Об утверждении Положения об обработке персональных данных в Министерстве транспорта Московской области

В соответствии с Федеральным законом от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации", Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Трудовым кодексом Российской Федерации, Указом Президента Российской Федерации от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлением Правительства Российской Федерации от 06.07.2008 N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами" приказываю:

1. Возложить ответственность за организацию обработки персональных данных в Министерстве транспорта Московской области (далее — Министерство) на заместителя начальника Управления организации деятельности Министерства Тихомирова А.Л.

2. Утвердить Положение об обработке персональных данных в Министерстве (прилагается).

3. Назначить ответственными за обеспечение безопасности персональных данных при их обработке в информационной системе бухгалтерского учета, отчетности и кадров Министерства:

Отдел по вопросам государственной гражданской службы и кадров Управления организации деятельности Министерства;

Отдел бухгалтерского учета, отчетности и администрирования доходов.

4. Заведующим отделами Министерства:

предусмотреть в должностных регламентах государственных гражданских служащих Министерства, уполномоченных на обработку персональных данных, в части закрепления ответственности, предусмотренной законодательством Российской Федерации за нарушение режима конфиденциальности, а также обеспечения безопасности обрабатываемых ими персональных данных;

определить места хранения персональных данных.

5. Заместителю заведующего отделом технологического сопровождения Управления информационных технологий Квасову П.В. разместить настоящий приказ на официальном сайте Министерства.

6. Контроль за исполнением настоящего приказа оставляю за собой.

1.1. Положение об обработке персональных данных в Министерстве транспорта Московской области (далее — Положение) разработано в соответствии с Федеральным законом от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации", с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", Трудовым кодексом Российской Федерации, Указом Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлением Правительства Российской Федерации от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных", постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

1.2. Положение определяет порядок и условия обработки персональных данных в Министерстве транспорта Московской области (далее — Министерство) с использованием средств автоматизации и без использования таких средств.

1.3. Обработка персональных данных в Министерстве осуществляется в целях исполнения деятельности на территории Московской области в сфере транспортно-дорожного комплекса Московской области, в том числе транспортного обслуживания населения, проводящем единую государственную политику, осуществляющем координацию деятельности в указанной сфере иных центральных и территориальных исполнительных органов государственной власти Московской области, государственных органов Московской области и государственных учреждений Московской области, образованных для реализации отдельных функций государственного управления Московской области, по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, а также ведения кадровой работы (ведения и хранения личных дел, учетных карточек и трудовых книжек государственных гражданских служащих, содействия гражданскому служащему в прохождении государственной гражданской службы, в обучении и должностном росте, обеспечения личной безопасности гражданского служащего и членов его семьи, учета результатов исполнения им должностных обязанностей, в целях обеспечения сохранности имущества Министерства, а также документов кандидатов на замещение вакантных должностей государственной гражданской службы Министерства).

2.1. Обработка персональных данных государственных гражданских служащих Министерства (далее — гражданские служащие) осуществляется с их письменного согласия, которое действует со дня их поступления на государственную гражданскую службу на время прохождения гражданской службы.

2.2. Представитель нанимателя в лице руководителя Министерства (министра транспорта Московской области), осуществляющего полномочия нанимателя от имени Московской области (далее — представитель нанимателя), а также заведующий отделом по вопросам государственной гражданской службы и кадров Управления организации деятельности Министерства, заведующий отделом бухгалтерского учета, отчетности и администрирования доходов обеспечивают защиту персональных данных гражданских служащих, содержащихся в личных делах, от неправомерного их использования или утраты.

2.3. Обработка персональных данных гражданских служащих осуществляется как с использованием средств автоматизации, так и без использования таких средств.

2.4. При обработке персональных данных гражданских служащих в целях реализации возложенных на Министерство полномочий уполномоченные должностные лица обязаны соблюдать следующие требования:

а) объем и характер обрабатываемых персональных данных, способы обработки персональных данных должны соответствовать целям обработки персональных данных;

б) защита персональных данных гражданского служащего от неправомерного их использования или уничтожения обеспечивается в порядке, установленном нормативными правовыми актами Российской Федерации;

в) передача персональных данных гражданского служащего не допускается без письменного согласия гражданского служащего, за исключением случаев, установленных федеральными законами. В случае если лицо, обратившееся с запросом, не обладает соответствующими полномочиями на получение персональных данных гражданского служащего либо отсутствует письменное согласие гражданского служащего на передачу его персональных данных, Министерство вправе отказать в предоставлении персональных данных. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации;

г) обеспечение конфиденциальности персональных данных гражданских служащих, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных;

д) хранение персональных данных должно осуществляться в форме, позволяющей определить гражданского служащего и иное лицо, являющееся субъектом персональных данных, не дольше чем этого требуют цели их обработки. Указанные сведения подлежат уничтожению по достижении цели обработки или в случае утраты необходимости в их достижении, если иное не установлено законодательством Российской Федерации. Факт уничтожения персональных данных оформляется соответствующим актом;

е) опубликование и распространение персональных данных гражданских служащих допускается в случаях, установленных законодательством Российской Федерации.

2.5. Обработка биометрических и специальных категорий персональных данных гражданского служащего или иного лица (под иными лицами подразумеваются кандидаты на замещение вакантных должностей государственной гражданской службы Министерства), являющегося субъектом персональных данных, осуществляется с их письменного согласия, за исключением случаев, предусмотренных законодательством Российской Федерации в области персональных данных. Использование и хранение биометрических и специальных категорий персональных данных вне информационных систем персональных данных может осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

2.6. В целях обеспечения защиты персональных данных гражданские служащие вправе:

а) получать полную информацию о своих персональных данных и способе обработки этих данных (в том числе автоматизированной);

б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, за исключением случаев, предусмотренных Федеральным законом "О персональных данных";

в) требовать внесения необходимых изменений, уничтожения или блокирования соответствующих персональных данных, которые являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

г) обжаловать в порядке, установленном законодательством Российской Федерации, действия (бездействие) уполномоченных должностных лиц.

2.7. Министерство в соответствии со статьями 44 и 64 Федерального закона "О государственной гражданской службе Российской Федерации" вправе осуществлять обработку (в том числе автоматизированную) персональных данных гражданских служащих при формировании кадрового резерва.

2.8. Министерство в соответствии со статьей 22 Федерального закона "О государственной гражданской службе Российской Федерации" и пунктами 24 и 25 Положения о конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации, утвержденного Указом Президента Российской Федерации от 1 февраля 2005 г. N 112, вправе осуществлять обработку (в том числе автоматизированную) персональных данных кандидатов на замещение вакантных должностей государственной гражданской службы Министерства.

2.9. При переводе или назначении гражданского служащего на должность гражданской службы в другом государственном (муниципальном) органе его личное дело передается в государственный орган по новому месту замещения должности гражданской службы по письменному запросу соответствующего органа.

3.1. При обработке персональных данных без использования средств автоматизации уполномоченными должностными лицами не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.

3.2. При разработке и использовании типовых форм документов, необходимых для реализации возложенных на Министерство полномочий, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, адрес Министерства, фамилию, имя, отчество и адрес субъекта персональных данных, чьи персональные данные вносятся в указанную типовую форму, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, чьи персональные данные содержатся в типовой форме, при ознакомлении со своими персональными данными не имел возможности доступа к персональным данным иных лиц, содержащимся в указанной типовой форме;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

3.3. Уничтожение или обезличивание персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

3.4. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем изготовления нового материального носителя с уточненными персональными данными.

4.1. Обработка персональных данных в Министерстве осуществляется в информационной системе бухгалтерского учета и отчетности и кадров Министерства, в состав которой входят:

а) Реестр государственных служащих Московской области, включающий:

наименование структурного подразделения государственного органа и замещаемой должности;

дата и номер правового акта государственного органа о Перечне должностей по представлению сведений о доходах;

фамилия, имя, отчество субъекта персональных данных;

пол;

дата рождения;

адрес места жительства субъекта персональных данных;

профессиональное образование;

наименование образовательного учреждения;

дата окончания образовательного учреждения;

специальность по диплому;

квалификация по диплому;

ученая степень, звание;

дата присвоения ученой степени, звания;

наименование образовательного учреждения, в котором обучается гражданский служащий, и год поступления;

дополнительное профессиональное образование;

год получения дополнительного профессионального образования;

дата начала работы в должности;

дата окончания испытательного срока;

сведения о трудовой деятельности;

стаж государственной службы;

стаж (опыт) работы по специальности;

категория должности;

группа должности;

классный чин гражданской службы Московской области;

дата присвоения классного чина гражданской службы Московской области;

дата прохождения аттестации;

решение аттестационной комиссии;

дата и номер правового акта государственного органа (распоряжения Губернатора Московской области) и сведения о назначении на должность;

срок действия и сведения о срочном служебном контракте;

дата окончания действия срочного служебного контракта с гражданским служащим в возрасте от 60 до 65 лет;

вид и дата поощрения, награждения;

вид дисциплинарного взыскания;

дата наложения и снятия дисциплинарного взыскания;

дата представления сведений о доходах в соответствии со статьей 20 Федерального закона N 79-ФЗ;

фамилия, имя, отчество гражданского служащего, назначенного на должность временно отсутствующего;

фамилия, имя, отчество временно отсутствующего гражданского служащего;

дата и номер правового акта государственного органа об учреждении должности;

дата и основание включения в кадровый резерв государственного органа;

дата и основание исключения из кадрового резерва государственного органа;

дата включения в кадровый резерв Московской области;

дата исключения из кадрового резерва Московской области;

дата включения в резерв управленческих кадров Московской области;

дата исключения из резерва управленческих кадров Московской области;

дата включения в резерв управленческих кадров Центрального федерального округа;

дата исключения из резерва управленческих кадров Центрального федерального округа;

место рождения;

дата и основание приостановления служебного контракта;

дата начала отпуска;

срок приема документов и дата проведения конкурса на замещение вакантной должности;

дата и номер правового акта государственного органа (распоряжения Губернатора Московской области) об увольнении;

дата и основание прекращения служебного контракта;

б) Автоматизированная информационная система "Парус-бюджет", включающая:

фамилию, имя, отчество субъекта персональных данных; дату рождения субъекта персональных данных; место рождения субъекта персональных данных;

серию и номер основного документа, удостоверяющего личность субъекта персональных данных;

сведения о дате выдачи указанного документа и выдавшем его органе; адрес места жительства субъекта персональных данных; почтовый адрес субъекта персональных данных; ИНН субъекта персональных данных;

табельный номер субъекта персональных данных; должность субъекта персональных данных;

номер приказа и дату приема на работу (увольнения) субъекта персональных данных;

номер страхового свидетельства государственного пенсионного страхования субъекта персональных данных.

Классификация указанных информационных систем персональных данных осуществляется в порядке, установленном законодательством Российской Федерации.

4.2. Персональные данные могут быть представлены для ознакомления:

а) сотрудникам, допущенным к обработке персональных данных с использованием средств автоматизации в части, касающейся исполнения их должностных обязанностей;

б) уполномоченным работникам федеральных органов исполнительной власти, региональных органов исполнительной власти в порядке, установленном законодательством Российской Федерации.

4.3. Безопасность персональных данных, обрабатываемых с использованием средств автоматизации, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным.

4.4. Уполномоченными должностными лицами при обработке персональных данных в информационных системах персональных данных должна быть обеспечена их безопасность с помощью системы защиты, включающей организационные меры и средства защиты информации, в том числе шифровальные (криптографические) средства.

4.5. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.

4.6. Самостоятельное подключение средств вычислительной техники, применяемых для хранения, обработки или передачи персональных данных, к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к информационно-телекоммуникационной сети Интернет, не допускается.

4.7. Доступ пользователей (операторов информационной системы) к персональным данным в информационных системах персональных данных Министерства должен требовать обязательного прохождения процедуры идентификации и аутентификации.

4.8. Структурными подразделениями (должностными лицами) Министерства, ответственными за обеспечение безопасности персональных данных при их обработке в информационных системах, должны быть обеспечены:

а) своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до руководства Министерства;

б) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

в) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

г) постоянный контроль за обеспечением уровня защищенности персональных данных;

д) знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

ж) при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;

з) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

4.9. В случае выявления нарушений порядка обработки персональных данных в информационных системах Министерства уполномоченными должностными лицами принимаются меры по установлению причин нарушений и их устранению.