ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ ЗАЩИТЫ ПРАВ
ПОТРЕБИТЕЛЕЙ И БЛАГОПОЛУЧИЯ ЧЕЛОВЕКА
Управление Федеральной службы по надзору в сфере защиты прав
потребителей и благополучия человека по Брянской области
ПРИКАЗ
Брянск
|
«Об утверждении в Управлении Роспотребнадзора по Брянской области перечня документов»
|
|
В целях исполнения Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных», Федерального закона от 27.07.2004 №79-ФЗ "О государственной гражданской службе Российской Федерации" (далее Федеральный закон "О государственной гражданской службе Российской Федерации"), Федерального закона от 25.12.2008 № 273-ФЗ «О противодействии коррупции», Трудового кодекса Российской Федерации, постановления Правительства Российской Федерации от 21.03.2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», постановления Правительства Российской Федерации от 06.07.2008 № 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных", постановления Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Указа Президента Российской Федерации от 30.05.2005 № 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", Положения об обработке и защите персональных данных в Роспотребнадзоре, утвержденного приказом Роспотребнадзора от 23.12.2013 года № 964,
ПРИКАЗЫВАЮ:
1.Утвердить в Управлении Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека по Брянской области:
1.1 Правила обработки и защиты персональных данных (Приложение №1);
1.2 Правила рассмотрения запросов субъектов персональных данных или их представителей (Приложение №2);
1.3 Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (Приложение №3);
1.4 Правила работы с обезличенными персональными данными (приложение №4);
1.5 Перечень должностей государственных гражданских служащих, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных (Приложение №5);
1.6 Порядок доступа служащих и сотрудников Управления в помещения, в которых ведется обработка персональных данных (Приложение №6);
1.7. Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные (для государственных гражданских служащих) (Приложение №7);
1.8. Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные (Приложение №8);
1.9. Правила обработки персональных данных, осуществляемых без использования средств автоматизации (Приложение №9);
1.10. Перечень должностей служащих Управления, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (Приложение №10).
1.11. Перечень информационных систем персональных данных Управления Роспотребнадзора по Брянской области (приложение №11)
1.12. Перечень персональных данных, обрабатываемых в Управлении Роспотребнадзора по Брянской области в связи реализацией служебных и трудовых отношений, а также в связи с оказанием государственных и муниципальных услуг и осуществлением государственных или муниципальных функций (приложение № 12).
2. Признать утратившим силу приказ Управления Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека по Брянской области от 05 августа 2014 года № 126 «О перечне должностей, допущенных к обработке персональных данных либо к осуществлению доступа к персональным данным».
3. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Управления С.А.Попова.
Руководитель Л.Н. Трапезникова
Приложение № 1
Утверждено приказом
Управления Роспотребнадзора
по Брянской области
от 30.12.2015г. № 195
ПРАВИЛА
обработки и защиты персональных данных в
Управлении Роспотребнадзора по Брянской области
1. Общие положения
1.1. Настоящие Правила обработки и защиты персональных данных в Управлении Роспотребнадзора по Брянской области (далее - Правила) (далее - Управление) разработаны в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон "О персональных данных"), постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», Федеральным законом от 27.07.2004 № 79-ФЗ "О государственной гражданской службе Российской Федерации" (далее - Федеральный закон "О государственной гражданской службе Российской Федерации"), Трудовым кодексом Российской Федерации, Указом Президента Российской Федерации от 30.05.2005 № 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлением Правительства Российской Федерации от 06.07.2008 № 512 "Об утверждении требований к материальным носителям биометрических персо¬нальных данных и технологиям хранения таких данных вне информацион¬ных систем персональных данных", постановлением Правительства Россий¬ской Федерации от 15.09.2008 № 687 "Об утверждении Положения об осо¬бенностях обработки персональных данных, осуществляемой без использо¬вания средств автоматизации", Федеральным законом от 25.12.2008 № 273- ФЗ «О противодействии коррупции», Положением об обработке и защите персональных данных в Роспотребнадзоре, утвержденным приказом Роспот¬ребнадзора от 23.12.2013 № 964.
1.2.Настоящие Правила определяют:
- процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
- цели, содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются; порядок и условия обработки персональных данных, меры, направленные на защиту персональных данных;
- сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований,
1.3. Правила определяют деятельность Управления как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.
1.4. Обработка персональных данных в Управлении осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации.
1.5. Термины и определения:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персо-нальных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (рас¬пространение, предоставление, доступ), обезличивание, блокирование, уда¬ление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
5)распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных - временное прекращение обра-ботки персональных данных (за исключением случаев, если обработка необ-ходима для уточнения персональных данных);
8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
10) информационная система персональных данных - совокупность со-держащихся в базах данных персональных данных и обеспечивающих их об-работку информационных технологий и технических средств;
11) трансграничная передача персональных данных - передача персо-нальных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:
2.1. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в Управлении используются следующие процедуры:
2.1.1. Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
2.1.2. Оценка вреда, который может быть причинен субъектам персо-нальных данных.
2.1.3. Ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящими Правилами, обучение по соответствующим дополнительным профессиональным программам.
2.1.4. Осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленны¬ми законодательством Российской Федерации в сфере персональных данных.
2.1.5. Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.1.6. Обеспечение при обработке персональных данных точности пер-сональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.
3. Цели обработки персональных данных
3.1. В Управлении персональные данные могут обрабатываться для:
3.1.1. Осуществления статистических или иных исследовательских целей, за исключением целей, указанных в статье 15 Федерального закона "О персональных данных".
3.1.2. Обеспечения доступа неограниченного круга лиц к общедоступным персональным данным, который предоставлен субъектом персональных данных либо по просьбе субъекта персональных данных.
3.1.3. Выполнения возложенных на Управление функций и полномочий.
3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.
3.3. Обработка персональных данных, несовместимых с целями сбора персональных данных, указанными в пункте 3,1 Правил, не допускается.
3.4. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным в пункте 3.1 Правил целям обработки. Обра-батываемые персональные данные не должны быть избыточными по отно-шению к заявленным целям их обработки.
4. Условия и порядок обработки персональных данных гражданских служащих Управления и иных лиц. Перечень персональных данных, обрабатываемых в связи с реализацией трудовых отношений (в рамках законодательства о государственной гражданской службе Российской Федерации).
4.1. Персональные данные федеральных государственных гражданских служащих (далее - служащие) и работников Управления, граждан, претен-дующих на замещение должностей в Управлении обрабатываются в целях осуществления кадровой работы, в том числе содействия гражданским слу-жащим и работникам в прохождении федеральной государственной граждан-ской службы, работы, формирования кадрового резерва, обучения и должно-стного роста, учета результатов исполнения должностных обязанностей, обеспечения личной безопасности гражданских служащих и работников, включая членов их семей, обеспечения гражданским служащим и работникам установленных законодательством Российской Федерации условий труда, га-рантий и компенсаций, а также в целях противодействия коррупции.
4.2. В Управлении обрабатываются следующие категории персональных данных:
4.2.1. Фамилия, имя, отчество, дата и место рождения, гражданство.
4.2.2. Прежние фамилия, имя, отчество, дата, место рождения (в случае изменения).
4.2.3. Владение иностранными языками и языками народов Российской Федерации.
4.2.4. Образование (когда и какие образовательные организации окончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому).
4.2.5. Выполняемая работа с начала трудовой деятельности (в том числе военная служба, работа по совместительству, предпринимательская дея-тельность).
4.2.6. Классный чин федеральной государственной гражданской службы, гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатический ранг, воинское, специальное звание, классный чин правоохранительной службы (кем и когда присвоены).
4.2.7. Государственные награды, иные награды и знаки отличия (кем награжден и когда).
4.2.8. Степень родства, фамилии, имена, отчества, даты рождения близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены).
4.2.9. Места рождения, места работы и домашние адреса близких род-ственников (отца, матери, братьев, сестер и детей), а также мужа (жены).
4.2.10. Фамилии, имена, отчества, даты рождения, места рождения, места работы и домашние адреса бывших мужей (жен).
4.2.11. Пребывание за границей (когда, где, с какой целью).
4.2.12. Близкие родственники (отец, мать, братья, сестры и дети), а также муж (жена), в том числе бывшие, постоянно проживающие за границей и (или) оформляющие документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество, с какого времени проживают за границей).
4.2.13. Адрес регистрации и фактического проживания, дата регистрации по месту жительства.
4.2.14. Вид, серия, номер документа, удостоверяющего личность на территории Российской Федерации, наименование органа, выдавшего его, дата выдачи.
4.2.15. Паспорт, удостоверяющий личность гражданина Российской Федерации за пределами Российской Федерации (серия, номер, кем и когда выдан).
4.2.16. Номер контактного телефона или сведения о других способах связи.
4.2.17. Отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу).
4.2.18. Идентификационный номер налогоплательщика.
4.2.19. Номер страхового свидетельства обязательного пенсионного страхования.
4.2.20. Реквизиты полиса обязательного медицинского страхования.
4.2.21. Реквизиты свидетельств государственной регистрации актов гражданского состояния.
4.2.22. Наличие (отсутствие) судимости.
4.2.23. Допуск к государственной тайне, оформленный за период работы, службы, учебы (форма, номер и дата).
4.2.24. Наличие (отсутствие) заболевания, препятствующего поступлению на государственную гражданскую службу Российской Федерации или ее прохождению, подтвержденного заключением медицинского учреждения.
4.2.25. Наличие (отсутствие) медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну, подтвержденное заключением медицинского учреждения.
4.2.26 Сведения о доходах, расходах, имуществе и обязательствах имущественного характера, а также о доходах, расходах, имуществе обязательствах имущественного характера супругов и несовершеннолетних детей.
4.2.27. Номер индивидуального лицевого счета, дата его открытия, номер банковской карты.
4.2.28. Иные персональные данные, необходимые для достижения целей, указанных в пункте 4.1 Правил.
4.3. Обработка персональных данных гражданских служащих и работ-ников Управления, граждан, претендующих на замещение должностей в Управлении, осуществляется без их согласия в рамках целей, указанных в пункте 4.1 Правил, на основании пунктов 2, 3, 11 части 1 статьи 6 Федерального закона "О персональных данных".
4.4. Обработка специальных категорий персональных данных гражданских служащих и работников Управления, граждан, претендующих на замещение должностей в Управлении, осуществляется без их согласия в рамках целей, указанных в пункте 4.1 Правил, на основании пунктов 2, 2.3, 3, 4, 6, 7, 8 части 2 и части 3 статьи 10 Федерального закона "О персональных данных", за исключением случаев получения персональных данных у третьей стороны.
4.5. Обработка персональных данных гражданских служащих и работников Управления, граждан, претендующих на замещение должностей в Управлении, осуществляется при условии получения согласия указанных лиц в следующих случаях:
4.5.1. При передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных законодательством Российской Федерации о государственной гражданской службе и трудовым законодательством.
4.5.2. При трансграничной передаче персональных данных.
4.5.3. При принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обра-ботки их персональных данных.
4.6. В случаях, предусмотренных пунктом 4.5 Правил, согласие субъекта персональных данных оформляется в письменной форме, если иное не ус-тановлено Федеральным законом "О персональных данных".
4.7. Обработка персональных данных гражданских служащих и работников Управления, граждан, претендующих на замещение должностей в Управлении, осуществляется уполномоченными приказом руководителя Управления служащими (работниками) и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространие, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
4.8. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных гражданских служащих и работников Управления, граждан, претендующих на замещение должностей в Управлении, осуществляется путем:
4.8.1. Получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые в кад-ровые подразделения).
4.8.2. Копирования оригиналов документов.
4.8.3. Внесения сведений в учетные формы.
4.8.4. Формирования персональных данных в ходе кадровой работы.
4.8.5. Внесения персональных данных в информационные системы (при наличии).
4.8.6. Получения персональных данных непосредственно от гражданских служащих и работников Управления, граждан, претендующих на замещение должностей в Управлении.
4.9. В случае возникновения необходимости получения персональных данных гражданских служащих и работников Управления, граждан, претен-дующих на замещение должностей в Управлении, у третьей стороны следует известить об этом заранее гражданского служащего или работника Управления, гражданина, претендующего на замещение должности в Управлении, получить письменное согласие и сообщить о целях и способах получения персональных данных.
4.10. Запрещается получать, обрабатывать и приобщать к личному делу гражданского служащего и работника Управления персональные данные, не предусмотренные пунктом 4.2 Правил, в том числе касающиеся расовой, на-циональной принадлежности, политических взглядов, религиозных или фи-лософских убеждений, интимной жизни.
4.11. При сборе персональных данных уполномоченный гражданский служащий (работник), осуществляющий сбор (получение) персональных данных непосредственно от гражданских служащих и работников Управления, граждан, претендующих на замещение должностей в Управлении, обязан разъяснить указанным субъектам персональных данных юридические по-следствия отказа предоставить их персональные данные, если предоставление персональных данных является обязательным в соответствии с федеральным законом.
4.12. Передача (распространение, предоставление) и использование персональных данных гражданских служащих и работников Управления, граждан, претендующих на замещение должностей в Управлении, осуществ-ляется лишь в случаях и в порядке, предусмотренных федеральными законами.
5. Условия и порядок обработки персональных данных гражданских служащих Управления в связи с рассмотрением вопроса о предоставлении единовременной субсидии на приобретение жилого помещения
5.1. В Управлении осуществляется обработка персональных данных гражданских служащих Управления для направления в Роспотребнадзор в связи с рассмотрением вопроса о предоставлении единовременной субсидии на приобретение жилого помещения.
5.2. Персональные данные, подлежащие обработке в связи с предостав-лением единовременной субсидии на приобретение жилого помещения, ука-заны в постановлении Правительства Российской Федерации от 27.01.2009 № 63 "О предоставлении федеральным государственным гражданским служащим единовременной субсидии на приобретение жилого помещения" и включают в себя:
5.2.1. Фамилию, имя, отчество, дата и место рождения.
5.2.2. Прежние фамилия, имя, отчество, дата, место рождения и причина изменения (в случае изменения).
5.2.3. Вид, серия, номер документа, удостоверяющего личность на тер-ритории Российской Федерации, наименование органа, выдавшего его, дата выдачи.
5.2.4. Адрес регистрации и фактического проживания, дата регистрации по месту жительства.
5.2.5. Сведения о составе семьи.
5.2.6. Информация, содержащаяся в выписке из домовой книги, копиях финансового лицевого счета, свидетельства о браке, свидетельства о рождении ребенка (детей), трудовой книжки, документов о наличии в собственности гражданского служащего и (или) членов его семьи жилых помещений, кроме жилого помещения, в котором они зарегистрированы (с предоставлением при необходимости их оригиналов), документа, подтверждающего право на дополнительную площадь жилого помещения.
5.3. Обработка персональных данных гражданских служащих Управления в целях направления в Роспотребнадзор для постановки на учет для получения единовременной выплаты осуществляется на основании заявления гражданского служащего, представляемого в Комиссию Роспотребнадзора для рассмотрения вопросов предоставления федеральным государственным гражданским служащим единовременной субсидии на приобретение жилого помещения, положение и состав которой утверждается актом Роспотребнадзора (далее - Комиссия Роспотребнадзора).
5.4. Обработка персональных данных гражданских служащих Управления в целях направления в Роспотребнадзор в связи с предоставлением еди-новременной субсидии на приобретение жилого помещения, в том числе сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных, осуществляется уполномоченными гражданскими служащими путем:
5.4.1. Получения оригиналов необходимых документов.
5.4.2. Предоставления заверенных в установленном порядке копий до-кументов.
5.5. Комиссия Роспотребнадзора вправе проверять сведения, содержащиеся в документах, представленных гражданскими служащими Управления, о наличии условий, необходимых для постановки гражданского служащего на учет для получения единовременной субсидии на получение жилья.
5.6. Передача (распространение, предоставление) и использование пер-сональных данных гражданских служащих Управления, полученных в связи с предоставлением единовременной субсидии на приобретение жилого по-мещения, осуществляется лишь в случаях и в порядке, предусмотренных за-конодательством Российской Федерации.
6. Условия и порядок обработки персональных данных субъектов в связи с предоставлением государственных услуг и исполнением государственных функций
6.1. В Управлении обработка персональных данных субъектов персо-нальных данных может осуществляться в целях предоставления государст-венных услуг и исполнения государственных функций, предусмотренных Положением об Управлении.
6.2. Персональные данные субъектов персональных данных, обратившихся в Управление лично, а также направивших индивидуальные или коллективные письменные обращения (запросы) или обращения (запросы) в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений (запросов) с последующим уведомлением о результатах рассмотрения.
6.3. Обработка персональных данных, необходимых в связи с предос-тавлением государственных услуг и исполнением государственных функций, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 4 части 1 статьи 6 Федерального закона "О персональных данных".
6.4. Обработка персональных данных, необходимых в связи с предоставлением государственных услуг и исполнением государственных функций, осуществляется уполномоченными структурными подразделениями Управления, предоставляющих соответствующие государственные услуги и (или) исполняющими государственные функции, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распростра¬нение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
6.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов, обратившихся в органы и подведомственные организации для получения государственной услуги или в целях исполнения государственной функции, осуществляется путем:
6.5.1. Получения оригиналов необходимых документов (заявление).
6.5.2. Заверения копий документов.
6.5.3. Внесения сведений в учетные формы (на бумажных и электронных носителях).
6.6. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения пер-сональных данных непосредственно от субъектов персональных данных.
6.7. При сборе персональных данных уполномоченный служащий (ра-ботник), осуществляющий получение персональных данных непосредственно от субъектов персональных данных, обратившихся за предоставлением государственной услуги или в связи с исполнением государственной функции, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.
6.8. Передача (распространение, предоставление) и использование пер-сональных данных заявителей (субъектов персональных данных) Управлением осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.
7. Порядок обработки персональных данных субъектов персональных данных в информационных системах
7.1. Обеспечение безопасности при обработке персональных данных, содержащихся в информационных Управления, осуществляется в соответствии с постановлением Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
7.2. Уполномоченному служащему "(работнику), имеющему право осу-ществлять обработку персональных данных в информационных системах Управления (при наличии информационных систем), предоставляется уни-кальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется в соответствии с функциями, предусмот-ренными должностными регламентами гражданских служащих (должностными обязанностями работников).
Информация может вноситься как в автоматическом режиме, при по-лучении персональных данных с Единого портала государственных и муни-ципальных услуг (функций) или официального сайта Роспотребнадзора в сети Интернет, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
7.3. Обеспечение безопасности персональных данных, обрабатываемых в информационных Управления, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
7.3.1. Определение угроз безопасности персональных данных при их обработке в информационных системах.
7.3.2. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные законо¬дательством Российской Федерации уровни защищенности персональных данных.
7.3.3. Применение прошедших в. установленном порядке процедур оценки соответствия средств защиты информации.
7.3.4. Оценка эффективности принимаемых мер по обеспечению безо-пасности персональных данных до ввода в эксплуатацию информационной системы.
7.3.5. Учет машинных носителей персональных данных.
7.3.6. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
7.3.7. Восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.
7.3.8. Установление правил доступа к персональным данным, обрабатываемым в информационных системах, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах.
7.3.9. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем.
7.4. В случае выявления нарушений порядка обработки персональных данных уполномоченными гражданскими служащими (работниками) незамедлительно принимаются меры по установлению причин нарушений и их устранению.
8. Сроки обработки и хранения персональных данных
8.1. Сроки обработки и хранения персональных данных гражданских служащих и работников Управления граждан, претендующих на замещение должностей в Управлении, определяются в соответствии с законодательством Российской Федерации.
С учетом положений законодательства Российской Федерации уста-навливаются следующие сроки обработки и хранения персональных данных:
8.1.1. Персональные данные, содержащиеся в приказах по личному составу гражданских служащих и работников Управления (о приеме, о переводе, об увольнении, об установлении надбавок), подлежат хранению в соот¬ветствующих структурных подразделениях в течение 75 лет в порядке, пре¬дусмотренном законодательством Российской Федерации.
8.1.2. Персональные данные, содержащиеся в личных делах гражданских служащих и работников Управления, а также личных карточках гражданских служащих и работников Управления, хранятся в соответствующих структурных подразделениях в течение 75 лет в порядке, предусмотренном законодательством Российской Федерации.
8.1.3. Персональные данные, содержащиеся в приказах о поощрениях, материальной помощи гражданским служащим и работникам Управления, подлежат хранению в течение 75 лет в порядке, предусмотренном законода-тельством Российской Федерации.
8.1.4. Персональные данные, содержащиеся в приказах о предоставлении отпусков, о краткосрочных внутрироссийских и зарубежных командировках, о дисциплинарных взысканиях гражданских служащих и работников Управления, подлежат хранению в соответствующих структурных подразделениях в течение пяти лет.
8.1.5. Персональные данные, содержащиеся в документах граждан, претендующих на замещение должностей в Управлении, не допущенных к участию в конкурсе, и кандидатов, участвовавших в конкурсе, хранятся в со-ответствующих структурных подразделениях в течение 3 лет со дня завершения конкурса, после чего подлежат уничтожению.
8.2. Сроки обработки и хранения персональных данных, предоставляемых субъектами персональных данных в Управление в связи с получением государственных услуг и исполнением государственных функций, указанных в пункте 8.1 Правил определяются нормативными правовыми актами, регла-ментирующими порядок их сбора и обработки.
8.3. Персональные данные граждан, обратившихся в Управление лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет.
8.4. Персональные данные, предоставляемые субъектами на бумажном носителе в связи с предоставлением Управлением государственных услуг и исполнением государственных функций, хранятся на бумажных носителях в структурных подразделениях Управления, к полномочиям которых относится обработка персональных данных в связи с предоставлением государственной услуги или исполнением государственной функции, в соответствии с по-ложениями о соответствующих структурных подразделениях.
8.5. Если сроки хранения персональных данных не установлены зако-нодательством Российской Федерации, договором, стороной которого, выго-доприобретателем или поручителем по которому является субъект персо-нальных данных, то обработка и хранение персональных данных осуществ-ляются не дольше, чем этого требуют цели их обработки и хранения.
8.6. Персональные данные при их обработке, осуществляемой без ис-пользования средств автоматизации, должны обособляться от иной инфор-мации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
8.7. Уполномоченные должностные лица Управления обеспечивают раздельное хранение персональных данных на разных материальных носите-лях, обработка которых осуществляется в различных целях, о пределе их Правилами.
8.8. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, на-ходящихся на этих носителях, осуществляют начальники соответствующих структурных подразделений Управления.
8.9. Срок хранения персональных данных, внесенных в информационную систему Управления, указанную в пункте 7.1 Правил, должен соответствовать сроку хранения бумажных оригиналов.
9. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований
9.1. Структурным подразделением Управления, ответственным за до-кументооборот, осуществляется систематический контроль и выделение до-кументов, содержащих персональные данные, с истекшими сроками xранения, подлежащих уничтожению.
9.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании экспертной комиссии Управления (далее - ЭК), состав которой утверждается приказом Управления.
По итогам заседания составляются протокол и акт о выделении к унич-тожению документов с указанием уничтожаемых дел и их количества, прове-ряется их комплектность, акт подписывается председателем и членами ЭК и утверждается руководителем Управления.
9.3. Должностное лицо Управления, ответственное за архивную деятельность, организует работу по уничтожению документов, содержащих персональные данные.
9.4. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
9.5. По итогам уничтожения дел (на бумажном и (или) электронном носителях) в акт о выделении к уничтожению документов вносится соответствующая запись.
Приложение № 2
Утверждено приказом
Управления Роспотребнадзора
по Брянской области
от 30.12.2015 № 195
ПРАВИЛА
рассмотрения запросов субъектов персональных данных или их
представителей в Управлении Роспотребнадзора по Брянской области
1. Общие положения
1.1 Настоящие Правила рассмотрения запросов субъектов персональных данных или их представителей в Управлении Роспотребнадзора по Брянской области (далее - Управление) разработаны в соответствии с требованиями Трудового кодекса Российской Федерации, Федерального закона от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации», Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персо-нальных данных», постановления Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспе-чение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ними нормативными правовыми актами, операторами, являющимися государственными или муни-ципальными органами» и определяют порядок рассмотрения поступающих в Управление запросов субъектов персональных данных или их представителей.
1.2. Право субъекта персональных данных на получение информации, касающейся обработки его персональных данных, определено действующим законодательством Российской Федерации.
2. Права субъекта персональных данных на получение информации, касаю-щейся обработки его персональных данных
2.1. Гражданские служащие и сотрудники Управления Роспотребнадзора по Брянской области (далее - Управление), граждане, претендующие на замещение должностей в Управлении, а также граждане, персональные данные которых обрабатываются в связи с предоставлением государственных услуг и осуществлением государственных функций, имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
2.1.1. Подтверждение факта обработки персональных данных;
2.1.2. Правовые основания и цели обработки персональных данных;
2.1.3. Применяемые способы обработки персональных данных;
2.1.4. Наименование и местонахождение органа или организации, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании федерального закона;
2.1.5. Обрабатываемые персональные данные, относящиеся к соответ-ствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
2.1.6. Сроки обработки персональных данных, в том числе сроки их хранения;
2.1.7. Порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области пер-сональных данных;
2.1.8. Информацию об осуществленной или предполагаемой трансгра-ничной передаче данных;
2.1.9. Наименование или фамилию, имя, отчество и адрес лица, осуще-ствляющего обработку персональных данных по поручению Управления, если обработка поручена или будет поручена такой организации или лицу;
2.1.10. Иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.
2.2. Субъекты персональных данных, указанные в пункте 1 Правил, вправе требовать от Управления уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2.3. Сведения, указанные в подпунктах 2.1.1 - 2.1.10 Правил, должны быть предоставлены субъекту персональных данных Управлением в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, еcли имеются законные основания для раскрытия таких персональных данных.
2.4. Сведения, указанные в подпунктах 2.1.1 - 2.1.10 Правил, предоставляются субъекту персональных данных или его представителю уполномоченным должностным лицом структурного подразделения Управления, осуществляющего обработку соответствующих персональных данных, при об ращении либо при получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать:
-номер основного документа, удостоверяющего личность субъект персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
-сведения, подтверждающие участие субъекта персональных данных правоотношениях с Управлением;
-подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и пoдписан электронной подписью в соответствии с законодательством Российской Федерации.
2.5. В случае, если сведения, указанные в подпунктах 2.1.1 - 2.1. пункта 2.1 Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Управление или направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
2.6 Субъект персональных данных вправе обратиться повторно в Управление или направить повторный запрос в целях получения сведений, указанных в подпунктах 2.1.1 - 2.1.8. пункта 2.1 Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока (достижение цели их обработки), в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения.
Повторный запрос наряду со сведениями (персональные данные, пре-доставляемые на бумажном носителе, в связи с предоставлением государст-венных услуг и исполнением государственных функций), должен содержать обоснование направления повторного запроса.
2.7. Управление вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 2.5 и 2.6 Правил с мотивированным указанием причин отказа.
2.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьей стороны.
З. Порядок рассмотрения запросов субъектов персональных данных или их представителей.
3.1. Поступивший в Управление запрос субъекта персональных данных или его представителя (далее - запрос), соответствующий п.2.4 настоящих Правил регистрируется в отделе организации надзора (канцелярия) в соответствии с установленным порядком:
- запрос регистрируется в день поступления, на запросе проставляется штамп, в котором указывается входящий номер и дата регистрации;
- запрос передается на рассмотрение руководителю Управления, который в резолюции определяет должностное лицо (специалиста Управления), назначенное за рассмотрение запроса;
- далее запрос в соответствии с резолюцией руководителя передается на исполнение назначенному специалисту Управления.
3.2. Специалист Управления в течение тридцати календарных дней со дня получения запроса субъекта персональных данных обязан подготовить ответ за подписью руководителя Управления и сообщить субъекту персо¬нальных данных информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, или предоставить воз-можность ознакомления с ними.
3.3. Сведения, указанные в пункте 2.1. настоящих Правил, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
3.4. В случае отказа в предоставлении субъекту персональных данных информации о наличии персональных данных о соответствующем субъекте персональных данных, а также самих персональных данных, мотивированный ответ должен быть дан в письменной форме в срок, не превышающий тридцати дней со дня получения запроса субъекта персональных данных.
3.5. Субъекту персональных данных безвозмездно представляется возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных.
3.6. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных сведений, подтверждающих, что пер-сональные данные, которые относятся к соответствующему субъекту и обра-ботку которых осуществляет Управление, являются неполными, неточными или неактуальными, Управление обязано внести в них необходимые изменения.
3.7. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных сведений, подтверждающих, что пер-сональные данные, которые относятся к соответствующему субъекту и обра-ботку которых осуществляет Управление, являются незаконно полученными, или не являются необходимыми для заявленной цели, Управление обязано уничтожить такие персональные данные. О внесенных уточнениях и пред-принятых мерах необходимо уведомить субъекта персональных данных, а также третьих лиц, которым персональные данные этого субъекта были пе-реданы.
3.8. В случае выявления факта неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных, уполномоченные должностные лица Управления обязаны осуществить блокирование неправомерно обрабатываемых персональных данных, отно-сящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки.
3.9. Управление в течение тридцати дней с даты получения запроса от уполномоченного органа по защите прав субъектов персональных данных из сообщает ему необходимую для реализации его полномочий информацию.
Приложение № 3
Утверждено приказом
Управления Роспотребнадзора
по Брянской области
от 30.12.2015 № 195
ПРАВИЛА
осуществления внутреннего контроля соответствия обработки
персональных данных требованиям к защите персональных данных
в Управлении Роспотребнадзора по Брянской области
1. Общие положения
1.1 Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Управлении Роспотребнадзора по Брянской области (далее - Управление) разработаны в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами и определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
1.2. В Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
2. Порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Управлении проводятся периодические поверки условий обработки персональных данных.
2.2. Проверки обработки персональных данных проводятся комиссией, состав которой утверждается распоряжением руководителя Управления, либо лицом, ответственным за организацию обработки персональных данных в Управлении, лицом, ответственным за организацию обработки и обеспечение работ по технической защите информации, в том числе персональных данных, содержащихся в информационных системах Управления.
2.3. Плановые проверки условий обработки персональных данных проводятся на основании утвержденного руководителем Управления плана основных организационных мероприятий Управления на год в рамках осуществления внутреннего аудита деятельности, в том числе соответствия обработки персональных данных установленным требованиям.
2.4. Предложения в план, в части проведения проверок условий обработки персональных данных в отдельных структурных подразделениях Управления, территориальных отделов, представляются ежегодно в ноябре месяце лицом, ответственным за организацию обработки персональных данных в Управлении, а также лицом, ответственным за организацию обработки и обеспечение работ по технической защите информации, в том числе персональных данных, содержащихся в информационных системах Управления.
2.5. Внеплановые проверки проводятся на основании поступившей в Управление информации, письменного заявления о нарушениях правил обработки персональных данных.
Проведение внеплановой проверки организуется в течение трех рабочих дней со дня поступления информации о нарушениях правил обработки персональных данных.
2.6. В проведении проверки условий обработки персональных данных не могут участвовать государственные гражданские служащие или работники Управления, прямо или косвенно заинтересованные в ее результатах.
2.7. Проверки условий обработки персональных данных осуществляются непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра служебных мест гражданских служащих и работников Управления, участвующих в процессе обработки персональных данных.
2.8. При проведении проверки условий обработки персональных данных должны быть полностью, объективно и всесторонне установлены:
- порядок и условия применения организационных и технических мер, необходимых для выполнения требований к защите персональных данных;
- порядок и условия применения средств защиты информации;
- эффективность принимаемых мер по обеспечению безопасности персональных данных до их ввода в информационные системы персональных данных;
- состояние учета носителей персональных данных;
- соблюдение правил доступа к персональным данным;
- соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных;
- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
- мероприятия по восстановлению персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- осуществление мероприятий по обеспечению сохранности персональных данных при хранении материальных носителей;
- соответствие места хранения персональных данных (материальных носителей) и соответствие перечня лиц, имеющих к ним доступ в установленном порядке;
- обеспечение раздельного хранения персональных данные (материальных носителей), обработка которых осуществляется в различных целях.
2.9 Комиссия по проведению проверки условий обработки персональных данных имеет право:
- запрашивать у гражданских служащих и работников Управления информацию, необходимую для реализации полномочий;
- требовать от гражданских служащих и работников Управления, осуществляющих обработку персональных данных, уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- вносить руководителю Управления предложения о совершенствовании правового, технического и организационного обеспечения безопасности персональных данных при их обработке;
- приостановлении или прекращении обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
- привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации о персональных данных.
2.10. Члены комиссии по проведению проверки условий обработки персональных данных должны обеспечивать конфиденциальность ставших им известными в ходе проведения мероприятий внутреннего контроля персональных данных.
2.11. Проверка условий обработки персональных данных должна быть завершена не позднее чем через 30 календарных дней со дня принятия решения об ее проведении.
2.12. О результатах проведенной проверки условий обработки персональных данных и мерах, необходимых для устранения выявленных нарушений, председатель комиссии, либо лицо, ответственное за организацию обработки персональных данных, докладывает руководителю Управления.
2.13. По результатам проверки руководитель Управления принимает необходимые меры, направленные на предотвращение нарушений, а при необходимости привлекает виновных должностных лиц к установленной ответственности.
Приложение № 4
Утверждено приказом
Управления Роспотребнадзора
по Брянской области
от 30.12.2015 № 195
Правила
работы с обезличенными персональными данными
1. Общие положения
1.1. Настоящие Правила работы с обезличенными персональными данными в Управлении Роспотребнадзора по Брянской области (далее - Управление) разработаны в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», постановлением Правительства РФ от 21 марта 2012 года №211.
1.2. Настоящие Правила определяют порядок работы с обезличенными персональными данными в Управлении.
2. Термины и определения
2.1. Персональные данные - любая информация, относящаяся прямо или косвенно определенному или определяемому физическому липу (субъекту персональных данных).
2.2. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.3. Обезличивание персональных данных - действия, в результате которых становится невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.4. Обезличивание персональных данных проводится с целью ведения статистических данных и снижения ущерба от разглашения защищаемых персональных данных.
3. Способы обезличивания персональных данных
3.1. Уменьшение перечня обрабатываемых сведений (например, исключить место жительства субъекта персональных данных),
3.2. Замена части сведений идентификаторами (например, заменить Фамилию, Имя, Отчество порядковым номером по табелю).
3.3. Обобщение - понижение точности некоторых сведений (например, «Место жительства» может состоять из страны, индекса, города, дома и квартиры, а может быть указан только город).
3.4. Деление сведений на части и обработка в разных информационных системах.
3.5. Возможны другие способы обезличивание, исключающие возможность определения принадлежности персональных данных определенному субъекту персональных данных.
4. Порядок работы с обезличенными персональными данными
4.1. Мероприятия по обезличиванию персональных данных проводят сотрудники, ответственные за обезличивание персональных данных.
4.2. Обезличенные персональные данные могут обрабатываться как автоматизированным так и неавтоматизированным способами.
4.3. Обработка обезличенных персональных данных осуществляется с соблюдением конфиденциальности.
4.4. При работе с обезличенными персональными данными в автоматизированном и неавтоматизированном режимах необходимо соблюдать правила и требования по обеспечению безопасности персональных данных, действующие в Управлении.
4.5. Передача обезличенных персональных данных третьим лицам разрешается с письменного разрешения руководителя Управления, либо без такового, в случаях, предусмотренных действующим законодательством.
5 Ответственность
Лица, нарушившие настоящие Правила, несут ответственность в соответствии с действующим законодательством.
Приложение № 5
Утверждено приказом
Управления Роспотребнадзора
по Брянской области
от 30.12.2015 №195
ПЕРЕЧЕНЬ
должностей государственных гражданских служащих Управления Роспотребнадзора по Брянской области, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
1 Руководство:
1.1. Руководитель Управления
1.2 Заместители руководителя Управления
2. Отдел санитарного надзора:
2.1. Начальник отдела
2.2. Заместитель начальника отдела
2.3. Главный специалист-эксперт
2.4. Ведущий специалист-эксперт
2.5. Специалист-эксперт
3. Отдел эпидемиологического надзора:
3.1. Начальник отдела
3.2. Заместитель начальника отдела
3.3. Главный специалист-эксперт
3.4. Ведущий специалист-эксперт
3.5. Специалист-эксперт
3.6. Старший специалист 2 разряда
4. Отдел защиты прав потребителей:
4.1. Начальник отдела
4.2. Заместитель начальника отдела
4.3. Главный специалист-эксперт
4.4. Ведущий специалист-эксперт
4.5. Специалист-эксперт
5. Отдел организации надзора:
5.1. Начальник отдела
5.2. Заместитель начальника отдела
5.3. Главный специалист-эксперт
5.4. Ведущий специалист-эксперт
5.5. Специалист-эксперт
5.6. Старший специалист 2 разряда
6. Отдел бухгалтерского учета и отчетности:
6.1. Начальник отдела
6.2. Заместитель начальника отдела
6.3. Главный специалист-эксперт
6.4. Ведущий специалист-эксперт
6.5. Специалист-эксперт
7. Отдел юридического обеспечения, государственной службы и кадров:
7.1. Начальник отдела
7.2. Заместитель начальника отдела
7.3. Главный специалист-эксперт
7.4. Ведущий специалист-эксперт
7.5. Специалист-эксперт
8. Территориальные отделы Управления Роспотребнадзора по Брянской области:
8.1. Начальник отдела
8.2. Заместитель начальника отдела
8.3. Главный специалист-эксперт
8.4. Ведущий специалист-эксперт
8.5. Специалист-эксперт
8.6. Старший специалист 3 разряда
Приложение № 6
Утверждено приказом
Управления Роспотребнадзора
по Брянской области
от 30.12.2015 № 195
ПОРЯДОК
доступа служащих и сотрудников Управления в помещения, в которых ведется обработка персональных данных в Управлении Роспотребнадзора
по Брянской области
1. Общие положения
1.1. Персональные данные относятся к категории конфиденциальной информации. Служащие и сотрудники Управления Роспотребнадзора по Брянской области (далее - Управление), получившие в установленном порядке доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Данное положение закрепляется в должностном регламенте (должностной инструкции) специалиста и сотрудника Управления.
1.2. Для помещений, в которых хранятся и обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей информации, содержащей персональные данные, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.
Данный режим обеспечивается, в том числе оснащением помещений охранной и пожарной сигнализацией, системой видеонаблюдения в коридорах здания Управления.
1.3. Помещения Управления (рабочие кабинеты), в которых ведется обработка персональных данных, должны обеспечивать сохранность информации и технических средств, исключать возможность бесконтрольного проникновения в помещение и их визуального просмотра посторонними лицами.
Для этого помещения оборудуются шкафами, столами, имеющими отсеки, запирающиеся на ключ, отдельные помещения оборудуются металлическими шкафами, сейфами.
1.4. Помещения, в которых ведется обработка персональных данных, запираются на ключ. Ключи от помещений ежедневно сдаются на вахту здания. В нерабочее время помещение архива Управления дополнительно опечатывается.
1.5. Настоящий Порядок определяет правила доступа в помещения, где хранятся и обрабатываются персональные данные, в целях исключения несанкционированного доступа к персональным данным, а также обеспечения безопасности персональных данных от уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении персональных данных.
2. Правила доступа в помещения
2.1. В помещения, где размещены материальные носители информации, содержащие персональные данные, допускаются только сотрудники Управления, имеющие доступ к персональным данным.
В помещения, где размещены серверы Управления, содержащие персональные данные, допускаются только сотрудники Управления, имеющие административный доступ к персональным данным.
Список сотрудников, допущенных к обработке персональных данных, утверждается руководителем Управления.
2.2. Право самостоятельного входа в помещения, где обрабатываются персональные данные, имеют только служащие и сотрудники Управления, непосредственно работающие в данном помещении.
2.3. Иные служащие и сотрудники имеют право пребывать в помещениях, где обрабатываются персональные данные, только в присутствии служащих и сотрудников, непосредственно работающих в данных помещениях.
2.4. Служащие и сотрудники Управления, имеющие доступ в помещения, в которых ведется обработка персональных данных, получают ключ на вахте и самостоятельно заходят в кабинеты.
2.5. Вскрытие и закрытие (опечатывание) помещений, в которых ведется обработка персональных данных, производится служащими и сотрудниками Управления, имеющими право доступа в данные помещения.
2.6. Перед открытием помещений, в которых ведется обработка персональных данных, служащие и сотрудники Управления, имеющие права доступа в помещения, обязаны:
- получить ключи от помещения, в которых ведется обработка персональных данных, на вахте здания;
- провести внешний осмотр с целью установления целостности двери и замка, открыть дверь и осмотреть помещение, проверив предварительно наличие и целостность печати на дверях и шкафах (в случае требована опечатывания помещения, шкафов).
2.7. При обнаружении неисправности двери и запирающих устройств служащие и сотрудники Управления обязаны:
- не вскрывая помещение, в котором ведется обработка персональных данных, доложить непосредственному начальнику отдела;
- в присутствии не менее двух иных служащих или сотрудников, включая непосредственного начальника отдела, вскрыть помещение и осмотреть его;
- составить акт о выявленных нарушениях и передать руководителю Управления для организации служебного расследования.
2.8 Перед закрытием помещений, в которых ведется обработка персональных данных, по окончании служебного дня служащие и сотрудники Управления, имеющие право доступа в помещения, обязаны:
- убрать бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) в шкафы, закрыть и опечатать шкафы;
- отключить технические средства (кроме постоянно действующей техники) и электроприборы от сети, выключить освещение;
- закрыть окна;
- закрыть и опечатать (при необходимости) двери шкафы;
- сдать ключи от помещений, в которых ведется обработка персональных данных, на вахту здания.
Кабинеты ставятся на сигнализацию сотрудниками, которые несут службу по охране здания Управления.
2.9 Техническое обслуживание компьютерной и организационной техники, сопровождение программных средств, уборка помещения, в котором ведется обработка персональных данных, а также проведение других работ осуществляются в присутствии служащего или сотрудника, работающего в данном помещении,
2.10. В случае необходимости принятия в нерабочее время экстренных мер при срабатывании пожарной или охранной сигнализации, авариях в системах энерго-, водо- и теплоснабжения, помещение, в котором ведется обработка персональных данных, вскрывается комиссией в составе не менее двух человек.
3. Правила работы с информацией, содержащей персональные данные
3.1. При работе с информацией (документами), содержащей персональные данные, двери помещений должны быть всегда закрыты.
Присутствие служащих и сотрудников Управления, не имеющих права доступа к персональным данным, должно быть исключено.
3.2. Сотрудники и специалисты Управления, имеющие доступ к персональным данным, не должны:
- оставлять в свое отсутствие незапертым помещение, в котором размещены технические средства, позволяющие осуществлять обработку персональных данных;
- оставлять в помещении посторонних лиц, не имеющих доступа к персональным данным в данном структурном подразделении, без присмотра.
4. Ответственность и контроль за соблюдением Порядка
4.1. Ответственность за несоблюдение настоящего Порядка несут начальники отделов (структурных подразделений) Управления, в которых ведется обработка персональных данных и осуществляется их хранение.
4.2. Внутренний контроль за соблюдением в Управлении порядка доступа в помещения, в которых ведется обработка персональных данных, требованиям к защите персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных.
Приложение № 7
Утверждено приказом
Управления Роспотребнадзора
по Брянской области
от 30.12.2015 № 195
ТИПОВАЯ ФОРМА
разъяснения субъекту персональных данных юридических последствие отказа предоставить свои персональные данные
(для государственных гражданских служащих)
Мне,_____________________________________________________________________________________________________________________________________
разъяснены юридические последствия отказа предоставить свои персональные данные Управлению Роспотребнадзора по Брянской области.
В соответствии со статьями 26, 42 Федерального закона от 27.07.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации» Положением о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденное Указом Президента Российской Федерации от 30.05.2005 № 609, определен перечень персональных данных, которые субъект персональных данных обязан предоставить в Управление Роспотребнадзора по Брянской области связи с поступлением или прохождением государственной гражданской службы.
Без представления субъектом персональных данных обязательных для заключения служебного контракта сведений, служебный контракт не может быть заключен.
На основании пункта 11 части статьи 33 Федерального закон от 27.07.2004 № 79-ФЗ "О государственной гражданской службе Российской Федерации" служебный контракт прекращается вследствие нарушения уста- новленных обязательных правил его заключения, если это нарушение исключает возможность замещения должности гражданской службы.
«___» ________________ 20 _____ г.
_________________________________
(подпись)
_________________________________
(расшифровка подписи)
Приложение № 8
Утверждено приказом
Управления Роспотребнадзора
по Брянской области
от 30.12.2015 № 195
ТИПОВАЯ ФОРМА
разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные (госуслуги и функции)
Уважаемый (ая),_____________________________________________!
(инициалы субъекта персональных данных)
В соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» уведомляем Вас, что обязанность предос-тавления Вами персональных данных установлена
_____________________________________________________________________
(реквизиты и наименования нормативных правовых актов)
_______________________________________________________________________________________
_______________________________________________________________________________________
В случае отказа Вами предоставить свои персональные данные, оператор не сможет на законных основаниях осуществлять такую обработку, что приве-дет к следующим для Вас юридическим последствиям
_____________________________________________________________________
_____________________________________________________________________________
(перечисляются юридические последствия для субъекта персональных данных, то есть случаи возникновения, изменения или прекращения личных либо имущественных прав граждан или случаи иным образом затрагивающие его права, свободы и законные интересы)
В соответствии с законодательством в области персональных данных Вы имеете право:
- на получение сведений об операторе, о месте его нахождения, о наличии у оператора своих персональных данных, а также на ознакомление с такими персональными данными;
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, уста¬ревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- на получение при обращении или при направлении запроса информа-ции, касающейся обработки своих персональных данных;
- на обжалование действия или бездействия оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке; на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
_______________________________ __________________________________________________
(дата) (фамилия, инициалы и подпись сотрудника оператора)
Приложение № 9
Утверждено приказом
Управления Роспотребнадзора
по Брянской области
от 30.12.2015 № 195
ПРАВИЛА
обработки персональных данных,
осуществляемой без использования средств автоматизации
в Управлении Роспотребнадзора по Брянской области
1. Общие положения
1.1. Настоящие Правила разработаны на основании требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» постановления Правительства Российской Федерации от 15.09.2008 № 68" «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Правил об обработке персональных данных в Управлении Роспотребнадзора по Брянской области.
1.2. Неавтоматизированной обработкой персональных данных (без применения средств автоматизации) считается обработка персональных данных без использования средств вычислительной техники. При этом обработка персональных данных не может быть признана исключительно автоматизированной только на том основании, что они содержатся в информационной системе либо были извлечены из нее.
1.3. Настоящие Правила определяет общие положения и конкретные действия государственных гражданских служащих и сотрудников (далее - служащие и сотрудники) Управления Роспотребнадзора по Брянской области (далее - Управление), территориальных отделов Управление осуществляющих обработку персональных данных либо имеющих доступ к персональным данным в процессе осуществления ими служебной (профессиональной) деятельности при исполнении должностные обязанностей,
1.4. Допуск служащих и сотрудников Управления для работы с персональными данными осуществляется в соответствии с утвержденным Перечнем должностей государственных гражданских служащих и сотрудников Управления Роспотребнадзора по Брянской области, замещение которых предусматривает осуществление обработки персональных данных либо
осуществление доступа к персональным данным и на основании включения в должностной регламент (должностную инструкцию) требования соблюдении конфиденциальности персональных данных.
1.5. Перед началом работы служащие и сотрудники Управления должны ознакомиться с Правилами обработки персональных данных, осуществляемой без использования средств автоматизации в Управлении Роспотребнадзора по Брянской области, проинформированы о категориях обрабатываемых персональных данных.
1.6. В целях обеспечения безопасности данных субъектов персональных данных, осуществляемой без использования средств автоматизации, в отношении каждой категории персональных данных определяются места хранения персональных данных (материальных носителей).
1.7. Места хранения материальных носителей персональных данных определяются в ходе обследования и изучения системы обработки персональных данных исходя из анализа используемых технологических процессов обработки, расположения помещений и установленного режима их охраны, с учетом необходимости дооборудования этих мест техническими и режимными мерами.
1.8. Документы, содержащие персональные данные, должны хранился в условиях, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.
1.9. Служащие и сотрудники имеет право в отведенное ему время решать поставленные задачи по не автоматизированной обработке персональных данных только в соответствии с полномочиями доступа и целями обработки.
2. Правила обработки и хранения документов с персональными данными
2.1. При неавтоматизированной обработке персональных данных служащие и сотрудники Управления обязаны соблюдать следующие правила:
- не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы;
- при подготовке итоговых, аналитических и других документов персональные данные должны обособляться от иной информации, в частности, путём фиксации их на отдельных бумажных носителях (приложениях), в специальных разделах или на полях форм (бланков);
- документы, содержащие персональные данные, группируются (формируются) в дела в зависимости от цели обработки персональных данных;
2.2. Нельзя хранить в одном месте персональные данные, цели обработки которых различны. Формирование дел осуществляется по одному из целевых признаков обработки персональных данных. Например, личное дело сотрудника, дело с графиками отпусков, командировки сотрудников, расчет заработной платы и т.п.
2.3. Дела, законченные производством либо по достижению целей обработки персональных данных закрываются (в соответствии с требованиями правил делопроизводства) и передаются на хранение в архив Управления либо, при необходимости частого обращения к материалам, хранятся в подразделении Управления.
2.4. Порядок хранения, доступа к оконченным производством делам и их уничтожения определяется внутренними нормативными документами Управления.
2.5. При разработке и использовании новых типовых форм документов необходимых для реализации возложенных на Управление ПОЛНОМОЧИЙ характер информации в которых предполагает или допускает включение них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения цели обработки персональных данных, осуществляемой без использована средств автоматизации, адрес Управления, фамилию, имя, отчество и адрес субъекта персональных данных, чьи персональные данные вносятся указанную типовую форму, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться процессе их обработки;
б) типовая форма должна предусматривать поле, в котором субъект) персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, что каждый из субъектов, чьи персональные данные содержатся в типовой форме, при ознакомлении со своими персональными данными, не им возможности доступа к персональным данным иных лиц, содержащимся указанной типовой форме;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
2.6. При поступлении новых нормативных и распорядительных документов, предусматривающих представление персональных данных информация о начале их обработки вносится в Перечень персональных данных, обрабатываемых в Управлении Роспотребнадзора по Брянской области с указанием цели обработки, содержания обрабатываем персональных данных категории субъектов, персональные данные которых обрабатываются, сроков их обработки и хранения, порядке уничтожения лицом, ответственным за организацию обработки персональных данных Управлении, а также в номенклатуру дел Управления.
2.7. Уничтожение или обезличивание части персональных данных если это допускается материальным носителем, может производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных материальном носителе (удаление, вымарывание).
2.8. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
2.9. При хранении материальных носителей создаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
3. Действия служащих и сотрудников Управления при поступлении документов, содержащих персональные данные
3.1. При поступлении документов - обращений и заявлений граждан, обращений органов исполнительной власти и др., содержащих обращения граждан с их персональными данными (перенаправленные):
- канцелярией Управления (секретарем или ответственным лицом территориального отдела) на документе проставляется печать «ПД не Авто», означающая обязанность сотрудников и служащих обеспечивать неразглашение персональных данных при работе с документом;
- указанные документы на рассмотрение руководителю (заместителю руководителя, начальнику территориального отдела) формируются в отдельную подписанную, непрозрачную папку, и передаются им непосредственно или через секретаря руководителя на роспись для достижения минимизации возможности случайного ознакомления с указанными документами других специалистов и сотрудников.
- после росписи руководителем (заместителем руководителя, начальником территориального отдела) указанные документы в этой же папке передаются в канцелярию (секретарю территориального отдела) для дальнейших действий (передачи специалистам для исполнения, регистрации в отделе организации и обеспечения деятельности).
3.2. Специалист Управления (территориального отдела), назначенный исполнителем документа, обязан:
- до начала работы с документом хранить его в отдельной папке в недоступном для посторонних месте (столе);
- в процессе работы с документом не допускать возможности случайного или преднамеренного ознакомления с ним посторонних других сотрудников и специалистов, не уполномоченных на работу с данной категорией документов;
- не оставлять документ без присмотра;
- подготовку ответа на документ осуществлять непосредственно на защищенном компьютере (вне сетевых папок) или использовать флеш- носитель;
- передачу ответа на документ для подписи руководителем (заместителем руководителя, начальником территориального отдела) осуществлять только через специальную папку в приемной;
- после подписи ответа на документ и передачи всего комплекта в отдел организации и обеспечения деятельности Управления или помещения в соответствующее дело в отделе Управления, территориальном отделе;
- в случае если ответ на документ отправляется электронной почтой, файл ответа в части персональных данных обезличивается, после отправки и поступлении информации, что он принят (получен), файл ответа из электронной почты удаляется специалистом, ответственным за отправку электронной почты.
3.3 Хранение документов, содержащих персональные данные (материальных носителей) должно обеспечиваться в условиях, обеспечивающих сохранность персональных данных и исключающие несанкционированный доступ к ним (шкаф, ящик стола).
3.4. При работе с документами, содержащими специальные категории персональных данных (экстренные извещения, карты эпидемиологического расследования и т.п., содержащие данные о состоянии здоровья, разглашение или случайное распространение которых может нанести вред (моральный или материальный) субъекту персональных данных), устанавливаются усиленные условия их хранения:
- до начала работы хранить документ в отдельной папке в недоступном для посторонних месте (закрывающемся ящике стола);
-дело (дела) с такой категорией документов в отделах Управления (территориальных отделах) хранятся в закрывающихся секциях шкафов, а в отдельных случаях - сейфе (социально-значимые заболевания, иностранные граждане).
В остальном действия специалистов аналогичны изложенным в п.3.2.
3.5. При работе с документами, содержащими персональные данные, предоставление которых предусмотрено Федеральными законами (уведомления, заявления, заключения, распоряжения, протоколы, постановления и т.п.), в процессе работы с документом не должна допускаться возможность случайного или преднамеренного ознакомления с ним посторонних лиц, других сотрудников и специалистов, не уполномоченных на работу с данной категорией документов; хранение данных документов должно осуществляться в строгом соответствии с требованиями делопроизводства.
3.6. Для защиты персональных данных от несанкционированного доступа в Управлении обеспечиваются меры по соблюдению:
- порядка приема, учета и контроля деятельности посетителей;
- пропускного режима организации;
- порядка охраны территории, зданий, помещений, транспортных средств;
- требований к защите информации при интервьюировании и собеседованиях.
4. Ответственность
Служащие и сотрудники Управления несут ответственность за нарушение требований настоящих Правил, а также преднамеренное или нет разглашение персональных данных в соответствии с законодательством Российской Федерации.
Приложение № 10
Утверждено приказом
Управления Роспотребнадзора
по Брянской области
от 30.12.2015№ 195
ПЕРЕЧЕНЬ
должностей служащих Управления, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным
1 Руководство:
1.1. Руководитель Управления
1.2 Заместители руководителя Управления
2. Отдел санитарного надзора:
2.1. Начальник отдела
2.2. Заместитель начальника отдела
2.3. Главный специалист-эксперт
2.4. Ведущий специалист-эксперт
2.5. Специалист-эксперт
3. Отдел эпидемиологического надзора:
3.1. Начальник отдела
3.2. Заместитель начальника отдела
3.3. Главный специалист-эксперт
3.4. Ведущий специалист-эксперт
3.5. Специалист-эксперт
3.6. Старший специалист 2 разряда
4. Отдел защиты прав потребителей:
4.1. Начальник отдела
4.2. Заместитель начальника отдела
4.3. Главный специалист-эксперт
4.4. Ведущий специалист-эксперт
4.5. Специалист-эксперт
5. Отдел организации надзора:
5.1. Начальник отдела
5.2. Заместитель начальника отдела
5.3. Главный специалист-эксперт
5.4. Ведущий специалист-эксперт
5.5. Специалист-эксперт
5.6. Старший специалист 2 разряда
6. Отдел бухгалтерского учета и отчетности:
6.1. Начальник отдела
6.2. Заместитель начальника отдела
6.3. Главный специалист-эксперт
6.4. Ведущий специалист-эксперт
6.5. Специалист-эксперт
7. Отдел юридического обеспечения, государственной службы и кадров:
7.1. Начальник отдела
7.2. Заместитель начальника отдела
7.3. Главный специалист-эксперт
7.4. Ведущий специалист-эксперт
7.5. Специалист-эксперт
8. Территориальные отделы Управления Роспотребнадзора по Брянской области:
8.1. Начальник отдела
8.2. Заместитель начальника отдела
8.3. Главный специалист-эксперт
8.4. Ведущий специалист-эксперт
8.5. Специалист-эксперт
8.6. Старший специалист 3 разряда
Приложение № 11
Утверждено приказом
Управления Роспотребнадзора
по Брянской области
от 30.12.2015 № 195
ПЕРЕЧЕНЬ
информационных систем персональных данных
Управления Роспотребнадзора по Брянской области
Перечень информационных систем персональных данных является систематизированным изложением перечня информационных систем персональных данных (далее ИСПДн), подлежащих защите данных в Управлении Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека по Брянской области и разработан в соответствии с Федеральными законами Российской Федерации от 27.07.2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации», от 27.07.2006 (ред. от 29.07.2017) № 152-ФЗ «О персональных данных», от 27.06.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Указа Президента Российской Федерации от 30.05.2005г. № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» постановлений Правительства РФ от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», от 21.03.2012г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемых без использовании средств автоматизации» приказами Роспотребнадзора от 23.12.2013 № 964 (в ред. от 28.11.2016 № 1172), № 5 «Об утверждении Типового обязательства гражданского служащего (работника) Роспотребнадзора, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных (служебных) обязанностей и Типовой формы согласия на обработку персональных данных гражданских служащих (работников) Роспотребнадзора, а также иных субъектов персональных данных», специальным требованиям и рекомендациям по технической защите конфиденциальной информации (СТР-К).
Для создания Перечня и определения соответствия ИСПДн информационной безопасности организации требованиям вышеперечисленных нормативно-правовых актов определены:
– состав информационной системы персональных данных;
– структура информационной системы персональных данных;
– состав, объем и режимы обработки персональных данных;
– права доступа лиц, допущенных к обработке персональных данных;
– существующие меры защиты персональных данных.
Данные проведенного обследования служат информационной основой для внутренних нормативно-организационных документов организации, а именно:
– данные о составе и структуре ИСПДн и существующие меры защиты персональных данных служат основой для составления Модели угроз безопасности персональных данных;
– состав и объем обрабатываемых персональных данных служат основой для составления:
Перечня категорий персональных данных,
Перечня должностей работников, осуществляющих обработку персональных данных,
Перечня помещений, в которых размещены технические средства, используемые для обработки персональных данных, и сейфы для хранения документов, связанных с обработкой персональных данных.
В Управлении Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека по Брянской области установлены следующие информационные системы:
- Информационная система «1С:Предприятие»;
- Информационная система «Система удаленного финансового доступа» (СУФД);
- Информационная система «Сбербанк Бизнес online»;
- Информационная система «Астрал-Отчет»
- Информационная система «Дельфин: Учет заработной платы»
- Информационная система «ПД СПУ 2010»
используются:
- Информационная система «Государственная информационная система государственных и муниципальных платежей»
- персональные данные, хранимые в виде твердых (бумажных) копий.
Информационная система «1С:Предприятие»
Описание информационной системы
Информационная система «1С: Предприятие» (разработчик ООО «1С», через представителя в г. Брянске ООО «Вист-Софт», месторасположение - Россия) развернута на шести рабочих местах, расположенных в кабинетах отдела бухгалтерского учета и отчетности, на 2 этаже, второго корпуса. Имеется выход в сеть Интернет. Данные из автоматизированной системы передаются в Федеральную службу и другие органы надзора по запросу.
Основание для обработки
Трудовой кодекс РФ, Налоговый кодекс РФ.
Объекты защиты
- средства обработки информации (персональные компьютеры, линии связи, коммутационное оборудование);
- персональные данные: Ф.И.О., документа, удостоверяющего личность.
Разграничение прав доступа
В соответствии с Положением о разграничении прав доступа к обрабатываемым персональным данным.
Источник получения персональных данных
Субъект персональных данных
Перечень должностей работников, осуществляющих обработку персональных данных
Начальник отдела бухгалтерского учета и отчетности, специалист-эксперт отдела бухгалтерского учета и отчетности(две единицы штатного расписания).
Классификация информационной системы
В Минюсте РФ зарегистрирован Приказ ФСТЭК РФ № 151, ФСБ РФ № 786, Минкомсвязи РФ № 461 от 31.12.2013 года «О признании утратившим силу приказа ФСТЭК РФ, ФСБ РФ и Минкомсвязи РФ от 13 февраля 2008 года № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»., Таким образом, с момента вступления в законную силу данного Приказа (11 марта 2014), классификацию информационных систем персональных данных проводить не требуется. Информационная система персональных данных«1С: Предприятие» относится к многопользовательской информационной системе с выходом в сеть Интернет.
Информационная система «Система удаленного финансового доступа» (СУФД)
Описание информационной системы
Информационная система: (представитель в г. Брянске ООО «Интеграл», месторасположение - Россия) развернута на одном рабочем месте, расположенном в кабинете 208отдела бухгалтерского учета и отчетности, на 2 этаже, второго корпуса. Имеется выход в сеть Интернет. Данные из автоматизированной системы передаются в УФК по Брянской области.
Основание для обработки
Бюджетный кодекс, приказы Министерства финансов, Федерального казначейства
Объекты защиты
- средства обработки информации (персональные компьютеры, линии связи, коммутационное оборудование);
- персональные данные: Ф.И.О., документ, удостоверяющий личность.
- Криптографические объекты защиты (электронные подписи, ключи)
Разграничение прав доступа
В соответствии с Положением о разграничении прав доступа к обрабатываемым персональным данным.
Источник получения персональных данных
Субъект персональных данных
Перечень должностей работников, осуществляющих обработку персональных данных
Начальник отдела бухгалтерского учета и отчетности, специалист-эксперт отдела бухгалтерского учета и отчетност(две единицы штатного расписания).
Классификация информационной системы
В Минюсте РФ зарегистрирован Приказ ФСТЭК РФ № 151, ФСБ РФ № 786, Минкомсвязи РФ № 461 от 31.12.2013 года «О признании утратившим силу приказа ФСТЭК РФ, ФСБ РФ и Минкомсвязи РФ от 13 февраля 2008 года № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»., Таким образом, с момента вступления в законную силу данного Приказа (11 марта 2014), классификацию информационных систем персональных данных проводить не требуется.Информационная система персональных данных СУФД относится к многопользовательской информационной системе с выходом в сеть Интернет.
Информационная система «Сбербанк Бизнес online»
Описание информационной системы:
Информационная система: (представитель ПАО «Сбербанк» месторасположение - Россия) развернута на одном рабочем месте, расположенном в кабинете 208 отдела бухгалтерского учета и отчетности, на 2 этаже, второго корпуса. Имеется выход в сеть Интернет. Используется для перечисления заработной платы, в программу вносятся данные ФИО, расчетные счета сотрудников для обмена информацией с ПАО «Сбербанк».
Основание для обработки
Бюджетный кодекс, приказы Министерства финансов, Федерального казначейства, письма ПАО «Сбербанк»
Объекты защиты
- средства обработки информации (персональные компьютеры, линии связи);
- персональные данные: Ф.И.О., расчетные счета.
- Криптографические объекты защиты (электронные подписи, ключи)
Разграничение прав доступа
В соответствии с Положением о разграничении прав доступа к обрабатываемым персональным данным.
Источник получения персональных данных
Субъект персональных данных
Перечень должностей работников, осуществляющих обработку персональных данных
Начальник отдела бухгалтерского учета и отчетности, специалист-эксперт отдела бухгалтерского учета и отчетности (две единицы штатного расписания).
Классификация информационной системы
В Минюсте РФ зарегистрирован Приказ ФСТЭК РФ № 151, ФСБ РФ № 786, Минкомсвязи РФ № 461 от 31.12.2013 года «О признании утратившим силу приказа ФСТЭК РФ, ФСБ РФ и Минкомсвязи РФ от 13 февраля 2008 года № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»., Таким образом, с момента вступления в законную силу данного Приказа (11 марта 2014), классификацию информационных систем персональных данных проводить не требуется. Информационная система персональных данных Сбербанк Бизнес online относится к многопользовательской информационной системе с выходом в сеть Интернет.
Информационная система «Астрал-Отчет»
Описание информационной системы
Информационная система «Астрал Отчет» версия 4.1.50.1 (разработчик ЗАО «Калуга Астрал» Официальный представитель спецоператора в Брянской области ООО Абсолют) развернута на одном рабочем месте, расположенном в кабинете бухгалтерии, кабинет 208. Имеется выход в сеть Интернет. Данные из автоматизированной системы передаются в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования, Росстат, другие органы надзора по запросу.
Основание для обработки
Трудовой кодекс РФ, Налоговый кодекс РФ, Конституция РФ
Объекты защиты
- средства обработки информации (персональные компьютеры, линии связи, коммутационное оборудование);
- персональные данные: Ф.И.О., документа, удостоверяющего личность, место жительства, ИНН, СНИЛС, дополнительная информация.
- Криптографические объекты защиты (электронные подписи, ключи)
Разграничение прав доступа
В соответствии с Положением о разграничении прав доступа к обрабатываемым персональным данным.
Источник получения персональных данных
Субъект персональных данных
Перечень должностей работников, осуществляющих обработку персональных данных
Начальник отдела бухгалтерского учета и отчетности, специалист-эксперт отдела бухгалтерского учета и отчетности (две единицы штатного расписания)
Классификация информационной системы
В Минюсте РФ зарегистрирован Приказ ФСТЭК РФ № 151, ФСБ РФ № 786, Минкомсвязи РФ № 461 от 31.12.2013 года «О признании утратившим силу приказа ФСТЭК РФ, ФСБ РФ и Минкомсвязи РФ от 13 февраля 2008 года № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»., Таким образом, с момента вступления в законную силу данного Приказа (11 марта 2014), классификацию информационных систем персональных данных проводить не требуется. Информационная система персональных данных «Астрал Отчет» относится к многопользовательской информационной системе с выходом в сеть Интернет.
Информационная система «Дельфин: Учет заработной платы»
Описание информационной системы
Информационная система «Дельфин: Учет заработной платы» (авторские права Френкель В.Э., Зверева М.В., ООО «Прогрессор-Н» Официальный представитель в Брянской области) развернута на одном рабочем месте, расположенном в кабинете отдела бухгалтерского учета и отчетности в каб. 215. 2-го этажа, 2-го корпуса. Имеется выход в сеть Интернет. Данные из автоматизированной системы передаются в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования, Росстат, Сбербанк, и другие органы надзора по запросу.
Основание для обработки
Трудовой кодекс РФ, Налоговый кодекс РФ, Конституция РФ
Объекты защиты
- средства обработки информации (персональные компьютеры);
- персональные данные: Ф.И.О., документа, удостоверяющего личность, место жительства, ИНН, СНИЛС, дополнительная информация.
- Криптографические объекты защиты (электронные подписи, ключи)
Разграничение прав доступа
В соответствии с Положением о разграничении прав доступа к обрабатываемым персональным данным.
Источник получения персональных данных
Субъект персональных данных
Перечень должностей работников, осуществляющих обработку персональных данных
Начальник отдела бухгалтерского учета и отчетности, специалист-эксперт отдела бухгалтерского учета и отчетности (две единицы штатного расписания)
Классификация информационной системы
В Минюсте РФ зарегистрирован Приказ ФСТЭК РФ № 151, ФСБ РФ № 786, Минкомсвязи РФ № 461 от 31.12.2013 года «О признании утратившим силу приказа ФСТЭК РФ, ФСБ РФ и Минкомсвязи РФ от 13 февраля 2008 года № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»., Таким образом, с момента вступления в законную силу данного Приказа (11 марта 2014), классификацию информационных систем персональных данных проводить не требуется. Информационная система персональных данных «Дельфин: Учет заработной платы» относится к многопользовательской информационной системе с выходом в сеть Интернет.
Информационная система «ПД СПУ 2010»
Описание информационной системы:
Программный комплекс ПД СПУ по подготовке отчетности в Пенсионный фонд Российской Федерации по персонифицированному учету и страховым взносам с 2010г. развернут на одном месте, расположенном в кабинете отдела юридического обеспечения, государственной службы и кадров на 2 этаже. Имеется выход в сеть Интернет. Данные из автоматизированной системы передаются в Пенсионный фонд.
Основание для обработки
Трудовой кодекс РФ, Федеральный закон от 28.12.2013 № 400-ФЗ «О страховых пенсиях», Федеральный закон № 243-ФЗ от 03.12.2012 «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам обязательного пенсионного страхования»
Объекты защиты
- средства обработки информации (персональные компьютеры, линии связи, коммутационное оборудование);
- персональные данные: Ф.И.О., ИНН, СНИЛС, дополнительная информация.
Разграничение прав доступа
В соответствии с Положением о разграничении прав доступа к обрабатываемым персональным данным.
Источник получения персональных данных
Субъект персональных данных
Перечень должностей работников, осуществляющих обработку персональных данных
Специалист-эксперт отдела юридического обеспечения, государственной службы и кадров
Информационная система «Государственная информационная система государственных и муниципальных платежей»
Описание информационной системы
Информационная система «Государственная информационная система государственных и муниципальных платежей» внесение начислений для передачи в Федеральное Казначейство с формированием уникального идентификатора платежей и поиску по базе данных поступивших платежей.
Развернута на трех рабочих местах в Управлении и по одному рабочему месту в территориальных отделах Управления. Имеется выход в сеть Интернет. Данные из автоматизированной системы передаются в Федеральное Казначейство.
Основание для обработки
Федеральный закон "Об организации предоставления государственных и муниципальных услуг" от 27.07.2010 N 210-ФЗ, письма Роспотребнадзора от 17.03.2014г №01/2870-14-32, от 02.03.2015 №01/2040-15-27; от 15.12.2016 №01/16815-16-32.
Объекты защиты
- персональные данные: наименование юридического лица, Ф.И.О., документа, удостоверяющего личность, ИНН.
Источник получения персональных данных
Субъект персональных данных
Перечень должностей работников, осуществляющих обработку персональных данных
Заместитель начальника, ведущий специалист-эксперт, специалист-эксперт отдела юридического обеспечения государственной службы и кадров.
Персональные данные, хранимые в виде твердых (бумажных) копий
В Управлении Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека по Брянской области обрабатываются документы, содержащие персональные данные в виде твердых (бумажных) копий. В соответствии с п.15 Постановления правительства Российской Федерации от 15.09.2008 №687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации» перечень мер защиты от несанкционированного доступа к материальным носителям определяется оператором. В соответствии с этим рекомендуется документы хранить в металлических шкафах, сейфах, либо в выделенных помещениях, а также составить перечень лиц, допущенных к работе с документами содержащими персональные данные.
Приложение № 12
Утверждено приказом
Управления Роспотребнадзора
по Брянской области
от 30.12.2015 № 195
Перечень
персональных данных, обрабатываемых в Управлении Роспотребнадзора по Брянской области в связи реализацией служебных и трудовых отношений, а также в связи с оказанием государственных и муниципальных услуг и осуществлением государственных или муниципальных функций
1. Фамилия, имя, отчество, дата и место рождения, гражданство.
2. Прежние фамилия, имя, отчество, дата, место и причина изменения (в случае изменения).
3. Владение иностранными языками и языками народов Российской Федерации.
4. Образование (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому).
5. Послевузовское профессиональное образование (наименование образовательного или научного учреждения, год окончания), ученая степень, ученое звание (когда присвоены, номера дипломов, аттестатов).
6. Выполняемая работа с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и т.п.).
7. Классный чин федеральной государственной гражданской службы, гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатический ранг, воинское, специальное звание, классный чин правоохранительной службы (кем и когда присвоены).
8. Государственные награды, иные награды и знаки отличия (кем награжден и когда).
9. Степень родства, фамилии, имена, отчества, даты рождения близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены).
10. Места рождения, места работы и домашние адреса близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены).
11. Фамилии, имена, отчества, даты рождения, места рождения, места работы и домашние адреса бывших мужей (жен).
12. Пребывание за границей (когда, где, с какой целью).
13. Близкие родственники (отец, мать, братья, сестры и дети), а также муж (жена), в том числе бывшие, постоянно проживающие за границей и (или) оформляющие документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество, с какого времени проживают за границей).
14. Адрес регистрации и фактического проживания.
15. Дата регистрации по месту жительства.
16. Паспорт (серия, номер, кем и когда выдан).
17. Паспорт, удостоверяющий личность гражданина Российской Федерации за пределами Российской Федерации (серия, номер, кем и когда выдан).
18. Номер телефона (домашний, мобильный).
19. Отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу).
20. Идентификационный номер налогоплательщика.
21. Номер страхового свидетельства обязательного пенсионного страхования.
22. Наличие (отсутствие) судимости.
23. Допуск к государственной тайне, оформленный за период работы, службы, учёбы (форма, номер и дата).
24. Наличие (отсутствие) заболевания, препятствующего поступлению на государственную гражданскую службу Российской Федерации или ее прохождению, подтвержденного заключением медицинского учреждения.
25. Наличие (отсутствие) медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну, подтвержденного заключением медицинского учреждения.
26. Сведения о доходах, расходах, имуществе и обязательствах имущественного характера, а также о доходах, расходах, имуществе и обязательствах имущественного характера супругов и несовершеннолетних детей.
27. Сведения о последнем месте государственной или муниципальной службы.
Скачать приказ в форме электронного документа
|