Приложение к Приказу от 03.11.2015 г № 22 Правила

Правила обработки персональных данных в управлении загс калужской области


1.1.Правила обработки персональных данных в управлении ЗАГС Калужской области (далее - Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
1.2.Правила разработаны в соответствии с:
- Федеральным законом "Об информации, информационных технологиях и о защите информации";
- Федеральным законом "О персональных данных" (далее - Федеральный закон);
- Федеральным законом "Об актах гражданского состояния" (далее - Федеральный закон N 143-ФЗ);
- Федеральным законом "Об архивном деле в Российской Федерации" (далее - Федеральный закон N 125-ФЗ);
- Федеральным законом "О государственной гражданской службе Российской Федерации";
- Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации";
- Указом Президента Российской Федерации от 30.05.2005 N 609 (ред. от 01.07.2014) "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";
- постановлением Правительства Российской Федерации от 21.03.2012 N 211 (ред. от 06.09.2014) "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
- постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
1.3.В рамках настоящих Правил оператором персональных данных является управление ЗАГС Калужской области (далее - оператор, управление).
1.4.Обработка персональных данных в управлении осуществляется с соблюдением принципов и условий, предусмотренных настоящими Правилами и законодательством Российской Федерации в области персональных данных.
1.5.Настоящие Правила не распространяются на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного Фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации. В соответствии с Федеральным законом N 125-ФЗ документом Архивного Фонда Российской Федерации является архивный документ, прошедший экспертизу ценности документов, поставленный на государственный учет и подлежащий постоянному хранению.
1.6.Термины и понятия, используемые в настоящих Правилах, применяются в значениях, определенных в статье 3 Федерального закона.
2.Цели и основание обработки персональных данных
2.1.Обработка персональных данных осуществляется в целях реализации функций и осуществления полномочий, возложенных на управление в случаях, установленных законодательством Российской Федерации.
2.2.Перечень персональных данных, обрабатываемых в управлении, утверждается приказом управления.
3.Категории субъектов, персональные данные которых
обрабатываются в управлении
3.1.В управлении обрабатываются персональные данные следующих категорий субъектов персональных данных:
1) граждан Российской Федерации, иностранных граждан и лиц без гражданства в связи с регистрацией органами ЗАГС Калужской области актов гражданского состояния (далее - АГС) о рождении, об установлении отцовства, о заключении брака, о расторжении брака, о смерти, об усыновлении, о перемене имени, а также при проставлении апостиля, выдаче повторных документов о регистрации АГС, внесении исправлений и изменений в записи АГС, истребовании документов о регистрации АГС с территории иностранных государств, восстановлении и аннулировании записей АГС;
2) государственных гражданских служащих управления и работников, состоящих в трудовых отношениях с управлением;
3) членов семей сотрудников управления, замещающих должности государственной гражданской службы Калужской области;
4) граждан, претендующих на замещение должностей в управлении, в том числе находящихся в кадровом резерве (далее - претенденты);
5) физических лиц, состоящих в гражданско-правовых отношениях с управлением;
6) кандидатов на награждение;
7) физических лиц (субъектов), обращающихся в управление с предложениями, заявлениями и жалобами, а также с устными обращениями, требующими рассмотрения и ответа в установленном порядке.
4.Процедуры, направленные на выявление и предотвращение
нарушений законодательства Российской Федерации в сфере
персональных данных
4.1.Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, при обработке персональных данных государственных гражданских служащих управления, работников, состоящих в трудовых отношениях с управлением, граждан, претендующих на замещение должностей государственной гражданской службы управления (далее - работники):
4.1.1.Обработка персональных данных работников осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 4.1 настоящих Правил, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона и положениями Федерального закона "О системе государственной службы Российской Федерации", Федерального закона "О государственной гражданской службе Российской Федерации", Федерального закона "О противодействии коррупции", Трудовым кодексом Российской Федерации.
4.1.2.Обработка специальных категорий персональных данных работников осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 4.1 настоящих Правил, в соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 Федерального закона и положениями Трудового кодекса Российской Федерации, за исключением случаев получения персональных данных работника у третьей стороны (в соответствии с пунктом 3 статьи 86 Трудового кодекса Российской Федерации требуется письменное согласие претендентов).
4.1.3.Обработка персональных данных работников осуществляется при условии получения согласия указанных лиц в следующих случаях:
- при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных законодательством Российской Федерации о государственной гражданской службе;
- при трансграничной передаче персональных данных;
- при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
В указанных случаях согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом.
Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом электронной подписью.
Письменное согласие субъекта на обработку персональных данных получают сотрудники отдела правовой и организационной работы управления по форме, утвержденной приказом управления.
4.1.4.Обработка персональных данных работников осуществляется отделом правовой и организационной работы управления и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
4.1.5.Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных работников осуществляются путем:
- получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые в отдел правовой и организационной работы управления);
- копирования оригиналов документов;
- внесения сведений в учетные формы (на бумажных и электронных носителях);
- формирования персональных данных в ходе кадровой работы;
- внесения персональных данных в информационные системы управления, используемые отделом правовой и организационной работы управления.
4.1.6.Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляются путем получения персональных данных непосредственно от работников.
4.1.7.В случае возникновения необходимости получения персональных данных работников у третьей стороны следует известить об этом работников заранее, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.
4.1.8.Запрещается получать, обрабатывать и приобщать к личному делу работника персональные данные, не предусмотренные Перечнем персональных данных, обрабатываемых в управлении (приложение N 3 к приказу), в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
4.1.9.Сотрудник отдела правовой и организационной работы управления, осуществляющий сбор (получение) персональных данных непосредственно от работников, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.
4.1.10.Передача (распространение, предоставление) и использование персональных данных работников осуществляются лишь в случаях и в порядке, предусмотренных федеральными законами.
4.2.Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных при обработке персональных данных субъектов в связи с исполнением государственных функций и предоставлением государственных услуг:
4.2.1.Обработка персональных данных, необходимых в связи с исполнением государственных функций и предоставлением государственных услуг, осуществляется без согласия субъектов персональных данных в соответствии с Федеральным законом, Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации", Федеральным законом "Об организации предоставления государственных и муниципальных услуг" и иными нормативными правовыми актами в установленной сфере деятельности.
4.2.2.Обработка персональных данных, необходимых в связи с исполнением государственных функций и предоставлением государственных услуг, осуществляется структурными подразделениями управления, исполняющими государственные функции и предоставляющими государственные услуги, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
4.2.3.Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных в связи с исполнением государственных функций и предоставлением государственных услуг осуществляются путем:
- получения необходимых документов на бумажных носителях;
- получения необходимых документов электронной почтой, с портала государственных услуг Российской Федерации, а также в результате межведомственного электронного взаимодействия, в электронном виде;
- внесения сведений в учетные формы (на бумажных и электронных носителях);
- внесения персональных данных в информационные системы управления.
4.2.4.Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляются путем получения персональных данных непосредственно от субъектов персональных данных (заявителей), органов ЗАГС, при осуществлении межведомственного электронного взаимодействия.
4.2.5.При исполнении государственной функции и предоставлении государственных услуг управлением запрещается запрашивать у субъектов персональных данных и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации.
4.2.6.При сборе персональных данных уполномоченное должностное лицо структурного подразделения управления, осуществляющее получение персональных данных непосредственно от субъектов персональных данных, обратившихся в связи с исполнением государственной функции или получением государственной услуги, обязано разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.
4.2.7.Передача (распространение, предоставление) и использование персональных данных субъектов, ставшими известными управлению при исполнении государственных функций или предоставлении государственных услуг, осуществляются лишь в случаях и в порядке, предусмотренных федеральными законами.
5.Порядок обработки персональных данных субъектов
персональных данных в информационных системах
5.1.Государственным гражданским служащим (сотрудникам) управления, имеющим право осуществлять обработку персональных данных в информационных системах управления, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе управления. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными регламентами (должностными инструкциями) государственных гражданских служащих (сотрудников) управления.
Информация может вноситься как в автоматическом режиме при получении персональных данных с единого портала государственных услуг Российской Федерации, так и в ручном режиме при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
5.2.Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных управления, выполняется путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
5.2.1.Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных управления;
5.2.2.Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных управления, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
5.2.3.Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
5.2.4.Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5.2.5.Учет машинных носителей персональных данных;
5.2.6.Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
5.2.7.Восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
5.2.8.Установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных управления, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных управления;
5.2.9.Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.
5.3.В случае выявления нарушений порядка обработки персональных данных уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.
6.Сроки обработки и хранения персональных данных
6.1.Сроки обработки и хранения персональных данных работников и претендентов определяются в соответствии с законодательством Российской Федерации. С учетом положений законодательства Российской Федерации устанавливаются следующие сроки обработки и хранения персональных данных государственных гражданских служащих и работников управления:
6.1.1.Персональные данные, содержащиеся в приказах по личному составу государственных гражданских служащих и работников управления (о приеме, о переводе, об увольнении, о поощрениях, об установлении надбавок, о материальной помощи), подлежат хранению в отделе правовой и организационной работы управления в течение двух лет с последующим формированием и передачей указанных документов в архив управления или государственный архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 лет.
6.1.2.Персональные данные, содержащиеся в личных делах государственных гражданских служащих управления, работников управления, а также личных карточках государственных гражданских служащих и работников управления, хранятся в отделе правовой и организационной работы управления в течение десяти лет с последующим формированием и передачей указанных документов в архив управления или государственный архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 лет.
6.1.3.Персональные данные, содержащиеся в приказах о предоставлении отпусков, о краткосрочных внутрироссийских и зарубежных командировках, о дисциплинарных взысканиях государственных гражданских служащих и работников управления, подлежат хранению в отделе правовой и организационной работы управления в течение пяти лет с последующим уничтожением.
6.1.4.Персональные данные, содержащиеся в документах претендентов на замещение вакантной должности государственной гражданской службы в управлении, не допущенных к участию в конкурсе, и кандидатов, участвовавших в конкурсе, хранятся в отделе правовой и организационной работы управления в течение 3 лет со дня завершения конкурса, после чего подлежат уничтожению.
6.2.Сроки обработки и хранения персональных данных, предоставляемых субъектами персональных данных в управление в связи с исполнением государственных функций, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.
6.3.Персональные данные граждан, обратившихся в управление лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет.
6.4.Персональные данные, предоставляемые субъектами на бумажном носителе в связи с исполнением государственных функций, хранятся на бумажных носителях в структурных подразделениях управления, к полномочиям которых относится обработка персональных данных в связи с исполнением государственной функции, в соответствии с утвержденными положениями о структурных подразделениях управления.
6.5.Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
6.6.Персональные данные, обработка которых осуществляется в различных целях, определенных настоящими Правилами, должны раздельно храниться на разных материальных носителях.
6.7.Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений управления.
7.Порядок уничтожения персональных данных при достижении
целей обработки или при наступлении иных законных оснований
7.1.Документы, содержащие персональные данные, с истекшими сроками хранения подлежат выделению и уничтожению.
7.2.Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании комиссии, созданной приказом управления, и оформляется актом, форма которого приведена в приложении к настоящим Правилам.
7.3.Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.