Приказ ГАУРО от 29.12.2012 N 44/01-04

Об утверждении нормативных актов по защите персональных данных

В соответствии с Постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" приказываю:
1. Утвердить правила обработки персональных данных в главном архивном управлении Рязанской области согласно приложению N 1.
2. Утвердить правила рассмотрения запросов субъектов персональных данных или их представителей в главном архивном управлении Рязанской области согласно приложению N 2.
3. Утвердить правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в главном архивном управлении Рязанской области согласно приложению N 3.
4. Утвердить перечень персональных данных, обрабатываемых в главном архивном управлении Рязанской области, согласно приложению N 4.
5. Утвердить должностную инструкцию ответственного за организацию обработки персональных данных в главном архивном управлении Рязанской области согласно приложению N 5.
6. Утвердить порядок доступа работников или иных лиц в помещения, в которых ведется обработка (хранение) персональных данных в главном архивном управлении Рязанской области согласно приложению N 6.
7. Контроль за исполнением приказа оставляю за собой.

Начальник управления А.В.ПЕРЕХВАТОВА

Приложение N 1 к приказу начальника главного архивного управления Рязанской области от 29 декабря 2012 г. N 44/01-04

ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ГЛАВНОМ АРХИВНОМ УПРАВЛЕНИИ РЯЗАНСКОЙ ОБЛАСТИ


1. Настоящими Правилами обработки персональных данных в главном архивном управлении Рязанской области (далее - Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; содержание обрабатываемых персональных данных для каждой цели обработки персональных данных; категории субъектов, персональные данные которых обрабатываются; сроки обработки и хранения; порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
2. Настоящие Правила разработаны в соответствии со статьей 42 Федерального закона от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации", Федеральным законом от 27 июля 2006 г. N 152 ФЗ "О персональных данных", Трудовым кодексом Российской Федерации, Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", Постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами.
3. В настоящих Правилах используются следующие основные понятия статьи 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных":
- персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
4. Принципы обработки персональных данных:
- обработка персональных данных должна осуществляться на законной и справедливой основе;
- обработка персональных данных должна ограничиваться достижением конкретных, определенных настоящими Правилами целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Должностные лица главного архивного управления Рязанской области (далее по тексту - Управление) должны принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
- хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
Мероприятия по обезличиванию обрабатываемых персональных данных в Управление не проводятся.
5. Обработка персональных данных в Управление осуществляется для следующих целей:
- обработка персональных данных осуществляется в соответствии с законодательством о государственной гражданской службе, трудовым законодательством;
- обработка персональных данных необходима для предоставления государственной услуги в соответствии с Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на Едином портале государственных и муниципальных услуг.
6. Начальник Управления назначает лицо, ответственное за организацию обработки персональных данных в Управление, и определяет лиц, уполномоченных на обработку персональных данных, обеспечивающих обработку персональных данных в соответствии с требованиями законодательства и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.
7. Должностные лица Управления, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
8. Содержание обрабатываемых персональных данных государственных гражданских служащих и рабочих Управления (далее - работники Управления) определяются нормативными правовыми актами законодательства о государственной гражданской службе и трудового законодательства Российской Федерации.
9. Обработка персональных данных работников Управления осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Работник Управления принимает решение о предоставлении его персональных данных и дает согласие на их обработку. Согласие работника Управления на обработку его персональных данных должно отвечать требованиям, определенным статьей 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
10. При сборе персональных данных уполномоченные должностные лица Управления обязаны предоставить работнику Управления по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона от 27 июля 2006 г. N 152 ФЗ "О персональных данных".
Если предоставление персональных данных является обязательным в соответствии с федеральным законом, уполномоченные должностные лица Управления обязаны разъяснить работнику Управления юридические последствия отказа предоставить его персональные данные.
11. При обработке персональных данных работников Управления уполномоченные должностные лица обязаны соблюдать следующие требования:
- обработка персональных данных осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
- персональные данные следует получать лично у работника Управления. В случае возникновения необходимости получения персональных данных работника у третьей стороны следует известить об этом работника заранее, получить его письменное согласие и сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных;
- запрещается получать, обрабатывать и приобщать к личному делу работника Управления не установленные Федеральными законами от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации" и от 27 июля 2006 г. N 152-ФЗ "О персональных данных" персональные данные о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;
- передача персональных данных работника третьей стороне не допускается без письменного согласия работника, за исключением случаев, установленных федеральными законами;
- в случае выявления неполных, неточных или неактуальных персональных данных в срок, не превышающий семи рабочих дней со дня предоставления работником или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, уполномоченные должностные лица Управления обязаны внести в них необходимые изменения с уведомлением работника или его представителя;
- в случае представления работником или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уполномоченные должностные лица Управления в срок, не превышающий семи рабочих дней со дня получения таких сведений, обязаны уничтожить такие персональные данные с уведомлением работника или его представителя;
- в случае выявления недостоверных персональных данных работника или неправомерных действий с ними уполномоченных на обработку должностных лиц при обращении или по запросу работника, являющегося субъектом персональных данных, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных, уполномоченные должностные лица Управления обязаны осуществить блокирование персональных данных, относящихся к соответствующему работнику Управления, с момента такого обращения или получения такого запроса на период проверки;
- в случае подтверждения факта недостоверности персональных данных работника уполномоченные должностные лица Управления на основании документов, представленных работником, являющимся субъектом персональных данных, или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование;
- в случае выявления неправомерных действий с персональными данными уполномоченные должностные лица Управления в срок, не превышающий трех рабочих дней с даты такого выявления, обязаны устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений уполномоченные должностные лица Управления в срок, не превышающий десяти рабочих дней с даты выявления неправомерности действий с персональными данными, обязаны уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных уполномоченные должностные лица Управления обязаны уведомить работника, являющегося субъектом персональных данных, или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, в указанный орган;
- хранение персональных данных должно осуществляться в форме, позволяющей определить работника, являющегося субъектом персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
12. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, если:
- субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
- обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о противодействии коррупции;
- обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.
13. Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме гражданского служащего, являющегося субъектом персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации о противодействии коррупции, о государственной службе, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию и другими нормативными правовыми актами Российской Федерации.
Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
14. В соответствии со статьей 15 Федерального закона от 27 мая 2003 г. N 58-ФЗ "О системе государственной службы Российской Федерации" на основе персональных данных гражданских служащих в Управлении формируется и ведется, в том числе на электронных носителях, реестр гражданских служащих Управления.
15. Сведения о доходах, об имуществе и обязательствах имущественного характера гражданского служащего, его супруги (супруга) и несовершеннолетних детей в соответствии с законодательством о государственной гражданской службе в Российской Федерации размещаются на официальном сайте Управления в сети Интернет.
16. Сроки обработки и хранения персональных данных работников Управления, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований определяются нормами законодательства Российской Федерации в сфере государственного гражданской службы, трудового законодательства, законодательства об архивном деле.
17. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральным законом.
18. Субъект персональных данных имеет право на получение сведений, указанных в статье 14 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" Субъект персональных данных вправе требовать от Управления уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Сведения, указанные в части 7 статье 14 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", должны быть предоставлены уполномоченными должностными лицами Управления субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Сведения, указанные в части 7 статьи 14 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", предоставляются уполномоченными должностными лицами Управления субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя в тридцатидневный срок. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором, либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", и ознакомления с такими персональными данными осуществляется не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя уполномоченные должностные лица Управления обязаны дать в письменной форме мотивированный ответ в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя.
19. Меры, принимаемые в Управлении, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных:
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учет машинных носителей персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Приложение N 2 к приказу начальника главного архивного управления Рязанской области от 29 декабря 2012 г. N 44/01-04

ПРАВИЛА РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ


1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 статьи 14 Федеральный закон Российской Федерации от 25 июля 2011 г. N 261-ФЗ (далее - Федеральный закон), за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
3. Сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором, либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
4. В случае, если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящих правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 настоящих правил, должен содержать обоснование направления повторного запроса.
6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 настоящих правил согласно Федеральному закону. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
7. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
- обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
- обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
- обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
8. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных:
- оператор обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 30 (тридцати) дней с даты получения запроса субъекта персональных данных или его представителя;
- в случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 (тридцати) дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя;
- оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы;
- оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 (тридцати) дней с даты получения такого запроса.

Приложение N 3 к приказу начальника главного архивного управления Рязанской области от 29 декабря 2012 г. N 44/01-04

ПРАВИЛА ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ГЛАВНОМ АРХИВНОМ УПРАВЛЕНИИ РЯЗАНСКОЙ ОБЛАСТИ


1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - Правила) в главном архивном управлении Рязанской области (далее по тексту - Управление) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
2. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 г. N 152 ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", Постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами.
3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 г. N 152 ФЗ "О персональных данных".
4. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Управлении организовывается проведение периодических проверок условий обработки персональных данных.
5. Проверки осуществляются ответственным за организацию обработки персональных данных в Управлении либо комиссией, образуемой приказом начальника Управления.
В проведении проверки не может участвовать гражданский служащий, прямо или косвенно заинтересованный в ее результатах.
6. Проверки соответствия обработки персональных данных установленным требованиям в Управлении проводятся на основании утвержденного начальником управления ежегодного плана мероприятий по организации защиты персональных данных по Управлению или на основании поступившего в Управление письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
7. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
- порядок и условия применения средств защиты информации;
- эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- состояние учета машинных носителей персональных данных;
- соблюдение правил доступа к персональным данным;
- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
- мероприятия по восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- осуществление мероприятий по обеспечению целостности персональных данных.
8. Ответственный за организацию обработки персональных данных в Управлении (комиссия) имеет право:
- запрашивать у сотрудников Управления информацию, необходимую для реализации полномочий;
- требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
- вносить начальнику Управления предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
- вносить начальнику Управления предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
9. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных в Управлении (комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
10. Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о ее проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, ответственный за организацию обработки персональных данных (председатель комиссии) докладывает начальнику Управления в форме письменного заключения.
11. Начальник Управления, назначивший внеплановую проверку, обязан контролировать своевременность и правильность ее проведения.

Приложение N 4 к приказу начальника главного архивного управления Рязанской области от 29 декабря 2012 г. N 44/01-04

ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ГЛАВНОМ АРХИВНОМ УПРАВЛЕНИИ РЯЗАНСКОЙ ОБЛАСТИ

Перечень персональных данных, подлежащих защите в главном архивном управлении Рязанской области (далее - Перечень), разработан в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".
Сведениями, составляющими персональные данные, является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, в том числе:
1. Биометрические персональные данные: сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (фотографии субъекта персональных данных в личном деле, ксерокопии с документов, удостоверяющих личность и имеющих фотографию владельца в личном деле).
2. Персональные данные общей категории:
- фамилия, имя, отчество (в т.ч. прежние), дата и место рождения;
- паспортные данные или данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ), гражданство;
- адрес места жительства (по паспорту и фактический) и дата регистрации по месту жительства или по месту пребывания;
- номера телефонов (мобильного и домашнего), в случае их регистрации на субъекта персональных данных или по адресу его места жительства (по паспорту);
- сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки (серия, номер, дата выдачи диплома, свидетельства, аттестата или другого документа об окончании образовательного учреждения, в том числе наименование и местоположение образовательного учреждения);
- сведения о повышении квалификации и переподготовке (серия, номер, дата выдачи документа о повышении квалификации или о переподготовке, наименование и местоположение образовательного учреждения);
- сведения о трудовой деятельности (данные о трудовой деятельности на текущее время с полным указанием должности, структурного подразделения, организации и ее наименования, ИНН, адреса и телефонов, а также реквизиты других организаций с полным наименование занимаемых ранее в них должностей и времени работы в этих организациях);
- сведения о номере, серии и дате выдачи трудовой книжки (вкладыша в нее) и записей в ней;
- содержание и реквизиты служебного контракта, гражданско-правового договора с гражданином;
- сведения о заработной плате;
- сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу (серия, номер, дата выдачи, наименование органа, выдавшего военный билет);
- сведения о семейном положении (состояние в браке, данные свидетельства о заключении брака, фамилия, имя, отчество супруги(а), паспортные данные супруги(а), данные справки по форме 2-НДФЛ супруги(а), степень родства, фамилии, имена, отчества и даты рождения других членов семьи, иждивенцев);
- сведения об имуществе (имущественном положении): автотранспорт (марка, место регистрации), адреса размещения, способ и основание получения объектов недвижимости, банковские вклады (местоположение, номера счетов), кредиты (займы), банковские счета, денежные средства и ценные бумаги, в том числе в доверительном управлении и на доверительном хранении;
- сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
- сведения об идентификационном номере налогоплательщика;
- сведения из страховых полисов обязательного медицинского страхования;
- сведения, указанные в оригиналах и копиях приказов по личному составу и материалах к ним;
- сведения о государственных и ведомственных наградах, почетных и специальных званиях, поощрениях (в том числе наименование или название награды, звания или поощрения, дата и вид нормативного акта о награждении или дата поощрения) сотрудника;
- материалы по аттестации сотрудников;
- материалы по внутренним служебным расследованиям в отношении сотрудников;
- медицинские заключения установленной формы об отсутствии у гражданина заболевания, препятствующего поступлению на гражданскую службу;
- сведения о временной нетрудоспособности сотрудников;
- табельный номер сотрудника;
- сведения о социальных льготах и о социальном статусе (серия, номер, дата выдачи, наименование органа, выдавшего документа, являющимся основанием для предоставления льгот и статуса).
4. Обезличенные и (или) общедоступные персональные данные:
- сведения о трудовой деятельности (общие данные о трудовой занятости на текущее время, общий и непрерывный стаж работы);
- сведения об образовании, квалификации, о наличии специальных знаний или специальной подготовки (дата начала и завершения обучения, факультет или отделение, квалификация и специальность по окончании образовательного учреждения, ученая степень, ученое звание, владение иностранными языками);
- сведения о повышении квалификации и переподготовке (дата начала и завершения обучения, квалификация и специальность по окончании образовательного учреждения);
- сведения о заработной плате (в том числе данные по окладу, надбавкам, налогам);
- сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу (военно-учетная специальность, воинское звание, данные о принятии/снятии с учета);
- сведения о семейном положении (состоянии в браке, наличие детей и их возраст);
- наличие (отсутствие) судимости.

Приложение N 5 к приказу начальника главного архивного управления Рязанской области от 29 декабря 2012 г. N 44/01-04

ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ


Ответственный за организацию обработки персональных данных назначается приказом начальника главного архивного управления Рязанской области.
Ответственный за организацию обработки персональных данных должен руководствоваться в своей деятельности Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", нормативными правовыми актами Рязанской области, нормативными актами главного архивного управления Рязанской области (далее по тексту - Управление), настоящей должностной инструкцией.
Должностные обязанности:
- предоставлять субъекту персональных данных по его просьбе информацию:
- осуществлять внутренний контроль за соблюдением требований законодательства РФ при обработке персональных данных в Управлении, в том числе требований к защите персональных данных;
- доводить до сведения государственных служащих Управления положения законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов;
- разъяснять субъекту персональных данных юридических последствий отказа предоставления своих персональных данных.
Ознакомлена:

Приложение N 6 к приказу начальника главного архивного управления Рязанской области от 29 декабря 2012 г. N 44/01-04

ПОРЯДОК ДОСТУПА РАБОТНИКОВ ИЛИ ИНЫХ ЛИЦ В ПОМЕЩЕНИЯ, В КОТОРЫХ ВЕДЕТСЯ ОБРАБОТКА (ХРАНЕНИЕ) ПЕРСОНАЛЬНЫХ ДАННЫХ В ГЛАВНОМ АРХИВНОМ УПРАВЛЕНИИ РЯЗАНСКОЙ ОБЛАСТИ


1. Доступ работников главного архивного управления Рязанской области (далее по тексту - Управление) и иных лиц в помещения, в которых ведется обработка (хранение) персональных данных (далее по тексту - ПДн) осуществляется таким образом, чтобы был обеспечен должный уровень информационной безопасности ПДн.
2. Доступ в помещения, где осуществляется обработка (хранение) ПДн открывается:
- работникам, осуществляющим обработку этих ПДн;
- работникам, на которых возложена обязанность по осуществлению контроля за исполнением требований информационной безопасности при обработке (хранении) ПДн в Управлении;
- иным лицам в случае необходимости по согласованию с ответственным за обеспечение безопасности ПДн в Управлении.
3. Лицам, не поименованным в п. 2 настоящего Порядка, доступ в помещения, в которых осуществляется обработка (хранение) ПДн, запрещен.
4. Контроль за выполнением требований настоящего Порядка возлагается на ответственного за обеспечение безопасности ПДн в Управлении.