Приказ Минфина УР от 27.05.2014 N 76 "О мерах по реализации законодательства Российской Федерации в области персональных данных"
МИНИСТЕРСТВО ФИНАНСОВ УДМУРТСКОЙ РЕСПУБЛИКИ
ПРИКАЗ
от 27 мая 2014 г. № 76
О МЕРАХ ПО РЕАЛИЗАЦИИ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ
В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" приказываю:
1. Утвердить:
1.1. Правила рассмотрения запросов субъектов персональных данных или их представителей в Министерстве финансов Удмуртской Республики согласно приложению 1.
1.2. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве финансов Удмуртской Республики согласно приложению 2.
1.3. Правила работы с обезличенными персональными данными, обрабатываемыми в Министерстве финансов Удмуртской Республики согласно приложению 3.
1.4. Порядок доступа государственных гражданских служащих Министерства финансов Удмуртской Республики в помещения, в которых ведется обработка персональных данных согласно приложению 4.
2. Контроль за исполнением настоящего приказа возложить на начальника Управления административно-кадровой работы Т.Г. Казанцеву.
Исполняющий обязанности заместителя
Председателя Правительства
Удмуртской Республики
- министра финансов
Удмуртской Республики
В.В.БОГАТЫРЕВ
Приложение 1
к приказу
Министерства финансов
Удмуртской Республики
от 27 мая 2014 г. № 76
ПРАВИЛА
РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ В МИНИСТЕРСТВЕ ФИНАНСОВ
УДМУРТСКОЙ РЕСПУБЛИКИ
1. Настоящими Правилами рассмотрения запросов субъектов персональных данных или их представителей в Министерстве финансов Удмуртской Республики (далее - Правила) определяется порядок рассмотрения запросов субъектов персональных данных или их представителей (далее - запросы).
2. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) и принятыми в соответствии с ним нормативными правовыми актами.
3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных в соответствии с частью 7 статьи 14 Закона о персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных в Министерстве финансов Удмуртской Республики (далее - Министерство);
- правовые основания и цели обработки персональных данных;
- цели и применяемые способы обработки персональных данных в Министерстве;
- наименование и местонахождение Министерства, сведения о лицах (за исключением работников Министерства), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Министерством или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Министерства, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.
4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Закона о персональных данных.
5. Субъект персональных данных вправе требовать от Министерства уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6. Сведения, указанные в пункте 2 настоящих Правил, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. Указанные сведения предоставляются Министерством субъекту персональных данных или его представителю при его обращении либо при получении запроса от субъекта персональных данных или его представителя.
7. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Министерством (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Министерством, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
8. Все поступившие запросы регистрируются в установленном порядке в соответствии с Инструкцией по делопроизводству в Министерстве финансов Удмуртской Республики.
9. Субъект персональных данных вправе обратиться повторно в Министерство или направить ему повторный запрос в целях получения сведений, указанных в пункте 2 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 статьи 14 Закона о персональных данных, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 7 настоящих Правил, должен содержать обоснование направления повторного запроса.
10. Министерство вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Закона о персональных данных. Такой отказ должен быть мотивированным.
11. Прошедшие регистрацию запросы в тот же день докладываются заместителю Председателя Правительства Удмуртской Республики - министру финансов Удмуртской Республики либо лицу, его заменяющему (далее - Министр), который определяет порядок и сроки их рассмотрения, дает по каждому из них письменное указание исполнителям.
12. Министр и должностное лицо, ответственное за организацию обработки персональных данных в Министерстве, назначаемое приказом Министерства, при рассмотрении и разрешении запросов обязаны:
- внимательно разобраться в их существе, в случае необходимости истребовать дополнительные материалы или направить сотрудников на места для проверки фактов, изложенных в запросах, принять другие меры для объективного разрешения поставленных заявителями вопросов, выявления и устранения причин и условий, порождающих факты нарушения законодательства в области персональных данных;
- принять по ним законные, обоснованные и мотивированные решения и обеспечить своевременное и качественное их исполнение;
- сообщить в письменной форме заявителям о решениях, принятых по их запросам, со ссылками на законодательство Российской Федерации, а в случае отклонения запроса - разъяснить также порядок обжалования принятого решения.
13. Министерство обязано сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение тридцати календарных дней с даты получения запроса субъекта персональных данных или его представителя.
14. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя должностное лицо, ответственное за организацию обработки персональных данных в Министерстве, обязано дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Закона о персональных данных или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя, либо с даты получения запроса субъекта персональных данных или его представителя.
15. Министерство обязано предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.
16. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, подтверждения факта неточности, достижения цели обработки персональных данных, отзыва субъектом персональных данных согласия на обработку его персональных данных Министерство принимает меры по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных в соответствии со статьей 21 Закона о персональных данных.
17. Для проверки фактов, изложенных в запросах, при необходимости организуются служебные проверки в соответствии с законодательством Российской Федерации.
18. По результатам служебной проверки составляется мотивированное заключение, которое должно содержать объективный анализ собранных материалов. Если при проверке выявлены факты совершения государственным гражданским служащим Министерства действий (бездействия), содержащих признаки административного правонарушения или состава преступления, информация передается незамедлительно в правоохранительные органы. Результаты служебной проверки докладываются Министру.
19. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы заявителю.
20. Ответы на запросы печатаются на бланке установленной формы и регистрируются за теми же номерами, что и запросы.
21. Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных должностных лиц ответственность в соответствии с законодательством Российской Федерации.
Приложение 2
к приказу
Министерства финансов
Удмуртской Республики
от 27 мая 2014 г. № 76
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ В МИНИСТЕРСТВЕ ФИНАНСОВ УДМУРТСКОЙ РЕСПУБЛИКИ
1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Министерстве финансов Удмуртской Республики (далее - Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных, а также основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным законодательством Российской Федерации (далее - установленные требования).
2. Настоящие Правила разработаны в соответствии Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", Федеральным законом от 2 мая 2006 года № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", Федеральным законом от 27 июля 2004 года № 79-ФЗ "О государственной гражданской службе Российской Федерации", Трудовым кодексом Российской Федерации, постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
3. В настоящих Правилах используются основные понятия, определенные статьей 3 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных".
4. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Министерстве финансов Удмуртской Республики (далее - Министерство) организовывается проведение периодических проверок условий обработки персональных данных.
5. Проверки осуществляются ответственным за организацию обработки персональных данных в Министерстве, назначенным приказом Министерства, либо комиссией по контролю соответствия обработки персональных данных установленным требованиям в Министерстве, состав которой утверждается приказом Министерства (далее - комиссия). В проведении проверки не может участвовать работник Министерства, прямо или косвенно заинтересованный в ее результатах.
6. Проверки соответствия обработки персональных данных установленным требованиям в Министерстве проводятся на основании утвержденного заместителем Председателя Правительства Удмуртской Республики - министром финансов Удмуртской Республики ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего в Министерство письменного заявления субъекта персональных данных о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
7. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения установленных требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
- порядок и условия применения средств защиты информации;
- эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- состояние учета машинных носителей персональных данных;
- соблюдение правил доступа к персональным данным;
- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
- мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- осуществление мероприятий по обеспечению целостности персональных данных.
8. Ответственный за организацию обработки персональных данных в Министерстве, комиссия имеют право:
- запрашивать у сотрудников Министерства информацию, необходимую для реализации полномочий;
- вносить заместителю Председателя Правительства Удмуртской Республики - министру финансов Удмуртской Республики либо лицу, временно замещающему его, предложения:
по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
9. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных в Министерстве или комиссии в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
10. Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о ее проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, заместителю Председателя Правительства Удмуртской Республики - министру финансов Удмуртской Республики либо лицу, временно замещающему его, докладывает ответственный за организацию обработки персональных данных либо председатель комиссии в форме письменного заключения.
Приложение 3
к приказу
Министерства финансов
Удмуртской Республики
от 27 мая 2014 г. № 76
ПРАВИЛА
РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ПЕРСОНАЛЬНЫМИ ДАННЫМИ,
ОБРАБАТЫВАЕМЫМИ В МИНИСТЕРСТВЕ ФИНАНСОВ
УДМУРТСКОЙ РЕСПУБЛИКИ
1. Настоящие Правила работы с обезличенными данными Министерства финансов Удмуртской разработаны в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
2. Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
3. Обезличивание персональных данных может быть проведено в статистических целях и в целях предупреждения ущерба от разглашения персональных данных.
4. Обезличивание персональных данных возможно любыми не запрещенными законодательством Российской Федерации способами. В Министерстве финансов Удмуртской Республики (далее - Министерство) могут быть использованы следующие способы обезличивания персональных данных при условии их дальнейшей обработки:
- сокращение перечня обрабатываемых персональных данных;
- замена части сведений идентификаторами;
- понижение точности некоторых сведений в зависимости от цели обработки персональных данных (например, наименование места жительства может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);
- обработка разных персональных данных в разных информационных системах;
- иными способами, определяемыми заместителем Председателя Правительства Удмуртской Республики - министром финансов Удмуртской Республики (далее - Министр), исходя из целей обезличивания персональных данных.
5. Руководители структурных подразделений Министерства, осуществляющих обработку персональных данных, вносят Министру предложения по обезличиванию персональных данных с указанием обоснования обезличивания персональных данных и способа их обезличивания.
6. Решение о необходимости и способе обезличивания персональных данных принимает Министр.
7. Обезличивание персональных данных определенным приказом Министерства способом осуществляют государственные гражданские служащие Министерства, замещающие должности, предусмотренные Перечнем лиц, уполномоченных на обработку персональных данных государственных гражданских служащих Министерства финансов Удмуртской Республики и работников Министерства финансов Удмуртской Республики, замещающих должности, не отнесенные к должностям государственной гражданской службы Удмуртской Республики, и несущих персональную ответственность в соответствии с законодательством за нарушение режима защиты персональных данных.
Приложение 4
к приказу
Министерства финансов
Удмуртской Республики
от 27 мая 2014 г. № 76
ПОРЯДОК
ДОСТУПА ГОСУДАРСТВЕННЫХ ГРАЖДАНСКИХ СЛУЖАЩИХ
МИНИСТЕРСТВА ФИНАНСОВ УДМУРТСКОЙ РЕСПУБЛИКИ В ПОМЕЩЕНИЯ,
В КОТОРЫХ ВЕДЕТСЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Настоящий Порядок доступа государственных гражданских служащих Министерства финансов Удмуртской Республики в помещения, в которых ведется обработка персональных данных (далее - Порядок), устанавливает единые требования к доступу государственных гражданских служащих Министерства финансов Удмуртской Республики (далее - гражданские служащие) в служебные помещения в целях предотвращения нарушения прав субъектов персональных данных, обрабатываемых в Министерстве финансов Удмуртской Республики (далее - Министерство), и обеспечения соблюдения требований законодательства о персональных данных.
2. Настоящий Порядок обязателен для применения и исполнения всеми гражданскими служащими.
3. Помещения, в которых ведется обработка персональных данных, должны отвечать определенным нормам и исключать возможность бесконтрольного проникновения в них посторонних лиц и гарантировать сохранность находящихся в этих помещениях документов и средств автоматизации.
4. Входные двери оборудуются замками, гарантирующими надежное закрытие помещений в нерабочее время.
5. По завершении рабочего дня помещения, в которых ведется обработка персональных данных, закрываются и опечатываются.
6. Вскрытие помещений производится строго теми гражданскими служащими, которые имеют доступ в эти помещения.
7. В случае утраты ключей от помещений немедленно производится замена замков.
8. Уборка в помещениях, где ведется обработка персональных данных, производится в присутствии гражданских служащих, работающих в этих помещениях.
9. При обнаружении повреждений запоров или других признаков, указывающих на возможное проникновение в помещения, в которых ведется обработка персональных данных, посторонних лиц, эти помещения не вскрываются, а составляется акт, и о случившемся немедленно ставится в известность руководство Министерства.
------------------------------------------------------------------
Введите даты для поиска: