Приложение к Приказу от 11.11.2015 г № 439 Правила
Правила обработки персональных данных в главном управлении социальной защиты населения курганской области
Раздел I.Общие положения
1.Правила обработки персональных данных в Главном управлении социальной защиты населения Курганской области (далее - Правила) устанавливают процедуры в Главном управлении социальной защиты населения Курганской области (далее - Главное управление), направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
2.Настоящие Правила определяют политику Главного управления как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.
Раздел II.Категории субъектов, персональные данные которых обрабатываются в Главном управлении социальной защиты населения Курганской области
3.Субъекты, обработка персональных данных которых осуществляется с соблюдением принципов и условий, предусмотренных настоящими Правилами и законодательством Российской Федерации в области персональных данных (далее - субъекты персональных данных), подразделяются на следующие категории:
государственные гражданские служащие Курганской области, замещающие должности государственной гражданской службы Курганской области в Главном управлении;
граждане Российской Федерации, претендующие на замещение вакантных должностей государственной гражданской службы Курганской области в Главном управлении (включение в кадровый резерв Главного управления);
граждане, претендующие на включение в резерв управленческих кадров для замещения управленческих должностей в Главном управлении и подведомственных Главному управлению государственных учреждениях;
работники, занимающие должности, не отнесенные к государственным должностям Курганской области и должностям государственной гражданской службы Курганской области;
работники Главного управления;
награждаемые (поощряемые) граждане;
работники государственных учреждений, подведомственных Главному управлению;
иные лица, персональные данные которых обрабатываются для достижения целей, определенных Указом Президента Российской Федерации от 2 апреля 2013 года N 309 "О мерах по реализации отдельных положений Федерального закона "О противодействии коррупции";
граждане, обратившиеся в Главное управление в порядке, установленном действующим законодательством.
Раздел III.Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных
4.В Главном управлении для выявления и предотвращения нарушений законодательства Российской Федерации в сфере персональных данных используются следующие процедуры:
1) назначение ответственного за организацию обработки персональных данных;
2) издание документов, определяющих политику оператора в отношении обработки персональных данных, нормативных правовых актов по вопросам обработки персональных данных, а также нормативных правовых актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных, предусмотренных пунктом 5 настоящих Правил;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон) и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Главного управления в отношении обработки персональных данных, нормативным правовым актам Главного управления;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;
6) ознакомление работников Главного управления, непосредственно осуществляющих обработку персональных данных в Главном управлении, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Главного управления в отношении обработки персональных данных, нормативными правовыми актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
Par77 Par77
5.Обеспечение безопасности персональных данных в Главном управлении достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Par88 Par88
Раздел IV.Цели обработки персональных данных оператором и персональные данные, обрабатываемые в Главном управлении
6.Целями обработки персональных данных оператором являются:
1) обеспечение соблюдения норм законодательства о государственной гражданской службе и противодействии коррупции, трудового законодательства;
2) обеспечение соблюдения норм Закона Курганской области от 1 июня 2009 года N 459 "О резерве управленческих кадров Курганской области";
3) обеспечение соблюдения норм Указа Президента Российской Федерации от 7 сентября 2010 года N 1099 "О мерах по совершенствованию государственной наградной системы Российской Федерации", Закона Курганской области от 10 ноября 2008 года N 406 "О почетном звании Курганской области, наградах Курганской области, премиях Курганской области и иных видах поощрений", наградах Главного управления и иных правовых актов в сфере наградной деятельности (поощрения);
4) обеспечение реализации полномочий, установленных Указом Президента Российской Федерации от 2 апреля 2013 года N 309 "О мерах по реализации отдельных положений Федерального закона "О противодействии коррупции".
7.Перечень персональных данных, обрабатываемых в Главном управлении, утвержден приказом начальника Главного управления.
Раздел V.Сроки обработки и хранения персональных данных
8.Сроки обработки и хранения персональных данных, указанных в разделе IV настоящих Правил, определяются в соответствии с законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Если сроки обработки и хранения персональных данных не установлены законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, то обработка и хранение персональных данных категории субъектов, персональные данные которых обрабатываются в Главном управлении, осуществляется не дольше, чем этого требуют цели их обработки и хранения.
9.Срок хранения персональных данных, внесенных в информационные системы Главного управления, соответствует сроку хранения бумажных оригиналов.
Раздел VI.Порядок уничтожения персональных данных при достижении целей обработки или при наступлении Иных Законных оснований
Par111 Par111
10.В случае выявления неправомерной обработки персональных данных, осуществляемой Главным управлением, в срок, не превышающий 3 рабочих дней с даты этого выявления, Главное управление обязано прекратить неправомерную обработку персональных данных. В случае если обеспечить правомерность обработки персональных данных невозможно, Главное управление в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Главного управления). Об устранении допущенных нарушений или об уничтожении персональных данных Главное управление обязано уведомить субъекта персональных данных, а в случае, если обращение субъекта персональных данных либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
Par112 Par112
11.В случае достижения Главным управлением цели обработки персональных данных обработка персональных данных прекращается, персональные данные уничтожаются в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено служебным контрактом, договором или соглашением, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, либо если Главное управление не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Главное управление прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено служебным контрактом, договором или соглашением, стороной которого выгодоприобретателем или поручителем по которому является субъект персональных данных, либо если Главное управление не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
12.Выделение к уничтожению документов и электронных носителей, содержащих персональные данные с истекшими сроками хранения и подлежащих уничтожению (далее - документы), осуществляется постоянно действующей в Главном управлении экспертной комиссией по экспертизе ценности документов (далее - экспертная комиссия), созданной и действующей в порядке, установленном нормативными правовыми актами в соответствии с действующим законодательством Российской Федерации.
13.Описи документов и акт о выделении к уничтожению документов, не подлежащих хранению, ежегодно рассматриваются и согласовываются экспертной комиссией, и направляются на утверждение начальнику Главного управления.
14.Документы, отобранные и включенные в акт о выделении к уничтожению документов, не подлежащих хранению, после их сверки хранятся членами экспертной комиссии отдельно.
15.Документы, не подлежащие хранению и включенные в соответствующий акт, уничтожаются в присутствии комиссии, созданной в Главном управлении специально для уничтожения документов.
16.Уничтожение документов на бумажных носителях осуществляется путем измельчения документов в бумажную сечку, гарантирующего невозможность восстановления текста, или путем их сожжения.
Уничтожение персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
При уничтожении документов должно быть исключено ознакомление с ними посторонних лиц, неполное или случайное их уничтожение.
17.По окончании процедуры уничтожения документов комиссией составляется соответствующий акт, который подписывается присутствующими членами комиссии.
18.В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 10, 11 настоящих Правил, Главное управление осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Главного управления) и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.