Типы документов
Реклама
Партнеры
Приказ Департамента труда и занятости населения Краснодарского края от 18.06.2014 N 308 "Об утверждении документов, определяющих порядок и политику проведения работ по обработке и защите персональных данных, обрабатываемых в информационных системах персональных данных департамента труда и занятости населения Краснодарского края"
ДЕПАРТАМЕНТ ТРУДА И ЗАНЯТОСТИ НАСЕЛЕНИЯ КРАСНОДАРСКОГО КРАЯ
ПРИКАЗ
от 18 июня 2014 г. № 308
ОБ УТВЕРЖДЕНИИ ДОКУМЕНТОВ,
ОПРЕДЕЛЯЮЩИХ ПОРЯДОК И ПОЛИТИКУ ПРОВЕДЕНИЯ РАБОТ
ПО ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЕПАРТАМЕНТА
ТРУДА И ЗАНЯТОСТИ НАСЕЛЕНИЯ КРАСНОДАРСКОГО КРАЯ
В целях соблюдения требований безопасности при обработке персональных данных в информационных системах персональных данных департамента труда и занятости населения Краснодарского края приказываю:
1. Утвердить Положение о порядке организации и проведения работ по обработке и защите персональных данных, обрабатываемых в информационных системах персональных данных департамента труда и занятости населения Краснодарского края (приложение 1).
2. Утвердить Политику обработки ПДн (для размещения на общедоступных ресурсах) (приложение 2).
3. Приказ довести до сотрудников в части их касающейся.
4. Контроль за исполнением настоящего оставляю за собой.
Руководитель департамента
И.В.МЕЛКИХ
Приложение № 1
к приказу
от 18 июня 2014 г. № 308
Утверждаю
Руководитель департамента труда
и занятости населения
Краснодарского края
И.В. Мелких
"___" _______________ 2014 г.
ПОЛОЖЕНИЕ
О ПОРЯДКЕ ОРГАНИЗАЦИИ И ПРОВЕДЕНИЯ РАБОТ
ПО ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЕПАРТАМЕНТА
ТРУДА И ЗАНЯТОСТИ НАСЕЛЕНИЯ КРАСНОДАРСКОГО КРАЯ
1. Общие положения
1.1. Настоящее "Положение о порядке организации и проведения работ по обработке и защите персональных данных, обрабатываемых в информационных системах персональных данных департамента труда и занятости населения Краснодарского края" (далее - Положение) разработано на основании:
- Конституции Российской Федерации;
- Федерального закона Российской Федерации от 19.04.1991 № 1032-1 "О занятости населения в Российской Федерации";
- Трудового кодекса Российской Федерации;
- Гражданского кодекса Российской Федерации;
- Налогового кодекса Российской Федерации;
- Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных";
- Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации";
- Указа Президента РФ от 30 мая 2005 г. № 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";
- и других нормативно-правовых актов Российской Федерации.
1.2. Настоящим Положением определяется порядок обработки, т.е. действий (операций) с персональными данными (далее - ПДн), включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн сотрудников и клиентов департамента труда и занятости населения Краснодарского края (далее - ДТЗН КК) с использованием средств автоматизации или без использования таких средств. Положение устанавливает требования по защите ПДн, принципы обработки ПДн в информационных системах персональных данных (далее - ИСПДн), направленные на защиту интересов ДТЗН КК в области его сферы деятельности, обеспечение непрерывности деятельности ДТЗН КК.
1.3. Целью настоящего Положения является обеспечение в соответствии с законодательством Российской Федерации обработки, хранения и защиты ПДн сотрудников, клиентов службы занятости населения Краснодарского края, а также ПДн иных лиц, содержащихся в документах, полученных из других организаций, в обращениях граждан и иных источниках ПДн.
1.4. Основные термины и определения, применяемые в настоящем Положении:
1.4.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации, Перечнем ПДн, обрабатываемых в ДТЗН КК, настоящим Положением и локальными актами ДТЗН КК.
1.4.2. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
1.4.3. Распространение персональных данных - действия, направленные на раскрытие ПДн неопределенному кругу, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом.
1.4.4. Предоставление персональных данных - действия, направленные на раскрытие ПДн определенному кругу.
1.4.5. Использование персональных данных - действия (операции) с ПДн, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПДн или других лиц либо иным образом затрагивающих права и свободы субъекта ПДн или других лиц.
1.4.6. Блокирование персональных данных - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
1.4.7. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители ПДн.
1.4.8. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
1.4.9. Информационная система персональных данных - информационная система, представляющая собой совокупность содержащихся в базе данных ПДн и их обработку, информационных технологий и технических средств.
1.4.10. Конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся ее владельцем.
1.4.11. Конфиденциальность персональных данных - обязательное для соблюдения ДТЗН КК, или иным получившим доступ к ПДн лицом требование не допускать их распространения без согласия субъекта ПДн или наличия иного законного основания.
Обеспечения конфиденциальности ПДн не требуется:
- в случае обезличивания ПДн;
- в отношении общедоступных ПДн.
1.4.12. Общедоступные персональные данные - ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
В целях информационного обеспечения могут создаваться общедоступные источники ПДн (в том числе справочники, адресные книги). В общедоступные источники ПДн с письменного согласия субъекта ПДн (Приложение № 8) могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, сообщаемые субъектом ПДн.
Сведения о субъекте ПДн могут быть в любое время исключены из общедоступных источников ПДн по требованию субъекта или по решению руководителя ДТЗН КК, либо по решению суда или иных уполномоченных государственных органов.
1.4.13. Трансграничная передача персональных данных - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.4.14. Сотрудники - лица, имеющие трудовые отношения с ДТЗН КК, либо кандидаты на вакантную должность, вступившие в отношения по поводу приема на работу.
1.4.15. Клиенты - граждане, обратившиеся в службу занятости населения Краснодарского края за получением государственных услуг на основании Федерального закона от 19.04.1991 № 1032-1 "О занятости населения в Российской Федерации".
1.4.16. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
1.5. К субъектам персональных данных (далее - субъекты) относятся лица - носители ПДн, ПДн которых переданы ДТЗН КК (как на добровольной основе, так и в рамках выполнения требований нормативно-правовых актов) для обработки (в том числе передачи), в том числе:
- сотрудники ДТЗН КК, включая совместителей, а также лица, выполняющие работы по трудовым договорам гражданско-правового характера;
- клиенты службы труда и занятости населения Краснодарского края;
- иные лица, предоставляющие ПДн ДТЗН КК.
1.6. ПДн защищаются от несанкционированного доступа в соответствии с нормативно-правовыми актами Российской Федерации, нормативно-распорядительными актами и рекомендациями регулирующих органов в области защиты информации, а также утвержденными регламентами и инструкциями ДТЗН КК.
1.7. Обработка ПДн субъекта без письменного его согласия не допускаются, если иное не определено законодательством РФ. ПДн относятся к категории конфиденциальной информации.
При отправке персональных данных субъектом ПДн посредством электронной почты или портала (http://www.kubzan.ru) ДТЗН КК, субъектом персональных данных осуществляется передача ПДн ДТЗН КК на основе добровольного согласия субъекта, выраженного в установке отметки о согласии субъекта ПДн на осуществление обработки переданных ПДн ДТЗН КК, в том числе передачу таковых ПДн третьим лицам. Согласие субъекта ПДн, полученное в такой форме, приравнивается к согласию субъекта ПДн, полученному письменно.
Режим конфиденциальности ПДн снимается в случаях обезличивания или по истечении сроков хранения, если иное не определено законодательством РФ.
1.8. Должностные лица ДТЗН КК, в обязанности которых входит обработка ПДн субъектов, обязаны обеспечить каждому субъекту возможность ознакомления со своими ПДн, если иное не предусмотрено законодательством РФ.
1.9. ПДн не могут быть использованы в целях:
- причинения имущественного и морального вреда гражданам;
- затруднения реализации прав и свобод граждан Российской Федерации.
1.10. Настоящее Положение и изменения к нему утверждаются руководителем ДТЗН КК, являются обязательными для исполнения всеми сотрудниками, имеющими доступ к ПДн субъектов ПДн ДТЗН КК.
2. Принципы обработки персональных данных
2.1. Обработка ПДн в ДТЗН КК осуществляется на основе следующих принципов:
- законности и справедливости обработки ПДн;
- законности целей и способов обработки ПДн и добросовестности;
- соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям ДТЗН КК;
- соответствия содержания и объема обрабатываемых ПДн целям обработки ПДн;
- достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;
- недопустимости объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
2.2. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.3. При получении от субъекта ПДн излишних ПДн или данных, которые не включены в перечень обрабатываемых ПДн ДТЗН КК, производится исключение таких данных из обработки.
В случае неавтоматизированной обработки, если излишние персональные данные находятся на одном носителе с ПДн, включенными в перечень обрабатываемых ДТЗН КК, производится вымарывание таких данных. Если материальный носитель содержит ПДн, не включенные в перечень обрабатываемых ДТЗН КК, и не содержит ПДн, включенные в перечень обрабатываемых ДТЗН КК, то такой носитель информации должен быть уничтожен.
В случае автоматизированной обработки, излишние персональные данные необходимо уничтожить посредством удаления излишних персональных данных.
2.4. Субъект ПДн является собственником своих ПДн и самостоятельно решает вопрос передачи ДТЗН КК своих ПДн.
2.5. Держателем ПДн является ДТЗН КК, которому субъект ПДн передает во владение свои ПДн. ДТЗН КК выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.
2.6. Потребителями (пользователями) ПДн являются юридические и физические лица, обращающиеся к собственнику и (или) держателю ПДн за получением необходимых сведений и пользующиеся ими с соблюдением требований по обеспечению безопасности ПДн.
3. Понятие и состав персональных данных
3.1. Под ПДн сотрудника понимается информация, необходимая ДТЗН КК в связи с трудовыми отношениями и касающаяся конкретного субъекта ПДн, а также сведения о фактах, событиях и обстоятельствах жизни субъекта, позволяющие идентифицировать его личность.
Под ПДн клиента понимается информация, необходимая органам по труду и занятости населения Краснодарского края для оказания государственных и муниципальных услуг и обеспечения гарантий в области занятости населения Краснодарского края, формирования и ведения регистров получателей услуг в сфере занятости населения.
3.2. К ПДн сотрудника ДТЗН КК, состоящего на государственной службе, относятся следующие сведения:
- анкетные и биографические данные;
- фамилия, имя, отчество;
- данные основного документа, удостоверяющего личность (паспортные данные <1>)
- дата и место рождения;
- адрес регистрации (место проживания);
- номер телефона (домашний, сотовый);
- семейное положение;
- сведения об имущественном положении;
- сведения об образовании, квалификации;
- сведения о наличии инвалидности;
- сведения о трудовом и общем стаже;
- сведения о воинском учете;
- сведения о заработной плате сотрудника, иных выплатах субъектам ПДн (включая стипендии);
- занимаемая должность;
- ИНН, СНИЛС;
- номер счета в банке;
- сведения о доходах.
К ПДн сотрудника ДТЗН КК, не состоящего на государственной службе, относятся следующие сведения:
- анкетные и биографические данные;
- фамилия, имя, отчество;
- данные основного документа, удостоверяющего личность (паспортные данные <2>);
--------------------------------
<1> Паспортные данные включают серию и номер документа, сведения о дате выдачи указанного документа и выдавшем его органе.
<2> Паспортные данные включают серию и номер документа, сведения о дате выдачи указанного документа и выдавшем его органе.
- дата и место рождения;
- адрес регистрации (место проживания);
- номер телефона (домашний, сотовый);
- семейное положение;
- сведения об образовании, квалификации;
- сведения о наличии инвалидности;
- сведения о трудовом и общем стаже;
- сведения о воинском учете;
- сведения о заработной плате сотрудника, иных выплатах субъектам ПДн (включая стипендии);
- занимаемая должность;
- ИНН, СНИЛС;
- номер счета в банке.
К ПДн клиента службы труда и занятости населения Краснодарского края относятся следующие сведения:
- фамилия, имя, отчество;
- данные основного документа, удостоверяющего личность (паспортные данные);
- дата и место рождения;
- гражданство;
- адрес регистрации (места проживания);
- номер телефона (домашний, сотовый);
- семейное положение;
- сведения о наличии судимости;
- сведения об образовании, квалификации;
- сведения, устанавливающие ограничения трудовой деятельности;
- сведения о трудовом и общем стаже;
- сведения о воинском учете;
- ИНН, СНИЛС;
- номер счета в банке (лицевой счет получателя государственных услуг);
- размер социальных выплат.
3.3. Фотографии субъекта ПДн, в том числе копия удостоверяющих документов с фотографией субъекта ПДн, не используются в качестве средств идентификации субъекта ПДн и не являются биометрическими ПДн. Обработка фотографии сотрудника производится с его согласия.
3.4. Документы, содержащие ПДн, являются конфиденциальными.
4. Получение, обработка и хранение персональных данных
4.1. ДТЗН КК получает сведения о ПДн сотрудников из следующих источников:
- паспорта или иного документа, удостоверяющего личность;
- трудовой книжки;
- страхового свидетельства государственного пенсионного страхования;
- свидетельства о постановке на учет в налоговом органе, содержащего сведения об идентификационном номере налогоплательщика;
- документов воинского учета, содержащих сведения о воинском учете военнообязанных и лиц, подлежащих призыву на военную службу;
- документов об образовании, содержащих сведения о профессии, о квалификации или о наличии специальных знаний или специальной подготовки;
- анкет, заполняемых собственноручно при приеме на работу, или при подаче документов на участие в конкурсе на замещение вакантных должностей, предполагающих конкурсный отбор;
- иных документов и сведений, получаемых от субъекта или передаваемых от третьих лиц.
Субъект ПДн обязан представлять ДТЗН КК достоверные сведения о себе. ДТЗН КК имеет право проверять достоверность указанных сведений в порядке, не противоречащем законодательству Российской Федерации.
4.2. ДТЗН КК получает сведения о ПДн клиентов из следующих источников:
- заявления - анкеты, заполняемой собственноручно при обращении за государственной услугой в области занятости населения;
- паспорта или иного документа, удостоверяющего личность;
- трудовой книжки;
- страхового свидетельства государственного пенсионного страхования;
- документов воинского учета, содержащих сведения о воинском учете военнообязанных и лиц, подлежащих призыву на военную службу;
- документов об образовании, содержащих сведения о профессии, о квалификации или о наличии специальных знаний или специальной подготовки;
- документов, устанавливающих ограничения способности к трудовой деятельности;
- документов (справок, направлений), подтверждающих отнесение гражданина к соответствующей категории;
- справок о средней заработной плате по последнему месту работы;
- иных документов и сведений, получаемых от субъекта или передаваемых от третьих лиц.
Субъект ПДн обязан представлять в службу по труду и занятости населения Краснодарского края достоверные сведения о себе. Органы по труду и занятости населения Краснодарского края имеют право проверять достоверность указанных сведений в порядке, не противоречащем законодательству Российской Федерации.
4.3. Обработка ПДн субъекта ПДн может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении, продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы, обеспечения сохранности имущества, обеспечения государственных гарантий в области занятости населения.
4.4. При определении состава обрабатываемых ПДн субъектов ДТЗН КК руководствуется Конституцией Российской Федерации, законодательством РФ в области занятости населения, Трудовым кодексом Российской Федерации и иными федеральными законами.
4.5. ПДн субъекта ДТЗН КК получает: непосредственно от субъекта, через портал государственных услуг, портал Федеральной службы по труду и занятости (http://www.trudvsem.ru), портал службы труда и занятости населения Краснодарского края (http://www.kubzan.ru). Ответственный сотрудник (сотрудники) принимает от субъекта материальные носители ПДн (документы, копии документов), сверяет копии документов с подлинниками (в случае предоставления на бумажных носителях).
4.6. Если ПДн субъекта возможно получить исключительно у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (Приложение № 2). ДТЗН КК должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа субъекта представить письменное согласие на их получение (Приложение № 2). В случае, если субъект уже дал письменное согласие на обработку своих ПДн, дополнительное уведомление не требуется.
4.7. Условием обработки ПДн клиента службы занятости является его письменное согласие (Приложения № 4 - 7). Письменное согласие субъекта на обработку его ПДн должно включать в себя:
- фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
- цель обработки ПДн;
- перечень ПДн, на обработку которых дается согласие субъекта;
- перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых ДТЗН КК способов обработки ПДн;
- срок, в течение которого действует согласие, а также порядок его отзыва.
Согласие на обработку ПДн может быть отозвано субъектом ПДн в соответствии с положением статьи 9 Федерального закона № 152 "О персональных данных".
4.8. Согласия субъекта на обработку его ПДн не требуется в следующих случаях:
- обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
- обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
- обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
- обработка ПДн необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления такой услуги, для регистрации субъекта ПДн на едином портале государственных и муниципальных услуг;
- обработка ПДн осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания ПДн;
- осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе;
- осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
4.9. Для обработки ПДн, содержащихся в согласии в письменной форме субъекта на обработку его ПДн, дополнительное согласие не требуется.
4.10. В случае недееспособности субъекта ПДн согласие на обработку его персональных данных в письменной форме дает его законный представитель.
В случае смерти субъекта согласие на обработку его ПДн при необходимости дает в письменной форме один из его наследников, если такое согласие не было дано субъектом ПДн при его жизни.
4.11. В случае, если ДТЗН КК на основании договора поручает обработку ПДн другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности ПДн и безопасности ПДн при их обработке.
4.12. Обработка специальных категорий ПДн должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
4.13. Защита ПДн субъекта от неправомерного их использования или утраты должна быть обеспечена оператором за счет его средств в порядке, установленном федеральным законодательством Российской Федерации.
4.14. Субъекты ПДн и их представители должны быть ознакомлены с их правами и обязанностями, связанными с процессами обработки ПДн.
4.15. Основными источниками, содержащими ПДн сотрудников, являются их личные дела.
Основными источниками, содержащими ПДн клиентов службы труда и занятости населения Краснодарского края, являются личные дела получателей государственной услуги.
Личные дела сотрудников хранятся уполномоченными лицами ДТЗН КК на бумажных носителях. Личные дела получателей государственной услуги хранятся уполномоченными лицами ГКУ КК ЦЗН на бумажных носителях. Помимо этого ПДн хранится в виде электронных документов, баз данных. Личное дело сотрудника ДТЗН КК пополняется на протяжении всей трудовой деятельности сотрудника в ДТЗН КК. Личное дело получателя государственной услуги пополняется на протяжении периода оказания государственной услуги клиенту.
Письменные доказательства получения оператором согласия субъекта ПДн на их обработку хранятся в личном деле.
4.16. При обработке ПДн руководитель ДТЗН КК вправе определять способы обработки, документирования, хранения и защиты ПДн на базе современных информационных технологий.
4.17. Перечень лиц, допущенных к обработке ПДн, определяется приказом руководителя ДТЗН КК.
4.18. Обработка ПДн, осуществляются уполномоченными сотрудниками ДТЗН КК, определенными приказом руководителя ДТЗН КК, которые действуют на основании инструкций, предусматривающих выполнение комплекса мероприятий по обеспечению безопасности ПДн.
4.19. Ответственность за контроль соблюдения требований по обработке ПДн структурными подразделениями, контроль соблюдения структурными подразделениями прав и свобод субъектов ПДн возлагается на руководителя ДТЗН КК.
4.20. Организация обеспечения техническими средствами обработки (ПЭВМ, серверами и т.д.) и их исправной работы организуется отделом информационных технологий и автоматизации (ИТиА).
4.21. Помещения, в которых обрабатываются и хранятся ПДн субъектов, оборудуются надежными замками. Должно быть исключено бесконтрольное пребывание посторонних лиц в этих помещениях.
Для хранения ПДн используются специально оборудованные шкафы или сейфы, которые запираются на ключ.
Помещения, в которых обрабатываются и хранятся ПДн субъектов, в рабочее время при отсутствии в них сотрудников должны быть закрыты.
Проведение уборки помещений, в которых хранятся ПДн, должно производиться в присутствии соответствующих сотрудников.
5. Права и обязанности сторон
в области защиты персональных данных
5.1. Субъект персональных данных обязан:
- передать ДТЗН КК, органам по труду и занятости населения Краснодарского края, или их представителю комплекс достоверных, документированных ПДн, состав которых установлен трудовым законодательством, законодательством Российской Федерации в области занятости населения, иными законами Российской Федерации, включая сведения об образовании, специальных знаниях, стаже работы, отношении к воинской обязанности, гражданстве, месте жительства и др.
- своевременно,
в срок, не превышающий 5 (пяти) рабочих дней для сотрудников ДТЗН КК, сообщать в ДТЗН КК об изменении своих ПДн.
для клиентов органов по труду и занятости населения Краснодарского края - при очередной перерегистрации, сообщать в ГКУ КК ЦЗН об изменениях своих ПДн.
5.2. Субъект ПДн имеет право:
- на получение сведений о ДТЗН КК, о месте его нахождения, о наличии у ДТЗН КК ПДн, относящихся к соответствующему субъекту ПДн, а также на ознакомление с такими ПДн, за исключением случаев, если предоставление ПДн нарушает конституционные права и свободы других лиц;
- на свободный бесплатный доступ к своим ПДн, включая право на получение копии любой записи, содержащей ПДн, за исключением случаев, предусмотренных федеральными законами;
- получать информацию, касающуюся обработки его ПДн, в том числе содержащую:
а) подтверждение факта обработки ПДн ДТЗН КК;
б) правовые основания и цели обработки ПДн;
в) цели и применяемые способы обработки ПДн, применяемые оператором;
г) наименование и место нахождения оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;
д) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
е) сроки обработки ПДн, в том числе сроки их хранения;
ж) порядок осуществления субъектом ПДн прав, предусмотренных настоящим Федеральным законом;
з) сведения о том, какие юридические последствия для него может повлечь за собой обработка его ПДн;
- обжаловать в судебном порядке любые неправомерные действия или бездействие ДТЗН КК при обработке и защите ПДн;
- требовать об извещении ДТЗН КК всех лиц, которым ранее были сообщены неверные или неполные ПДн субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- требовать от ДТЗН КК исключения, исправления или уточнения своих персональных данных, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации, Федерального закона от 19.04.1991 № 1032-1 "О занятости населения в Российской Федерации", Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных";
- при отказе оператора исключить или исправить ПДн субъекта заявить в письменной форме ДТЗН КК о своем несогласии с соответствующим обоснованием такого несогласия, при отклонении оператором указанного обращения (несогласия), обжаловать действия оператора в порядке, предусмотренном законодательством Российской Федерации.
Доступ к своим ПДн предоставляется субъекту или его законному представителю при личном обращении либо при получении запроса (Приложение № 9).
Сведения о ПДн должны быть предоставлены субъекту в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн.
5.3. Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, не может быть принято на основании исключительно автоматизированной обработки его ПДн.
5.4. ДТЗН КК обязан разъяснить субъекту ПДн порядок принятия решения на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты своих прав и законных интересов (Приложение № 3).
5.5. ДТЗН КК обязан рассмотреть возражение субъекта ПДн в течение 30 (тридцати) рабочих дней со дня его получения и уведомить его о результатах рассмотрения такого возражения.
5.6. Если обязанность предоставления ПДн субъектом установлена федеральным законом (включая налоговое, трудовое право, законодательство в области занятости населения), ДТЗН КК обязан разъяснить субъекту ПДн юридические последствия отказа предоставить свои ПДн.
5.7. Если ПДн были получены не от субъекта (за исключением случаев, если ПДн были предоставлены ДТЗН КК на основании федерального закона или если ПДн являются общедоступными), ДТЗН КК до начала обработки таких ПДн обязан предоставить субъекту ПДн следующую информацию (Приложение № 10):
- наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
- цель обработки ПДн и ее правовое основание;
- предполагаемые пользователи ПДн;
- права субъекта в области защиты ПДн;
- источник получения ПДн.
5.8. ДТЗН КК обязан безвозмездно предоставить субъекту ПДн возможность ознакомления с ПДн, относящимися к нему, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие ПДн по предоставлении субъектом сведений, подтверждающих, что ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить соответствующего субъекта ПДн и третьих лиц, которым ПДн этого субъекта были переданы (Приложение № 10).
ДТЗН КК обязан сообщить в уполномоченный орган по защите прав субъектов ПДн по его запросу информацию, необходимую для осуществления деятельности указанного органа в установленные нормативно-правовыми актами Российской Федерации сроки.
5.9. В случае выявления недостоверных ПДн или неправомерных действий с ними ДТЗН КК обязан осуществить блокирование ПДн, относящихся к соответствующему субъекту, с момента получения такой информации на период проверки. В случае подтверждения факта недостоверности ПДн ДТЗН КК на основании соответствующих документов обязан уточнить ПДн в течение 7 (семи) рабочих дней со дня их получения и снять их блокирование.
5.10. В случае выявления неправомерных действий с ПДн ДТЗН КК в срок, не превышающий 3 (трех) рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений ДТЗН КК в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерности действий с ПДн, обязан уничтожить ПДн. Об устранении допущенных нарушений или об уничтожении ПДн ДТЗН КК обязан уведомить субъекта ПДн или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов ПДн, - также указанный орган (Приложение № 11).
5.11. В случае достижения цели обработки ПДн ДТЗН КК обязан незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в срок, не превышающий 30 (тридцати) рабочих дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом ПДн либо если оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами (Приложение № 11).
5.12. В случае отзыва субъектом согласия на обработку своих ПДн ДТЗН КК обязан прекратить обработку ПДн и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн в срок, не превышающий 30 (тридцати) рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением сторон и (или) федеральным законом. Об уничтожении ПДн оператор обязан уведомить субъекта ПДн (Приложение № 11).
В случае невозможности уничтожения ПДн в течение вышеуказанного срока ДТЗН КК должен осуществить блокирование таких ПДн и обеспечить уничтожение ПДн в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.
5.13. До начала обработки ПДн ДТЗН КК обязан уведомить уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн, за исключением случаев установленных законодательством Российской Федерации.
5.14. Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:
- наименование (фамилия, имя, отчество), адрес ДТЗН КК;
- цель обработки ПДн;
- категории ПДн;
- категории субъектов, ПДн которых обрабатываются;
- правовое основание обработки ПДн;
- перечень действий с ПДн, общее описание используемых способов обработки ПДн;
- описание мер, применяемых ДТЗН КК для обеспечения безопасности ПДн, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
- фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки ПДн, и их контактные сведения;
- дата начала обработки ПДн;
- срок или условие прекращения обработки ПДн;
- сведения о наличии или об отсутствии трансграничной передачи ПДн в процессе их обработки;
- сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите ПДн, установленными Правительством Российской Федерации.
6. Доступ к персональным данным субъекта и их передача
6.1. Внутренний доступ (доступ внутри ДТЗН КК) к ПДн субъектов имеют сотрудники подразделений ДТЗН КК, которым эти данные необходимы для выполнения должностных обязанностей.
Право доступа к ПДн субъекта имеют:
- руководитель ДТЗН КК;
- заместители руководителя ДТЗН КК;
- непосредственно субъект;
- другие сотрудники ДТЗН КК, которые имеют доступ к ПДн в связи с возложенными на них должностными обязанностями.
После прекращения юридических отношений с субъектом ПДн документы, содержащие его ПДн, хранятся в ДТЗН КК в течение сроков, установленных архивным и иным законодательством Российской Федерации. Сроки хранения указаны в Перечне ПДн ДТЗН КК.
6.2. Внешний доступ к ПДн субъектов имеют массовые потребители ПДн и контрольно-надзорные органы.
6.2.1. К числу массовых потребителей ПДн вне ДТЗН КК относятся следующие государственные и негосударственные структуры:
- налоговые органы;
- пенсионные фонды;
- правоохранительные органы;
- банк;
- управление ФССП;
- юридические и физические лица, выступающие в качестве работодателя;
- органы прокуратуры, МВД и ФСБ России;
- органы статистики;
- страховые агентства;
- военные комиссариаты;
- органы социального страхования;
- подразделения государственных и муниципальных органов управления.
6.2.2. Надзорно-контрольные органы имеют доступ к информации исключительно в сфере своей компетенции.
6.3. Внешний доступ со стороны третьих лиц к ПДн субъекта осуществляется с его письменного согласия, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта или других лиц, и иных случаев, установленных законодательством.
6.4. ДТЗН КК обязан сообщать ПДн субъекта по надлежащим оформленным запросам суда, прокуратуры иных правоохранительных органов.
6.5. Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только на основании письменного запроса на бланке организации, с приложением копии заявления сотрудника.
6.6. ПДн субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта ПДн.
6.7. При передаче ПДн ДТЗН КК должен соблюдать следующие требования:
- не сообщать ПДн субъекта третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта ПДн, а также в случаях, установленных федеральными законами;
- не сообщать ПДн субъекта в коммерческих целях без его письменного согласия;
- предупреждать лиц, получающих ПДн субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено, за исключением случаев, когда обмен ПДн осуществляется в порядке, установленном федеральными законами;
- не запрашивать информацию о состоянии здоровья субъекта, за исключением тех сведений, которые относятся к вопросу о возможности выполнения сотрудником трудовой функции;
- передавать ПДн субъекта представителям сотрудников и иных категорий субъектов ПДн в порядке, установленном Трудовым кодексом Российской Федерации и Федеральным законом от 27.07.2006 № 152-ФЗ, и ограничивать эту информацию только теми ПДн, которые необходимы для выполнения указанными представителями их функций;
- разрешать доступ к ПДн, исключительно специально уполномоченным лицам (при этом указанные лица должны иметь право получать лишь те ПДн, которые необходимы для выполнения конкретных функций);
- уполномоченные лица должны подписать обязательство о неразглашении ПДн (Приложение № 1).
6.8. Передача ПДн от держателя или его представителей в другие учреждения и организации может допускаться только при наличии письменного согласия субъекта ПДн в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
6.9. Ответы на правомерные письменные запросы других учреждений и организаций даются с разрешения руководителя ДТЗН КК в письменной форме, в том объеме, который позволяет не разглашать излишний объем ПДн.
6.10. Не допускается передача ПДн по открытым каналам связи, в том числе по телефону.
6.11. Сведения, передаваемые в письменной форме, должны иметь пометку о конфиденциальности. В сопроводительном письме к таким документам указывается, что в прилагаемых документах содержатся ПДн субъектов ДТЗН КК.
6.12. В ДТЗН КК не допускается осуществление трансграничной передачи персональных данных.
7. Защита персональных данных
7.1. Комплекс мер по защите ПДн направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности ПДн и обеспечивает безопасность информации в процессе управленческой деятельности ДТЗН КК и деятельности по предоставлению государственных услуг.
7.2. ДТЗН КК при обработке ПДн обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий, в соответствии с требованиями к обеспечению безопасности ПДн при их обработке в ИСПДн.
7.3. Мероприятия по защите ПДн определяются настоящим Положением, приказами, инструкциями и другими внутренними документами ДТЗН КК.
7.4. Для защиты ПДн в ДТЗН КК применяются следующие принципы и правила:
- ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей ПДн;
- строгое избирательное и обоснованное распределение документов и информации между сотрудниками;
- рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации;
- знание сотрудниками требований нормативно-методических документов по защите ПДн;
- распределение персональной ответственности между сотрудниками, участвующими в обработке ПДн, за выполнение требований по обеспечению безопасности ПДн.
- установление режима конфиденциальности в соответствии с требованиями по обеспечению безопасности ПДн при работе с конфиденциальными документами и базами данных;
- исключение бесконтрольного пребывания посторонних лиц в помещениях, в которых ведется обработка ПДн и находится соответствующая вычислительная техника;
- организация порядка уничтожения информации;
- своевременное выявление нарушений требований разрешительной системы доступа;
- воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
- регулярное обучение сотрудников по вопросам, связанным с обеспечением безопасности ПДн;
- ограничение доступа к техническим средствам и системам обработки информации, на которых содержатся ПДн.
- создание целенаправленных неблагоприятных условий и труднопреодолимых препятствий для лица, пытающегося совершить несанкционированный доступ и овладение информацией;
- резервирование защищаемых данных (создание резервных копий).
8. Допуск персонала к обработке ПДн
8.1. При допуске к обработке ПДн необходимо руководствоваться Приказом о допуске к обработке ПДн. Форма Перечня должностных лиц, имеющих доступ к ПДн представлена в Приложении 13.
8.2. Перечни должностных лиц составляются и ведутся владельцами ИСПДн и процессов обработки ПДн, на основании данных о должностных лицах, допущенных к ПДн, подаваемых руководителями структурных подразделений.
Доступ конкретных лиц к ПДн и ИСПДн осуществляется на основании служебных записок (заявок). Служебные записки на доступ учитываются и хранятся сотрудником, ответственным за обработку персональных данных.
8.3. Конкретный регламент предоставления доступа должен быть определен в "Инструкции по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам ИСПДн".
9. Обучение персонала, участвующего в обработке ПДн
9.1. Должно проводиться регулярное обучение сотрудников по вопросам, связанным с обеспечением безопасности ПДн.
9.2. В общем случае, для различных категорий сотрудников форматы обучения должны отличаться.
Определены следующие форматы обучения:
- полные курсы (длительностью 5 дней и более);
- кратковременные курсы (длительностью от 1 до 3 дней);
- внешние и внутренние семинары;
- конференции;
- инструктажи.
9.2.1. Полные и кратковременные курсы, конференции, внешние семинары проводятся во внешних специализированных организациях для следующих категорий сотрудников:
- ответственных за обеспечение безопасности ПДн;
- администраторов ИСПДн.
9.2.2. Для руководителей структурных подразделений, участвующих в процессах обработки ПДн, могут проводиться кратковременные курсы во внешних специализированных организациях.
9.2.3. Для обучения остальных категорий персонала, участвующих в процессах обработки ПДн, должны проводиться:
- внутренние семинары;
- инструктажи.
Внутренние семинары проводятся ответственным за обеспечение безопасности ПДн, приглашенными специалистами, а также другими подготовленными лицами. На всех семинарах следует использовать презентации.
9.3. Обучение каждой категории сотрудников должно проводиться не реже одного раза в год.
Инструктажи проводятся в отношении отдельных лиц, по мере необходимости АИБ ИСПДн, ответственным за обеспечение безопасности ПДн.
При необходимости могут разрабатываться инструкции, описывающие особенности обработки ПДн в каждой ИСПДн, для отдельных категорий (групп) персонала.
9.4. Для проведения семинаров создаются учебные группы по структурным подразделениям. Состав группы не должен превышать 20 - 25 человек.
Инструкторы учебных групп должны в первый год, а в дальнейшем не реже 1 раза в 3 года проходить подготовку в специализированных учебно-методических центрах по вопросам защиты ПДн.
9.5. Руководители структурных подразделений обязаны оказывать организационную, техническую и методическую помощь инструкторам учебных групп и осуществлять постоянный контроль за подготовкой и проведением занятий.
10. Организация работы с носителями ПДн
10.1. Для организации документооборота, связанного с ПДн в ДТЗН КК, должны быть упорядочены и регламентированы следующие работы, связанные с ПДн:
- учет носителей, содержащих ПДн;
- обращение с носителями, содержащими ПДн;
- систематизация носителей, содержащих ПДн;
- хранение носителей, содержащих ПДн;
- подготовка носителей, содержащих ПДн, для передачи их в архив;
- подготовка носителей, содержащих ПДн, для их уничтожения;
- проверка наличия носителей, содержащих ПДн;
- распечатка ПДн.
Должны регламентироваться работы с ПДн в виде документов на следующих носителях:
- бумажных носителях;
- электронных съемных носителях;
- электронных несъемных носителях, используемых в технических средствах ИСПДн.
10.2. Порядок работ с носителями ПДн должен быть регламентирован в соответствующих корпоративных документах.
11. Уничтожение ПДн
11.1. В соответствии с нормативными актами РФ ПДн должны быть уничтожены:
- по требованию субъекта ПДн, в определенных законодательством РФ случаях;
- при истечении срока хранения;
- в случае выявления неправомерных действий с ПДн и невозможности устранения допущенных нарушений;
- в случае достижения цели обработки ПДн;
- в случае утраты необходимости достижения цели обработки.
Контроль сроков хранения, целей обработки ПДн производится на основании допустимых сроков хранения и допустимых целей, указанных для конкретных категорий ПДн в "Перечне персональных данных, обрабатываемых в ДТЗН КК".
11.2. Решение об уничтожении ПДн, организацию и проведение уничтожения принимают и осуществляют владельцы ИСПДн и процессов обработки ПДн.
11.3. Порядок уничтожения ПДн должен быть регламентирован в нормативных документах ДТЗН КК.
Об уничтожении ПДн должен быть уведомлен субъект ПДн.
11.4. После проведенного уничтожения должен быть подготовлен акт об уничтожении ПДн. Форма акта приведена в Приложении 16.
12. Защита от несанкционированного
физического доступа к элементам ИСПДн
12.1. Мероприятия по физическому контролю доступа включают:
- контроль доступа на территорию;
- контроль доступа в помещения с оборудованием ИСПДн;
- контроль доступа к техническим средствам ИСПДн;
- контроль перемещений физических компонентов ИСПДн.
12.2. Помещения с серверным, телекоммуникационным и сетевым оборудованием ИСПДн должны иметь прочные входные двери с надежными замками. Двери должны быть постоянно закрыты на замок и открываться только для санкционированного прохода сотрудников.
Двери помещений, в которых размещаются АРМ пользователей ИСПДн, должны быть оборудованы замками.
12.3. Нахождение в помещении лиц, не участвующих в технологических процессах обработки ПДн (обслуживающий персонал, другие сотрудники), должно допускаться только в присутствии сотрудников, участвующих в соответствующих технологических процессах.
12.4. Расположение мониторов рабочих станций должно препятствовать их несанкционированному просмотру со стороны других лиц, не являющихся пользователями ИСПДн.
12.5. В нерабочее время, по окончании рабочего дня двери помещений должны быть закрыты на замок.
12.6. При выносе устройств, хранящих ПДн, за пределы контролируемой зоны для ремонта, замены и т.п. должно быть обеспечено гарантированное уничтожение информации, хранимой на этих устройствах.
12.7. В отношении некоторых ИСПДн возможны дополнительные, либо более низкие требования по физической защите. Состав таких требований определяется по результатам разработки Модели угроз и нарушителя и ТЗ (СТЗ, ЧТЗ) на создание СЗПДн. Мероприятия по защите таких ИСПДн определяются эксплуатационной (проектной) документацией.
13. Резервирование ПДн
13.1. Резервирование ПДн должно обеспечить возможность восстановления информации при нарушении целостности основных хранилищ данных.
В регламенте процесса резервирования должны быть учтены следующие вопросы:
- порядок резервирования;
- ответственные за резервирование;
- порядок восстановления информации после аварий;
- порядок хранения резервных копий.
Резервированию должна подвергаться информация на серверах ИСПДн.
Резервирование должно осуществляться на магнитные ленты или другие носители информации с соответствующим уровнем надежности и долговечности.
13.2. Хранение резервных копий должно осуществляться в сейфах (запираемых шкафах, ящиках). Хранение (по возможности) должно осуществляться в месте, территориально удаленном от основного хранилища информации.
13.4. Доступ к резервным копиям должен быть строго регламентирован.
13.5. Резервирование должно осуществляться в соответствии с "Инструкцией резервного копирования защищаемой информации в ИСПДн ДТЗН КК".
14. Реагирование на нештатные ситуации
14.1. Для эффективного реагирования на нештатные ситуации, возникающие при обработке ПДн, в ДТЗН КК должны быть регламентированы следующие вопросы:
- порядок определения нештатной ситуации;
- порядок оповещения сотрудников при возникновении различных нештатных ситуаций;
- порядок действий персонала в нештатных ситуациях.
В ДТЗН КК должны проводиться расследования инцидентов, связанных с несанкционированным доступом и другими несанкционированными действиями.
В рамках данного процесса должны решаться следующие задачи:
- расследование инцидентов, связанных с безопасностью ПДн;
- ликвидация последствий инцидентов связанных с безопасностью ПДн;
- принятие мер по недопущению возникновения подобных инцидентов в дальнейшем.
Реагирование на нештатные ситуации должно производиться в соответствии с "Инструкцией по действиям пользователей ИСПДн в нештатных ситуациях".
15. Ответственность за разглашение конфиденциальной
информации, связанной с персональными данными
15.1. Персональная ответственность является одним из главных требований к организации функционирования СЗПДн и обязательным условием обеспечения эффективности функционирования данной системы.
15.2. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
15.3. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
15.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
15.5. Каждый сотрудник ДТЗН КК, получающий для работы конфиденциальный документ, несет персональную ответственность за сохранность носителя и конфиденциальность полученной информации.
15.6. Должностные лица, в обязанность которых входит обработка ПДн, обязаны обеспечить каждому субъекту ПДн, возможность ознакомления с документами и материалами, если иное не предусмотрено законом.
Неправомерный отказ в предоставлении собранных в установленном порядке ПДн, либо несвоевременное их предоставление в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации влечет наложение на должностных лиц административного наказания в порядке, установленном Кодексом Российской Федерации об административных правонарушениях.
15.7. В соответствии с Гражданским кодексом Российской Федерации лица, незаконными методами получившие информацию, содержащую ПДн, обязаны возместить причиненные убытки; такая же обязанность возлагается и на сотрудников, не обладающих правом доступа к ПДн.
15.8. Уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения влечет наложение наказания в порядке, предусмотренном Уголовным кодексом Российской Федерации.
15.9. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию ПДн может быть установлена в судебном порядке.
Приложение № 1
к "Положению
о персональных данных
департамента труда и занятости
населения Краснодарского края"
ОБЯЗАТЕЛЬСТВО
О НЕРАЗГЛАШЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Я, ____________________________________________________________________
(должность,
___________________________________________________________________________
фамилия, имя, отчество)
ознакомлен с "Положением о порядке организации и проведению работ по
обработке и защите персональных данных, обрабатываемых в информационных
системах персональных данных департамента труда и занятости населения
Краснодарского края" и обязуюсь не разглашать сведения, содержащие
персональные данные субъектов персональных данных, ставшие мне известными в
связи с исполнением мною трудовых (должностных) обязанностей. Об
ответственности за разглашение указанных сведений предупрежден.
_______________ ___________________________ _____________________________
дата подпись расшифровка подписи
Приложение № 2
к "Положению
о персональных данных
департамента труда и занятости
населения Краснодарского края"
ПИСЬМЕННОЕ СОГЛАСИЕ
СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ НА ПОЛУЧЕНИЕ
ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ У ТРЕТЬИХ ЛИЦ
Я, ____________________________________________________________________
(должность,
__________________________________________________________________________,
фамилия, имя, отчество)
согласен на получение оператором (департамент труда и занятости населения
Краснодарского края) от
___________________________________________________________________________
(Ф.И.О. или наименование третьего лица)
следующей информации ______________________________________________________
___________________________________________________________________________
(виды запрашиваемой информации и (или) документов)
_______________ ___________________________ _____________________________
дата подпись расшифровка подписи
Приложение № 3
к "Положению
о персональных данных
департамента труда и занятости
населения Краснодарского края"
УВЕДОМЛЕНИЕ
Уважаемый _____________________________________________________________
(Ф.И.О.)
В связи с _____________________________________________________________
(указать причину)
у департамента труда и занятости населения Краснодарского края возникла
необходимость получения следующей информации, составляющей Ваши
персональные данные,______________________________________________________.
(перечислить информацию)
Просим Вас предоставить указанные сведения ________________________________
___________________________________________________________________________
(кому)
в течение 3 (трех) рабочих дней с момента получения настоящего уведомления.
В случае невозможности предоставить указанные сведения просим в
указанный срок дать письменное согласие на получение оператором
(департамент труда и занятости населения Краснодарского края) необходимой
информации из следующих источников:
__________________________________________________________________________,
(указать источники)
следующими способами: _____________________________________________________
(автоматизированная обработка, иные способы)
По результатам обработки указанной информации оператором планируется
принятие следующих решений, которые будут доведены до Вашего сведения _____
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
(указать решения и иные юридические последствия обработки информации)
Против принятого решения Вы имеете право заявить свои письменные
возражения ____________________________________ в срок.
Информируем Вас о последствиях Вашего отказа дать письменное согласие
на получение оператором указанной информации
___________________________________________________________________________
___________________________________________________________________________
(перечислить последствия)
Информируем Вас о Вашем праве в любое время отозвать свое письменное
согласие на обработку персональных данных.
__________________ _______________________ ______________________________
дата подпись расшифровка подписи
Настоящее уведомление на руки получил:
__________________ _______________________ ______________________________
дата подпись расшифровка подписи
Приложение № 4
к "Положению
о персональных данных
департамента труда и занятости
населения Краснодарского края"
Руководителю
ГКУ КК ЦЗН ___________________________
______________________________________
(фамилия, имя, отчество (полностью)
субъекта персональных данных, адрес,
______________________________________
название и номер основного документа,
удостоверяющего личность,
______________________________________
дата выдачи документа, выдавший орган)
СОГЛАСИЕ
на обработку персональных данных
Я, _________________________________________________________________, в
(фамилия, имя, отчество субъекта персональных данных)
соответствии с Федеральным законом от 27.07.2007 № 152-ФЗ "О персональных данных" даю свое согласие государственному казенному учреждению Краснодарского края "Центр занятости населения _________________________________" (далее - ГКУ КК ЦЗН ________________________________________________), расположенного по адресу ____________________________________________________ на обработку, как с использованием средств автоматизации, так и без использования таких средств (включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение), следующих моих персональных данных:
Ф.И.О.; паспортные данные; дата и место рождения; гражданство; адрес регистрации (место проживания); номер телефона (домашний, сотовый); семейное положение; сведения о наличии судимости; сведения об образовании, квалификации; сведения, устанавливающие ограничения трудовой деятельности; сведения о трудовом и общем стаже; сведения о воинском учете; сведения о заработной плате; ИНН, СНИЛС, номер счета в банке; размер социальных выплат;
полученных ГКУ КК ЦЗН __________________________________________________ в результате вступления со мной в правоотношения в целях предоставления мне государственных услуг в сфере занятости населения, для обеспечения соблюдения требований законов и иных нормативно-правовых актов, предоставления третьим лицам (включая органы государственного и муниципального управления, а также банкам) в рамках исполнения правоотношений и требований законодательства РФ, а также использования обезличенных персональных данных в рамках формирования научно-статистических данных.
Даю свое согласие на обработку копий документов, предоставляемых мной.
Обработка персональных данных разрешается на период наличия указанных выше правоотношений, в том числе на срок, установленный нормативно-правовыми актами Российской Федерации.
Согласен(на) на передачу моих персональных данных:
- работодателям, в целях обеспечения государственных услуг в сфере занятости населения;
- в Пенсионный фонд РФ, в целях ведения учета трудового стажа;
- в отделение Сбербанка РФ, для обеспечения начисления социальных выплат.
Срок прекращения обработки персональных данных:
- 75 лет с даты передачи в архив персональной карточки гражданина, признанного в установленном порядке безработным;
- 5 лет с даты передачи в архив персональной карточки гражданина, ищущего работу и не признанного безработным;
- 1 год с даты передачи в архив персональной карточки гражданина, обратившегося за консультацией.
Срок действия согласия - бессрочно, до момента его отзыва. Согласие может быть отозвано мною в любое время на основании моего письменного заявления.
Субъект персональных данных: _________________ ___________________________
(подпись) (Ф.И.О.)
Дата: "____" ________________ 20 ___ г.
Приложение № 5
к "Положению
о персональных данных
департамента труда и занятости
населения Краснодарского края"
Руководителю департамента труда и
занятости населения Краснодарского края
_______________________________________
(фамилия, имя, отчество (полностью)
субъекта персональных данных, адрес,
_______________________________________
название и номер основного документа,
удостоверяющего личность,
_______________________________________
дата выдачи документа, выдавший орган)
СОГЛАСИЕ
законного представителя на обработку
персональных данных несовершеннолетнего гражданина
в возрасте от 14 до 18 лет
Я, _________________________________________________________________, в
(фамилия, имя, отчество субъекта персональных данных)
соответствии с Федеральным законом от 27.07.2007 № 152-ФЗ "О персональных данных" даю свое согласие департаменту труда и занятости населения Краснодарского края (далее - ДТЗН КК) на обработку, как с использованием средств автоматизации, так и без использования таких средств (включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение), следующих моих персональных данных и персональных данных моего ребенка (опекаемого):
Ф.И.О.; паспортные данные; дата и место рождения; гражданство; адрес регистрации (место проживания); номер телефона (домашний, сотовый); семейное положение; сведения о наличии судимости; сведения об образовании, квалификации; сведения, устанавливающие ограничения трудовой деятельности; сведения о трудовом и общем стаже; сведения о воинском учете; сведения о заработной плате; ИНН, СНИЛС; счет в банке; размер социальных выплат;
полученных ДТЗН КК в результате вступления с моим ребенком (опекаемым) в договорные правоотношения в целях предоставления ему государственных услуг в сфере занятости населения, для обеспечения соблюдения требований законов и иных нормативно-правовых актов, предоставления третьим лицам (включая органы государственного и муниципального управления, а также банкам) в рамках исполнения договорных правоотношений и требований законодательства РФ, а также использования обезличенных персональных данных в рамках формирования научно-статистических данных.
Даю свое согласие на обработку фотографий и копий документов моих и моего ребенка (опекаемого), предоставляемых мной.
Обработка персональных данных разрешается на период наличия указанных выше правоотношений, в том числе на срок, установленный нормативно-правовыми актами Российской Федерации.
Согласен(на) на передачу персональных данных моего ребенка (опекаемого) и моих персональных данных:
- работодателям, в целях обеспечения государственных услуг в сфере занятости населения;
- в Пенсионный фонд РФ, в целях ведения учета трудового стажа;
- в отделение Сбербанка РФ, для обеспечения начисления социальных выплат.
Срок прекращения обработки персональных данных:
- 75 лет с даты передачи в архив персональной карточки гражданина, признанного в установленном порядке безработным;
- 5 лет с даты передачи в архив персональной карточки гражданина, ищущего работу и не признанного безработным;
- 1 год с даты передачи в архив персональной карточки гражданина, обратившегося за консультацией.
Срок действия согласия - бессрочно, до момента его отзыва. Согласие может быть отозвано мною в любое время на основании моего письменного заявления.
Субъект персональных данных: _________________ ___________________________
(подпись) (Ф.И.О.)
Дата: "____" ________________ 20 ___ г.
Приложение № 6
к "Положению
о персональных данных
департамента труда и занятости
населения Краснодарского края"
Согласие сотрудника на обработку персональных данных
Руководителю департамента труда и
занятости населения Краснодарского края
_______________________________________
(фамилия, имя, отчество (полностью)
субъекта персональных данных, адрес,
_______________________________________
название и номер основного документа,
удостоверяющего личность,
_______________________________________
дата выдачи документа, выдавший орган)
СОГЛАСИЕ
на обработку персональных данных
Я, _________________________________________________________________, в
(фамилия, имя, отчество субъекта персональных данных)
соответствии с Федеральным законом от 27.07.2007 № 152-ФЗ "О персональных данных" даю свое согласие департаменту труда и занятости населения Краснодарского края (далее - ДТЗН КК) на обработку, как с использованием средств автоматизации, так и без использования таких средств (включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение), следующих моих персональных данных:
Ф.И.О.; паспортные данные; дата и место рождения; гражданство; адрес регистрации (место проживания); номер телефона (домашний, сотовый); семейное положение; сведения об образовании, квалификации; сведения, устанавливающие ограничения трудовой деятельности; сведения о трудовом и общем стаже; сведения о воинском учете; сведения о заработной плате; ИНН, СНИЛС; номер счета в банке;
полученных ДТЗН КК в результате вступления со мной в договорные правоотношения с целью использования в управленческой, административной и иной не запрещенной законом деятельности ДТЗН КК, обеспечения соблюдения требований законов и иных нормативно-правовых актов, предоставления сторонним лицам (включая органы государственного и муниципального управления, а также банкам) в рамках исполнения требований законодательства РФ, а также использования обезличенных персональных данных в рамках формирования научно-статистических данных.
Даю свое согласие на обработку фотографий и копий документов, предоставляемых мной.
Обработка персональных данных разрешается на период наличия указанных выше правоотношений, в том числе на срок, установленный нормативно-правовыми актами Российской Федерации.
Согласен(на) на передачу моих персональных данных:
- в ФНС РФ, в целях ведения налоговой отчетности;
- в Пенсионный фонд РФ, в целях ведения учета трудового стажа;
- в кредитные организации, в целях перечисления заработной платы;
- в учреждения здравоохранения, в целях обеспечения прохождения медицинского осмотра.
Срок прекращения обработки персональных данных:
- 75 лет с даты передачи в архив личного дела сотрудника.
Срок действия согласия - бессрочно, до момента его отзыва. Согласие может быть отозвано мною в любое время на основании моего письменного заявления.
Подтверждаю ознакомление с "Положением о порядке организации и проведении работ по обработке и защите персональных данных, обрабатываемых в информационных системах персональных данных департамента труда и занятости населения Краснодарского края", правами и обязанностями в области защиты персональных данных.
Субъект персональных данных: _________________ ___________________________
(подпись) (Ф.И.О.)
Дата: "____" ________________ 20 ___ г.
Приложение № 7
к "Положению
о персональных данных
департамента труда и занятости
населения Краснодарского края"
Руководителю департамента труда и
занятости населения Краснодарского края
_______________________________________
(фамилия, имя, отчество (полностью)
субъекта персональных данных, адрес,
_______________________________________
название и номер основного документа,
удостоверяющего личность,
_______________________________________
дата выдачи документа, выдавший орган)
СОГЛАСИЕ
на обработку персональных данных
Я, _________________________________________________________________, в
(фамилия, имя, отчество субъекта персональных данных)
соответствии с Федеральным законом от 27.07.2007 № 152-ФЗ "О персональных данных" даю свое согласие департаменту труда и занятости населения Краснодарского края (далее - ДТЗН КК) на обработку, как с использованием средств автоматизации, так и без использования таких средств (включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение), следующих моих персональных данных:
Ф.И.О.; паспортные данные; дата и место рождения; гражданство; адрес регистрации (место проживания); номер телефона (домашний, сотовый); семейное положение; сведения об имущественном положении; сведения об образовании, квалификации; сведения, устанавливающие ограничения трудовой деятельности; сведения о трудовом и общем стаже; сведения о воинском учете; сведения о заработной плате; ИНН, СНИЛС; номер счета в банке; сведения о доходах;
полученных ДТЗН КК в результате вступления со мной в договорные правоотношения с целью использования в управленческой, административной и иной не запрещенной законом деятельности ДТЗН КК, обеспечения соблюдения требований законов и иных нормативно-правовых актов, предоставления сторонним лицам (включая органы государственного и муниципального управления, а также банкам) в рамках исполнения требований законодательства РФ, а также использования обезличенных персональных данных в рамках формирования научно-статистических данных.
Даю свое согласие на обработку фотографий и копий документов, предоставляемых мной.
Обработка персональных данных разрешается на период наличия указанных выше правоотношений, в том числе на срок, установленный нормативно-правовыми актами Российской Федерации.
Согласен(на) на передачу моих персональных данных:
- в ФНС РФ, в целях ведения налоговой отчетности;
- в Пенсионный фонд РФ, в целях ведения учета трудового стажа;
- в кредитные организации, в целях перечисления заработной платы;
- в учреждения здравоохранения, в целях обеспечения прохождения медицинского осмотра.
Срок прекращения обработки персональных данных:
- 10 лет со дня увольнения служащего, до момента передачи на архивное хранение.
- 75 лет с даты передачи в архив личного дела служащего.
Срок действия согласия - бессрочно, до момента его отзыва. Согласие может быть отозвано мною в любое время на основании моего письменного уведомления департамента труда и занятости Краснодарского края.
Подтверждаю ознакомление с "Положением о порядке организации и проведении работ по обработке и защите персональных данных, обрабатываемых в информационных системах персональных данных департамента труда и занятости населения Краснодарского края", правами и обязанностями в области защиты персональных данных.
Субъект персональных данных: _________________ ___________________________
(подпись) (Ф.И.О.)
Дата: "____" ________________ 20 ___ г.
Приложение № 8
к "Положению
о персональных данных
департамента труда и занятости
населения Краснодарского края"
Согласие
субъекта персональных данных на включение информации
о его персональных данных в
___________________________________________________________________________
(справочник, каталог и др. общедоступные источники)
Я, ____________________________________________________________________
(должность,
___________________________________________________________________________
фамилия, имя, отчество)
согласен на включение оператором (департамент труда и занятости населения
Краснодарского края) в корпоративный справочник ___________________________
____________________________________ (иные источники) следующей информации,
содержащей мои персональные данные: фамилия, имя, отчество, год и место
рождения, адрес, абонентский номер, сведения о профессии
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
________________________________ иные персональные данные.
______________________ _____________________ ____________________________
дата подпись расшифровка подписи
Приложение № 9
к "Положению
о персональных данных
департамента труда и занятости
населения Краснодарского края"
ЗАПРОС
О ДОСТУПЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ К СВОИМ
ПЕРСОНАЛЬНЫМ ДАННЫМ
___________________________________________________________________________
(наименование и адрес оператора)
от _______________________________________________________________________.
(фамилия, имя, отчество, номер основного документа, удостоверяющего
личность субъекта персональных
___________________________________________________________________________
данных или его законного представителя, сведения о дате выдачи указанного
документа и выдавшем его органе)
Прошу предоставить мне для ознакомления следующую информацию
(документы), составляющие мои персональные данные: ________________________
___________________________________________________________________________
(перечислить)
______________________ _____________________ ____________________________
дата подпись расшифровка подписи
Приложение № 10
к "Положению
о персональных данных
департамента труда и занятости
населения Краснодарского края"
УВЕДОМЛЕНИЕ
Уважаемый _____________________________________________________________
(фамилия, имя, отчество)
на основании ______________________________________________________________
департамент труда и занятости населения Краснодарского края (оператор)
получил от ________________________________________________________________
(наименование организации, адрес)
следующую информацию, содержащую Ваши персональные данные: ________________
___________________________________________________________________________
(перечислить)
Указанная информация будет обработана и использована оператором в
целях: ____________________________________________________________________
___________________________________________________________________________
Вы имеете право на полную информацию о своих персональных данных, содержащуюся у оператора, свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей Ваши персональные данные, за исключением случаев, предусмотренных действующим законодательством; требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав, получать иную информацию, касающуюся обработки Ваших персональных данных.
______________________ _____________________ ____________________________
дата подпись расшифровка подписи
Настоящее уведомление на руки получил:
______________________ _____________________ ____________________________
дата подпись расшифровка подписи
Приложение № 11
к "Положению
о персональных данных
департамента труда и занятости
населения Краснодарского края"
УВЕДОМЛЕНИЕ
ОБ УНИЧТОЖЕНИИ (ИЗМЕНЕНИИ, ПРЕКРАЩЕНИИ ОБРАБОТКИ,
УСТРАНЕНИИ НАРУШЕНИЙ ПЕРСОНАЛЬНЫХ ДАННЫХ)
Уважаемый ____________________________________________________________.
(фамилия, имя, отчество)
В связи с _____________________________________________________________
(недостоверностью, выявлением неправомерных действий с Вашими персональными
___________________________________________________________________________
данными, достижением цели обработки, отзывом Вами согласия на обработку,
другие причины)
сообщаем Вам, что обработка Ваших персональных данных о
___________________________________________________________________________
___________________________________________________________________________
(перечислить)
прекращена и указанная информация подлежит уничтожению (изменению).
______________________ _____________________ ____________________________
дата подпись расшифровка подписи
Настоящее уведомление на руки получил:
______________________ _____________________ ____________________________
дата подпись расшифровка подписи
Приложение № 12
к "Положению
о персональных данных
департамента труда и занятости
населения Краснодарского края"
Форма перечня персональных данных
УТВЕРЖДАЮ
Руководитель департамента труда
и занятости населения
Краснодарского края
___________________ И.В. Мелких
"____" _____________ 20 ____ г.
Перечень
персональных данных, обрабатываемых в департаменте труда
и занятости населения Краснодарского края
№ п/п
Категория субъектов ПДн
Состав обрабатываемых ПДн
Цели обработки ПДн, основание в соответствии с перечнем нормативных актов
Допустимые сроки обработки ПДн, основание
Источник получения ПДн
Вид обработки ПДн <3>
Допустимые операции с ПДн
Возможные юридические последствия для субъекта ПДн <4>
--------------------------------
<3> Автоматизированная, неавтоматизированная и смешанная.
<4> Связанные с автоматизированной обработкой его ПДн.
Приложение № 13
к "Положению
о персональных данных
департамента труда и занятости
населения Краснодарского края"
ФОРМА ПЕРЕЧНЯ
ДОЛЖНОСТНЫХ ЛИЦ, ДОПУЩЕННЫХ К ОБРАБОТКЕ ПДН
УТВЕРЖДАЮ
Руководитель департамента труда
и занятости населения
Краснодарского края
___________________ И.В. Мелких
"____" _____________ 20 ____ г.
Перечень
должностных лиц, допущенных к обработке ПДн
Перечень должностных лиц, допущенных к обработке ПДн в ИСПДн:
___________________________________________________________________________
(наименование ИСПДн)
приведен в таблице 1.
Таблица 1 - Перечень должностных лиц
Состав ПДн, к которым допущен <5>
Наименование подразделения
Наименование должности
Ф.И.О.
Подпись
--------------------------------
<5> Указываются номера пунктов "Перечня персональных данных, обрабатываемых в департаменте труда и занятости населения Краснодарского края".
Приложение № 14
к "Положению
о персональных данных
департамента труда и занятости
населения Краснодарского края"
ФОРМА АКТА
КЛАССИФИКАЦИИ ИСПДН
Определения уровней защищенности ПДн
при их обработке в информационных системах персональных
данных и класса защищенности информационных систем
персональных данных департамента труда и занятости
населения Краснодарского края
Комиссия в составе:
Председатель комиссии: _______________________________________________;
Члены комиссии: ______________________________________________________;
______________________________________________________________________,
в соответствии с приказом ФСТЭК России от 11 февраля 2013 г. № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных системах" произвела классификацию ИСПДн департамента труда и занятости населения Краснодарского края (далее - ДТЗН КК) и установила нижеследующее:
1. Уровень значимости информации, обрабатываемой в ИСПДн "Катарсис" определен как 2 уровень значимости.
2. ИСПДн "Катарсис" имеет региональный масштаб, т.к. является распределенной системой функционирующей в пределах Краснодарского края.
В соответствии с вышеизложенным, класс защищенности ИСПДн "Катарсис" определен как класс защищенности К2.
В соответствии с Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" произвела определение уровня защищенности информационных систем персональных данных (ИСПДн) и установила нижеследующее:
1. В ИСПДн "Катарсис" обрабатываются иные персональные данные.
2. Количество субъектов, персональные данные которых обрабатываются в ИСПДн "Катарсис" ДТЗН КК, превышает 100000. Субъектами ПДн являются граждане, обратившиеся за предоставлением государственных и муниципальных услуг в подведомственные ДТЗН КК центры занятости населения, обработка ПДн которых производится на основании законодательства.
3. В ИСПДн "Катарсис" являются актуальными угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе (3 тип угроз).
В соответствии с вышеизложенным в ИСПДн "Катарсис" необходимо обеспечить 3-й уровень защищенности персональных данных.
4. В ИСПДн ПП "Парус" обрабатываются иные персональные данные.
5. Количество субъектов, персональные данные которых обрабатываются в ИСПДн ПП "Парус" ДТЗН КК, не превышает 100000. Субъектами ПДн являются сотрудники ДТЗН КК и подведомственных центров занятости населения, контрагентов. Обработка ПДн которых производится на основании законодательства.
6. В ИСПДн "Парус" являются актуальными угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе (3 тип угроз).
В соответствии с вышеизложенным ИСПДн ПП "Парус" необходимо обеспечить 4-й уровень защищенности персональных данных.
7. В ИСПДн "Травматизм и профессиональные заболевания" обрабатываются иные персональные данные.
8. Количество субъектов, персональные данные которых обрабатываются в ИСПДн "Травматизм и профессиональные заболевания" ДТЗН КК, не превышает 100000. Субъектами ПДн являются граждане, обработка персональных данных которых ведется на основании договора.
9. В ИСПДн "Травматизм и профессиональные заболевания" являются актуальными угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе (3 тип угроз).
В соответствии с вышеизложенным ИСПДн "Травматизм и профессиональные заболевания" необходимо обеспечить 4-й уровень защищенности персональных данных.
10. В ИСПДн "Документооборот" обрабатываются иные персональные данные.
11. Количество субъектов, персональные данные которых обрабатываются в ИСПДн "Документооборот" ДТЗН КК, не превышает 100000. Субъектами ПДн являются сотрудники ДТЗН КК, обработка персональных данных которых ведется на основании договора.
12. В ИСПДн "Документооборот" являются актуальными угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе (3 тип угроз).
В соответствии с вышеизложенным ИСПДн "Документооборот" необходимо обеспечить 4-й уровень защищенности персональных данных.
Председатель комиссии: __________________/ _____________________________
личная подпись инициалы фамилия
Члены комиссии: __________________/ _____________________________
личная подпись инициалы фамилия
__________________/ _____________________________
личная подпись инициалы фамилия
Приложение № 15
к "Положению
о персональных данных
департамента труда и занятости
населения Краснодарского края"
ФОРМА ЖУРНАЛА
УЧЕТА ПРОВЕДЕНИЯ ИНСТРУКТАЖА ЛИЦ, УЧАСТВУЮЩИХ
В ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
№ п/п
Фамилия, инициалы инструктируемого
Подразделение
Дата проведения инструктажа
Вид инструктажа (в связи с чем проводится)
Фамилия, инициалы инструктирующего
Подпись инструктирующего
Подпись инструктируемого
1
2
3
4
5
6
7
8
Приложение № 16
к "Положению
о персональных данных
департамента труда и занятости
населения Краснодарского края"
ФОРМА АКТА
УНИЧТОЖЕНИЯ ДОКУМЕНТОВ, СОДЕРЖАЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
УТВЕРЖДАЮ
Руководитель департамента труда
и занятости населения
Краснодарского края
___________________ И.В. Мелких
"____" _____________ 20 ____ г.
АКТ
уничтожения документов, содержащих персональные данные
"____" _____________ 20 ____ г. № ______
Комиссия в составе:
председателя -
______________________________________________________________________;
и членов комиссии -
______________________________________________________________________;
______________________________________________________________________;
______________________________________________________________________,
произвела отбор для уничтожения следующих документов, содержащих персональные данные;
№ п/п
Наименование документа
Регистрационный номер документа
Дата регистрации
Номер экз.
Количество листов документа/приложения
1
2
3
4
5
6
Всего подлежит уничтожению __________ (__________________) наименований
(цифрами) (прописью)
документов. Записи акта с регистрационными данными сверены.
Председатель комиссии:
____________________________________/ _____________________________________
Члены комиссии:
____________________________________/ _____________________________________
____________________________________/ _____________________________________
____________________________________/ _____________________________________
После утверждения акта, перед уничтожением отобранные документы с записями в акте сверили и полностью уничтожили путем измельчения в бумагорезательной машине.
Председатель комиссии:
____________________________________/ _____________________________________
Члены комиссии:
____________________________________/ _____________________________________
____________________________________/ _____________________________________
____________________________________/ _____________________________________
Приложение № 2
к приказу
департамента
от 18 июня 2014 г. № 308
УТВЕРЖДАЮ
Руководитель департамента труда
и занятости населения
Краснодарского края
И.В. Мелких
"____" _____________ 2014 г.
М.П.
ПОЛИТИКА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЕПАРТАМЕНТА ТРУДА И ЗАНЯТОСТИ
НАСЕЛЕНИЯ КРАСНОДАРСКОГО КРАЯ
1. Общие положения
1.1. Настоящая Политика об обработке персональных данных (далее - Политика):
- является основополагающим внутренним документом департамента труда и занятости населения Краснодарского края (далее - ДТЗН КК), регулирующим вопросы обработки персональных данных;
- разработана в целях обеспечения соответствия с законодательством Российской Федерации обработки, хранения и защиты ПДн сотрудников, граждан, обратившихся в подведомственные учреждения (государственные казенные учреждения Краснодарского края, центры занятости населения в муниципальных образованиях);
- раскрывает основные категории персональных данных, обрабатываемых ДТЗН КК, цели, способы и принципы обработки ПДн ДТЗН КК права и обязанности ДТЗН КК при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых ДТЗН КК в целях обеспечения безопасности персональных данных при их обработке;
- предназначена для сотрудников ДТЗН КК, осуществляющих обработку персональных данных в целях непосредственной реализации ими закрепленных в Политике принципов, а также является информационным ресурсом для субъектов персональных данных, позволяющим определить концептуальные основы деятельности ДТЗН КК при обработке персональных данных.
2. Источники нормативного правового
регулирования вопросов обработки персональных данных
2.1. Политика ДТЗН КК в области обработки персональных данных определяется на основании следующих нормативных правовых актов РФ:
- Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных";
- Федеральный закон от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации";
- Федеральный закон Российской Федерации от 19.04.1991 № 1032-1 "О занятости населения в Российской Федерации";
- Федеральный закон от 27.07.2004 № 79-ФЗ "О государственной гражданской службе Российской Федерации";
- Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687;
- Указ Президента Российской Федерации от 30.05.2005 № 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";
- Постановление Правительства Российской Федерации от 06.06.2008 № 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";
- Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119;
- Указ Президента РФ от 06.03.1997 № 188 "Об утверждении перечня сведений конфиденциального характера";
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Уголовный кодекс Российской Федерации;
- нормативные и методические документы ФСБ России, ФСТЭК России и Роскомнадзора.
2.2. Во исполнение настоящей Политики в ДТЗН КК приказами утверждаются следующие локальные нормативные правовые акты:
- Инструкция администратора информационной безопасности информационных систем персональных данных;
- Инструкция администратора информационных систем персональных данных;
- Инструкция по действиям пользователей информационных систем персональных данных в нештатных ситуациях;
- Инструкция по организации антивирусной защиты информационных систем персональных данных;
- Инструкция по порядку проведения проверок состояния защиты персональных данных;
- План внутренних проверок состояния защиты персональных данных;
- Инструкция Пользователя информационных систем персональных данных;
- Перечень персональных данных, обрабатываемых в ДТЗН КК;
- План мероприятий по защите персональных данных;
- Положение о порядке организации и проведению работ по обработке и защите персональных данных, обрабатываемых в информационных системах персональных данных ДТЗН КК;
- Акт определения класса защищенности ПДн в ИСПДн ДТЗН КК;
- Акт определения уровня защищенности ПДн в ИСПДн ДТЗН КК;
- Модель угроз и нарушителя безопасности персональных данных информационных систем персональных данных департамента труда и занятости населения Краснодарского края;
- и иные локальные документы ДТЗН КК, принимаемые во исполнение требований действующих нормативных правовых актов Российской Федерации в области обработки персональных данных.
3. Основные термины и понятия,
используемые в локальных документах ДТЗН КК, принимаемых по
вопросу обработки персональных данных
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации, Перечнем ПДн, обрабатываемых в ДТЗН КК локальными актами ДТЗН КК.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Распространение персональных данных - действия, направленные на раскрытие ПДн неопределенному кругу, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом.
Предоставление персональных данных - действия, направленные на раскрытие ПДн определенному кругу.
Использование персональных данных - действия (операции) с ПДн, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПДн или других лиц либо иным образом затрагивающих права и свободы субъекта ПДн или других лиц.
Блокирование персональных данных - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители ПДн.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
Информационная система персональных данных - информационная система, представляющая собой совокупность содержащихся в базе данных ПДн и их обработку, информационных технологий и технических средств.
Конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся ее владельцем.
Общедоступные персональные данные - ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Трансграничная передача персональных данных - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
4. Общие условия обработки персональных данных
4.1. Обработка ПДн в ДТЗН КК осуществляется на основе следующих принципов:
4.1.1. Законности и справедливости обработки ПДн.
4.1.2. Законности целей и способов обработки ПДн и добросовестности.
4.1.3. Соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям ДТЗН КК.
4.1.4. Соответствия содержания и объема обрабатываемых ПДн целям обработки ПДн.
4.1.5. Достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн.
4.1.6. Недопустимости объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
4.1.7. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
4.1.8. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
4.1.9. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.1.10. При получении от субъекта ПДн излишних ПДн или данных, которые не включены в перечень обрабатываемых ПДн ДТЗН КК, производится исключение таких данных из обработки. В случае неавтоматизированной обработки, если излишние персональные данные находятся на одном носителе с ПДн, включенными в перечень обрабатываемых ДТЗН КК, производится вымарывание таких данных. Если материальный носитель содержит ПДн, не включенные в перечень обрабатываемых ДТЗН КК, и не содержит ПДн, включенные в перечень обрабатываемых ДТЗН КК, то такой носитель информации должен быть уничтожен. В случае автоматизированной обработки, излишние персональные данные необходимо уничтожить посредством удаления излишних персональных данных.
4.1.11. Субъект ПДн является собственником своих ПДн и самостоятельно решает вопрос передачи ДТЗН КК своих ПДн.
4.1.12. Обработка ПДн субъекта без письменного его согласия не допускаются, если иное не определено законодательством РФ. ПДн относятся к категории конфиденциальной информации. При отправке персональных данных субъектом ПДн посредством электронной почты или портала (http://www.kubzan.ru) ДТЗН КК, субъектом персональных данных осуществляется передача ПДн ДТЗН КК на основе добровольного согласия субъекта, выраженного в установке отметки о согласии субъекта ПДн на осуществление обработки переданных ПДн ДТЗН КК, в том числе передачу таковых ПДн третьим лицам. Согласие субъекта ПДн, полученное в такой форме, приравнивается к согласию субъекта ПДн, полученному письменно.
4.1.13. Режим конфиденциальности ПДн снимается в случаях обезличивания или по истечении сроков хранения, если иное не определено законодательством РФ.
4.1.14. Держателем ПДн является ДТЗН КК, которому субъект ПДн передает во владение свои ПДн. ДТЗН КК выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.
4.1.15. Комплекс мер по защите ПДн направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности ПДн и обеспечивает безопасность информации в процессе деятельности ДТЗН КК.
4.1.16. ДТЗН КК при обработке ПДн обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий, в соответствии с требованиями к обеспечению безопасности ПДн при их обработке в ИСПДн.
4.1.17. Мероприятия по защите ПДн определяются Положением, приказами, инструкциями и другими внутренними документами ДТЗН КК.
4.2. Для защиты ПДн в ДТЗН КК применяются следующие принципы и правила:
4.2.1. Ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей ПДн.
4.2.2. Строгое избирательное и обоснованное распределение документов и информации между сотрудниками.
4.2.3. Рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации.
4.2.4. Знание сотрудниками требований нормативно-методических документов по защите ПДн.
4.2.5. Распределение персональной ответственности между сотрудниками, участвующими в обработке ПДн, за выполнение требований по обеспечению безопасности ПДн.
4.2.6. Установление режима конфиденциальности в соответствии с требованиями по обеспечению безопасности ПДн при работе с конфиденциальными документами и базами данных.
4.2.7. Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
4.2.8. Исключение бесконтрольного пребывания посторонних лиц в помещениях, в которых ведется обработка ПДн и находится соответствующая вычислительная техника.
4.2.9. Организация порядка уничтожения персональных данных.
4.2.10. Своевременное выявление нарушений требований разрешительной системы доступа.
4.2.11. Воспитательная и разъяснительная работа с сотрудниками отделов по предупреждению утраты ценных сведений при работе с конфиденциальными документами.
4.2.12. Регулярное обучение работников по вопросам, связанным с обеспечением безопасности ПДн.
4.2.13. Ограничение доступа к техническим средствам и системам обработки информации, на которых содержатся ПДн.
4.2.14. Создание целенаправленных неблагоприятных условий и труднопреодолимых препятствий для лица, пытающегося совершить несанкционированный доступ и овладение информацией.
4.2.15. Резервирование защищаемых данных (создание резервных копий).
4.3. Цели обработки персональных данных:
4.3.1. Исполнение требований трудового законодательства и трудового договора с сотрудником;
4.3.2. Ведение бухгалтерского, налогового и кадрового учета;
4.3.3. Передача персональных данных сотрудников в банковские организации для содействия в открытии банковских карт;
4.3.4. Начисления заработной платы сотрудникам;
4.3.5. Формирование отчетности для последующей передачи во внешние организации;
4.3.6. Осуществление внутриведомственного и межведомственного документооборота;
4.3.7. Оказание государственных услуг в области содействия занятости населения Краснодарского края;
4.3.8. Обеспечение государственных гарантий в области занятости населения;
4.3.9. Формирование и ведение регистров получателей государственных услуг в сфере занятости населения;
4.3.10. Формирование отчетности для последующей передачи во внешние организации;
4.3.11. Накопление ПДн лиц проходящих альтернативную гражданскую службу, и внесение этих сведений в базу данных Федеральной службы занятости населения;
4.3.12. Обновление, уточнение ПДн с военкоматами и организациями, подведомственными органам власти Краснодарского края;
4.3.13. Сбор и накопление ПДн лиц пострадавших в результате несчастного случая со смертельным или тяжелым исходом, а также о лицах, имеющих профессиональные заболевания.
------------------------------------------------------------------
По датам
Введите даты для поиска:
Информация
Ключевые слова