Распоряжение Правительства Тверской области от 20.09.2019 № 641-рп
Об отдельных вопросах обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных
ПРАВИТЕЛЬСТВО
ТВЕРСКОЙОБЛАСТИ
Р А С П О РЯ Ж Е Н И Е
| 20.09.2019 | | № 641-рп |
|
| г. Тверь |
|
Об отдельных вопросахобеспечения
безопасности персональныхданных
при их обработке винформационных
системах персональныхданных
В целях осуществления мер, направленных на обеспечениевыполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», в аппарате Правительства Тверской области иисполнительных органах государственной власти Тверской области:
1. Утвердить типовые формы следующих документовоператоров персональных данных:
1) правила обработки персональных данных (приложение1);
2) правила рассмотрения запросов субъектовперсональных данных или их представителей (приложение 2);
3) правила осуществления внутреннего контролясоответствия обработки персональных данных требованиям к защите персональныхданных, установленным законодательством Российской Федерации в сфереперсональных данных (приложение 3);
4) правила работы с обезличенными данными (приложение4);
5) перечень информационных систем персональных данных(приложение 5);
6) перечень персональныхданных, обрабатываемых в связи с реализацией служебных или трудовых отношений,а также в связи с оказанием государственных услуг и осуществлениемгосударственных функций (приложение 6);
7) перечень должностей,замещение которых предусматривает проведение мероприятий по обезличиваниюобрабатываемых персональных данных, в случае обезличивания персональных данных(приложение 7);
8) перечень должностейработников, замещение которых предусматривает осуществление обработкиперсональных данных либо осуществление доступа к персональным данным(приложение 8);
9) должностнойрегламент (должностные обязанности) ответственного за организацию обработкиперсональных данных (приложение 9);
10) Обязательствоработника, непосредственно осуществляющего обработку персональных данных,прекратить обработку персональных данных, ставших известными ему в связи с исполнениемдолжностных обязанностей, в случае расторжения с ним служебного контракта(контракта) или трудового договора (приложение 10);
11) согласие наобработку персональных данных субъекта персональных данных (приложение 11);
12) разъяснение субъекту персональныхданных юридических последствий отказа предоставить свои персональные данные(приложение 12);
13) порядок доступа работников впомещения, в которых ведется обработка персональных данных (приложение 13).
2. Заместителю Председателя Правительства Тверскойобласти — руководителю аппарата Правительства Тверской области в срок до 1декабря 2019 года:
1) утвердить документы операторов персональных данныхаппарата Правительства Тверской области в соответствии с типовыми формами,предусмотренными настоящим распоряжением;
2) назначить ответственных за организацию обработкиперсональных данных из числа лиц, замещающих должности государственнойгражданской службы не ниже категории «Руководители».
3. Руководителям исполнительных органовгосударственной власти Тверской области в срок до 1 декабря 2019 года:
1) обеспечить подготовку и принятие правовых актов,утверждающих документы операторов персональных данных в соответствии с типовымиформами, предусмотренными настоящим распоряжением;
2) назначить ответственных за организацию обработкиперсональных данных из числа лиц, замещающих должности государственнойгражданской службы не ниже высшей группы должностей категории «Руководители»;
3) направить информацию о реализации подпунктов 1, 2настоящего пункта в Главное управление региональной безопасности Тверскойобласти.
4. Рекомендовать органам местного самоуправлениямуниципальных образований Тверской области подготовить и утвердить документыоператоров персональных данных, указанные в пункте 1 настоящего распоряжения.
5. Признать утратившими силу:
1) распоряжение Администрации Тверской области от16.03.2011 № 231-ра «Об отдельных вопросах обеспечения безопасностиперсональных данных при их обработке в информационных системах персональныхданных»;
2) распоряжение Правительства Тверской области от07.09.2011 № 34-рп «О внесении изменения в распоряжение АдминистрацииТверской области от 16.03.2011 № 231-ра».
6. Контроль за исполнением настоящего распоряжениявозложить на начальника Главного управления региональной безопасности Тверскойобласти.
Отчет об исполнении распоряжения представить в срок до20 февраля 2020 года.
7. Настоящее распоряжение вступает в силу со дня егоофициального опубликования.
Губернатор
Тверскойобласти И.М.Руденя
Приложение 1
к распоряжению Правительства
Тверской области
от 20.09.2019 № 641-рп
Правила
обработки персональных данных
Раздел I
Общие положения
1. Настоящие Правила устанавливают в аппаратеПравительства Тверской области/в исполнительном органе государственной властиТверской области процедуры, направленные на выявление и предотвращениенарушений законодательства Российской Федерации в сфере персональных данных, атакже определяют для каждой цели обработки персональных данных содержаниеобрабатываемых персональных данных, категории субъектов, персональные данныекоторых обрабатываются, сроки их обработки и хранения, порядок уничтожения придостижении целей обработки или при наступлении иных законных оснований.
В настоящих Правилах используются понятия,определенные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональныхданных».
2. Обработка персональных данных осуществляется как сиспользованием средств автоматизации, так и без использования средствавтоматизации.
Особенности обработки персональных данных сиспользованием средств автоматизации, а также без использования таких средствустанавливаются федеральными законами и иными нормативными правовыми актамиРоссийской Федерации.
3. До начала обработки персональных данных операторыдолжны:
1) пройти процедуру регистрации в УправленииФедеральной службы по надзору в сфере связи, информационных технологий имассовых коммуникаций Тверской области, за исключением случаев, предусмотренныхфедеральным законодательством;
2) образовать комиссию по определению уровнязащищенности персональных данных при их обработке в информационных системахперсональных данных и определить требуемый уровень защищенности персональныхданных. Результаты определения уровня защищенности оформляются актомопределения уровня защищенности персональных данных при их обработке винформационной системе персональных данных, утверждаемым руководителем оператора,по форме согласно приложению к настоящим Правилам;
3) получить согласие субъектов персональных данных, заисключением случаев, предусмотренных федеральным законодательством.
4. Руководитель оператора:
1) утверждает перечень должностей, замещение которыхпредусматривает осуществление обработки персональных данных либо осуществлениедоступа к персональным данным;
2) утверждает перечень должностей, замещение которыхпредусматривает проведение мероприятий по обезличиванию обрабатываемыхперсональных данных;
3) назначает ответственного за организацию обработкиперсональных данных;
4) утверждает перечень информационных системперсональных данных.
Раздел II
Процедуры, направленные на выявление и предотвращениенарушений законодательства Российской Федерации в сфере персональных данных
5. Для выявления и предотвращения нарушенийзаконодательства Российской Федерации в сфере персональных данных операторамиреализуются следующие процедуры:
1) реализация мер, предусмотренных законодательством всфере безопасности персональных данных, направленных на обеспечение выполненияоператором персональных данных своих обязанностей при обработке персональныхданных и прав субъекта персональных данных;
2) организация внутреннего контроля соответствияобработки персональных данных требованиям к защите персональных данных,установленным законодательством в области персональных данных и локальнымидокументами операторов;
3) оценка вреда, который может быть причинен субъектамперсональных данных;
4) ознакомление работников операторов, осуществляющихобработку персональных данных, с законодательством Российской Федерации оперсональных данных, в том числе с требованиями к защите персональных данных,настоящими Правилами и (или) обучение работников;
5) ограничение обработки персональных данныхдостижением конкретных, заранее определенных и законных целей;
6) осуществление обработки персональных данных всоответствии с принципами и условиями обработки персональных данных,установленными законодательством Российской Федерации в области персональныхданных;
7) недопущение обработки персональных данных,несовместимых с целями сбора персональных данных;
8) недопущение объединения баз данных, содержащихперсональные данные, обработка которых осуществляется в целях, несовместимыхмежду собой;
9) соответствие содержания и объема обрабатываемыхперсональных данных заявленным целям обработки (обрабатываемые персональныеданные не должны быть избыточными по отношению к заявленным целям ихобработки);
10) обеспечение при обработке персональных данныхточности персональных данных, их достаточности, а в необходимых случаях иактуальности по отношению к целям обработки персональных данных.
Раздел III
Содержание и порядок обработки персональных данных всвязи с реализацией служебных и трудовых отношений
6. К субъектам персональных данных (далее – субъекты)в связи с реализацией служебных и трудовых отношений относятся:
1) государственные гражданские служащие, замещающиедолжности государственной гражданской службы Тверской области;
2) лица, замещающие государственные должности Тверскойобласти;
3) лица, замещающие должности, не отнесенные кдолжностям государственной гражданской службы Тверской области;
4) лица, замещающие должности руководителейподведомственных операторам государственных учреждений Тверской области иунитарных предприятий Тверской области (далее – сотрудники);
5) граждане, претендующие на замещение должностей,указанных в подпунктах 1-4 настоящего пункта (далее – претенденты).
7. Целями обработки персональных данных являются:
1) обеспечение кадровой работы, в том числе содействиесотрудникам в прохождении государственной гражданской службы Тверской области,выполнении работы, в обучении и должностном росте, обеспечении личнойбезопасности сотрудников и членов их семей, обеспечении сохранностипринадлежащего им имущества и имущества операторов, учета результатовисполнения ими должностных обязанностей, обеспечении установленныхзаконодательством Российской Федерации условий осуществления служебнойдеятельности и труда, гарантий и компенсаций;
2) формирование кадрового резерва на государственнойгражданской службе Тверской области;
3) формирование резерва управленческих кадров Тверскойобласти;
4) противодействие коррупции.
8. В целях, указанных в пункте 7 настоящего раздела,обрабатываются следующие персональные данные сотрудников и претендентов:
1) фамилия, имя, отчество при наличии (в том числепредыдущие фамилии, имена и (или) отчества в случае их изменения, дата, место ипричина изменения);
2) число, месяц, год рождения;
3) место рождения;
4) сведения о гражданстве (в том числе в случаеизменения гражданства – предыдущие гражданства, иные гражданства, дата ипричина изменения гражданства);
5) вид, серия, номер документа, удостоверяющеголичность, наименование органа, выдавшего его, дата выдачи;
6) адрес места жительства (адрес регистрации,фактического проживания);
7) номер контактного телефона или сведения о другихспособах связи;
8) реквизиты документа, подтверждающего регистрацию всистеме индивидуального (персонифицированного) учета;
9) идентификационный номер налогоплательщика;
10) реквизиты страхового медицинского полисаобязательного медицинского страхования;
11) реквизиты свидетельства государственнойрегистрации актов гражданского состояния;
12) фотография;
13) семейное положение, состав семьи и сведения облизких родственниках (отце, матери, братьях, сестрах и детях), а также о муже(жене), в том числе бывших;
14) сведения о служебной (трудовой) деятельности;
15) сведения о воинском учете и реквизиты документоввоинского учета;
16) сведения об образовании (наименование и год окончанияобразовательной организации, наименование и реквизиты документа об образовании,направление подготовки или специальность, квалификация по документу обобразовании);
17) сведения о послевузовском профессиональномобразовании (наименование и год окончания образовательной или научнойорганизации), ученой степени, ученом звании (дата присвоения, номера дипломов,аттестатов);
18) сведения о владении иностранными языками, степеньвладения;
19) результаты обязательных предварительных (припоступлении на государственную гражданскую службу, работу, участии в конкурсена включение в кадровый резерв) и периодических медицинских осмотров;
20) сведения, содержащиеся в служебном контракте(трудовом договоре), дополнительных соглашениях к служебному контракту (трудовомудоговору);
21) сведения о пребывании за границей (страна, год ицель пребывания), серия, номер заграничного паспорта, наименование органа,выдавшего его, дата выдачи;
22) сведения о присвоенном классном чине федеральнойгосударственной гражданской службы, государственной гражданской службы субъектаРоссийской Федерации, муниципальной службы, дипломатическом ранге, воинском илиспециальном звании, классном чине юстиции, классном чине прокурорскогоработника (кем и когда присвоен);
23) сведения о наличии или отсутствии судимости;
24) сведения об оформленных допусках к государственнойтайне (форма, номер и дата);
25) государственные награды, иные награды и знакиотличия (кем и когда награжден);
26) сведения о профессиональной переподготовке и (или)повышении квалификации;
27) справка о доходах, расходах, имуществе иобязательствах имущественного характера;
28) номер расчетного счета субъекта;
29) номер банковской карты субъекта;
30) иные персональные данные, необходимые длядостижения целей, предусмотренных пунктом 7 настоящих Правил.
9. Обработка персональных данных субъектовосуществляется при условии получения их согласия на обработку персональныхданных в порядке, установленным статьей 9 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
10. В случаях, предусмотренных Федеральным законом от27.07.2006 № 152-ФЗ «О персональных данных», согласие субъекта персональныхданных оформляется в письменной форме либо в форме электронного документа,подписанного электронной подписью субъекта персональных данных.
11. Обработка персональных данных субъектов осуществляетсяуполномоченными работниками операторов и включает в себя следующие действия:сбор, запись, систематизация, накопление, хранение, уточнение (обновление,изменение), извлечение, использование, передача (распространение,предоставление, доступ), обезличивание, блокирование, удаление, уничтожениеперсональных данных.
12. Сбор, запись, систематизация, накопление иуточнение (обновление, изменение) персональных данных субъектов осуществляетсяпутем:
1) получения оригиналов необходимых документов(заявление, трудовая книжка, автобиография, иные документы);
2) копирования оригиналов документов;
3) внесения сведений в учетные формы (на бумажных иэлектронных носителях);
4) формирования персональных данных в ходе кадровойработы;
5) внесения персональных данных в информационныесистемы операторов.
13. Сбор, запись, систематизация, накопление иуточнение (обновление, изменение) персональных данных осуществляются путемполучения персональных данных непосредственно от субъектов.
14. В случае возникновения необходимости полученияперсональных данных субъектов у третьей стороны уполномоченные работники операторовобязаны известить их об этом, получить их письменное согласие и сообщить им оцелях, предполагаемых источниках и способах получения персональных данных.
15. Обработка специальных категорий персональныхданных субъектов, касающихся расовой, национальной принадлежности, политическихвзглядов, религиозных или философских убеждений, интимной жизни, недопускается, за исключением случаев, предусмотренных частью 2 статьи 10Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
16. При сборе персональных данных уполномоченный работникоператора, осуществляющий сбор (получение) персональных данных непосредственноот субъектов, обязан разъяснить субъектам юридические последствия отказапредоставить их персональные данные.
17. Персональные данные сотрудников содержатся вкадровых документах (личные дела, личные карточки, трудовые книжки,распоряжения (приказы) по личному составу и другие документы, связанные спрохождением государственной гражданской службы Тверской области и выполнениемработы) и бухгалтерских документах (расчетно-платежные ведомости и другие).
18. Персональные данные претендентов содержатся вдокументах, представляемых в целях трудоустройства.
Раздел IV
Условия и порядок обработки персональных данных
в связи с предоставлением государственных услуг
и исполнением государственных функций
19. Операторы осуществляют обработку персональныхданных физических лиц в целях предоставления государственных услуг и исполнениягосударственных функций.
20. Категории субъектов, персональные данные которыхобрабатываются операторами в связи с предоставлением государственных услуг иисполнением государственных функций, а также перечни обрабатываемыхперсональных данных утверждаются руководителями операторов.
21. Персональные данные, содержащиеся в обращенияхюридических лиц, а также граждан, обратившихся к операторам лично илинаправивших индивидуальные (коллективные) письменные обращения или обращения вформе электронного документа, обрабатываются в целях рассмотрения указанныхобращений.
22. В случаях, предусмотренных законодательством, обработкаперсональных данных может осуществляться без согласия субъектов персональныхданных.
23. Обработка персональных данных, необходимых в связис предоставлением государственных услуг и исполнением государственных функций,осуществляется операторами, предоставляющими соответствующие государственныеуслуги и (или) исполняющими государственные функции, и включает в себяследующие действия: сбор, запись, систематизация, накопление, хранение, уточнение(обновление, изменение), извлечение, использование, передача (распространение,предоставление, доступ), обезличивание, блокирование, удаление, уничтожениеперсональных данных.
24. Сбор, запись, систематизация, накопление иуточнение (обновление, изменение) персональных данных субъектов, обратившихся коператорам для получения государственной услуги или в целях исполнениягосударственной функции, осуществляются путем:
1) получения от субъектов оригиналов необходимыхдокументов (заявление);
2) заверения копий документов;
3) внесения сведений в учетные формы (на бумажных иэлектронных носителях).
25. Сбор, запись, систематизация, накопление иуточнение (обновление, изменение) персональных данных осуществляются путемполучения персональных данных непосредственно от субъектов персональных данных(заявителей), если иное не предусмотрено законодательством РоссийскойФедерации.
26. При предоставлении государственной услуги илиисполнении государственной функции операторам запрещается запрашиватьперсональные данные у субъектов персональных данных и третьих лиц, а такжеобрабатывать персональные данные в случаях, не предусмотренныхзаконодательством Российской Федерации.
27. При сборе персональных данных уполномоченноедолжностное лицо оператора, осуществляющее получение персональных данныхнепосредственно от субъектов персональных данных, обратившихся запредоставлением государственной услуги или в связи с исполнениемгосударственной функции, обязано разъяснить указанным субъектам персональныхданных юридические последствия отказа предоставить персональные данные, еслииное не предусмотрено законодательством Российской Федерации.
28. Передача (распространение, предоставление) ииспользование персональных данных в связи с предоставлением государственныхуслуг и исполнением государственных функций операторами осуществляются лишь вслучаях и в порядке, предусмотренных законодательством Российской Федерации.
Раздел V
Сроки обработки и хранения персональных данных
29. Сроки обработки и хранения персональных данныхопределяются в соответствии с требованиями части 7 статьи 5 Федерального законаот 27.07.2006 № 152-ФЗ «О персональных данных».
30. Хранение персональных данных должно осуществлятьсяв форме, позволяющей определить субъекта персональных данных, не дольше, чемэтого требуют цели обработки персональных данных, если срок храненияперсональных данных не установлен федеральным законом, договором, сторонойкоторого, выгодоприобретателем или поручителем по которому является субъект.
31. Сроком обработки персональных данных сотрудников являетсясрок замещения ими соответствующей должности. Срок хранения бумажных носителейперсональных данных сотрудников составляет 50 (пятьдесят) лет.
32. Сроком обработки и хранения персональных данныхпретендентов, включенных в кадровый резерв на государственной гражданскойслужбе Тверской области или резерв управленческих кадров Тверской области,является срок их нахождения в соответствующем резерве.
33. Сроком обработки персональных данных претендентов,не допущенных к участию в конкурсных процедурах, и претендентов, участвовавшихв конкурсных процедурах, но не прошедших конкурсный отбор, является срокпроведения конкурсных процедур. Персональные данные претендентов, не допущенныхк участию в конкурсных процедурах, и претендентов, участвовавших в конкурсныхпроцедурах, но не прошедших конкурсный отбор, хранятся на бумажных носителях в течениетрех лет со дня завершения конкурса, если они не были возвращены по письменнымзаявлениям претендентов.
34. Сроки обработки и хранения персональных данных,предоставляемых субъектами операторам в связи с получением государственныхуслуг и исполнением государственных функций, определяются нормативнымиправовыми актами, регламентирующими порядок предоставления государственныхуслуг или исполнения государственных функций.
35. Персональные данные, предоставляемые субъектами набумажном носителе в связи с предоставлением операторами государственных услуг иисполнением государственных функций, хранятся на бумажных носителях усоответствующего оператора, к полномочиям которого относится обработкаперсональных данных в связи с предоставлением государственной услуги илиисполнением государственной функции, в соответствии с утвержденным положением осоответствующем операторе.
36. Контроль за хранением и использованиемматериальных носителей персональных данных, не допускающий несанкционированноеиспользование, уточнение, распространение и уничтожение персональных данных,находящихся на этих носителях, осуществляют руководители операторов.
Раздел VI
Порядок уничтожения персональных данных при достижениицелей обработки или при наступлении иных законных оснований
37. Уничтожению подлежат персональные данные придостижении целей обработки или в случае утраты необходимости в достижении этихцелей, если иное не предусмотрено законодательством Российской Федерации.
38. Уничтожение персональных данных может быть произведенолюбым способом, исключающим возможность восстановления материального носителяперсональных данных, согласно акту об уничтожении персональных данных.
39. Уничтожение персональных данных, если этодопускается материальным носителем, может производиться способом, исключающимдальнейшую обработку этих персональных данных, с сохранением возможностиобработки иных данных, зафиксированных на материальном носителе (удаление,вымарывание).
40. В случае отсутствия возможности уничтоженияперсональных данных оператор осуществляет блокирование таких персональныхданных или обеспечивает их блокирование (если обработка персональных данныхосуществляется другим лицом, действующим по поручению оператора) и уничтожениеперсональных данных в срок не более чем 6 (шесть) месяцев, если иной срок неустановлен федеральными законами.
Приложение
к Правилам обработки персональных данных
УТВЕРЖДАЮ
Руководитель
аппарата Правительства Тверской области
/исполнительного органа государственной власти
Тверской области
________________
«___» _______________ 20___ г.
Акт
определения уровня защищенности персональных данныхпри их обработке
в информационной системе персональных данных
Комиссия в составе:
председатель комиссии – _______________________________,
члены комиссии:
__________________________,
__________________________,
рассмотревисходные данные для определения уровня защищенности персональных данных при ихобработке в информационной системе персональных данных «____________» (далее – ИСПДн)и руководствуясь требованиями Федерального закона от 27.07.2006 № 152-ФЗ«О персональных данных», в соответствии с постановлением ПравительстваРоссийской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защитеперсональных данных при их обработке в информационных системах персональныхданных», установила:
- категория персональныхданных, обрабатываемых в ИСПДн – _______________________________________________________;
- тип актуальных угроз –для ИСПДн актуальны угрозы _______________________________________________________;
- субъекты персональныхданных – __________________________;
- объем обрабатываемыхперсональных данных – ______________.
На основе анализа характеристикперсональных данных комиссия определила _____ уровень защищенности персональныхданных – УЗ__.
Председатель комиссии:_____________ _____________________
(Ф.И.О.)
Члены комиссии:______________ _____________________
(Ф.И.О.)
______________ _____________________
(Ф.И.О.)
Приложение 2
к распоряжению Правительства
Тверской области
от 20.09.2019 № 641-рп
Правила
рассмотрения запросов субъектов персональных данных
или их представителей
1. Настоящие Правила определяют порядок рассмотрения ваппарате Правительства Тверской области/в исполнительном органе государственнойвласти Тверской области (далее – оператор) запросов субъектов персональныхданных или их представителей.
2. Субъекты, персональные данные которыхобрабатываются операторами (далее – субъекты персональных данных), имеют правона получение информации, касающейся обработки их персональных данных, в том числесодержащей:
1) подтверждение факта обработки персональных данныхоператором;
2) правовые основания и цели обработки персональныхданных;
3) применяемые оператором способы обработкиперсональных данных;
4) наименование и место нахождения оператора, сведенияо лицах (за исключением сотрудников оператора), которые имеют доступ кперсональным данным или которым могут быть раскрыты персональные данные наосновании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся ксоответствующему субъекту персональных данных, источник их получения, если инойпорядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числесроки их хранения;
7) порядок осуществления субъектом персональных данныхправ, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «Оперсональных данных»;
8) информацию об осуществленной или предполагаемойтрансграничной передаче данных;
9) фамилию, имя, отчество (при наличии) и адрес лица,осуществляющего обработку персональных данных по поручению оператора, еслиобработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные законодательствомРоссийской Федерации.
3. Право субъекта персональных данных на доступ к егоперсональным данным может быть ограничено в соответствии с федеральнымизаконами, в том числе если доступ субъекта персональных данных к егоперсональным данным нарушает права и законные интересы третьих лиц.
4. Субъекты персональных данных вправе требовать от операторауточнения их персональных данных, их блокирования или уничтожения в случае еслиперсональные данные являются неполными, устаревшими, неточными, незаконнополученными или не являются необходимыми для заявленной цели обработки, а такжепринимать предусмотренные законом меры по защите своих прав.
5. Сведения, указанные в пункте 2 настоящих Правил,предоставляются субъекту персональных данных или его представителю операторомпри обращении либо при получении запроса субъекта персональных данных или егопредставителя. Полномочия представителя субъекта персональных данных должныбыть подтверждены соответствующим документом посредством его предъявления приобращении к оператору либо его направления вместе с запросом.
6. Направляемое в соответствии с пунктом 4 настоящих Правилоператору требование субъекта персональных данных или его представителя должносодержать:
1) номер документа, удостоверяющего личность субъектаперсональных данных или его представителя, сведения о дате выдачи указанногодокумента и выдавшем его органе;
2) сведения, подтверждающие участие субъектаперсональных данных в правоотношениях с оператором (номер договора, датазаключения договора, условное словесное обозначение и (или) иные сведения),либо сведения, иным образом подтверждающие факт обработки персональных данных оператором;
3) подпись субъекта персональных данных или егопредставителя.
7. В случае несоответствия содержания запроса субъектаперсональных данных требованиям, предусмотренным пунктом 6 настоящих Правил, онподлежит возврату заявителю без исполнения не позднее десяти рабочих дней со дняпоступления с указанием причин такого возврата и разъяснением условий, прикоторых такой запрос может быть направлен повторно.
8. Требование, направляемое в соответствии с пунктом 4настоящих Правил, может быть направлено в форме электронного документа иподписано электронной подписью в соответствии с законодательством РоссийскойФедерации.
9. При поступлении запроса субъекта персональныхданных или его представителя оператору он должен быть зарегистрирован вустановленном порядке.
10. Сведения, указанные в пункте 2 настоящих Правил,должны быть предоставлены субъекту персональных данных оператором в течениетридцати календарных дней со дня получения запроса. Сведения предоставляются вдоступной форме, в них не должны содержаться персональные данные, относящиеся кдругим субъектам персональных данных, за исключением случаев, если имеютсязаконные основания для раскрытия таких персональных данных.
11. В случае отказа в предоставлении информации оналичии персональных данных или сведений, указанных в пункте 2 настоящихПравил, оператор обязан дать субъекту персональных данных или его представителюв письменной форме мотивированный ответ, содержащий ссылку на положение части 8статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»или иного федерального закона, являющееся основанием для такого отказа, в срок,не превышающий тридцати календарных дней со дня обращения или получения запросасубъекта персональных данных или его представителя.
12. Оператор обязан предоставить безвозмездно субъектуперсональных данных или его представителю возможность ознакомления сперсональными данными, относящимися к этому субъекту персональных данных. Всрок, не превышающий семи рабочих дней со дня предоставления субъектомперсональных данных или его представителем сведений, подтверждающих, чтоперсональные данные являются неполными, неточными или неактуальными, операторобязан внести в них необходимые изменения. В срок, не превышающий семи рабочихдней со дня предоставления субъектом персональных данных или его представителемсведений, подтверждающих, что такие персональные данные являются незаконнополученными или не являются необходимыми для заявленной цели обработки, операторобязан уничтожить такие персональные данные. Оператор обязан уведомить субъектаперсональных данных или его представителя о внесенных изменениях и предпринятыхмерах и принять разумные меры для уведомления третьих лиц, которым персональныеданные этого субъекта были переданы.
13. В случае если сведения, указанные в пункте 2настоящих Правил, а также обрабатываемые персональные данные были предоставленыдля ознакомления субъекту персональных данных по его запросу, субъектперсональных данных вправе обратиться повторно к оператору или направитьповторный запрос в целях получения указанных сведений и ознакомления с такимиперсональными данными не ранее чем через тридцать календарных дней после первоначальногообращения или направления первоначального запроса, если более короткий срок неустановлен федеральным законом, принятым в соответствии с ним нормативнымправовым актом или договором, стороной которого либо выгодоприобретателем илипоручителем по которому является субъект персональных данных.
14. Субъект персональных данных вправе обратитьсяповторно к оператору или направить повторный запрос в целях получения сведений,указанных в пункте 2 настоящих Правил, а также в целях ознакомления с обрабатываемымиперсональными данными до истечения срока, указанного в пункте 13 настоящихПравил, в случае, если такие сведения и (или) обрабатываемые персональныеданные не были предоставлены ему для ознакомления в полном объеме порезультатам рассмотрения первоначального обращения. Повторный запрос наряду сосведениями, указанными в пункте 6 настоящих Правил, должен содержатьобоснование направления повторного запроса.
15. Оператор вправе отказать субъекту персональныхданных в выполнении повторного запроса, не соответствующего условиям,предусмотренным пунктами 13, 14 настоящих Правил. Такой отказ должен бытьмотивированным. Уведомление об отказе в выполнении повторного запроса должнобыть направлено субъекту персональных данных в срок, не превышающий тридцатикалендарных дней со дня получения повторного запроса.
Приложение 3
к распоряжению Правительства
Тверской области
от 20.09.2019 № 641-рп
Правила
осуществления внутреннего контроля соответствияобработки персональных данных требованиям к защите персональных данных,установленным законодательством Российской Федерации в сфере персональныхданных
1. Настоящие Правила определяют основания, порядок,формы и методы проведения внутреннего контроля соответствия обработкиперсональных данных в аппарате Правительства Тверской области/в исполнительноморгане государственной власти Тверской области (далее – оператор) требованиям кзащите персональных данных, установленным законодательством РоссийскойФедерации в сфере персональных данных (далее – внутренний контроль).
2. В целях осуществления внутреннего контроля операторамипроводятся плановые и внеплановые периодические проверки условий обработкиперсональных данных (далее при совместном упоминании – проверки).
3. Проверка проводится на основании ежегодноутверждаемого руководителем оператора плана осуществления внутреннего контроля(плановые проверки) или на основании поступившей информации о нарушениях операторомправил обработки персональных данных (внеплановые проверки).
4. Проведение внеплановой проверки организуется втечение трех рабочих дней со дня поступления информации о нарушениях операторомправил обработки персональных данных.
5. Проверка проводится комиссией, состав которойутверждается руководителем оператора (далее – Комиссия).
6. В проведении проверки не могут участвовать работникиоператоров, прямо или косвенно заинтересованные в ее результатах.
7. Проверка осуществляется непосредственно на местеобработки персональных данных путем опроса либо, при необходимости, путемосмотра служебных мест работников операторов, участвующих в процессе обработкиперсональных данных.
8. При проведении проверки должны быть полностью,объективно и всесторонне установлены следующие условия обработки персональныхданных:
1) порядок и условия применения организационных итехнических мер, необходимых для выполнения требований к защите персональныхданных;
2) порядок и условия применения средств защитыинформации;
3) эффективность принимаемых мер по обеспечениюбезопасности персональных данных до их ввода в информационные системыперсональных данных;
4) учет носителей персональных данных;
5) факты нарушения правил доступа к персональнымданным;
6) факты нарушения порядка доступа в помещения, вкоторых ведется обработка персональных данных;
7) факты несанкционированного доступа к персональнымданным и принятие необходимых мер;
8) факты проведения мероприятий по восстановлениюперсональных данных, модифицированных или уничтоженных вследствиенесанкционированного доступа к ним.
9. Комиссия имеет право:
1) запрашивать у работников операторов информацию,необходимую для реализации полномочий;
2) вносить предложения работникам операторов,осуществляющих обработку персональных данных, об уточнении, блокировании илиуничтожении недостоверных или полученных незаконным путем персональных данных;
3) в установленном порядке вносить предложения о:
совершенствовании правового, технического иорганизационного обеспечения безопасности персональных данных при их обработке;
приостановлении или прекращении обработки персональныхданных, осуществляемой с нарушением требований законодательства РоссийскойФедерации;
привлечении к дисциплинарной ответственности лиц,виновных в нарушении законодательства Российской Федерации о персональныхданных.
10. Члены Комиссии должны обеспечиватьконфиденциальность сведений, ставших им известными в ходе проведениямероприятий внутреннего контроля.
11. Проверка должна быть завершена не позднее чемчерез тридцать календарных дней со дня принятия решения о ее проведении.
12. Не позднее чем через десять рабочих дней со днязавершения проверки председателем Комиссии утверждается письменное заключение суказанием мер, необходимых для устранения выявленных нарушений.
Приложение 4
к распоряжению Правительства
Тверской области
от 20.09.2019 № 641-рп
Правила
работы с обезличенными данными
1. Настоящие Правила определяют порядок работы собезличенными данными в аппарате Правительства Тверской области/висполнительном органе государственной власти Тверской области (далее – оператор).
Обезличивание персональных данных – действия, врезультате которых становится невозможным без использования дополнительнойинформации определить принадлежность персональных данных конкретному субъектуперсональных данных (далее — обезличивание).
2. Обезличивание может быть проведено в статистическихили иных исследовательских целях для предупреждения ущерба от разглашенияперсональных данных, а также по достижении целей обработки персональных данныхили в случае утраты необходимости в достижении этих целей, если иное непредусмотрено федеральным законом.
3. Обезличивание должно обеспечивать не только защиту персональныхданных от несанкционированного использования, но и возможность их обработки.
4. Обезличивание возможно любыми незапрещеннымиспособами.
5. Операторами могут быть использованы следующиеспособы обезличивания при условии их дальнейшей обработки:
1) сокращение перечня обрабатываемых персональныхданных;
2) замена части сведений идентификаторами;
3) понижение точности некоторых сведений в зависимостиот цели обработки персональных данных (например, сведения о месте жительствамогут состоять из страны, индекса, города, улицы, дома и квартиры, а может бытьуказан только город);
4) деление сведений на части и обработка разныхперсональных данных в разных информационных системах;
5) иными способами, определяемыми операторами, исходяиз целей обезличивания персональных данных.
6. Ответственными за проведение мероприятий пообезличиванию являются сотрудники операторов, замещающие должности, включенныев соответствующие перечни должностей, утверждаемые руководителями операторов.
7. Руководители структурных подразделений операторов,осуществляющие обработку персональных данных, вносят руководителям операторовпредложения по обезличиванию с указанием обоснования необходимостиобезличивания и способа обезличивания.
8. Решение о необходимости и способе обезличиванияпринимают руководители операторов.
9. Работники операторов, замещающие должности,замещение которых предусматривает осуществление обработки персональных данных,проводят непосредственное обезличивание выбранным способом.
10. Обезличенные персональные данные конфиденциальны ине подлежат разглашению.
11. Обезличенные персональные данные могутобрабатываться с использованием и без использования средств автоматизации.
12. При обработке обезличенных персональных данных сиспользованием средств автоматизации необходимо соблюдение парольной политики,антивирусной политики, правил работы со съемными носителями (если онииспользуются), правил резервного копирования, порядка доступа в помещения, гдерасположены информационные системы персональных данных.
13. При обработке обезличенных персональных данных безиспользования средств автоматизации необходимо соблюдение правил хранениябумажных носителей и правил доступа в помещения, где они хранятся.
Приложение 5
к распоряжению Правительства
Тверской области
от 20.09.2019 № 641-рп
Перечень информационных систем персональных данных
|
№ | Наименование информационной системы персональных данных | Категории обрабатываемых персональных данных | Количество субъектов персональных данных | Наличие подключения | Необходимый уровень защищенности персональных данных |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение 6
к распоряжению Правительства
Тверской области
от 20.09.2019 № 641-рп
Перечень персональных данных, обрабатываемых
в связи с реализацией служебных или трудовыхотношений,
а таже в связи с оказанием государственных услуг
и осуществлением государственных функций
1. Перечень персональных данных, обрабатываемых в связи среализацией служебных или трудовых отношений:
- ________________________________________________________;
- ________________________________________________________;
- ________________________________________________________.
2. Перечень персональных данных, обрабатываемых в связи сосуществлением государственных функций:
- ________________________________________________________;
- ________________________________________________________;
- ________________________________________________________.
3. Перечень персональных данных, обрабатываемых в связи соказанием государственных услуг:
- ________________________________________________________;
- ________________________________________________________;
- ________________________________________________________.
4. Переченьперсональных данных, обрабатываемых в информационной системе персональныхданных «_______»:
- ________________________________________________________;
- ________________________________________________________;
- ________________________________________________________.
Приложение 7
к распоряжению Правительства
Тверской области
от 20.09.2019 № 641-рп
Перечень должностей, замещение которых предусматриваетпроведение мероприятий по обезличиванию обрабатываемых персональных данных,
в случае обезличивания персональных данных
| № п/п | Наименование информационной системы персональных данных | Должность |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение 8
к распоряжению Правительства
Тверской области
от 20.09.2019 № 641-рп
Перечень
должностей работников, замещение которыхпредусматривает осуществление обработки персональных данных либо осуществлениедоступа к персональным данным
| № п/п | Должность | Наименование информационной системы персональных данных, к которой разрешен доступ | Уровень полномочий в информационной системе персональных данных (администратор/ | Вид |
| 1 |
|
|
|
|
| 2 |
|
|
|
|
| 3 |
|
|
|
|
| 4 |
|
|
|
|
Приложение 9
к распоряжению Правительства
Тверской области
от 20.09.2019 № 641-рп
Должностной регламент (должностные обязанности)
ответственного за организацию обработки персональныхданных
Раздел I
Общие положения
1. Ответственный за организацию обработки персональныхданных (далее – ответственный) в аппарате Правительства Тверской области/наименованиеисполнительного органа государственной власти Тверской области (далее –оператор) назначается из числа работников приказом руководителя оператора иотвечает за организацию обработки персональных данных оператором.
2. Ответственный в рамках исполнения обязанностей поорганизации обработки персональных данных подчиняется непосредственноруководителю оператора и осуществляет организацию и контроль соответствияобработки персональных данных установленным требованиям к защите персональныхданных оператором, нормативным и организационно-распорядительным документам пообеспечению безопасности персональных данных при их обработке в информационныхсистемах персональных данных оператора (далее – ИСПДн).
3. Методическое руководство работой ответственного осуществляетсяуполномоченным исполнительным органом государственной власти Тверской области всфере защиты информации.
4. Ответственный в своей работе руководствуетсяфедеральным законодательством Российской Федерации, положениями, руководящими инормативными документами Федеральной службы по техническому и экспортномуконтролю, Федеральной службы безопасности Российской Федерации по защитеинформации и организационно-распорядительными документами и несет персональнуюответственность за свои действия.
Раздел I I
Обязанности ответственного
5. Ответственный обязан:
1) знать и выполнять правила обработки персональныхданных, устанавливающие процедуры, направленные на выявление и предотвращениенарушений законодательства Российской Федерации в сфере персональных данных, атакже определяющие для каждой цели обработки персональных данных содержаниеобрабатываемых персональных данных, категории субъектов, персональные данныекоторых обрабатываются, сроки их обработки и хранения, порядок уничтожения придостижении целей обработки или при наступлении иных законных оснований;
2) знать и выполнять действующие нормативные ируководящие документы, а также внутренние инструкции и распоряжения,регламентирующие порядок действий по обработке и защите персональных данных;
3) обеспечивать выполнение режимных и организационныхмероприятий на месте эксплуатации ИСПДн, а также следить за выполнениемтребований к размещению средств вычислительной техники и их сохранностью;
4) осуществлять ознакомление работников оператора,непосредственно осуществляющих обработку персональных данных, с положениямизаконодательства Российской Федерации о персональных данных (в том числе стребованиями к защите персональных данных), локальными актами по вопросамобработки персональных данных;
5) организовывать обучение работников оператора,непосредственно осуществляющих обработку персональных данных;
6) принимать правовые, организационные и техническиемеры по обеспечению безопасности персональных данных при их обработке,предусмотренные соответствующими нормативными правовыми актами, для выполненияустановленных Правительством Российской Федерации требований к защитеперсональных данных при их обработке, исполнение которых обеспечиваетустановленные уровни защищенности персональных данных;
7) при обработке персональных данных, осуществляемойбез использования средств автоматизации, выполнять требования, установленныепостановлением Правительства Российской Федерации от 15.09.2008 № 687 «Обутверждении Положения об особенностях обработки персональных данных,осуществляемой без использования средств автоматизации»;
8) в целях осуществления внутреннего контролясоответствия обработки персональных данных установленным требованияморганизовывать проведение плановых и внеплановых проверок условий обработкиперсональных данных оператором;
9) докладывать о результатах проведенных проверок имерах, необходимых для устранения выявленных нарушений, руководителю оператора;
10) осуществлять контроль за принятием организационныхмер, направленных на исключение несанкционированного доступа в помещение сИСПДн.
Раздел III
Права ответственного за организацию обработкиперсональных данных
6. Ответственный имеет право:
1) требовать от пользователей ИСПДн выполненияустановленной технологии обработки персональных данных, инструкций и другихнормативных правовых документов по обеспечению безопасности персональныхданных;
2) участвовать в разработке мероприятий оператора посовершенствованию безопасности персональных данных;
3) инициировать проведение служебных расследований пофактам нарушения установленных требований обеспечения безопасности персональныхданных, несанкционированного доступа к ИСПДн, утраты, порчи защищаемыхперсональных данных и программных и аппаратных средств из состава ИСПДн;
4) обращаться к руководителю оператора с предложениемо приостановке процесса обработки персональных данных или отстранении от работыпользователя в случаях нарушения установленной технологии обработкиперсональных данных или нарушения режима конфиденциальности;
5) вносить предложения по совершенствованию правовых,организационных и технических мер по обеспечению безопасности персональныхданных при их обработке оператором.
Приложение 10
к распоряжению Правительства
Тверской области
от 20.09.2019 № 641-рп
Обязательство работника, непосредственноосуществляющего обработку персональных данных, прекратить обработкуперсональных данных, ставших известными ему в связи с исполнением должностныхобязанностей, в случае расторжения с ним служебного контракта (контракта) илитрудового договора
Я,______________________________________________________________,___________________________________________________________________
(должность,Ф.И.О (при наличии)
обязуюсьпрекратить обработку персональных данных, ставших известными мне в связи сисполнением должностных обязанностей, в случае расторжения со мной служебногоконтракта (трудового договора), освобождения меня от замещаемой должности иувольнения.
В соответствии со статьей 7 Федерального закона от 27.07.2006№ 152-ФЗ «О персональных данных» я уведомлен(а) о том, что персональные данныеявляются конфиденциальной информацией, и я обязан(а) не раскрывать третьимлицам и не распространять персональные данные без согласия субъектаперсональных данных, ставших известными мне в связи с исполнением должностныхобязанностей.
Положения об ответственности, предусмотренной Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и другимифедеральными законами, мне разъяснены.
Приложение 11
к распоряжению Правительства
Тверской области
от 20.09.2019 № 641-рп
Согласие на обработку персональных данных субъектаперсональных данных
Я, _________________________________________________________,
(Ф.И.О (при наличии) субъекта персональныхданных)
проживающий(ая) по адресу_________________________________________, документ, удостоверяющий личность_______________, серия ______, номер __________, дата выдачи документа _______________,наименование органа, выдавшего документ _______________________________________,даю свое согласие __________________________________________ (далее – Оператор) (наименование оператора)
на обработку своих персональных данных сцелью____________________________________________________________,
(указывается цель в соответствии с правиламиобработки персональных данных, утвержденными оператором)
а также предоставлять сведения в случаях,предусмотренных федеральными законами и иными нормативными правовыми актами,следующих моих персональных данных:
- ___________________________________________________________.
(указываются персональныеданные в соответствии с перечнем персональных данных, обрабатываемых в связи среализацией служебных или трудовых отношений, а также в связи с оказаниемгосударственных услуг и осуществлением государственных функций, утвержденнымоператором)
Настоящее согласие предоставляется наосуществление любых действий в отношении моих персональных данных, которыенеобходимы или желаемы для достижения указанных выше целей, включая сбор,запись, систематизацию, накопление, хранение, уточнение (обновление, изменение),извлечение, использование, передачу (распространение, предоставление, доступ),обезличивание,
блокирование, удаление,уничтожение персональных данных, а также осуществление любых иных действий
с моими персональными данными, предусмотренных действующим законодательствомРоссийской Федерации.
Обработка моих персональных данных можетосуществляться как с использованием средств автоматизации, так и без ихиспользования (на бумажных носителях).
Разрешаю обмен (прием, передачу,обработку) моих персональных данных между Оператором и третьими лицами
в соответствии с заключенными контрактами (договорами) и соглашениями в целяхсоблюдения моих законных прав и интересов.
Оператор гарантирует, что обработка моих персональныхданных осуществляется в соответствии с действующим законодательством РоссийскойФедерации и правилами обработки персональных данных в информационных системах персональных данных,утвержденными оператором.
Данное Согласие действует с ___________________________________и до истечения
(датаподписания настоящего Согласия)
сроков, установленных действующим законодательствомРоссийской Федерации.
Я уведомлен (а) о праве на досрочный отзывнастоящего Согласия
в соответствии с частью 2 статьи 9 Федерального закона от 27.07.2006
№ 152-ФЗ «О персональных данных».
Права и обязанности в области защитыперсональных данных мне разъяснены.
Я подтверждаю, что давая такое Согласие, ядействую своей волей и в своих интересах.
______________ / «____»___________20___г.
(подпись) (расшифровкаподписи) (дата подписи)
Приложение 12
к распоряжению Правительства
Тверской области
от 20.09.2019 № 641-рп
Разъяснение субъектуперсональных данных юридических последствий отказа предоставить своиперсональные данные
Уважаемый (ая)______________________________________________.
(фамилия,имя, отчество (при наличии) субъекта персональных данных)
Лица, которые намерены вступить в те илииные правовые отношения с
__________________________________________________________________,
(наименование оператора)
не обязаны предоставлять персональные данные, однаконепредоставление данной информации может сделать невозможным установление(продолжение) правовых отношений с
(наименование оператора)
и выполнение юридических и иных обязательств.
Персональные данные хранятся иобрабатываются в
(наименование оператора)
в соответствии с законодательством.
Приложение 13
к распоряжению Правительства
Тверской области
от 20.09.2019 № 641-рп
Порядок
доступа работников в помещения, в которых ведется обработкаперсональных данных
1. Настоящий Порядок определяет правила доступа работниковаппарата Правительства Тверской области/в исполнительном органе государственнойвласти Тверской области (далее – оператор) в помещения, в которых ведетсяобработка персональных данных.
2. Доступ в административные здания, которыеиспользуются работниками оператора, осуществляется в соответствии с режимом,исключающим возможность бесконтрольного входа (выхода) лиц, вноса (выноса)имущества.
3. Помещения, в которых ведется обработка персональныхданных, должны обеспечивать их сохранность, исключать возможностьбесконтрольного проникновения в помещение и визуального просмотра персональныхданных посторонними лицами.
4. Персональные данные на бумажных носителях должнынаходиться в недоступном для посторонних лиц месте.
5. Помещения, в которых ведется обработка персональныхданных, запираются на ключ. В случае утраты ключей от помещений, в которыхведется обработка персональных данных, немедленно заменяется замок.
6. Вскрытие помещения, в котором ведется обработкаперсональных данных, и право самостоятельного входа в него производят работники,уполномоченные руководителем оператора. Передавать ключи от помещений третьимлицам запрещается.
7. При обнаружении неисправности двери и запирающихустройств работники оператора обязаны:
1) не вскрывая помещение, в котором ведется обработкаперсональных данных, доложить об обнаруженных неисправностях непосредственномуруководителю;
2) в присутствии не менее двух иных работников оператора,включая непосредственного руководителя, вскрыть помещение и осмотреть его;
3) составить акт о выявленных нарушениях и передатьего руководителю оператора для организации служебного расследования.
8. Техническое обслуживание компьютерной иорганизационной техники, сопровождение программных средств, а также проведениедругих работ в помещении, в котором ведется обработка персональных данных,осуществляются в присутствии работников, уполномоченных руководителем оператора.
9. В случае необходимости принятия в нерабочее времяэкстренных мер при срабатывании пожарной или охранной сигнализации, авариях всистемах энерго-, водо- и теплоснабжения помещение, в котором ведется обработкаперсональных данных, вскрывается комиссией в составе не менее двух человек.
10. Ответственность за соблюдение порядка доступа впомещения, в которых ведется обработка персональных данных, возлагается наруководителя оператора.