ПРИКАЗ от 22 апреля 2016г. № 82 – п г. "Об обработке персональных данных в Администрации Главы Республики Адыгея и Кабинета Министров Республики Адыгея"

В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»                        и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»

п р и к а з ы в а ю:

1. Утвердить прилагаемые:

- Правила обработки персональных данных в Администрации Главы Республики Адыгея и Кабинета Министров Республики Адыгея, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований (приложение № 1);

- Политику в отношении обработки персональных данных (приложение № 2);

- Положение о защите персональных данных работников в Администрации Главы Республики Адыгея и Кабинета Министров Республики Адыгея (приложение № 3);

- План внутренних проверок режима защиты персональных данных и конфиденциальной информации в Администрации Главы Республики Адыгея и Кабинета Министров Республики Адыгея (приложение № 4);

- Перечень персональных данных, обрабатываемых в Администрации Главы Республики Адыгея и Кабинета Министров Республики Адыгея в связи с реализацией служебных или трудовых отношений, а также в связи с осуществлением государственных функций (приложение № 5);

- Перечень должностей государственной гражданской службы Администрации Главы Республики Адыгея и Кабинета Министров Республики Адыгея и иных должностей, не являющихся должностями государственной гражданской службы Республики Адыгея, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (приложение № 6);

- Правила работы с обезличенными данными и перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных (приложение № 7);

- Типовую форму согласия на обработку персональных данных государственного гражданского служащего Администрации Главы Республики Адыгея и Кабинета Министров Республики Адыгея, иных субъектов персональных данных (приложение № 8);

- Типовую форму отзыва согласия на обработку персональных данных (приложение № 9);

- Типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные (приложение № 10);

- Типовое обязательство государственного гражданского служащего Администрации Главы Республики Адыгея и Кабинета Министров Республики Адыгея или лица, замещающего должность, не являющуюся должностью государственной гражданской службы Республики Адыгея, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей (приложение № 11);

- Обязательство о неразглашении конфиденциальной информации (персональных данных), не содержащих сведений, составляющих государственную тайну (приложение № 12);

- Акт уничтожения персональных данных и иной конфиденциальной информации субъекта персональных данных, находящейся на программно-технических средствах  ИСПДн (наименование организации) (приложение № 13);

- Журнал учета обращения граждан для получения доступа к своим персональным данным в Администрации Главы Республики Адыгея и Кабинета Министров Республики Адыгея (приложение № 14);

- Журнал учета согласий субъектов персональных данных (приложение № 15);

- Журнал учета обращений субъектов персональных данных о выполнении их законных прав при обработке персональных данных (приложение № 16);

- Журнал учета мероприятий по контролю над соблюдением режима защиты персональных данных (приложение № 17);

- Журнал учета использования магнитных носителей информации (приложение № 18);

- Инструкцию по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам информационных систем (приложение № 19);

- Инструкцию по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств автоматизированных рабочих мест управления (приложение № 20);

- Инструкцию по допуску в служебные помещения, в которых обрабатываются персональные данные (приложение № 21).

2. Руководителям самостоятельных структурных подразделений Администрации Главы Республики Адыгея и Кабинета Министров Республики Адыгея организовать изучение настоящего приказа и обеспечить его выполнение.

3. Контроль за исполнением приказа возложить на М.А. Тлинова, заместителя Руководителя Администрации Главы Республики Адыгея и Кабинета Министров Республики Адыгея, начальника Управления делами.


ПОЛИТИКА в отношении обработки персональных данных

1. Общие положения

1.1. Настоящий документ определяет политику (далее – Политика) Администрации Главы Республики Адыгея и Кабинета Министров Республики Адыгея (далее – Администрация) в отношении обработки персональных данных.

1.2. Настоящая Политика разработана и утверждена в соответствии с требованиями Конституции Российской Федерации, Трудовым Кодексом Российской Федерации, Гражданским Кодексом Российской Федерации, Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», и действует в отношении всех персональных данных, обрабатываемых в Администрации.

1.3. Целью настоящей Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, а также интересов Администрации.

1.4. Настоящая Политика определяет цели, принципы, порядок и условия обработки персональных данных работников и иных лиц, чьи персональные данные обрабатываются Администрацией, а также включает перечень мер, применяемых в целях обеспечения безопасности персональных данных при их обработке.

1.5. Политика является общедоступным документом, декларирующим концептуальные основы деятельности Администрации при обработке персональных данных.

 

2. Правовые основания обработки персональных данных

2.1. Правовой основой настоящей Политики в области обработки персональных данных является Федеральный закон № 152-ФЗ «О персональных данных» от 27 июля 2006 года, постановления Правительства РФ, нормативные акты ФСБ России, ФСТЭК России, Роскомнадзора, иные нормативно-правовые и локальные акты Республики Адыгея и Администрации.

2.2. Во исполнение настоящей Политики в Администрации разрабатываются и утверждаются локальные акты, регламентирующие порядок организации обработки и обеспечения безопасности персональных данных.

3. Основные категории, цели и принципы обработки персональных данных

3.1. Администрация осуществляет обработку персональных данных в целях реализации прав и обязанностей Администрации, установленных действующим законодательством, для решения следующих задач:

- организации системы кадрового учета, анализ качественного состава кадров и мониторинг персонала, формирование резерва кадров;

- осуществления функции учета и отчетности по расходам, связанным с оплатой труда;

- обеспечения воинского учета;

- выполнения задач возложенных в соответствии с положением об Администрации, утвержденным  Указом Главы Республики Адыгея от 10 мая 2011 года № 46 «О некоторых вопросах деятельности Администрации Главы Республики Адыгея и Кабинета Министров Республики Адыгея».

3.2. Содержание и объем обрабатываемых категорий персональных данных субъектов персональных данных, перечисленных в разделе 3 настоящей Политики, определяются в соответствии с целями обработки персональных данных. Администрация не обрабатывает персональные данные, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями.

Обрабатываемые Администрацией персональные данные содержатся как в подлинниках, так и копиях документов.

В подлинниках хранятся следующие документы:

- письменное заявление о приеме на работу;

- документы о прохождении конкурса на замещение вакантной должности (если гражданин назначен на должность по результатам конкурса);

- экземпляр служебного контракта (трудового договора), а также экземпляры письменных дополнительных соглашений, которыми оформляются изменения и дополнения, внесенные в служебный контракт (трудовой договор);

- аттестационный лист, и отзыв об исполнении им должностных обязанностей за аттестационный период;

- медицинское заключение установленной формы об отсутствии у гражданина заболевания, препятствующего выполнению им служебных обязанностей;

- наградные документы;

- личные карточки формы Т-2 и Т-2ГС;

- списки замещения штатных должностей работников Администрации;

- журнал учета движения трудовых книжек и вкладышей к ним;

- журнал учета личных дел;

- журнал учета служебных контрактов (трудовых договоров);

- журнал учета листков нетрудоспособности;

- книга учета и выдачи служебных удостоверений;

- табеля учета рабочего времени;

- документы по индивидуальному (персонифицированному) учету в системе обязательного пенсионного страхования (в соответствии с Постановлением Правления Пенсионного фонда Российской Федерации от 31.07.2006 № 192п «О формах документов индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования и инструкции по их заполнению»;

- расчетно-платежная ведомость (форма по ОКУД 0504401);

- платежная ведомость (форма по ОКУД 0504403);

- расчетный листок;

- карточка-справка (форма по ОКУД 0504417);

- налоговая карточка по учету доходов и налога на доходы физических лиц (форма 1-НДФЛ);

- справка о доходах физического лица в инспекцию Федеральной налоговой службы (форма 2-НДФЛ);

- индивидуальные сведения о страховом стаже и начисленных страховых взносах на обязательное пенсионное страхование застрахованного лица (форма СЗВ-4-2);

- реестр застрахованных лиц, за которых перечислены дополнительные страховые взносы на накопительную часть трудовой пенсии и уплачены взносы работодателя (форма ДСВ-3);

- индивидуальная карточка учета сумм начисленных выплат и иных вознаграждений, сумм начисленного единого социального налога, страховых вносов на пенсионное страхование (налогового вычета) (приложение 1 к приказу МНС РФ от 27.07.2004 № САЭ-3-05/443);

- справка о заработной плате работников, выдаваемая для предъявления работником по месту требования;

В копиях хранятся следующие документы:

- паспорт;

- свидетельства о государственной регистрации актов гражданского состояния;

- документы, подтверждающие прохождение военной или иной службы;

- документы о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания (если таковые имеются);

- документы воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);

-  страховые свидетельства обязательного пенсионного страхования;

- свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации;

- страховые медицинские полисы обязательного медицинского страхования граждан;

- иные документы, установленные федеральными законами, иными нормативными актами Российской Федерации и Республики Адыгея, представляемые при поступлении на работу и в процессе осуществления трудовой деятельности.

В оригинале хранятся следующие документы:

- трудовые книжки;

- собственноручно заполненные и подписанные анкеты работников, а также лиц, претендующих на замещение вакантных должностей или на включение в кадровый резерв, установленной формы с фотографией;

- распоряжения по кадровым вопросам (в том числе о назначении на должность, переводе на иную должность, освобождении от замещаемой должности), постановления и распоряжения Администрации о награждении государственными наградами, присвоении почетных званий, присуждении государственных премий (если таковые имеются), а также проекты указанных правовых актов;

- документы о включении работника в кадровый резерв, а также об исключении его из кадрового резерва;

- решения о поощрении работника, а также о наложении на него дисциплинарного взыскания до его снятия или отмены;

- документы о начале служебной проверки, ее результатах, об отстранении работника от замещаемой должности;

- справки – объективки;

- справки о доходах, расходах и обязательствах имущественного характера.

3.3. Администрация в своей деятельности обеспечивает соблюдение принципов и условий обработки персональных данных, указанных в статьях 5 и 6 Федерального закона 152-ФЗ «О персональных данных».

Обработка персональных данных в Администрации осуществляется на основе принципов: 

- законности и справедливости целей и способов обработки персональных данных;

- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Администрации; 

- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных; 

- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных; 

- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные; 

- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки; 

- уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении. 

3.4. Администрация осуществляет обработку персональных данных только при условиях, определенных действующим законодательством Российской Федерации и Республики Адыгея в области персональных данных.

3.6. Администрация выполняет обработку специальных категорий персональных данных, касающихся, состояния здоровья.

3.7. Администрация не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.

3.8. В Администрации могут быть созданы общедоступные источники персональных данных (справочники, адресные книги). Персональные данные, сообщаемые субъектом (фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и др.), включаются в такие источники только с письменного согласия субъекта персональных данных.

4. Порядок, условия и сроки обработки персональных данных

4.1. Администрация обрабатывает персональные данные своих работников, а также иных лиц, давших согласие на обработку персональных данных, во исполнение заключенных договоров или с целью их заключения, во исполнение обязательств, предусмотренных федеральным законодательством и иными нормативными правовыми актами, а также в иных целях в соответствии с требованиями Федерального закона от 27 июля 2006г. № 152-ФЗ «О персональных данных».

4.2. Обработка персональных данных прекращается по истечении срока, предусмотренного законом, иным нормативным правовым актом Российской Федерации, договором, или согласием субъекта персональных данных на обработку его персональных данных. При отзыве субъектом персональных данных согласия на обработку его персональных данных такая обработка осуществляется только в пределах, необходимых для исполнения заключенных с ним договоров и в целях, предусмотренных законодательством Российской Федерации.

4.3. В Администрации обеспечивается защита персональных данных в рамках единого комплекса организационно-технических и правовых мероприятий по защите информации, составляющей персональные данные. При обеспечении защиты персональных данных учитываются требования Федерального закона от 27 июля 2006г. № 152-ФЗ «О персональных данных», принятых в соответствии с ним нормативных правовых актов и Трудового кодекса Российской Федерации. Система защиты информации Администрации непрерывно развивается и совершенствуется на базе требований национальных стандартов информационной безопасности.

4.4. В Администрации предусмотренных нормативными актами и локальными актами случаях проводится аттестация информационных систем на соответствие требованиям по безопасности информации. 

4.5. Сроки обработки и архивного хранения персональных данных определяются в соответствии с требованиями действующего законодательством РФ (Гражданским кодексом РФ, Трудовым кодексом РФ, Налоговым кодексом РФ, Федеральным законом РФ №152-ФЗ от 27.07.2006 г. «О персональных данных», Федеральным законом 125 -ФЗ от 22.10.2004 г.  «Об архивном деле», Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», а также иными требованиями действующего законодательства РФ), нормативными актами и локальными актами Администрации.

4.6. Управление прекращает обработку персональных данных в следующих случаях:

- при достижении цели обработки персональных данных;

- при изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;

- при выявлении неправомерной обработки персональных данных, осуществляемой Администрацией;

- при отзыве субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Федеральным законом обработка персональных данных допускается только с согласия субъекта персональных данных.

4.7. Уничтожение Администрацией персональных данных осуществляется в порядке и сроки, предусмотренные законодательством Российской Федерации.

5. Категории субъектов персональных данных

5.1. Администрация обрабатывает персональные данные следующих категорий субъектов персональных данных: 

- работников Администрации (далее – работники);

- лиц, претендующих на замещение вакантных должностей в Администрации при прохождении процедуры согласования назначения на должность в установленном порядке;

- лиц, претендующих на включение в кадровый резерв;

- исполнителей по гражданско-правовым договорам;

- физических лиц проходящих процедуры в соответствии целями и задачами Администрации.

6. Передача персональных данных

6.1. Администрация не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов персональных данных, третьей стороне без согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.

6.2. Администрация передает обрабатываемые персональные данные в уполномоченные организации, государственные органы, государственные внебюджетные фонды только на основаниях и в случаях, предусмотренных законодательством Российской Федерации,

6.3. По мотивированному запросу, исключительно для выполнения возложенных законодательством функций и полномочий, персональные данные субъекта персональных данных без его согласия могут быть переданы в судебные органы, в органы государственной безопасности, прокуратуры, полиции, следственные органы – в случаях, установленных нормативными правовыми актами, обязательными для исполнения.

7. Обеспечение безопасности персональных данных

7.1. Администрация при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

7.2. Во исполнение норм действующего законодательства, а также в соответствии с настоящей Политикой в Администрации принимаются следующие меры:

- назначаются ответственные за организацию обработки и безопасность персональных данных, администратор информационной безопасности;

- разрабатываются и внедряются локальные акты, определяющие правила обработки персональных данных, а также процедуры, направленные на выявление и предотвращение нарушения таких правил;

- применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона РФ №152-ФЗ от 27.07.2006 г.  «О персональных данных»;

- осуществляется внутренний контроль соответствия обработки персональных данных требованиям нормативных актов с целью выявления нарушений установленных процедур по обработке персональных данных и устранение последствий таких нарушений;

- с работниками Администрации, непосредственно осуществляющими обработку персональных данных, связанными с вопросами защиты информации проводится обучение правилам обработки и защиты персональных данных (в том числе мероприятия по ознакомлению с положениями законодательства Российской Федерации в области персональных данных, с требованиями к защите персональных данных, документами, определяющими политику Администрации в отношении обработки персональных данных, локальными актами Администрации по вопросам обработки персональных данных);

- осуществляется оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона РФ №152-ФЗ от 27.07.2006 г. «О персональных данных»;

- 7.3. В целях обеспечения безопасности персональных данных проводятся следующие мероприятия:

- определяются угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;

- применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных,

- определяются уровни защищенности персональных данных;

- применяются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия;

- проводится оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- осуществляется учет магнитных носителей персональных данных;

- принимаются процедуры, направленные на выявление фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;

- производится восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- устанавливаются правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;

осуществляется постоянный контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

- 7.4. Обязанности должностных лиц, осуществляющих обработку и защиту персональных данных, а также их ответственность, определяются локальными актами Администрации по вопросам обработки и обеспечения безопасности персональных данных.

8. Права субъектов персональных данных

В соответствии с Федеральным Законом № 152-ФЗ «О персональных данных» субъект персональных данных имеет право:

8.1. Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.2. Требовать перечень своих персональных данных, обрабатываемых Администрацией и источник их получения. 

8.3. Получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения.

8.4. Требовать извещения Администрацией всех лиц, которым в рамках действующего законодательства РФ ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

8.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных. 

8.6. На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

8.7. Отозвать свое согласие на обработку своих персональных данных.

9. Обязанности Администрации и конфиденциальность персональных данных

9.1. Администрация обязана осуществить самостоятельно или обеспечить (если обработка персональных данных осуществляется другим лицом) конфиденциальность, блокирование, уточнение, прекращение обработки, уничтожение персональных данных субъекта персональных данных в соответствии с требованиями статьи 21 Федерального закона № 152-ФЗ «О персональных данных».

9.2.  Персональные данные работников Администрации, обрабатываемые в Администрации, относятся к информации конфиденциального характера.

9.3. Работники Администрации, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения ими служебных (трудовых) обязанностей, обязаны соблюдать конфиденциальность обрабатываемых персональных данных и информируются о том, что в соответствии со ст.24 ФЗ-152 «О персональных данных» лица, виновные в нарушении требований закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

9.4. Работники Администрации подписывают обязательство о неразглашении персональных данных.

10. Заключительные положения

10.1. Настоящая Политика является общедоступным документом и подлежит размещению на официальном сайте Администрации.

10.2. Настоящая Политика подлежит пересмотру в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.

10.3. Контроль за исполнением требований настоящей Политики осуществляется ответственным лицом Администрации, назначаемым в установленном порядке локальным актом.

10.4. Ответственность должностных лиц Администрации, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с действующим законодательством Российской Федерации в области персональных данных и локальными актами Управления.