
отчеты, направляемые в органы статистики и их копии;
анкета;
сведения о награждениях и поощрениях;
копии документов об образовании;
результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
фотографии и иные биометрические сведения;
свидетельство о присвоении ИНН либо данные, содержащиеся в нем;
страховое свидетельство государственного пенсионного страхования;
связи за рубежом;
выезды за границу;
иные сведения, относящиеся к персональным данным.
К бумажным носителям персональных данных относятся:
журналы учета трудовых книжек;
журнал учета командировок;
материалы по учету рабочего времени;
журналы сверки и учета по военнообязанным;
выписки из книг учета, содержащих персональные данные;
копии документов, содержащих персональные данные;
входящая и исходящая корреспонденция военкомата, страховой компании, службы судебных приставов;
журналы приема граждан по личным вопросам и материалы рассмотрения обращений;
материалы рассмотрения протоколов об административных правонарушениях;
лицевые счета;
документы по обеспечению малоимущих граждан;
материалы по формированию резерва на государственной гражданской службе Ставропольского края;
материалы по организации похоронного дела;
материалы по выдаче разрешений на переустройство и перепланировку жилых помещений;
документы по признанию жилых помещений пригодными (непригодными) для проживания;
свидетельства о государственной регистрации права на недвижимое имущество;
документальные материалы по выдаче разрешений на строительство;
документальные материалы по вводу индивидуального строительства в эксплуатацию.
Указанные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения, соответствующий гриф ограничения на них не ставится.
Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законодательством.
Права и обязанности держателя персональных данных осуществляются должностным лицом, уполномоченным работодателем. Указанные права и обязанности работодатель может делегировать нижестоящим руководителям - своим заместителям, руководителям структурных подразделений, работа которых требует знания персональных данных субъектов или связана с обработкой этих данных.
Потребителями (пользователями) персональных данных являются юридические и физические лица, обращающиеся к собственнику или держателю персональных данных за получением необходимых сведений и пользующиеся ими без права передачи и разглашения.
2.2. Персональные данные сотрудников управления:
личные данные сотрудников управления: паспортные данные; адрес фактического проживания; семейное, социальное, имущественное положение; образование; профессия; доходы;
условия служебных контрактов, заключенных с сотрудниками управления;
сведения по страхованию сотрудников управления, в том числе суммы страхования и размер страховых премий, перечисленных в страховую организацию, определенную по результатам проведенного тендера;
сведения о военнообязанных;
сведения об уровне заработной платы сотрудников, за исключением сведений о системе оплаты труда;
сведения о результатах тестирования, проводимых согласно методическим материалам по организации оценочных процедур при приеме на работу, замещении вакантных должностей и формировании кадрового резерва управления;
телефонный справочник управления, в том числе списки электронных адресов сотрудников.
3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка персональных данных - получение, хранение, комбинирование, передача или любое другое использование персональных данных физического лица. Обработка персональных данных сотрудника осуществляется для обеспечения соблюдения законов и иных нормативных правовых актов, предусмотренных законодательством Российской Федерации и внутренними документами управления.
3.2. Управление не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации управление вправе получать и обрабатывать персональные данные субъекта персональных данных только с его письменного согласия на обработку персональных данных. Управление не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством Российской Федерации. При принятии решений, затрагивающих интересы сотрудника, управление не имеет права основываться на персональных данных сотрудника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.3. На основании статьи 9 Федерального закона № 152-ФЗ "О персональных данных" обработка персональных данных сотрудников управления осуществляется без письменного согласия сотрудника в случаях, предусмотренных законодательством Российской Федерации.
3.4. Получение персональных данных:
3.4.1. Субъект персональных данных обязан управлению достоверные сведения о себе и своевременно сообщать об изменении своих персональных данных. Специалисты управления проверяют достоверность представленных сведений, сверяя представленные данные с имеющимися документами.
3.4.2. В случаях когда управление может получить необходимые персональные данные только у третьей стороны, управление должно уведомить об этом субъекта персональных данных и получить от него письменное согласие по установленной форме. Управление обязано сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа дать письменное согласие на их получение.
3.5. Хранение персональных данных:
3.5.1. Персональные данные сотрудников хранятся в отделах кадрового, документационного и информационного обеспечения и финансового и хозяйственного обеспечения управления в сейфах (опечатываемых хранилищах). Личные дела сотрудников хранятся как в электронном, так и бумажном виде. Персональные данные субъектов персональных данных хранятся в структурных подразделениях управления в соответствии с условиями, обеспечивающими их надежную сохранность.
3.5.2. Сотрудники управления, имеющие доступ к персональным данным в связи с исполнением трудовых обязанностей:
обеспечивают хранение информации, содержащей персональные данные, исключающее доступ к ним третьих лиц;
при уходе в отпуск, служебной командировке и иных случаях длительного отсутствия на своем рабочем месте сотрудник обязан передать документы и иные носители, содержащие персональные данные, лицу, на которое будет возложено исполнение его трудовых обязанностей.
3.5.3. При увольнении сотрудника, имеющего доступ к персональным данным, документы и иные носители, содержащие персональные данные, передаются другому сотруднику, имеющему доступ к персональным данным, по указанию руководителя структурного подразделения.
3.5.4. Хранение персональных данных осуществляется как в электронном, так и бумажном виде в сейфах (опечатываемых хранилищах) структурных подразделений управления, непосредственно производящих их обработку.
3.5.5. Помещения, в которых хранятся персональные данные, по окончании рабочего дня опечатываются и сдаются под охрану.
3.6. Использование персональных данных:
3.6.1. Доступ к персональным данным имеют сотрудники управления, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей. Перечень сотрудников, имеющих доступ к персональным данным, утверждается приказом начальника управления.
3.6.2. В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией начальника управления или в его отсутствие одного из заместителей начальника управления, исполняющего его обязанности, доступ к персональным данным может быть предоставлен иному сотруднику, который не включен в приказ о назначении ответственных сотрудников для доступа к персональным данным, и которым они необходимы в связи с исполнением трудовых обязанностей.
3.6.3. В случае если управление пользуется услугами юридических и физических лиц на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным, то соответствующие данные предоставляются только после подписания с ними обязательства о соблюдении конфиденциальности персональных данных.
3.6.4. В отдельных случаях, исходя из договорных отношений с контрагентом, такие отношения могут регулироваться отдельным разделом в договоре, в том числе предусматривающих защиту персональных данных.
3.6.5. Процедура оформления доступа сотрудника к персональным данным включает в себя:
ознакомление сотрудника под роспись с настоящим Положением, распоряжениями, приказами, актами и другими документами, регламентирующими работу с персональными данными в управлении;
принятие сотрудником согласия о соблюдении конфиденциальности персональных данных.
3.6.6. Сотрудники управления, имеющие доступ к персональным данным, имеют право получать только те персональные данные, которые необходимы им для выполнения конкретных трудовых обязанностей.
3.6.7. Допуск к персональным данным сотрудникам управления, не имеющим надлежащим образом оформленного доступа, запрещается.
3.6.8. Структурные подразделения управления вправе передавать персональные данные в иные структурные подразделения управления в случае необходимости исполнения сотрудниками соответствующих структурных подразделений своих трудовых обязанностей.
3.6.9. При передаче персональных данных лица, получающие данную информацию, предупреждаются о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и с них требуется о соблюдении конфиденциальности персональных данных.
3.6.10. Передача (обмен и т.д.) персональных данных между структурными подразделениями или функциональными органами управления осуществляется только между сотрудниками, имеющими доступ к соответствующим персональным данным.
3.7. Доступ к персональным данным третьих лиц (физических и юридических).
3.7.1. Передача персональных данных третьим лицам осуществляется только с письменного согласия лица, чьи данные передаются.
3.7.2. Не допускается передача персональных данных в коммерческих целях без письменного согласия.
3.7.3. Передача сведений, содержащих персональные данные, контрагентам в рамках установленных договорных отношений осуществляется посредством подписания сторонами Акта приема-передачи. Со стороны управления указанный Акт подписывается должностным лицом не ниже руководителя структурного подразделения или лицом, его замещающим. Акт должен содержать следующие условия:
уведомление лица, получающего данные документы, об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена;
предупреждение об ответственности за незаконное использование данной конфиденциальной информации в соответствии с законодательством Российской Федерации.
3.7.4. Передача документов (иных материальных носителей), содержащих персональные данные, осуществляется при наличии у лица, уполномоченного на их получение:
договора на оказание услуг;
о соблюдении конфиденциальности персональных данных либо наличие в договоре с третьим лицом раздела договора о сохранности сведений, содержащих персональные данные;
письма-запроса от третьего лица, которое должно включать в себя указание на основании получения доступа к запрашиваемой информации, содержащей персональные данные, ее перечень, цель использования, фамилию, имя, отчество и должность лица, которому поручается получить данную информацию.
3.7.5. Ответственность за соблюдение вышеуказанного порядка предоставления персональных данных несет руководитель структурного подразделения управления, осуществляющий передачу персональных данных третьим лицам.
3.7.6. Представителю персональные данные передаются в порядке, установленном действующим законодательством и настоящим Положением.
3.7.7. Информация передается при наличии одного из документов:
нотариально удостоверенной доверенности представителя;
письменного заявления, написанного в присутствии сотрудника управления (если заявление написано не в присутствии сотрудника управления, то оно должно быть нотариально заверено).
3.7.8. Предоставление персональных данных государственным органам производится в соответствии с требованиями действующего законодательства и настоящим Положением.
3.7.9. Персональные данные могут быть предоставлены родственникам или членам семьи только с письменного разрешения, за исключением случаев, когда передача персональных данных без согласия допускается действующим законодательством Российской Федерации.
3.7.10. Документы, содержащие персональные данные, могут быть отправлены через ФГУП "Почта России". При этом должна быть обеспечена их конфиденциальность. Документы, содержащие персональные данные, вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством предусмотрена ответственность. Далее конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.
3.8. Уничтожение персональных данных.
3.8.1. Персональные данные должны храниться в управлении не дольше, чем этого требуют цели их обработки, а по достижении целей обработки или утраты необходимости в их достижении персональная информация подлежит уничтожению в соответствии со статьей 21 Федерального закона № 152-Ф, в течение тридцати дней, если иное не предусмотрено законодательством Российской Федерации.
3.8.2. Номенклатурные дела временного срока хранения, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном законодательством об архивном деле в Российской Федерации, электронные носители информации и другие документальные материалы, содержащие персональные данные, находятся в управлении до истечения срока их хранения, после чего уничтожаются согласно актам.
3.8.3. При уничтожении персональных данных лица, производящие отбор данных материалов, обязаны исключать возможность преждевременного их уничтожения.
4. ПРОЦЕДУРЫ, НАПРАВЛЕННЫЕ НА ВЫЯВЛЕНИЕ И ПРЕДОТВРАЩЕНИЕ
НАРУШЕНИЙ ЗАКОНОДАТЕЛЬСТВА В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4. Меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации:
4.1. Информационные ресурсы, содержащие персональные данные, созданные, приобретенные, накопленные в управлении, а также полученные путем иных установленных законом способов, являются собственностью управления и не могут быть использованы иначе, как с разрешения управления в установленных законом случаях.
4.2. К мерам, направленным на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных, относятся:
назначение ответственного за организацию обработки персональных данных в управлении;
применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с частями 1 и 2 статьи 19 Федерального закона № 152-ФЗ;
осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
оценка вреда, который может быть причинен субъектам персональным данных в случае нарушения законодательства Российской Федерации и настоящего Положения;
ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и настоящего Положения;
запрет на обработку персональных данных лицами, не допущенными к их обработке;
запрет на обработку персональных данных под диктовку.
4.3. Документы, определяющие политику в отношении обработки персональных данных, подлежат обязательному опубликованию на официальном сайте управления в течение 10 дней после их утверждения.
4.4. За разглашение информации, содержащей персональные данные, нарушение порядка обращения с документами и машинными носителями информации, содержащими такую информацию, а также за нарушение режима защиты, обработки и порядка использования этой информации работник управления может быть привлечен к дисциплинарной или иной ответственности, предусмотренной действующим законодательством.
4.5. Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации:
4.5.1. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации управления осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 1 ноября 2012 года № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
4.5.2. При эксплуатации автоматизированных информационных систем необходимо соблюдать следующие требования:
к работе допускаются только лица, назначенные соответствующим приказом;
на персональных электронных вычислительных машинах (далее - ПЭВМ), дисках, папках и файлах, на которых обрабатываются и хранятся сведения о персональных данных, должны быть установлены пароли (идентификаторы);
на период обработки защищаемой информации в помещении могут находиться только лица, допущенные в установленном порядке к обрабатываемой информации;
допуск других лиц в указанный период может осуществляться с разрешения начальника управления.
4.5.3. Руководители подразделений управления, работники управления, осуществляющие обработку персональных данных (далее - пользователи), обязаны контролировать и выполнять предусмотренные в управлении меры по защите информации, содержащей персональные данные.
4.5.4. Руководители подразделений управления обязаны:
участвовать в подготовке перечня персональных данных, обрабатываемых на ПЭВМ структурного подразделения;
готовить к утверждению списки работников, которых по своим должностным обязанностям необходимо допустить к работе с персональными данными в информационной системе управления;
контролировать целевое использование работниками ресурсов сети "Интернет";
контролировать выполнение пользователями общих правил работы на ПЭВМ и в локальной вычислительной сети управления (далее - ЛВС);
выборочно контролировать характер исходящей информации, направляемой пользователями по электронной почте другим адресатам, и принимать оперативные меры к соблюдению ими установленных требований по защите персональных данных;
при обнаружении нарушений установленных требований по защите персональных данных, в результате которых вскрыты факты их разглашения, прекратить работы на рабочем месте, где обнаружены нарушения, доложить начальнику управления;
назначать служебные расследования по фактам разглашения информации, содержащей персональные данные, или утери документов, содержащих такую информацию, по фактам нарушений пользователями правил, установленных для работы с персональными данными в ЛВС, а также нарушений требований по защите информации;
обеспечивать условия при проверке в структурном подразделении эффективности предусмотренных мер защиты информации;
определять порядок передачи информации, содержащей персональные данные, другим подразделениям управления, сторонним организациям и органам.
4.5.5. При приеме на работу работник предупреждается об ответственности за разглашение сведений, содержащих персональные данные, которые станут ему известными в связи с предстоящим выполнением своих служебных обязанностей.
4.6. Пользователь обязан:
знать правила работы в ЛВС и принятые меры по защите ресурсов ЛВС (в части, его касающейся);
при работе на своей рабочей станции (ПЭВМ) и в ЛВС выполнять только служебные задания;
перед началом работы на ПЭВМ проверить свои рабочие папки на жестком магнитном диске, съемные магнитные носители информации на отсутствие вирусов с помощью штатных средств антивирусной защиты, убедиться в исправности своей рабочей станции;
при сообщениях тестовых программ о появлении вирусов немедленно прекратить работу, доложить администратору сети и своему непосредственному руководителю;
при обработке информации, содержащей персональные данные, использовать только зарегистрированные в журналах учета управления машинные носители информации (далее - МНИ);
при необходимости использования магнитных носителей, поступивших из других подразделений, учреждений, предприятий и организаций, прежде всего, провести проверку этих носителей на отсутствие вирусов;
выполнять предписания администратора сети и ответственного за защиту информации в управлении;
представлять для контроля свою рабочую станцию (ПЭВМ) руководителю структурного подразделения, администратору сети;
сохранять в тайне свой индивидуальный пароль, периодически, но не реже чем один раз в полгода, изменять его и не сообщать другим лицам;
вводить пароль и другие учетные данные, убедившись, что клавиатура находится вне поля зрения других лиц;
учет, размножение, обращение печатных материалов, содержащих персональные данные, проводить в соответствии с требованиями Инструкции по делопроизводству в аппарате Правительства Ставропольского края, утвержденной распоряжением Правительства Ставропольского края от 26 декабря 2014 года № 435-рп;
при обнаружении различных неисправностей в работе компьютерной техники или ЛВС, недокументированных свойств в программном обеспечении, нарушений целостности пломб (наклеек, печатей), несоответствии номеров на аппаратных средствах сообщить в сектор по защите информации, администратору сети и поставить в известность руководителя структурного подразделения.
Пользователю при работе запрещается:
играть в компьютерные игры;
приносить различные компьютерные программы и пытаться установить их на локальный диск компьютера без уведомления специалистов сектора по защите информации и администратора сети;
перенастраивать программное обеспечение компьютера;
самостоятельно вскрывать комплектующие рабочей станции (ПЭВМ);
запускать на своей рабочей станции (ПЭВМ) или другой рабочей станции сети любые системные или прикладные программы, кроме установленных специалистами сектора по защите информации или администратором сети;
изменять или копировать файл, принадлежащий другому пользователю, не получив предварительно разрешения владельца файла;
оставлять включенной без присмотра свою рабочую станцию (ПЭВМ), не активизировав средства защиты от несанкционированного доступа (временную блокировку экрана и клавиатуры);
оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации (при наличии), магнитные носители и распечатки, содержащие персональные данные;
допускать к подключенной в сеть рабочей станции (ПЭВМ) посторонних лиц;
производить копирование для временного хранения информации, содержащей персональные данные, на неучтенные носители;
работать на рабочей станции (ПЭВМ) в сети с информацией, содержащей персональные данные, при обнаружении неисправностей станции (ПЭВМ), влияющих на защиту информации;
умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты информации, которые могут привести к утечке, блокированию, искажению или утере информации, содержащей персональные данные;
отсылать по электронной почте информацию для решения личных проблем, а также информацию по просьбе третьих лиц без согласования с руководством структурного подразделения;
запрашивать и получать из сети "Интернет" материалы развлекательного характера (игры, клипы и т.д.);
запрашивать и получать из сети "Интернет" программные продукты, кроме случаев, связанных со служебной необходимостью. При этом необходимо согласование с руководителем своего подразделения и обеспечение процесса техническими специалистами сектора по защите информации и администратором сети.
4.7. Работники не могут использовать в личных целях персональные данные, ставшие известными им вследствие выполнения служебных обязанностей.
4.8. Порядок обработки персональных данных без использования средств автоматизации:
4.8.1. Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.
4.8.2. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.
4.8.3. При неавтоматизированной обработке персональных данных на бумажных носителях:
не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы;
персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.
4.8.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия:
типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных (при необходимости получения письменного согласия на обработку персональных данных);
типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
4.8.5. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
4.8.6. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
4.8.7. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных - осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
при необходимости уничтожения или блокирования части персональных данных - уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
4.8.8. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
4.8.9. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
4.8.10. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
5. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Целями обработки персональных данных являются:
1) осуществление возложенных на управление федеральным законодательством, законодательством Ставропольского края и Положением об управлении Ставропольского края по строительному и жилищному надзору, утвержденным постановлением Правительства Ставропольского края от 18 июня 2014 г. № 244-п, полномочий;
2) соблюдение порядка и правил приема на работу, установленных Трудовым кодексом Российской Федерации и Федеральным законом "О государственной гражданской службе Российской Федерации" № 79-ФЗ;
3) заполнение и использование базы данных автоматизированной информационной системы бухгалтерского учета, персонифицированного учета, налогового учета в целях повышения эффективности, быстрого поиска, формирования отчетов.
5.2. Субъектами персональных данных, персональные данные которых обрабатываются для указанных в пункте 3.1 целей, являются государственные гражданские служащие Ставропольского края, замещающие должности государственной гражданской службы Ставропольского края в управлении, работники управления, замещающие должности, не являющиеся должностями гражданской службы, а также граждане, обратившиеся в управление по вопросам компетенции.
6. КАТЕГОРИИ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ
ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ
6. К субъектам, персональные данные которых обрабатываются, относятся:
1) граждане, обратившиеся в управление с жалобами, заявлениями и по другим вопросам, касающимся установленной сферы деятельности;
2) граждане, претендующие на замещение должностей государственной гражданской службы и должностей, не являющихся должностями государственной гражданской службы;
3) граждане, замещающие (замещавшие) должности государственной гражданской службы, и граждане, замещающие должности, не являющиеся должностями государственной гражданской службы, в управлении.
Приложение 1
Утвержден
приказом
управления Ставропольского края
по строительному и жилищному надзору
от 02.06.2015 № 287-од
АКТ № __________
уничтожения документов в управлении Ставропольского края
по строительному и жилищному надзору, содержащих
персональные данные субъекта
Состав комиссии: ______________________________
Председатель комиссии: ______________________________
Члены комиссии: ______________________________
______________________________
______________________________
Комиссия произвела отбор к уничтожению следующих документов, содержащих
персональные данные субъекта ПДн:
№ п/п
Наименование документа
Регистрационный номер документа
Дата регистрации
Номер экз.
Количество листов документа/приложения
1
2
3
4
5
6
Причина уничтожения:
достижение целей решение субъекта недостоверные ПДн.
обработки; ПДн;
Всего подлежит уничтожению _________ (___________________) наименований
(цифрами) (прописью)
документов.
Документы уничтожены путем измельчения на бумагорезательной машине.
Председатель комиссии __________ ______________________________
Члены комиссии __________ ______________________________
__________ ______________________________
__________ ______________________________
Приложение 2
Утвержден
приказом
управления Ставропольского края
по строительному и жилищному надзору
от 02.06.2015 № 287-од
АКТ № __________
уничтожения полей баз данных управления Ставропольского края
по строительному и жилищному надзору, содержащих
персональные данные субъекта
Состав комиссии: ______________________________
Председатель комиссии: ______________________________
Члены комиссии: ______________________________
______________________________
______________________________
Комиссия произвела отбор к уничтожению следующих полей баз данных,
содержащих персональные данные субъекта ПДн:
№ п/п
Наименование базы данных
Идентификационный номер поля данных
Наименование полей данных
1
2
3
4
Причина уничтожения:
достижение целей решение субъекта недостоверные ПДн.
обработки; ПДн;
Всего подлежит уничтожению _________ (___________________) наименований
(цифрами) (прописью)
полей базы данных.
Поля баз данных уничтожены путем затирания информации на носителях
информации (в том числе и резервных копиях).
Председатель комиссии __________ ______________________________
Члены комиссии __________ ______________________________
__________ ______________________________
__________ ______________________________
Приложение 3
Утвержден
приказом
управления Ставропольского края
по строительному и жилищному надзору
от 02.06.2015 № 287-од
Уведомление
об удалении персональных данных
Уважаемый ____________________________________________________________.
Ф.И.О. субъекта персональных данных
Обработка Ваших персональных данных прекращена.
Ваши персональные данные, которые обрабатывались, были уничтожены.
Приложение: копия акта об уничтожении на ____ листах.
Председатель комиссии __________ ______________________________
------------------------------------------------------------------