Приложение к Приказу от 17.11.2015 г № 974 Правила

Правила обработки персональных данных в департаменте государственного регулирования цен и тарифов курганской области


Раздел I.Общие положения
1.Правила обработки персональных данных в Департаменте государственного регулирования цен и тарифов Курганской области (далее - Правила) устанавливают процедуры в Департаменте государственного регулирования цен и тарифов Курганской области (далее - Департамент), направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
Раздел II.Категории субъектов, персональные данные которых обрабатываются в департаменте
2.Субъекты, обработка персональных данных которых осуществляется соблюдением принципов и условий, предусмотренных настоящими Правилами законодательством Российской Федерации в области персональных данных (далее - субъекты персональных данных), подразделяются на следующие категории:
государственные гражданские служащие Курганской области, замещающие должности государственной гражданской службы Курганской области в Департаменте государственного регулирования цен и тарифов Курганской области;
граждане Российской Федерации, претендующие на замещение вакантных должностей государственной гражданской службы Курганской области в Департаменте (включение в кадровый резерв Департамента);
граждане, обратившиеся в Департамент в порядке, установленном действующим законодательством.
Раздел III.Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных
3.В Департаменте для выявления и предотвращения нарушений законодательства Российской Федерации в сфере персональных данных используются следующие процедуры:
1) назначение ответственного за организацию обработки персональных данных;
2) издание документов, определяющих политику оператора в отношении обработки персональных данных, нормативных правовых актов по вопросам обработки персональных данных, а также нормативных правовых актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных, предусмотренных пунктом 4 настоящих Правил;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон);
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;
6) ознакомление работников Департамента, непосредственно осуществляющих обработку персональных данных в Департаменте, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, и (или) обучение указанных работников.
Par65 Par65
4.Обеспечение безопасности персональных данных в Департаменте достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные в Департаменте уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Par76 Par76
Раздел IV.Цели обработки персональных данных оператором и персональные данные, обрабатываемые в департаменте
5.Целью обработки персональных данных оператором является:
обеспечение соблюдения норм законодательства о государственной гражданской службе и противодействии коррупции, трудового законодательства.
6.Перечень персональных данных, обрабатываемых в Департаменте, утвержден Приказом Департамента от 16 ноября 2015 года N 973 "Об утверждении Перечня персональных данных, обрабатываемых в Департаменте государственного регулирования цен и тарифов Курганской области, и перечня информационных систем персональных данных Департамента государственного регулирования цен и тарифов Курганской области".
Раздел V.Сроки обработки и хранения персональных данных
7.Сроки обработки и хранения персональных данных, указанных в разделе IV настоящих Правил, определяются в соответствии с законодательством Российской Федерации.
8.Срок хранения персональных данных, внесенных в информационные системы Департамента, соответствует сроку хранения бумажных оригиналов.
Раздел VI.Порядок уничтожения персональных данных при достижении целей обработки или при наступлении Иных Законных оснований
9.В случае выявления неправомерной обработки персональных данных, осуществляемой Департаментом, в срок, не превышающий 3 рабочих дней с даты этого выявления, Департамент обязан прекратить неправомерную обработку персональных данных. В случае если обеспечить правомерность обработки персональных данных невозможно, Департамент в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Департамента). Об устранении допущенных нарушений или об уничтожении персональных данных Департамент обязан уведомить субъекта персональных данных, а в случае, если обращение субъекта персональных данных либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
10.В случае достижения Департаментом цели обработки персональных данных обработка персональных данных прекращается, персональные данные уничтожаются в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено служебным контрактом, договором или соглашением.
В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Департамент прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено служебным контрактом, договором или соглашением.
11.Выделение к уничтожению документов и электронных носителей, содержащих персональные данные с истекшими сроками хранения и подлежащих уничтожению (далее - документы), осуществляется постоянно действующей в Департаменте экспертной комиссией (по делопроизводству), созданной и действующей в порядке, установленном нормативными правовыми актами в соответствии с действующим законодательством Российской Федерации.
12.Описи документов и акт о выделении к уничтожению документов, не подлежащих хранению, ежегодно рассматриваются и согласовываются экспертной комиссией (по делопроизводству) и направляются на утверждение директору Департамента.
13.Уничтожение документов на бумажных носителях осуществляется путем измельчения документов в бумажную сечку, гарантирующего невозможность восстановления текста, или путем их сожжения.
Уничтожение персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
При уничтожении документов должно быть исключено ознакомление с ними посторонних лиц, неполное или случайное их уничтожение.
14.По окончании процедуры уничтожения документов экспертной комиссией (по делопроизводству) составляется соответствующий акт, который подписывается присутствующими членами экспертной комиссии (по делопроизводству).