По датам

2005

2006

2007

2008

2009

2010

2011

2012

2013

2014

2015

Введите даты для поиска:

от
до

Полезное

Выборки

Приказ Агентства по делам архивов Пермского края от 07.05.2014 N СЭД-07-01-11-45 "Об организации обработки персональных данных в Агентстве по делам архивов Пермского края"



АГЕНТСТВО ПО ДЕЛАМ АРХИВОВ ПЕРМСКОГО КРАЯ

ПРИКАЗ
от 7 мая 2014 г. № СЭД-07-01-11-45

ОБ ОРГАНИЗАЦИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В АГЕНТСТВЕ
ПО ДЕЛАМ АРХИВОВ ПЕРМСКОГО КРАЯ

В целях совершенствования работы по организации обработки персональных данных в Агентстве по делам архивов Пермского края (далее - Агентство), в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ (ред. от 23.07.2013) "О персональных данных", Постановлением Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Постановлением Правительства РФ от 21.03.2012 № 211 (ред. от 20.07.2013) "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Приказом ФСТЭК России от 11.02.2013 № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (зарегистрировано в Минюсте России 31.05.2013 № 28608), а также Приказом Агентства от 03.02.2011 № СЭД-07-01-09-6 "Об утверждении Положения о защите персональных данных государственных гражданских служащих Агентства" приказываю:

1. Утвердить Регламент внутреннего контроля и (или) аудита соответствия обработки персональных данных (или иной информации ограниченного доступа) к защите персональных данных согласно приложению № 1.
2. Утвердить типовое обязательство работника, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного контракта (трудового договора) прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, согласно приложению № 2.
3. Утвердить типовую форму согласия на обработку персональных данных согласно приложению № 3.
4. Контроль за исполнением приказа оставляю за собой.

И.о. руководителя Агентства
С.И.ЛАВРОВА





Приложение № 1
к Приказу
Агентства по делам архивов
Пермского края
от 07.05.2014 № СЭД-07-01-11-45

РЕГЛАМЕНТ
ВНУТРЕННЕГО КОНТРОЛЯ И (ИЛИ) АУДИТА СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ (ИЛИ ИНОЙ ИНФОРМАЦИИ ОГРАНИЧЕННОГО
ДОСТУПА) К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие положения

1.1. Настоящий Регламент осуществления внутреннего контроля и (или) аудита соответствия обработки персональных данных (или иной информации ограниченного доступа) к защите персональных данных (далее - Регламент) разработан в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 23.07.2013) "О персональных данных", Постановлением Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Постановлением Правительства РФ от 21.03.2012 № 211 (ред. от 20.07.2013) "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Приказом ФСТЭК России от 11.02.2013 № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (зарегистрировано в Минюсте России 31.05.2013 № 28608), а также Приказом Агентства по делам архивов Пермского края от 03.02.2011 № СЭД-07-01-09-6 "Об утверждении Положения о защите персональных данных государственных гражданских служащих Агентства".
1.2. В Регламенте используются основные понятия, определенные в статье 3 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
1.3. В Регламенте определен порядок организации и осуществления внутреннего контроля и (или) аудита соответствия обработки персональных данных (или иной информации ограниченного доступа) к защите персональных данных (далее - ПДн) с целью своевременного выявления и предотвращения:
- хищения технических средств и носителей информации;
- утраты информации;
- преднамеренных программно-технических воздействий на информацию и (или) средства вычислительной техники, вызывающих нарушение целостности информации и нарушение работоспособности автоматизированной системы;
- несанкционированного доступа к ПДн с целью уничтожения, искажения, модификации (подделки), копирования и блокирования;
- утечки информации по техническим каналам.
1.4. Внутренний контроль и (или) аудит состояния защиты информации включает в себя:
- контроль организации защиты информации;
- контроль эффективности защиты информации.

2. Порядок внутреннего контроля и (или) аудита
за соблюдением требований по обработке и обеспечению
безопасности ПДн

2.1. В целях осуществления внутреннего контроля и (или) аудита соответствия обработки ПДн установленным требованиям организуется проведение периодических проверок условий обработки ПДн не реже одного раза в год. Проверки осуществляются ответственным за организацию обработки ПДн в Агентстве либо Комиссией, образуемой приказом руководителя Агентства.
2.2. В состав Комиссии включаются уполномоченные руководителем Агентства государственные гражданские служащие Агентства. Комиссия состоит из председателя и членов Комиссии. Все члены Комиссии при принятии решений обладают равными правами. В проведении проверки не может участвовать гражданский государственный служащий Пермского края, прямо или косвенно заинтересованный в ее результатах.
2.3. При осуществлении внутреннего контроля и (или) аудита соответствия обработки ПДн установленным требованиям производится проверка:
- соблюдения принципов обработки ПДн;
- соответствия локальных актов в области ПДн действующему законодательству Российской Федерации;
- выполнения государственными гражданскими служащими Пермского края (руководителями государственных краевых бюджетных учреждений) требований и правил обработки ПДн в информационных системах персональных данных (далее - ИСПДн);
- актуальности информации о законности целей обработки ПДн и оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности ПДн;
- правильности осуществления сбора, систематизации, записи, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения ПДн в каждой ИСПДн;
- актуальности перечня должностей должностных лиц, уполномоченных на обработку ПДн, имеющих доступ к ПДн;
- актуальности перечня должностных лиц, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн;
- соблюдения прав субъектов персональных данных, чьи ПДн обрабатываются в ИСПДн;
- соблюдения обязанностей оператора ПДн, предусмотренных действующим законодательством в области ПДн;
- порядка взаимодействия с субъектами персональных данных, ПДн которых обрабатываются в ИСПДн, в том числе соблюдения сроков, предусмотренных действующим законодательством в области ПДн, соблюдения требований по уведомлениям, порядка разъяснения субъектам персональных данных необходимой информации, порядка реагирования на обращения (запросы) субъектов персональных данных, порядка действий при достижении целей обработки ПДн и отзыве согласий субъектами персональных данных;
- наличия необходимых согласий субъектов персональных данных, чьи ПДн обрабатываются в ИСПДн;
- актуальности сведений, содержащихся в уведомлении об обработке (о намерении осуществлять обработку) персональных данных;
- актуальности перечня ИСПДн;
- знания и соблюдения государственными гражданскими служащими Пермского края (руководителями государственных краевых бюджетных учреждений) положений действующего законодательства Российской Федерации в области ПДн, локальных актов Агентства;
- соблюдения государственными гражданскими служащими Пермского края (руководителями государственных краевых бюджетных учреждений) конфиденциальности ПДн;
- соблюдения государственными гражданскими служащими Пермского края (руководителями государственных краевых бюджетных учреждений) требований по обеспечению безопасности ПДн;
- наличия и актуальности локальных актов, технической и эксплуатационной документации технических и программных средств ИСПДн.
2.4. Проверки соответствия обработки ПДн установленным требованиям проводятся на основании утвержденного руководителем Агентства ежегодного плана осуществления внутреннего контроля и (или) аудита соответствия обработки ПДн (или иной информации ограниченного доступа) к защите ПДн установленным требованиям или на основании поступившего в Агентство письменного заявления о нарушениях правил обработки ПДн (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления. Руководитель Агентства, назначивший внеплановую проверку, обязан контролировать своевременность и правильность ее проведения.
2.5. Обращения и заявления, не позволяющие установить лицо, обратившееся в Агентство, а также обращения и заявления, не содержащие сведений о фактах нарушения законодательства Российской Федерации в области ПДн, не могут служить основанием для проведения внеплановой проверки.
2.6. Ответственный за организацию обработки ПДн в Агентстве (комиссия) имеет право:
- запрашивать у сотрудников Агентства, руководителей государственных краевых бюджетных учреждений информацию, необходимую для реализации полномочий;
- требовать от уполномоченных на обработку ПДн должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем ПДн;
- принимать меры по приостановлению или прекращению обработки ПДн, осуществляемой с нарушением требований законодательства Российской Федерации;
- вносить руководителю Агентства предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности ПДн при их обработке;
- вносить руководителю Агентства предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки ПДн.
2.7. Ответственный за организацию обработки ПДн в Агентстве (комиссия) обязан:
- своевременно и в полной мере исполнять предоставленные в соответствии с законодательством Российской Федерации полномочия по предупреждению, выявлению и пресечению нарушений требований в области ПДн;
- соблюдать законодательство Российской Федерации, права и законные интересы оператора, проверка которого проводится;
- учитывать при определении мер, принимаемых по фактам выявленных нарушений, соответствие указанных мер тяжести нарушений, а также не допускать необоснованное ограничение прав и законных интересов оператора.
2.8. При проведении проверки ответственный за организацию обработки ПДн в Агентстве (комиссия) не праве:
- требовать предоставления документов и информации, которые не относятся к предмету проверки;
- распространять информацию, полученную в результате проведения проверки и составляющую государственную, служебную, иную охраняемую законом тайну, за исключением случаев, предусмотренных законодательством Российской Федерации.
2.9. Оператор должен обеспечить необходимые условия для проведения проверки и обязан организовать доступ к оборудованию, в помещения, где осуществляется обработка ПДн, предоставлять необходимую информацию и документацию для достижения целей проверки.
2.10. Оператор при проведении проверки имеет право непосредственно присутствовать при проведении проверки, давать объяснения по вопросам, относящимся к предмету проверки, знакомиться с результатами проверки.
2.11. В отношении ПДн, ставших известными ответственному за организацию обработки ПДн в Агентстве (комиссии) в ходе проведения мероприятий внутреннего контроля и (или) аудита соответствия обработки ПДн установленным требованиям, должна обеспечиваться конфиденциальность ПДн.
2.12. Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о ее проведении. По результатам проверки составляется акт проверки по форме, приведенной в приложении к настоящему Регламенту.
Акт подписывается членами Комиссии и представляется руководителю Агентства для принятия соответствующего решения.
В акте отражаются сведения о результатах проверки, в том числе о выявленных нарушениях обязательных требований законодательства Российской Федерации в области ПДн, об их характере и о лицах, допустивших указанные нарушения.
Акт должен содержать одно из следующих заключений:
- об отсутствии в деятельности оператора нарушений требований законодательства Российской Федерации в области ПДн;
- о выявленных в деятельности оператора нарушениях требований законодательства Российской Федерации в области ПДн с указанием конкретных статей и (или) пунктов нормативных правовых актов Российской Федерации.





Приложение
к Регламенту
внутреннего контроля
и (или) аудита соответствия
обработки персональных данных
(или иной информации
ограниченного доступа)
к защите персональных данных

___________________________________________________________________________
(наименование государственного органа, осуществляющего внутренний контроль
и (или) аудит за соблюдением требований по обработке и обеспечению
безопасности персональных данных)

_______________________ "___" __________ 20___ г.
(место составления акта) (дата составления акта)
________________________
(время составления акта)

АКТ ПРОВЕРКИ
Агентством по делам архивов Пермского края
№ ____

По адресу/адресам: ________________________________________________________
(место проведения проверки)
на основании: _____________________________________________________________
(вид документа с указанием реквизитов (номер, дата))
была проведена ____________________ проверка в отношении: _________________
плановая/внеплановая
___________________________________________________________________________
(фамилия, имя, отчество (последнее - при наличии) государственного
гражданского служащего Пермского края (руководителя государственного
краевого бюджетного учреждения)
С копией приказа о проведении проверки ознакомлен(ы):
(заполняется при проведении проверки)
___________________________________________________________________________
___________________________________________________________________________
(фамилии, инициалы, подпись, дата, время)
Лицо(а), проводившее проверку: ____________________________________________
___________________________________________________________________________
___________________________________________________________________________
(фамилия, имя, отчество (последнее - при наличии), должность должностного
лица (должностных лиц), проводившего(их) проверку)
При проведении проверки присутствовали: ___________________________________
___________________________________________________________________________
___________________________________________________________________________
(фамилия, имя, отчество (последнее - при наличии), должность
государственного гражданского служащего Пермского края
(руководителя государственного краевого бюджетного учреждения)
В ходе проведения проверки:
выявлены нарушения обязательных требований законодательства Российской
Федерации в области персональных данных (с указанием положений
(нормативных) правовых актов): ____________________________________________
___________________________________________________________________________
___________________________________________________________________________
(с указанием характера нарушений; лиц, допустивших нарушения)
______________________ _________________________________________________
(подпись проверяющего) (подпись государственного гражданского служащего
Пермского края (руководителя государственного
краевого бюджетного учреждения)

нарушений не выявлено _____________________________________________________
___________________________________________________________________________
______________________ _________________________________________________
(подпись проверяющего) (подпись государственного гражданского служащего
Пермского края (руководителя государственного
краевого бюджетного учреждения)

Прилагаемые к акту документы: _____________________________________________
___________________________________________________________________________
Подписи лиц, проводивших проверку: ________________________________________
________________________________________
________________________________________

С актом проверки ознакомлен(а), копию акта со всеми приложениями
получил(а): _______________________________________________________________
_______________________________________________________________
(фамилия, имя, отчество (последнее - при наличии), должность
государственного гражданского служащего Пермского края
(руководителя государственного краевого бюджетного учреждения)

"___" _____________ 20___ г.

_____________
(подпись)
Пометка об отказе ознакомления с актом проверки: __________________________
(подпись государственного гражданского
служащего Пермского края (руководителя
государственного краевого бюджетного
учреждения)





Приложение № 2
к Приказу
Агентства по делам архивов
Пермского края
от 07.05.2014 № СЭД-07-01-11-45

ТИПОВОЕ ОБЯЗАТЕЛЬСТВО
работника, непосредственно осуществляющего обработку
персональных данных, в случае расторжения с ним
государственного контракта (трудового договора) прекратить
обработку персональных данных, ставших известными ему
в связи с исполнением должностных обязанностей

Обязательство о соблюдении конфиденциальности
персональных данных

Я, ___________________________________________________________________,
(фамилия, имя, отчество, должность)
непосредственно осуществляя обработку персональных данных при выполнении
своих должностных обязанностей, ознакомлен(а) с требованиями по соблюдению
конфиденциальности обрабатываемых мною персональных данных субъектов
персональных данных и обязуюсь в случае расторжения со мной
государственного контракта (трудового договора) прекратить обработку
персональных данных, ставших мне известными в связи с исполнением
должностных обязанностей.
Я ознакомлен с предусмотренной действующим законодательством Российской
Федерации ответственностью за нарушения неприкосновенности частной жизни и
установленного порядка сбора, хранения, использования или распространения
информации о гражданах (персональных данных).

___________________________________________________________________________
(фамилия, имя, отчество)
___________________________________________________________________________
(паспортные данные)
_________________ _______________
(дата) (подпись)





Приложение № 3
к Приказу
Агентства по делам архивов
Пермского края
от 07.05.2014 № СЭД-07-01-11-45

СОГЛАСИЕ
на обработку персональных данных

Я, ___________________________________________________________________,
(фамилия, имя, отчество)
зарегистрированный(ая) ____________________________________________________
___________________________________________________________________________
__________________________________________________________________________,
паспорт _____________________, выдан ______________________________________
___________________________________________________________________________
__________________________________________________________________________,
(кем и когда выдан документ)
ИНН ______________________________________________________________________,
в соответствии со ст. 9 Федерального закона "О персональных данных" от
27.07.2006 № 152-ФЗ и ст. 102 Налогового кодекса Российской Федерации даю
согласие на предоставление Агентству по делам архивов Пермского края, ул.
Куйбышева, 14, г. Пермь, 614006, сведений: 1) о полученных мною доходах (а
также доходах моих несовершеннолетних детей) с разбивкой по каждому
источнику дохода и организациям, выплатившим доходы; 2) об имеющемся на
учете в налоговых органах имуществе; 3) об участии в деятельности органа
управления коммерческой организации, регистрации в качестве индивидуального
предпринимателя с целью проверки сведений, предоставленных моим супругом
(супругой) при замещении должности государственного гражданского служащего
Пермского края (руководителя государственного краевого бюджетного
учреждения), а также соблюдения моим супругом (супругой) ограничений и
запретов, требований о предотвращении или урегулировании конфликта
интересов, исполнения иных требований и обязанностей, установленных
Федеральным законом от 25.12.2008 № 273-ФЗ "О противодействии коррупции" и
иными нормативными правовыми актами.
Настоящее согласие действует в течение трех лет со дня его подписания и
может быть отозвано посредством направления или представления
соответствующего заявления.

"___" _____________ 20___ г. __________________ ___________________________
(подпись) (инициалы и фамилия)


------------------------------------------------------------------