Приказ службы финансово-экономического контроля и контроля в сфере закупок Красноярского края от 21.03.2014 N 4нп "Об обработке и защите персональных данных в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края"
СЛУЖБА ФИНАНСОВО-ЭКОНОМИЧЕСКОГО КОНТРОЛЯ
И КОНТРОЛЯ В СФЕРЕ ЗАКУПОК КРАСНОЯРСКОГО КРАЯ
ПРИКАЗ
от 21 марта 2014 г. № 4нп
ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В СЛУЖБЕ
ФИНАНСОВО-ЭКОНОМИЧЕСКОГО КОНТРОЛЯ И КОНТРОЛЯ
В СФЕРЕ ЗАКУПОК КРАСНОЯРСКОГО КРАЯ
Список изменяющих документов
(в ред. Приказов службы финансово-экономического контроля
и контроля в сфере закупок Красноярского края
от 27.06.2014 № 8нп, от 12.08.2015 № 4нп)
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", подпунктом 19 пункта 3.5, подпунктом 2 пункта 4.3 Положения о службе финансово-экономического контроля и контроля в сфере закупок Красноярского края, утвержденного Постановлением Правительства Красноярского края от 13.12.2013 № 657-п, и в связи с принятием мер по обеспечению безопасности персональных данных при их обработке, приказываю:
1. Назначить Гурову Е.А., главного специалиста организационно-правового отдела службы финансово-экономического контроля и контроля в сфере закупок Красноярского края, ответственным за организацию обработки персональных данных.
2. Утвердить Правила обработки персональных данных в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края (далее по тексту - Служба) согласно приложению № 1.
3. Утвердить Правила рассмотрения запросов субъектов персональных данных или их представителей согласно приложению № 2.
4. Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных согласно приложению № 3.
5. Утвердить Перечень информационных систем персональных данных согласно приложению № 4.
6. Утвердить Перечень персональных данных, обрабатываемых в Службе в связи с реализацией служебных или трудовых отношений, а также в связи с осуществлением государственных функций, согласно приложению № 5.
7. Утвердить Перечень должностей государственных гражданских служащих Службы, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, согласно приложению № 6.
8. Утвердить Инструкцию ответственного за организацию обработки персональных данных в Службе согласно приложению 7.
9. Утвердить типовое обязательство государственного гражданского служащего Службы, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, согласно приложению № 8.
10. Утвердить типовую форму согласия на обработку персональных данных государственных гражданских служащих Службы, иных субъектов персональных данных согласно приложению № 9.
11. Утвердить типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные согласно приложению № 10.
12. Утвердить Порядок доступа государственных гражданских служащих Службы в помещения, в которых ведется обработка персональных данных, согласно приложению № 11.
13. Признать утратившим силу Приказ службы по контролю за ценообразованием и размещением государственного заказа Красноярского края от 12.08.2013 № 1нп "Об обработке и защите персональных данных в службе по контролю за ценообразованием и размещением государственного заказа Красноярского края".
14. Организационно-правовому отделу (Дергунова) довести настоящий Приказ до сведения всех государственных гражданских служащих Службы.
15. Опубликовать Приказ на "Официальном интернет-портале правовой информации Красноярского края" (http://www.zakon.krskstate.ru).
16. Приказ вступает в силу в день, следующий за днем его официального опубликования.
17. Контроль исполнения Приказа оставляю за собой.
Руководитель
службы финансово-экономического контроля
и контроля в сфере закупок
Красноярского края
С.В.ДАМОВ
Приложение № 1
к Приказу
службы финансово-экономического
контроля и контроля в сфере закупок
Красноярского края
от 21 марта 2014 г. № 4нп
ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В СЛУЖБЕ
ФИНАНСОВО-ЭКОНОМИЧЕСКОГО КОНТРОЛЯ И КОНТРОЛЯ
В СФЕРЕ ЗАКУПОК КРАСНОЯРСКОГО КРАЯ
Список изменяющих документов
(в ред. Приказа службы финансово-экономического контроля
и контроля в сфере закупок Красноярского края
от 27.06.2014 № 8нп)
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящие Правила обработки персональных данных (далее - Правила) определяют цели, условия и порядок обработки персональных данных, устанавливают общие требования к обеспечению безопасности персональных данных, обрабатываемых в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края (далее - Служба) с использованием средств автоматизации или без использования таких средств.
1.2. Правила разработаны в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ), Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Положением о службе финансово-экономического контроля и контроля в сфере закупок Красноярского края, утвержденного Постановлением Правительства Красноярского края от 13.12.2013 № 657-п, иными нормативными правовыми актами.
1.3. В Правилах используется следующие основные понятия:
1) персональные данные (далее - ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;
3) обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
4) автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники;
5) распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц;
6) предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
7) блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
8) уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн;
9) обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту персональных данных;
10) информационная система персональных данных (далее - ИСПДн) - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;
11) трансграничная передача ПДн - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Обработка персональных данных должна осуществляться на основе принципов.
1) Обработка персональных данных должна осуществляться на законной и справедливой основе.
2) Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3) Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4) Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5) Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6) При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Служба должна принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
7) Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.2. Служба может осуществлять обработку персональных данных с использованием средств автоматизации, а также без использования таких средств.
2.3. При обработке персональных данных Службой могут осуществляться любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.4. До начала обработки персональных данных Служба обязана уведомить уполномоченный орган по защите прав субъектов персональных данных об обработке персональных данных согласно статье 22 Федерального закона № 152-ФЗ.
3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка в Службе ПДн осуществляется в следующих ИСПДн:
"Бухгалтерия и кадры" Службы;
"Работа с гражданами" Службы.
Служба является оператором.
3.2. Целями обработки ПДн в ИСПДн являются:
в ИСПДн "Бухгалтерия и кадры" - оформление приема, организация учета, перевода и увольнения государственных гражданских служащих Службы и иных работников в соответствии с законодательством Российской Федерации, ведение всей отчетности по кадровым вопросам, расчет заработной платы, оформление свидетельства пенсионного страхования и зарплатных карт (далее - реализация служебных или трудовых отношений);
в ИСПДн "Работа с гражданами" - осуществление внутреннего государственного финансового контроля в сфере бюджетных правоотношений, контроля в сфере закупок товаров, работ, услуг в отношении закупок для обеспечения нужд края и муниципальных нужд муниципальных образований, находящихся на территории Красноярского края, регионального государственного надзора в сфере ценообразования (за исключением полномочий, отнесенных к компетенции иных органов исполнительной власти края) (далее - исполнение государственных функций).
3.3. Порядок обработки ПДн.
3.3.1. Получение ПДн может осуществляться как путем их представления Службе самим субъектом ПДн, так и путем получения персональных данных Службой из иных источников в том случае, если ПДн представляется возможным получить только у третьей стороны. Если персональные данные получены не от субъекта персональных данных и такое получение не предусмотрено частью 4 статьи 18 Федерального закона № 152-ФЗ, то до начала обработки таких персональных данных Служба обязана предоставить субъекту персональных данных информацию, предусмотренную частью 3 статьи 18 Федерального закона № 152-ФЗ.
3.3.2. Служба не имеет права получать и обрабатывать ПДн субъекта, не связанные с целями обработки ПДн. В случаях, непосредственно связанных с вопросами трудовых отношений, данные о частной жизни субъекта ПДн (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны Службой только с письменного согласия субъекта ПДн.
3.3.3. Для осуществления процесса обработки ПДн на автоматизированных рабочих местах (АРМ) используется сертифицированное программное обеспечение (ПО).
3.3.4. Пользователи ИСПДн осуществляют обработку в многопользовательском режиме, имеют различные права доступа к информации.
Пользователи имеют право постоянного хранения файлов с защищаемыми данными на жестком магнитном диске, входящих в состав технических средств. Специально выделенный каталог для хранения персональных данных отсутствует. Для хранения файлов, содержащих ПДн, съемные носители информации (оптические диски, флеш-носители и т.д.) не используются. Учет съемных носителей не ведется.
3.3.5. Доступ в ИСПДн осуществляется пользователями с использованием персональных идентификаторов и паролей.
Передача информации, содержащей ПДн, за пределы контролируемой зоны по сети Интернет не осуществляется. Права доступа пользователей к программам, каталогам и файлам на АРМ регламентированы настройками локальных политик безопасности Windows.
3.3.6. Срок обработки персональных данных исчисляется с момента получения Службой персональных данных до достижения целей обработки персональных данных.
3.4. Хранение ПДн.
После достижения цели обработки персональных данных, если это предусмотрено федеральными законами, нормативными актами или в письменном согласии субъекта персональных данных, персональные данные помещаются в архив и хранятся в течение срока, установленного законодательством Российской Федерации. На хранение персональных данных в электронном архиве должно быть получено согласие субъекта.
Если в течение срока архивного хранения субъект персональных данных направил в адрес Службы заявление об отзыве согласия на обработку персональных данных, Служба обязана уничтожить персональные данные субъекта с составлением соответствующего акта или обеспечить их уничтожение, если сохранение персональных данных более не требуется для целей обработки персональных данных.
3.5. Передача ПДн.
Передача ПДн субъекта любым физическим или юридическим лицам может быть осуществлена только с письменного согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.
3.6. Уничтожение ПДн.
3.6.1. Уничтожение ПДн осуществляется по истечении соответствующего срока хранения. Для уничтожения персональных данных приказом руководителя Службы создается комиссия, которая проводит уничтожение ПДн.
3.6.2. Носители, содержащие ПДн, уничтожаются таким способом, чтобы после процедуры уничтожения не представилось возможным восстановить данные. По результатам уничтожения составляется акт об уничтожении ПДн, который подписывается комиссией, созданной для уничтожения ПДн. В течение пяти рабочих дней после уничтожения и составления акта об уничтожении ПДн Служба уведомляет об этом субъекта ПДн в случае уничтожения ПДн по основаниям, предусмотренным пунктом 5.6 Правил.
3.7. Содержание обрабатываемых персональных данных.
3.7.1. Персональные данные, обрабатываемые в Службе в связи с реализацией служебных и трудовых отношений:
фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества в случае их изменения);
число, месяц, год рождения;
место рождения;
информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
номер контактного телефона или сведения о других способах связи;
реквизиты страхового свидетельства государственного пенсионного страхования;
идентификационный номер налогоплательщика;
реквизиты страхового медицинского полиса обязательного медицинского страхования;
реквизиты свидетельства государственной регистрации актов гражданского состояния;
семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
сведения о трудовой деятельности;
сведения о воинском учете и реквизиты документов воинского учета;
сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
сведения о своих доходах, имуществе и обязательствах имущественного характера, а также указанные сведения в отношении своих супруги (супруга) и несовершеннолетних детей;
сведения о своих расходах, а также о расходах своих супруги (супруга) и несовершеннолетних детей по каждой сделке по приобретению земельного участка, другого объекта недвижимости, транспортного средства, ценных бумаг, акций (долей участия, паев в уставных (складочных) капиталах организаций);
результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований);
сведения об ученой степени;
информация о владении иностранными языками, степень владения;
фотография;
информация, содержащаяся в служебном контракте, дополнительных соглашениях к служебному контракту;
сведения о пребывании за границей;
информация о классном чине государственной гражданской службы Красноярского края (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);
информация об оформленных допусках к государственной тайне;
государственные награды, иные награды и знаки отличия;
сведения о профессиональной переподготовке и (или) повышении квалификации;
информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
номер расчетного счета;
номер банковской карты;
сведения о привлечении к уголовной ответственности;
серия, номер водительского удостоверения, наименование органа, выдавшего его, дата выдачи и иные сведения.
3.7.2. Персональные данные, обрабатываемые в Службе в связи с исполнением государственных функций:
фамилия, имя, отчество;
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
число, месяц, год рождения;
сведения о месте работы;
сведения о заработной плате;
сведения о лицах, находящихся на иждивении;
сведения о привлечении к административной ответственности;
идентификационный номер налогоплательщика;
основной государственный регистрационный номер индивидуального предпринимателя.
3.8. Категории субъектов, персональные данные которых обрабатываются:
государственные гражданские служащие и иные работники Службы;
иные субъекты, не являющиеся сотрудниками Службы.
4. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
подтверждение факта обработки персональных данных Службой;
правовые основания и цели обработки персональных данных;
цели и применяемые Службой способы обработки персональных данных;
наименование и место нахождения Службы, сведения о лицах (за исключением гражданских государственных служащих Службы), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора со Службой или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Службы, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.
5. ОБЯЗАННОСТИ ОПЕРАТОРА
5.1. При сборе персональных данных Служба обязана предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона № 152-ФЗ в сроки, установленные частью 1 статьи 20 Федерального закона № 152-ФЗ.
5.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Служба обязана разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
5.3. Если персональные данные получены не от субъекта персональных данных, Служба, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона № 152-ФЗ, до начала обработки таких персональных данных обязана предоставить субъекту персональных данных следующую информацию:
наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
цель обработки персональных данных и ее правовое основание;
предполагаемые пользователи персональных данных;
установленные Федеральным законом № 152-ФЗ права субъекта персональных данных;
источник получения персональных данных.
5.4. Служба освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные пунктом 5.3 настоящих Правил, в случаях, если:
субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
персональные данные получены Службой на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
Служба осуществляет обработку персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных;
предоставление субъекту персональных данных сведений, предусмотренных 5.3 настоящих Правил, нарушает права и законные интересы третьих лиц.
5.5. Служба самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам могут, в частности, относиться:
1) назначение ответственного за организацию обработки персональных данных;
2) издание документов, определяющих политику Службы в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона № 152-ФЗ;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Службы в отношении обработки персональных данных, локальным актам Службы;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона № 152-ФЗ, соотношение указанного вреда и принимаемых Службой мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ;
6) ознакомление сотрудников Службы, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Службы в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников.
5.6. В случае выявления неправомерной обработки ПДн, осуществляемой Службой или лицом, действующим по поручению Службы, Служба в срок, не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Службы. В случае если обеспечить правомерность обработки ПДн невозможно, Служба в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязана уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Служба обязана уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.
(в ред. Приказа службы финансово-экономического контроля и контроля в сфере закупок Красноярского края от 27.06.2014 № 8нп)
5.7. В случае достижения цели обработки ПДн Служба обязана прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Службы) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Службы) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Службой и субъектом ПДн, либо если Служба не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законодательством Российской Федерации.
6. МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Мероприятия по обеспечению безопасности персональных данных являются составной частью деятельности Службы.
6.2. Перечень должностей государственной гражданской службы, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, а также порядок доступа должностных лиц Службы края в помещения, в которых ведется обработка персональных данных, определяется принимаемыми документами Службы.
6.3. Сбой в функционировании элементов ИСПДн, предоставляемых пользователям ИСПДн, а также потерей защищаемой информации, связанные с нарушением правил обработки ПДн, может произойти в результате следующих действий (бездействия):
непреднамеренных либо преднамеренных действий сотрудников Службы и третьих лиц;
в результате возникновения обстоятельств непреодолимой силы.
6.4. По каждому происшествию проводится проверка, для проведения которой назначается комиссия. Порядок проведения проверки устанавливается Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Службе. В ходе проверки устанавливаются обстоятельства, виновные лица в совершении нарушений мероприятий по защите информации, причины и условия, способствовавшие нарушению.
По результатам проведенной проверки определяются необходимые мероприятия по устранению выявленных нарушений, а также обстоятельств, способствующих их совершению.
6.5. Процедуры, направленные на выявление нарушений:
осуществление внутреннего контроля соответствия обработки ПДн законодательству Российской Федерации и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Службы в отношении обработки ПДн, локальным актам Службы;
иные процедуры, направленные на выявление нарушений.
6.6. Процедуры, направленные на предотвращение нарушений:
назначение лица, ответственного за организацию обработки персональных данных, который осуществляет в том числе обучение и инструктаж, внутренний контроль за соблюдением сотрудниками Службы требований к защите персональных данных;
ознакомление сотрудников Службы, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства о персональных данных и иными документами по вопросам обработки персональных данных;
определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Службы;
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Службы, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
разграничение прав доступа к персональным данным при их обработке в информационных системах персональных данных Службы.
6.7. Персональные данные не подлежат разглашению (распространению). Прекращение доступа к такой информации не освобождает сотрудника Службы от взятых им обязательств по неразглашению сведений ограниченного распространения.
6.8. При обработке в Службе персональных данных на бумажных носителях, в частности, при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться требования, установленные Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства РФ от 15.09.2008 № 687.
Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
6.9. Допускается передача материальных носителей персональных данных на хранение сторонней организации на основании договора, при этом существенным условием договора является обязанность обеспечения указанной организацией конфиденциальности персональных данных и безопасности персональных данных при их обработке (хранении).
6.10. Лица, виновные в нарушении требований настоящих Правил, несут ответственность в соответствии с действующим законодательством.
Приложение № 2
к Приказу
службы финансово-экономического
контроля и контроля в сфере закупок
Красноярского края
от 21 марта 2014 г. № 4нп
ПРАВИЛА
РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ
1. Правилами рассмотрения запросов субъектов персональных данных или их представителей в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края (далее - Правила) определяются порядок учета (регистрации), рассмотрения запросов субъектов персональных данных или их представителей (далее - запросы).
2. Настоящие Правила разработаны в соответствии Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ), Федеральным законом от 02.05.2006 № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", Федеральным законом от 27.07.2004 № 79-ФЗ "О государственной гражданской службе Российской Федерации", Трудовым кодексом Российской Федерации, Постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", Постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных (часть 7 статьи 14 Федерального закона № 152-ФЗ), в том числе содержащей:
подтверждение факта обработки персональных данных в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края (далее - Служба);
правовые основания и цели обработки персональных данных;
цели и применяемые в Службе способы обработки персональных данных;
наименование и место нахождения Службы, сведения о лицах (за исключением работников Службы), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора со Службой или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Службы, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.
4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе по основаниям, предусмотренным частью 8 статьи 14 Федерального закона № 152-ФЗ.
5. Субъект персональных данных вправе требовать от Службы уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6. Сведения, указанные в части 7 статьи 14 Федерального закона № 152-ФЗ, предоставляются Службой субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
7. Сведения, указанные в части 7 статьи 14 Федерального закона № 152-ФЗ, предоставляются субъекту персональных данных или его представителю Службой при обращении либо при получении запроса субъекта персональных данных или его представителя.
8. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях со Службой (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных в Службе, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
9. Все поступившие запросы регистрируются и проверяются на повторность их поступления в день их поступления.
В случае если сведения, указанные в части 7 статьи 14 Федерального закона 152-ФЗ, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Службу или направить повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона № 152-ФЗ, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Субъект персональных данных вправе обратиться повторно в Службу или направить повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона № 152-ФЗ, а также в целях ознакомления с обрабатываемыми персональными данными до истечения тридцатидневного срока, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 8 настоящих Правил, должен содержать обоснование направления повторного запроса.
Служба вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона № 152-ФЗ. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Службе.
10. Обязанности Службы при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных:
Служба обязана сообщить в порядке, предусмотренном статьей 14 Федерального закона № 152-ФЗ, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя;
в случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Служба обязана дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя;
Служба обязана предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Служба обязана внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Служба обязана уничтожить такие персональные данные. Служба обязана уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы;
Служба обязана сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
Приложение № 3
к Приказу
службы финансово-экономического
контроля и контроля в сфере закупок
Красноярского края
от 21 марта 2014 г. № 4нп
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края (далее - Правила) определяются процедуры с целью выявления и предотвращения нарушений законодательства Российской Федерации в сфере персональных данных.
1.2. Правила определяют основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
1.3. Правила разработаны в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", Постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами.
1.4. В Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
2. ПОРЯДОК ПРОВЕДЕНИЯ ПРОВЕРКИ
2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края (далее - Служба) организовывается проведение проверок условий обработки персональных данных.
Проверки проводятся на основании приказа руководителя Службы.
Проверки осуществляются комиссией, образуемой приказом руководителя Службы.
В проведении проверки не может участвовать должностное лицо, прямо или косвенно заинтересованное в ее результатах.
Проверки соответствия обработки персональных данных требованиям к защите персональных данных в Службе проводятся 1 раз в 2 года, установленным требованиям (плановые проверки) или на основании поступившего в Службу письменного заявления (обращения), служебной записки о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления (обращения), служебной записки о нарушениях правил обработки персональных данных.
2.2. При проведении проверки соответствия обработки персональных данных установленным требованиям должны полностью, объективно и всесторонне установлены:
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
порядок и условия применения средств защиты информации;
эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
осуществление мероприятий по обеспечению целостности персональных данных.
2.3. Члены комиссии имеют право:
запрашивать у сотрудников Службы информацию, необходимую для проведения проверки;
требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить руководителю Службы предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
вносить руководителю Службы предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
В отношении персональных данных, ставших известными в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
2.4. Проверка должна быть завершена не позднее чем через месяц со дня издания приказа о ее проведении. По результатам проведенной проверки составляется и подписывается комиссией заключение, в котором отражаются меры, необходимые для устранения выявленных нарушений. Подписанное заключение не позднее дня, следующего за днем завершения проверки, представляется руководителю Службы.
По результатам проверки руководитель Службы принимает необходимые меры, направленные на предотвращение нарушений, а при необходимости привлекает виновных лиц к установленной ответственности.
Приложение № 4
к Приказу
службы финансово-экономического
контроля и контроля в сфере закупок
Красноярского края
от 21 марта 2014 г. № 4нп
ПЕРЕЧЕНЬ
ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
№ п/п
Наименование информационных систем персональных данных (ИСПДн) (ее составные части)
Категория обрабатываемых персональных данных (ПДн)
Показатель объема обрабатываемых ПДн
Типовая/Специальная ИСПДн
Структура ИСПДн
Наличие подключения к сети Интернет
Режим обработки ПДн
Разграничение доступа пользователей
Нахождение ИСПДн (ее составных частей) в пределах Российской Федерации
Класс ИСПДн
1
"Бухгалтерия и кадры"
Категория 2
до 1000
специальные
Корпоративная распределенная ИСПДН, охватывающая многие подразделения одной организации
существует
многопользовательский
присутствует
Все технические средства находятся в пределах Российской Федерации
К3
2
"Работа с гражданами"
Категория 3
от 1000 до 100000
специальная
Корпоративная распределенная ИСПДН, охватывающая многие подразделения одной организации
существует
многопользовательский
присутствует
Все технические средства находятся в пределах Российской Федерации
К3
Приложение № 5
к Приказу
службы финансово-экономического
контроля и контроля в сфере закупок
Красноярского края
от 21 марта 2014 г. № 4нп
ПЕРЕЧЕНЬ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В СЛУЖБЕ
ФИНАНСОВО-ЭКОНОМИЧЕСКОГО КОНТРОЛЯ И КОНТРОЛЯ В СФЕРЕ
ЗАКУПОК КРАСНОЯРСКОГО КРАЯ В СВЯЗИ С РЕАЛИЗАЦИЕЙ СЛУЖЕБНЫХ
ИЛИ ТРУДОВЫХ ОТНОШЕНИЙ, А ТАКЖЕ В СВЯЗИ С ОСУЩЕСТВЛЕНИЕМ
ГОСУДАРСТВЕННЫХ ФУНКЦИЙ
1. Персональные данные, обрабатываемые в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края в связи с реализацией служебных или трудовых отношений:
фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества в случае их изменения);
число, месяц, год рождения;
место рождения;
информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
номер контактного телефона или сведения о других способах связи;
реквизиты страхового свидетельства государственного пенсионного страхования;
идентификационный номер налогоплательщика;
реквизиты страхового медицинского полиса обязательного медицинского страхования;
реквизиты свидетельства государственной регистрации актов гражданского состояния;
семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
сведения о трудовой деятельности;
сведения о воинском учете и реквизиты документов воинского учета;
сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
сведения о своих доходах, имуществе и обязательствах имущественного характера, а также указанные сведения в отношении своих супруги (супруга) и несовершеннолетних детей;
сведения о своих расходах, а также о расходах своих супруги (супруга) и несовершеннолетних детей по каждой сделке по приобретению земельного участка, другого объекта недвижимости, транспортного средства, ценных бумаг, акций (долей участия, паев в уставных (складочных) капиталах организаций);
результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований);
сведения об ученой степени;
информация о владении иностранными языками, степень владения;
фотография;
информация, содержащаяся в служебном контракте, дополнительных соглашениях к служебному контракту;
сведения о пребывании за границей;
информация о классном чине государственной гражданской службы Красноярского края (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);
информация об оформленных допусках к государственной тайне;
государственные награды, иные награды и знаки отличия;
сведения о профессиональной переподготовке и (или) повышении квалификации;
информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
номер расчетного счета;
номер банковской карты;
сведения о привлечении к уголовной ответственности;
серия, номер водительского удостоверения, наименование органа, выдавшего его, дата выдачи и иные сведения.
2. Персональные данные, обрабатываемые в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края в связи с оказанием государственных функций:
фамилия, имя, отчество;
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
число, месяц, год рождения;
сведения о месте работы;
сведения о заработной плате;
сведения о лицах, находящихся на иждивении;
сведения о привлечении к административной ответственности;
идентификационный номер налогоплательщика;
основной государственный регистрационный номер индивидуального предпринимателя.
Приложение № 6
к Приказу
службы финансово-экономического
контроля и контроля в сфере закупок
Красноярского края
от 21 марта 2014 г. № 4нп
ПЕРЕЧЕНЬ
ДОЛЖНОСТЕЙ ГОСУДАРСТВЕННЫХ ГРАЖДАНСКИХ СЛУЖАЩИХ СЛУЖБЫ
ФИНАНСОВО-ЭКОНОМИЧЕСКОГО КОНТРОЛЯ И КОНТРОЛЯ В СФЕРЕ
ЗАКУПОК КРАСНОЯРСКОГО КРАЯ, ЗАМЕЩЕНИЕ КОТОРЫХ
ПРЕДУСМАТРИВАЕТ ОСУЩЕСТВЛЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ЛИБО ОСУЩЕСТВЛЕНИЕ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ
Список изменяющих документов
(в ред. Приказа службы финансово-экономического контроля
и контроля в сфере закупок Красноярского края
от 12.08.2015 № 4нп)
1. Руководитель службы.
2. Заместитель руководителя - начальник организационно-правового отдела.
3. Заместитель начальника организационно-правового отдела.
4. Консультант - юрист организационно-правового отдела.
5. Главный специалист - юрист организационно-правового отдела.
6. Главный специалист организационно-правового отдела.
7. Начальник отдела контроля в сфере закупок.
8. Консультант - юрист отдела контроля в сфере закупок.
9. Главный специалист - юрист отдела контроля в сфере закупок.
10. Начальник отдела контроля за ценообразованием.
11. Консультант отдела контроля за ценообразованием.
12. Главный специалист отдела контроля за ценообразованием.
13. Начальник отдела финансового контроля.
(п. 13 в ред. Приказа службы финансово-экономического контроля и контроля в сфере закупок Красноярского края от 12.08.2015 № 4нп)
14. Заместитель начальника отдела финансового контроля.
15. Консультант отдела финансового контроля.
16. Главный контролер-ревизор отдела финансового контроля.
17. Контролер-ревизор отдела финансового контроля.
18. Начальник отдела контроля за использованием межбюджетных трансфертов.
19. Заместитель начальника отдела контроля за использованием межбюджетных трансфертов.
20. Консультант отдела контроля за использованием межбюджетных трансфертов.
21. Главный контролер - ревизор отдела контроля за использованием межбюджетных трансфертов.
22. Контролер - ревизор отдела контроля за использованием межбюджетных трансфертов.
23. Главный бухгалтер.
(п. 23 введен Приказом службы финансово-экономического контроля и контроля в сфере закупок Красноярского края от 12.08.2015 № 4нп)
Приложение № 7
к Приказу
службы финансово-экономического
контроля и контроля в сфере закупок
Красноярского края
от 21 марта 2014 г. № 4нп
ИНСТРУКЦИЯ
ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В СЛУЖБЕ ФИНАНСОВО-ЭКОНОМИЧЕСКОГО КОНТРОЛЯ И КОНТРОЛЯ
В СФЕРЕ ЗАКУПОК КРАСНОЯРСКОГО КРАЯ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Инструкция ответственного за организацию обработки персональных данных (далее - Инструкция) является руководящим документом ответственного за организацию обработки персональных данных (далее - ПДн) в информационных системах персональных данных (далее - ИСПДн) "Бухгалтерия и кадры" и "Работа с гражданами" службы финансово-экономического контроля и контроля в сфере закупок Красноярского края (далее - Служба), а также без использования средств автоматизации, обеспечивающего безопасность информации в соответствии с требованиями нормативных документов Федеральной службы по техническому и экспертному контролю (ФСТЭК России), Федеральной службы безопасности Российской Федерации и организационно-распорядительной документацией, а также непрерывное функционирование всех элементов ИСПДн.
Требования ответственного за организацию обработки ПДн, связанные с выполнением им своих функций, обязательны для исполнения всеми пользователями ИСПДн, а также должностными лицами, осуществляющими обработку персональных данных.
1.2. Ответственный за организацию обработки ПДн назначается приказом руководителя Службы из числа служащих, профессиональные навыки и знание нормативной базы по защите информации которых позволяют выполнять возложенные на него обязанности.
2. ФУНКЦИИ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. В своей деятельности ответственный за организацию обработки ПДн руководствуется Инструкцией и другими документами, регламентирующими защиту ПДн в Службе.
2.2. Доводит до сотрудников Службы, имеющих доступ к персональным данным, положения и требования нормативных и правовых актов по организации обработки персональных данных, в том числе положения Федерального закона № 152-ФЗ от 27.07.2006 "О персональных данных", Постановление Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"; Постановление Правительства РФ от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
2.3. Обеспечивает выполнение сотрудниками принятых в Службе инструкций, приказов, положений и других документов по защите ПДн.
3. ПРАВА И ОБЯЗАННОСТИ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. На ответственного за организацию обработки ПДн возлагаются следующие обязанности:
3.1.1. принимать решение о прекращении обработки ПДн в ИСПДн при несанкционированном доступе (попытках) к ним или возникновении ситуаций, послуживших причиной возможной утраты ПДн;
3.1.2. информировать руководителя Службы обо всех попытках несанкционированного доступа к ПДн, нарушениях сотрудниками Службы соответствующих приказов и инструкций, о непроведении либо несвоевременном проведении пользователями разработанных мероприятий;
3.1.3. контролировать, а в случае необходимости корректировать работы по выбору, закупке и приемке нового программного обеспечения, средств защиты информации, технического оснащения;
3.1.4. следить за неизменностью условий функционирования и эксплуатации ИСПДн с последующим информированием руководителя Службы в случае изменений, руководствуясь Инструкцией и другими нормативными документами по защите ПДн в Службе;
3.1.5. доводить под личную подпись до сотрудников Службы и пользователей ИСПДн содержание соответствующих инструкций, приказов, положений и других документов по защите ПДн;
3.1.6. следить за своевременным проведением необходимых регламентных работ по обеспечению безопасности ПДн при их обработке в ИСПДн с целью поддержания системы защиты информации в актуальном состоянии;
3.1.7. следить за поддержанием применяемой в Службе системы защиты информации в актуальном состоянии (своевременная разработка, корректировка и переиздание документов, изучение и мониторинг нормативной базы по защите ПДн) и подготавливать предложения по ее совершенствованию;
3.1.8. принимать участие в осуществлении внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Службе;
3.1.9. вести журнал обучения и инструктажа пользователей, предусмотренный приложением № 1 к Инструкции.
3.2. Ответственный за организацию обработки ПДн несет ответственность за качество и своевременность выполнения задач и функций, возложенных на него в соответствии с законодательством о персональных данных, Инструкцией и другими нормативными документами по защите ПДн в Службе.
Ответственный за организацию обработки ПДн, получивший доступ к ПДн, обязан хранить в тайне сведения ограниченного распространения, полученные им во время работы или иным путем, и пресекать действия других лиц, которые могут привести к разглашению такой информации.
3.3. В случае оставления занимаемой должности ответственный за организацию обработки ПДн обязан вернуть руководителю Службы все документы и материалы, относящиеся к деятельности Службы.
Приложение № 1
к Инструкции
ответственного за организацию
обработки персональных данных
в информационных системах
персональных данных службы
финансово-экономического контроля
и контроля в сфере закупок
Красноярского края
Журнал обучения и инструктажа пользователей
Журнал начат "__" _______ 20__ г.
Журнал завершен "__" _____ 20__ г.
Должность: ____________________
Должность: _____________________
_____________________/
_______
______________________/
_______
ФИО
Подпись
ФИО
Подпись
Журнал на ___ листах.
№ п/п
Должность
ФИО
Дата
Зачтено
Подпись
1
2
3
4
5
6
Приложение № 8
к Приказу
службы финансово-экономического
контроля и контроля в сфере закупок
Красноярского края
от 21 марта 2014 г. № 4нп
Типовое обязательство государственного гражданского
служащего службы финансово-экономического контроля
и контроля в сфере закупок Красноярского края,
непосредственно осуществляющего обработку персональных
данных, в случае расторжения с ним служебного контракта
(контракта) или трудового договора прекратить обработку
персональных данных, ставших известными ему в связи
с исполнением должностных обязанностей
Я, ____________________________________________________________________
(фамилия, имя, отчество)
___________________________________________________________________________
___________________________________________________________________________
(должность)
___________________________________________________________________________
обязуюсь прекратить обработку персональных данных, ставших известными
мне в связи с исполнением должностных обязанностей, в случае расторжения со
мной служебного контракта, освобождения меня от замещаемой должности и
увольнения с гражданской службы.
В соответствии со статьей 7 Федерального закона от 27.07.2006 № 152-ФЗ
"О персональных данных" я уведомлен (а) о том, что персональные данные
являются конфиденциальной информацией и я обязан (а) не раскрывать третьим
лицам и не распространять персональные данные без согласия субъекта
персональных данных, ставших известными мне в связи с исполнением
должностных обязанностей, если иное не предусмотрено федеральным законом.
Я понимаю, что разглашение указанных сведений может нанести ущерб и
вред субъектам персональных данных.
Ответственность, предусмотренная законодательством Российской Федерации
в случае нарушения требований Федерального закона от 27.07.2006 № 152-ФЗ "О
персональных данных", мне разъяснена в полном объеме.
____________ /______________________________/ "__" ________________ 20__ г.
подпись расшифровка ФИО
Приложение № 9
к Приказу
службы финансово-экономического
контроля и контроля в сфере закупок
Красноярского края
от 21 марта 2014 г. № 4нп
Список изменяющих документов
(в ред. Приказа службы финансово-экономического контроля
и контроля в сфере закупок Красноярского края
от 27.06.2014 № 8нп)
Типовая форма согласия на обработку персональных данных
государственных гражданских служащих службы
финансово-экономического контроля и контроля в сфере
закупок Красноярского края, иных субъектов
персональных данных
Я, ___________________________________________________________________,
фамилия, имя, отчество
проживающий (ая) по адресу: _______________________________________________
___________________________________________________________________________
область, край, город, улица, дом, кв.
___________________________________________________________________________
паспорт (другой документ, удостоверяющий личность), N, когда и кем выдан
___________________________________________________________________________
выражаю свое согласие на обработку своих персональных данных в
соответствии со статьями 86 - 90 Трудового кодекса Российской Федерации,
Федеральным законом от 02.05.2006 № 59-ФЗ "О порядке рассмотрения обращений
граждан Российской Федерации", главой 7 Федерального закона от 27.07.2004
№ 79-ФЗ "О государственной гражданской службе Российской Федерации",
пунктом 1 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ "О
персональных данных" в службе финансово-экономического контроля и контроля
в сфере закупок Красноярского края.
Согласие дается Оператору (службе финансово-экономического контроля и
контроля в сфере закупок Красноярского края (далее - Служба), расположенной
по адресам: 660009, г. Красноярск, ул. Ленина, 125; 660009, г. Красноярск,
ул. Карла Маркса, 122) на обработку моих персональных данных, которые
установлены в Перечне персональных данных, обрабатываемых в службе
финансово-экономического контроля и контроля в сфере закупок Красноярского
края в связи с реализацией служебных или трудовых отношений, а также в
связи с осуществлением государственных функций (приложение № 5 к Приказу
Службы от 21.03.2014 № 4нп):
для целей обеспечения содействия в прохождении конкурсных процедур,
связанных с замещением вакантной должности государственной гражданской
службы либо включения в кадровый резерв на государственной гражданской
службе Красноярского края;
для целей обеспечения соблюдения Конституции Российской Федерации,
федеральных законов и иных нормативных правовых актов Российской Федерации,
содействия гражданскому служащему в прохождении государственной гражданской
службы Российской Федерации, в обучении и должностном росте, обеспечения
личной безопасности гражданского служащего и членов его семьи, а также в
целях обеспечения сохранности принадлежащего ему имущества и имущества
государственного органа, учета результатов исполнения им должностных
обязанностей.
Настоящее согласие представляется на осуществление любых правомерных
действий в отношении моих персональных данных, которые необходимы для
достижения указанных выше целей, включая сбор, систематизацию, накопление,
хранение, уточнение (обновление, изменение), использование, распространение
(в том числе передачу и трансграничную передачу), обезличивание,
блокирование, уничтожение персональных данных, а также осуществление любых
иных действий с моими персональными данными в соответствии с действующим
законодательством Российской Федерации.
В случае моего поступления (прохождения) на государственную
гражданскую службу Красноярского края настоящее согласие действует
бессрочно, в случае включения в кадровый резерв на государственной
гражданской службе Красноярского края настоящее согласие действует до
истечения пяти лет со дня включения в кадровый резерв на государственной
гражданской службе Красноярского края. В иных случаях настоящее согласие
действует в течение одного календарного года.
Мне известно, что по истечении срока действия согласия документы,
содержащие мои персональные данные, подлежат уничтожению.
Настоящим согласием я признаю и подтверждаю, что в случае
необходимости представления моих персональных данных для достижения
указанных выше целей третьим лицам (в том числе иным государственным
органам, государственным и муниципальным учреждениям здравоохранения,
Красноярскому краевому фонду обязательного медицинского страхования,
Пенсионному фонду Красноярского края, территориальным органам федеральной
налоговой службы, страховым медицинским организациям и т.д.), а также в
случае передачи функций и полномочий от Службы другим лицам Служба вправе
в необходимом объеме раскрывать для достижения указанных выше целей мои
персональные данные таким третьим лицам, а также представлять таким третьим
лицам документы, содержащие информацию о моих персональных данных.
Настоящим согласием я признаю и подтверждаю, что настоящее согласие
считается данным мною любым третьим лицам, указанным выше, и любые такие
третьи лица имеют право на обработку моих персональных данных на основании
настоящего согласия в целях и в объеме, указанных в настоящем согласии.
Я оставляю за собой право отозвать настоящее согласие посредством
составления соответствующего письменного документа, который может быть
направлен мной в адрес Службы по почте заказным письмом с уведомлением о
вручении либо вручен лично под расписку представителю Службы.
В случае поступления (прохождения) на государственную гражданскую
службу Красноярского края я выражаю также свое согласие на включение в
общедоступные источники персональных данных.
В случае включения меня в кадровый резерв на государственной
гражданской службе Красноярского края я выражаю также свое согласие на
включение в общедоступные источники персональных данных сведений об
образовании (когда и какие учебные заведения окончил (а), специальность и
квалификация по диплому), сведений о трудовой деятельности.
Я признаю, что общедоступные источники персональных данных могут
размещаться в информационно-телекоммуникационной сети Интернет, издаваться
в виде справочников, передаваться по электронной почте и по иным каналам
связи.
Мне известно, что в соответствии с Федеральным законом от 27.07.2006
№ 152-ФЗ "О персональных данных" мои персональные данные могут быть в любое
время исключены из общедоступных источников персональных данных по моему
требованию либо по решению суда или иных уполномоченных государственных
органов.
Мне известно, что обработка Службой моих персональных данных
осуществляется без использования средств автоматизации и в информационных
системах, с применением электронных и бумажных носителей информации.
________________ /_______________________________/ "__" ___________ 20__ г.
подпись расшифровка ФИО
Я даю свое согласие на обработку персональных данных, осуществляемую
без использования средств автоматизации (в случае несогласия на такую
обработку персональных данных необходимо сделать соответствующую отметку о
несогласии на обработку персональных данных, осуществляемую без
использования средств автоматизации).
________________ /_______________________________/ "__" ___________ 20__ г.
подпись расшифровка ФИО
Приложение № 10
к Приказу
службы финансово-экономического
контроля и контроля в сфере закупок
Красноярского края
от 21 марта 2014 г. № 4нп
Типовая форма разъяснения субъекту персональных данных
юридических последствий отказа представить свои
персональные данные
Мне разъяснены юридические последствия отказа предоставить свои персональные данные.
В соответствии со статьями 26, 42 Федерального закона от 27.07.2004 № 79-ФЗ "О государственной гражданской службе Российской Федерации", Положением о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденного Указом Президента Российской Федерации от 30.05.2005 № 609, определен перечень персональных данных, которые субъект персональных данных обязан представить службе финансово-экономического контроля и контроля в сфере закупок Красноярского края в связи с поступлением или прохождением государственной гражданской службы.
Согласно статьям 57, 65, 69 Трудового кодекса Российской Федерации субъект персональных данных, поступающий на работу или работающий, обязан представить определенный перечень информации о себе.
Без представления субъектом персональных данных, обязательных для заключения служебного контракта (трудового договора) сведений, служебный контракт (трудовой договор) не может быть заключен.
На основании пункта 11 части 1 статьи 33 Федерального закона от 27.07.2004 № 79-ФЗ "О государственной гражданской службе Российской Федерации" служебный контракт прекращается вследствие нарушения установленных обязательных правил его заключения, если это нарушение исключает возможность замещения должности гражданской службы.
________________ /________________________________/ "__" __________ 20__ г.
подпись расшифровка ФИО
Приложение № 11
к Приказу
службы финансово-экономического
контроля и контроля в сфере закупок
Красноярского края
от 21 марта 2014 г. № 4нп
ПОРЯДОК
ДОСТУПА ДОЛЖНОСТНЫХ ЛИЦ СЛУЖБЫ ФИНАНСОВО-ЭКОНОМИЧЕСКОГО
КОНТРОЛЯ И КОНТРОЛЯ В СФЕРЕ ЗАКУПОК КРАСНОЯРСКОГО КРАЯ
В ПОМЕЩЕНИЯ, В КОТОРЫХ ВЕДЕТСЯ ОБРАБОТКА
ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Настоящий Порядок доступа разработан в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", Постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами.
2. Персональные данные относятся к конфиденциальной информации. Должностные лица Службы, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
3. Обеспечение безопасности персональных данных от уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных достигается в том числе установлением правил доступа в помещения, где обрабатываются персональные данные.
4. Размещение информационных систем, в которых обрабатываются персональные данные, осуществляется в охраняемых помещениях. Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.
При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
5. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только сотрудники Службы, уполномоченные на обработку персональных данных приказом руководителя Службы.
6. Ответственным за организацию доступа в помещения Службы, в которых ведется обработка персональных данных, является ответственный за организацию обработки персональных данных Службы.
7. Нахождение лиц в помещениях Службы, не являющихся уполномоченными сотрудниками на обработку персональных данных, возможно только в сопровождении уполномоченного сотрудника Службы на время, ограниченное необходимостью решения вопросов, связанных с исполнением должностных обязанностей.
------------------------------------------------------------------
СЛУЖБА ФИНАНСОВО-ЭКОНОМИЧЕСКОГО КОНТРОЛЯ
И КОНТРОЛЯ В СФЕРЕ ЗАКУПОК КРАСНОЯРСКОГО КРАЯ
ПРИКАЗ
от 21 марта 2014 г. № 4нп
ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В СЛУЖБЕ
ФИНАНСОВО-ЭКОНОМИЧЕСКОГО КОНТРОЛЯ И КОНТРОЛЯ
В СФЕРЕ ЗАКУПОК КРАСНОЯРСКОГО КРАЯ
Список изменяющих документов
(в ред. Приказов службы финансово-экономического контроля
и контроля в сфере закупок Красноярского края
от 27.06.2014 № 8нп, от 12.08.2015 № 4нп)
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", подпунктом 19 пункта 3.5, подпунктом 2 пункта 4.3 Положения о службе финансово-экономического контроля и контроля в сфере закупок Красноярского края, утвержденного Постановлением Правительства Красноярского края от 13.12.2013 № 657-п, и в связи с принятием мер по обеспечению безопасности персональных данных при их обработке, приказываю:
1. Назначить Гурову Е.А., главного специалиста организационно-правового отдела службы финансово-экономического контроля и контроля в сфере закупок Красноярского края, ответственным за организацию обработки персональных данных.
2. Утвердить Правила обработки персональных данных в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края (далее по тексту - Служба) согласно приложению № 1.
3. Утвердить Правила рассмотрения запросов субъектов персональных данных или их представителей согласно приложению № 2.
4. Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных согласно приложению № 3.
5. Утвердить Перечень информационных систем персональных данных согласно приложению № 4.
6. Утвердить Перечень персональных данных, обрабатываемых в Службе в связи с реализацией служебных или трудовых отношений, а также в связи с осуществлением государственных функций, согласно приложению № 5.
7. Утвердить Перечень должностей государственных гражданских служащих Службы, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, согласно приложению № 6.
8. Утвердить Инструкцию ответственного за организацию обработки персональных данных в Службе согласно приложению 7.
9. Утвердить типовое обязательство государственного гражданского служащего Службы, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, согласно приложению № 8.
10. Утвердить типовую форму согласия на обработку персональных данных государственных гражданских служащих Службы, иных субъектов персональных данных согласно приложению № 9.
11. Утвердить типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные согласно приложению № 10.
12. Утвердить Порядок доступа государственных гражданских служащих Службы в помещения, в которых ведется обработка персональных данных, согласно приложению № 11.
13. Признать утратившим силу Приказ службы по контролю за ценообразованием и размещением государственного заказа Красноярского края от 12.08.2013 № 1нп "Об обработке и защите персональных данных в службе по контролю за ценообразованием и размещением государственного заказа Красноярского края".
14. Организационно-правовому отделу (Дергунова) довести настоящий Приказ до сведения всех государственных гражданских служащих Службы.
15. Опубликовать Приказ на "Официальном интернет-портале правовой информации Красноярского края" (http://www.zakon.krskstate.ru).
16. Приказ вступает в силу в день, следующий за днем его официального опубликования.
17. Контроль исполнения Приказа оставляю за собой.
Руководитель
службы финансово-экономического контроля
и контроля в сфере закупок
Красноярского края
С.В.ДАМОВ
Приложение № 1
к Приказу
службы финансово-экономического
контроля и контроля в сфере закупок
Красноярского края
от 21 марта 2014 г. № 4нп
ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В СЛУЖБЕ
ФИНАНСОВО-ЭКОНОМИЧЕСКОГО КОНТРОЛЯ И КОНТРОЛЯ
В СФЕРЕ ЗАКУПОК КРАСНОЯРСКОГО КРАЯ
Список изменяющих документов
(в ред. Приказа службы финансово-экономического контроля
и контроля в сфере закупок Красноярского края
от 27.06.2014 № 8нп)
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящие Правила обработки персональных данных (далее - Правила) определяют цели, условия и порядок обработки персональных данных, устанавливают общие требования к обеспечению безопасности персональных данных, обрабатываемых в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края (далее - Служба) с использованием средств автоматизации или без использования таких средств.
1.2. Правила разработаны в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ), Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Положением о службе финансово-экономического контроля и контроля в сфере закупок Красноярского края, утвержденного Постановлением Правительства Красноярского края от 13.12.2013 № 657-п, иными нормативными правовыми актами.
1.3. В Правилах используется следующие основные понятия:
1) персональные данные (далее - ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;
3) обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
4) автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники;
5) распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц;
6) предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
7) блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
8) уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн;
9) обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту персональных данных;
10) информационная система персональных данных (далее - ИСПДн) - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;
11) трансграничная передача ПДн - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Обработка персональных данных должна осуществляться на основе принципов.
1) Обработка персональных данных должна осуществляться на законной и справедливой основе.
2) Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3) Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4) Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5) Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6) При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Служба должна принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
7) Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.2. Служба может осуществлять обработку персональных данных с использованием средств автоматизации, а также без использования таких средств.
2.3. При обработке персональных данных Службой могут осуществляться любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.4. До начала обработки персональных данных Служба обязана уведомить уполномоченный орган по защите прав субъектов персональных данных об обработке персональных данных согласно статье 22 Федерального закона № 152-ФЗ.
3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Обработка в Службе ПДн осуществляется в следующих ИСПДн:
"Бухгалтерия и кадры" Службы;
"Работа с гражданами" Службы.
Служба является оператором.
3.2. Целями обработки ПДн в ИСПДн являются:
в ИСПДн "Бухгалтерия и кадры" - оформление приема, организация учета, перевода и увольнения государственных гражданских служащих Службы и иных работников в соответствии с законодательством Российской Федерации, ведение всей отчетности по кадровым вопросам, расчет заработной платы, оформление свидетельства пенсионного страхования и зарплатных карт (далее - реализация служебных или трудовых отношений);
в ИСПДн "Работа с гражданами" - осуществление внутреннего государственного финансового контроля в сфере бюджетных правоотношений, контроля в сфере закупок товаров, работ, услуг в отношении закупок для обеспечения нужд края и муниципальных нужд муниципальных образований, находящихся на территории Красноярского края, регионального государственного надзора в сфере ценообразования (за исключением полномочий, отнесенных к компетенции иных органов исполнительной власти края) (далее - исполнение государственных функций).
3.3. Порядок обработки ПДн.
3.3.1. Получение ПДн может осуществляться как путем их представления Службе самим субъектом ПДн, так и путем получения персональных данных Службой из иных источников в том случае, если ПДн представляется возможным получить только у третьей стороны. Если персональные данные получены не от субъекта персональных данных и такое получение не предусмотрено частью 4 статьи 18 Федерального закона № 152-ФЗ, то до начала обработки таких персональных данных Служба обязана предоставить субъекту персональных данных информацию, предусмотренную частью 3 статьи 18 Федерального закона № 152-ФЗ.
3.3.2. Служба не имеет права получать и обрабатывать ПДн субъекта, не связанные с целями обработки ПДн. В случаях, непосредственно связанных с вопросами трудовых отношений, данные о частной жизни субъекта ПДн (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны Службой только с письменного согласия субъекта ПДн.
3.3.3. Для осуществления процесса обработки ПДн на автоматизированных рабочих местах (АРМ) используется сертифицированное программное обеспечение (ПО).
3.3.4. Пользователи ИСПДн осуществляют обработку в многопользовательском режиме, имеют различные права доступа к информации.
Пользователи имеют право постоянного хранения файлов с защищаемыми данными на жестком магнитном диске, входящих в состав технических средств. Специально выделенный каталог для хранения персональных данных отсутствует. Для хранения файлов, содержащих ПДн, съемные носители информации (оптические диски, флеш-носители и т.д.) не используются. Учет съемных носителей не ведется.
3.3.5. Доступ в ИСПДн осуществляется пользователями с использованием персональных идентификаторов и паролей.
Передача информации, содержащей ПДн, за пределы контролируемой зоны по сети Интернет не осуществляется. Права доступа пользователей к программам, каталогам и файлам на АРМ регламентированы настройками локальных политик безопасности Windows.
3.3.6. Срок обработки персональных данных исчисляется с момента получения Службой персональных данных до достижения целей обработки персональных данных.
3.4. Хранение ПДн.
После достижения цели обработки персональных данных, если это предусмотрено федеральными законами, нормативными актами или в письменном согласии субъекта персональных данных, персональные данные помещаются в архив и хранятся в течение срока, установленного законодательством Российской Федерации. На хранение персональных данных в электронном архиве должно быть получено согласие субъекта.
Если в течение срока архивного хранения субъект персональных данных направил в адрес Службы заявление об отзыве согласия на обработку персональных данных, Служба обязана уничтожить персональные данные субъекта с составлением соответствующего акта или обеспечить их уничтожение, если сохранение персональных данных более не требуется для целей обработки персональных данных.
3.5. Передача ПДн.
Передача ПДн субъекта любым физическим или юридическим лицам может быть осуществлена только с письменного согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.
3.6. Уничтожение ПДн.
3.6.1. Уничтожение ПДн осуществляется по истечении соответствующего срока хранения. Для уничтожения персональных данных приказом руководителя Службы создается комиссия, которая проводит уничтожение ПДн.
3.6.2. Носители, содержащие ПДн, уничтожаются таким способом, чтобы после процедуры уничтожения не представилось возможным восстановить данные. По результатам уничтожения составляется акт об уничтожении ПДн, который подписывается комиссией, созданной для уничтожения ПДн. В течение пяти рабочих дней после уничтожения и составления акта об уничтожении ПДн Служба уведомляет об этом субъекта ПДн в случае уничтожения ПДн по основаниям, предусмотренным пунктом 5.6 Правил.
3.7. Содержание обрабатываемых персональных данных.
3.7.1. Персональные данные, обрабатываемые в Службе в связи с реализацией служебных и трудовых отношений:
фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества в случае их изменения);
число, месяц, год рождения;
место рождения;
информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
номер контактного телефона или сведения о других способах связи;
реквизиты страхового свидетельства государственного пенсионного страхования;
идентификационный номер налогоплательщика;
реквизиты страхового медицинского полиса обязательного медицинского страхования;
реквизиты свидетельства государственной регистрации актов гражданского состояния;
семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
сведения о трудовой деятельности;
сведения о воинском учете и реквизиты документов воинского учета;
сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
сведения о своих доходах, имуществе и обязательствах имущественного характера, а также указанные сведения в отношении своих супруги (супруга) и несовершеннолетних детей;
сведения о своих расходах, а также о расходах своих супруги (супруга) и несовершеннолетних детей по каждой сделке по приобретению земельного участка, другого объекта недвижимости, транспортного средства, ценных бумаг, акций (долей участия, паев в уставных (складочных) капиталах организаций);
результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований);
сведения об ученой степени;
информация о владении иностранными языками, степень владения;
фотография;
информация, содержащаяся в служебном контракте, дополнительных соглашениях к служебному контракту;
сведения о пребывании за границей;
информация о классном чине государственной гражданской службы Красноярского края (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);
информация об оформленных допусках к государственной тайне;
государственные награды, иные награды и знаки отличия;
сведения о профессиональной переподготовке и (или) повышении квалификации;
информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
номер расчетного счета;
номер банковской карты;
сведения о привлечении к уголовной ответственности;
серия, номер водительского удостоверения, наименование органа, выдавшего его, дата выдачи и иные сведения.
3.7.2. Персональные данные, обрабатываемые в Службе в связи с исполнением государственных функций:
фамилия, имя, отчество;
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
число, месяц, год рождения;
сведения о месте работы;
сведения о заработной плате;
сведения о лицах, находящихся на иждивении;
сведения о привлечении к административной ответственности;
идентификационный номер налогоплательщика;
основной государственный регистрационный номер индивидуального предпринимателя.
3.8. Категории субъектов, персональные данные которых обрабатываются:
государственные гражданские служащие и иные работники Службы;
иные субъекты, не являющиеся сотрудниками Службы.
4. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
подтверждение факта обработки персональных данных Службой;
правовые основания и цели обработки персональных данных;
цели и применяемые Службой способы обработки персональных данных;
наименование и место нахождения Службы, сведения о лицах (за исключением гражданских государственных служащих Службы), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора со Службой или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Службы, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.
5. ОБЯЗАННОСТИ ОПЕРАТОРА
5.1. При сборе персональных данных Служба обязана предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона № 152-ФЗ в сроки, установленные частью 1 статьи 20 Федерального закона № 152-ФЗ.
5.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Служба обязана разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
5.3. Если персональные данные получены не от субъекта персональных данных, Служба, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона № 152-ФЗ, до начала обработки таких персональных данных обязана предоставить субъекту персональных данных следующую информацию:
наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
цель обработки персональных данных и ее правовое основание;
предполагаемые пользователи персональных данных;
установленные Федеральным законом № 152-ФЗ права субъекта персональных данных;
источник получения персональных данных.
5.4. Служба освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные пунктом 5.3 настоящих Правил, в случаях, если:
субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
персональные данные получены Службой на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
Служба осуществляет обработку персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных;
предоставление субъекту персональных данных сведений, предусмотренных 5.3 настоящих Правил, нарушает права и законные интересы третьих лиц.
5.5. Служба самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам могут, в частности, относиться:
1) назначение ответственного за организацию обработки персональных данных;
2) издание документов, определяющих политику Службы в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона № 152-ФЗ;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Службы в отношении обработки персональных данных, локальным актам Службы;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона № 152-ФЗ, соотношение указанного вреда и принимаемых Службой мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ;
6) ознакомление сотрудников Службы, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Службы в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников.
5.6. В случае выявления неправомерной обработки ПДн, осуществляемой Службой или лицом, действующим по поручению Службы, Служба в срок, не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Службы. В случае если обеспечить правомерность обработки ПДн невозможно, Служба в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязана уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Служба обязана уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.
(в ред. Приказа службы финансово-экономического контроля и контроля в сфере закупок Красноярского края от 27.06.2014 № 8нп)
5.7. В случае достижения цели обработки ПДн Служба обязана прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Службы) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Службы) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Службой и субъектом ПДн, либо если Служба не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законодательством Российской Федерации.
6. МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Мероприятия по обеспечению безопасности персональных данных являются составной частью деятельности Службы.
6.2. Перечень должностей государственной гражданской службы, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, а также порядок доступа должностных лиц Службы края в помещения, в которых ведется обработка персональных данных, определяется принимаемыми документами Службы.
6.3. Сбой в функционировании элементов ИСПДн, предоставляемых пользователям ИСПДн, а также потерей защищаемой информации, связанные с нарушением правил обработки ПДн, может произойти в результате следующих действий (бездействия):
непреднамеренных либо преднамеренных действий сотрудников Службы и третьих лиц;
в результате возникновения обстоятельств непреодолимой силы.
6.4. По каждому происшествию проводится проверка, для проведения которой назначается комиссия. Порядок проведения проверки устанавливается Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Службе. В ходе проверки устанавливаются обстоятельства, виновные лица в совершении нарушений мероприятий по защите информации, причины и условия, способствовавшие нарушению.
По результатам проведенной проверки определяются необходимые мероприятия по устранению выявленных нарушений, а также обстоятельств, способствующих их совершению.
6.5. Процедуры, направленные на выявление нарушений:
осуществление внутреннего контроля соответствия обработки ПДн законодательству Российской Федерации и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Службы в отношении обработки ПДн, локальным актам Службы;
иные процедуры, направленные на выявление нарушений.
6.6. Процедуры, направленные на предотвращение нарушений:
назначение лица, ответственного за организацию обработки персональных данных, который осуществляет в том числе обучение и инструктаж, внутренний контроль за соблюдением сотрудниками Службы требований к защите персональных данных;
ознакомление сотрудников Службы, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства о персональных данных и иными документами по вопросам обработки персональных данных;
определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Службы;
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Службы, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
разграничение прав доступа к персональным данным при их обработке в информационных системах персональных данных Службы.
6.7. Персональные данные не подлежат разглашению (распространению). Прекращение доступа к такой информации не освобождает сотрудника Службы от взятых им обязательств по неразглашению сведений ограниченного распространения.
6.8. При обработке в Службе персональных данных на бумажных носителях, в частности, при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться требования, установленные Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства РФ от 15.09.2008 № 687.
Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
6.9. Допускается передача материальных носителей персональных данных на хранение сторонней организации на основании договора, при этом существенным условием договора является обязанность обеспечения указанной организацией конфиденциальности персональных данных и безопасности персональных данных при их обработке (хранении).
6.10. Лица, виновные в нарушении требований настоящих Правил, несут ответственность в соответствии с действующим законодательством.
Приложение № 2
к Приказу
службы финансово-экономического
контроля и контроля в сфере закупок
Красноярского края
от 21 марта 2014 г. № 4нп
ПРАВИЛА
РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ
1. Правилами рассмотрения запросов субъектов персональных данных или их представителей в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края (далее - Правила) определяются порядок учета (регистрации), рассмотрения запросов субъектов персональных данных или их представителей (далее - запросы).
2. Настоящие Правила разработаны в соответствии Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ), Федеральным законом от 02.05.2006 № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", Федеральным законом от 27.07.2004 № 79-ФЗ "О государственной гражданской службе Российской Федерации", Трудовым кодексом Российской Федерации, Постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", Постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных (часть 7 статьи 14 Федерального закона № 152-ФЗ), в том числе содержащей:
подтверждение факта обработки персональных данных в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края (далее - Служба);
правовые основания и цели обработки персональных данных;
цели и применяемые в Службе способы обработки персональных данных;
наименование и место нахождения Службы, сведения о лицах (за исключением работников Службы), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора со Службой или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Службы, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.
4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе по основаниям, предусмотренным частью 8 статьи 14 Федерального закона № 152-ФЗ.
5. Субъект персональных данных вправе требовать от Службы уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6. Сведения, указанные в части 7 статьи 14 Федерального закона № 152-ФЗ, предоставляются Службой субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
7. Сведения, указанные в части 7 статьи 14 Федерального закона № 152-ФЗ, предоставляются субъекту персональных данных или его представителю Службой при обращении либо при получении запроса субъекта персональных данных или его представителя.
8. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях со Службой (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных в Службе, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
9. Все поступившие запросы регистрируются и проверяются на повторность их поступления в день их поступления.
В случае если сведения, указанные в части 7 статьи 14 Федерального закона 152-ФЗ, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Службу или направить повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона № 152-ФЗ, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Субъект персональных данных вправе обратиться повторно в Службу или направить повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона № 152-ФЗ, а также в целях ознакомления с обрабатываемыми персональными данными до истечения тридцатидневного срока, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 8 настоящих Правил, должен содержать обоснование направления повторного запроса.
Служба вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона № 152-ФЗ. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Службе.
10. Обязанности Службы при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных:
Служба обязана сообщить в порядке, предусмотренном статьей 14 Федерального закона № 152-ФЗ, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя;
в случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Служба обязана дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя;
Служба обязана предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Служба обязана внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Служба обязана уничтожить такие персональные данные. Служба обязана уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы;
Служба обязана сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
Приложение № 3
к Приказу
службы финансово-экономического
контроля и контроля в сфере закупок
Красноярского края
от 21 марта 2014 г. № 4нп
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края (далее - Правила) определяются процедуры с целью выявления и предотвращения нарушений законодательства Российской Федерации в сфере персональных данных.
1.2. Правила определяют основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
1.3. Правила разработаны в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", Постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами.
1.4. В Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
2. ПОРЯДОК ПРОВЕДЕНИЯ ПРОВЕРКИ
2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края (далее - Служба) организовывается проведение проверок условий обработки персональных данных.
Проверки проводятся на основании приказа руководителя Службы.
Проверки осуществляются комиссией, образуемой приказом руководителя Службы.
В проведении проверки не может участвовать должностное лицо, прямо или косвенно заинтересованное в ее результатах.
Проверки соответствия обработки персональных данных требованиям к защите персональных данных в Службе проводятся 1 раз в 2 года, установленным требованиям (плановые проверки) или на основании поступившего в Службу письменного заявления (обращения), служебной записки о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления (обращения), служебной записки о нарушениях правил обработки персональных данных.
2.2. При проведении проверки соответствия обработки персональных данных установленным требованиям должны полностью, объективно и всесторонне установлены:
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
порядок и условия применения средств защиты информации;
эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
осуществление мероприятий по обеспечению целостности персональных данных.
2.3. Члены комиссии имеют право:
запрашивать у сотрудников Службы информацию, необходимую для проведения проверки;
требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить руководителю Службы предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
вносить руководителю Службы предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
В отношении персональных данных, ставших известными в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
2.4. Проверка должна быть завершена не позднее чем через месяц со дня издания приказа о ее проведении. По результатам проведенной проверки составляется и подписывается комиссией заключение, в котором отражаются меры, необходимые для устранения выявленных нарушений. Подписанное заключение не позднее дня, следующего за днем завершения проверки, представляется руководителю Службы.
По результатам проверки руководитель Службы принимает необходимые меры, направленные на предотвращение нарушений, а при необходимости привлекает виновных лиц к установленной ответственности.
Приложение № 4
к Приказу
службы финансово-экономического
контроля и контроля в сфере закупок
Красноярского края
от 21 марта 2014 г. № 4нп
ПЕРЕЧЕНЬ
ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
№ п/п
Наименование информационных систем персональных данных (ИСПДн) (ее составные части)
Категория обрабатываемых персональных данных (ПДн)
Показатель объема обрабатываемых ПДн
Типовая/Специальная ИСПДн
Структура ИСПДн
Наличие подключения к сети Интернет
Режим обработки ПДн
Разграничение доступа пользователей
Нахождение ИСПДн (ее составных частей) в пределах Российской Федерации
Класс ИСПДн
1
"Бухгалтерия и кадры"
Категория 2
до 1000
специальные
Корпоративная распределенная ИСПДН, охватывающая многие подразделения одной организации
существует
многопользовательский
присутствует
Все технические средства находятся в пределах Российской Федерации
К3
2
"Работа с гражданами"
Категория 3
от 1000 до 100000
специальная
Корпоративная распределенная ИСПДН, охватывающая многие подразделения одной организации
существует
многопользовательский
присутствует
Все технические средства находятся в пределах Российской Федерации
К3
Приложение № 5
к Приказу
службы финансово-экономического
контроля и контроля в сфере закупок
Красноярского края
от 21 марта 2014 г. № 4нп
ПЕРЕЧЕНЬ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В СЛУЖБЕ
ФИНАНСОВО-ЭКОНОМИЧЕСКОГО КОНТРОЛЯ И КОНТРОЛЯ В СФЕРЕ
ЗАКУПОК КРАСНОЯРСКОГО КРАЯ В СВЯЗИ С РЕАЛИЗАЦИЕЙ СЛУЖЕБНЫХ
ИЛИ ТРУДОВЫХ ОТНОШЕНИЙ, А ТАКЖЕ В СВЯЗИ С ОСУЩЕСТВЛЕНИЕМ
ГОСУДАРСТВЕННЫХ ФУНКЦИЙ
1. Персональные данные, обрабатываемые в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края в связи с реализацией служебных или трудовых отношений:
фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества в случае их изменения);
число, месяц, год рождения;
место рождения;
информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
номер контактного телефона или сведения о других способах связи;
реквизиты страхового свидетельства государственного пенсионного страхования;
идентификационный номер налогоплательщика;
реквизиты страхового медицинского полиса обязательного медицинского страхования;
реквизиты свидетельства государственной регистрации актов гражданского состояния;
семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
сведения о трудовой деятельности;
сведения о воинском учете и реквизиты документов воинского учета;
сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
сведения о своих доходах, имуществе и обязательствах имущественного характера, а также указанные сведения в отношении своих супруги (супруга) и несовершеннолетних детей;
сведения о своих расходах, а также о расходах своих супруги (супруга) и несовершеннолетних детей по каждой сделке по приобретению земельного участка, другого объекта недвижимости, транспортного средства, ценных бумаг, акций (долей участия, паев в уставных (складочных) капиталах организаций);
результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований);
сведения об ученой степени;
информация о владении иностранными языками, степень владения;
фотография;
информация, содержащаяся в служебном контракте, дополнительных соглашениях к служебному контракту;
сведения о пребывании за границей;
информация о классном чине государственной гражданской службы Красноярского края (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);
информация об оформленных допусках к государственной тайне;
государственные награды, иные награды и знаки отличия;
сведения о профессиональной переподготовке и (или) повышении квалификации;
информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
номер расчетного счета;
номер банковской карты;
сведения о привлечении к уголовной ответственности;
серия, номер водительского удостоверения, наименование органа, выдавшего его, дата выдачи и иные сведения.
2. Персональные данные, обрабатываемые в службе финансово-экономического контроля и контроля в сфере закупок Красноярского края в связи с оказанием государственных функций:
фамилия, имя, отчество;
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
число, месяц, год рождения;
сведения о месте работы;
сведения о заработной плате;
сведения о лицах, находящихся на иждивении;
сведения о привлечении к административной ответственности;
идентификационный номер налогоплательщика;
основной государственный регистрационный номер индивидуального предпринимателя.
Приложение № 6
к Приказу
службы финансово-экономического
контроля и контроля в сфере закупок
Красноярского края
от 21 марта 2014 г. № 4нп
ПЕРЕЧЕНЬ
ДОЛЖНОСТЕЙ ГОСУДАРСТВЕННЫХ ГРАЖДАНСКИХ СЛУЖАЩИХ СЛУЖБЫ
ФИНАНСОВО-ЭКОНОМИЧЕСКОГО КОНТРОЛЯ И КОНТРОЛЯ В СФЕРЕ
ЗАКУПОК КРАСНОЯРСКОГО КРАЯ, ЗАМЕЩЕНИЕ КОТОРЫХ
ПРЕДУСМАТРИВАЕТ ОСУЩЕСТВЛЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ЛИБО ОСУЩЕСТВЛЕНИЕ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ
Список изменяющих документов
(в ред. Приказа службы финансово-экономического контроля
и контроля в сфере закупок Красноярского края
от 12.08.2015 № 4нп)
1. Руководитель службы.
2. Заместитель руководителя - начальник организационно-правового отдела.
3. Заместитель начальника организационно-правового отдела.
4. Консультант - юрист организационно-правового отдела.
5. Главный специалист - юрист организационно-правового отдела.
6. Главный специалист организационно-правового отдела.
7. Начальник отдела контроля в сфере закупок.
8. Консультант - юрист отдела контроля в сфере закупок.
9. Главный специалист - юрист отдела контроля в сфере закупок.
10. Начальник отдела контроля за ценообразованием.
11. Консультант отдела контроля за ценообразованием.
12. Главный специалист отдела контроля за ценообразованием.
13. Начальник отдела финансового контроля.
(п. 13 в ред. Приказа службы финансово-экономического контроля и контроля в сфере закупок Красноярского края от 12.08.2015 № 4нп)
14. Заместитель начальника отдела финансового контроля.
15. Консультант отдела финансового контроля.
16. Главный контролер-ревизор отдела финансового контроля.
17. Контролер-ревизор отдела финансового контроля.
18. Начальник отдела контроля за использованием межбюджетных трансфертов.
19. Заместитель начальника отдела контроля за использованием межбюджетных трансфертов.
20. Консультант отдела контроля за использованием межбюджетных трансфертов.
21. Главный контролер - ревизор отдела контроля за использованием межбюджетных трансфертов.
22. Контролер - ревизор отдела контроля за использованием межбюджетных трансфертов.
23. Главный бухгалтер.
(п. 23 введен Приказом службы финансово-экономического контроля и контроля в сфере закупок Красноярского края от 12.08.2015 № 4нп)
Приложение № 7
к Приказу
службы финансово-экономического
контроля и контроля в сфере закупок
Красноярского края
от 21 марта 2014 г. № 4нп
ИНСТРУКЦИЯ
ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В СЛУЖБЕ ФИНАНСОВО-ЭКОНОМИЧЕСКОГО КОНТРОЛЯ И КОНТРОЛЯ
В СФЕРЕ ЗАКУПОК КРАСНОЯРСКОГО КРАЯ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Инструкция ответственного за организацию обработки персональных данных (далее - Инструкция) является руководящим документом ответственного за организацию обработки персональных данных (далее - ПДн) в информационных системах персональных данных (далее - ИСПДн) "Бухгалтерия и кадры" и "Работа с гражданами" службы финансово-экономического контроля и контроля в сфере закупок Красноярского края (далее - Служба), а также без использования средств автоматизации, обеспечивающего безопасность информации в соответствии с требованиями нормативных документов Федеральной службы по техническому и экспертному контролю (ФСТЭК России), Федеральной службы безопасности Российской Федерации и организационно-распорядительной документацией, а также непрерывное функционирование всех элементов ИСПДн.
Требования ответственного за организацию обработки ПДн, связанные с выполнением им своих функций, обязательны для исполнения всеми пользователями ИСПДн, а также должностными лицами, осуществляющими обработку персональных данных.
1.2. Ответственный за организацию обработки ПДн назначается приказом руководителя Службы из числа служащих, профессиональные навыки и знание нормативной базы по защите информации которых позволяют выполнять возложенные на него обязанности.
2. ФУНКЦИИ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. В своей деятельности ответственный за организацию обработки ПДн руководствуется Инструкцией и другими документами, регламентирующими защиту ПДн в Службе.
2.2. Доводит до сотрудников Службы, имеющих доступ к персональным данным, положения и требования нормативных и правовых актов по организации обработки персональных данных, в том числе положения Федерального закона № 152-ФЗ от 27.07.2006 "О персональных данных", Постановление Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"; Постановление Правительства РФ от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
2.3. Обеспечивает выполнение сотрудниками принятых в Службе инструкций, приказов, положений и других документов по защите ПДн.
3. ПРАВА И ОБЯЗАННОСТИ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. На ответственного за организацию обработки ПДн возлагаются следующие обязанности:
3.1.1. принимать решение о прекращении обработки ПДн в ИСПДн при несанкционированном доступе (попытках) к ним или возникновении ситуаций, послуживших причиной возможной утраты ПДн;
3.1.2. информировать руководителя Службы обо всех попытках несанкционированного доступа к ПДн, нарушениях сотрудниками Службы соответствующих приказов и инструкций, о непроведении либо несвоевременном проведении пользователями разработанных мероприятий;
3.1.3. контролировать, а в случае необходимости корректировать работы по выбору, закупке и приемке нового программного обеспечения, средств защиты информации, технического оснащения;
3.1.4. следить за неизменностью условий функционирования и эксплуатации ИСПДн с последующим информированием руководителя Службы в случае изменений, руководствуясь Инструкцией и другими нормативными документами по защите ПДн в Службе;
3.1.5. доводить под личную подпись до сотрудников Службы и пользователей ИСПДн содержание соответствующих инструкций, приказов, положений и других документов по защите ПДн;
3.1.6. следить за своевременным проведением необходимых регламентных работ по обеспечению безопасности ПДн при их обработке в ИСПДн с целью поддержания системы защиты информации в актуальном состоянии;
3.1.7. следить за поддержанием применяемой в Службе системы защиты информации в актуальном состоянии (своевременная разработка, корректировка и переиздание документов, изучение и мониторинг нормативной базы по защите ПДн) и подготавливать предложения по ее совершенствованию;
3.1.8. принимать участие в осуществлении внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Службе;
3.1.9. вести журнал обучения и инструктажа пользователей, предусмотренный приложением № 1 к Инструкции.
3.2. Ответственный за организацию обработки ПДн несет ответственность за качество и своевременность выполнения задач и функций, возложенных на него в соответствии с законодательством о персональных данных, Инструкцией и другими нормативными документами по защите ПДн в Службе.
Ответственный за организацию обработки ПДн, получивший доступ к ПДн, обязан хранить в тайне сведения ограниченного распространения, полученные им во время работы или иным путем, и пресекать действия других лиц, которые могут привести к разглашению такой информации.
3.3. В случае оставления занимаемой должности ответственный за организацию обработки ПДн обязан вернуть руководителю Службы все документы и материалы, относящиеся к деятельности Службы.
Приложение № 1
к Инструкции
ответственного за организацию
обработки персональных данных
в информационных системах
персональных данных службы
финансово-экономического контроля
и контроля в сфере закупок
Красноярского края
Журнал обучения и инструктажа пользователей
Журнал начат "__" _______ 20__ г.
Журнал завершен "__" _____ 20__ г.
Должность: ____________________
Должность: _____________________
_____________________/
_______
______________________/
_______
ФИО
Подпись
ФИО
Подпись
Журнал на ___ листах.
№ п/п
Должность
ФИО
Дата
Зачтено
Подпись
1
2
3
4
5
6
Приложение № 8
к Приказу
службы финансово-экономического
контроля и контроля в сфере закупок
Красноярского края
от 21 марта 2014 г. № 4нп
Типовое обязательство государственного гражданского
служащего службы финансово-экономического контроля
и контроля в сфере закупок Красноярского края,
непосредственно осуществляющего обработку персональных
данных, в случае расторжения с ним служебного контракта
(контракта) или трудового договора прекратить обработку
персональных данных, ставших известными ему в связи
с исполнением должностных обязанностей
Я, ____________________________________________________________________
(фамилия, имя, отчество)
___________________________________________________________________________
___________________________________________________________________________
(должность)
___________________________________________________________________________
обязуюсь прекратить обработку персональных данных, ставших известными
мне в связи с исполнением должностных обязанностей, в случае расторжения со
мной служебного контракта, освобождения меня от замещаемой должности и
увольнения с гражданской службы.
В соответствии со статьей 7 Федерального закона от 27.07.2006 № 152-ФЗ
"О персональных данных" я уведомлен (а) о том, что персональные данные
являются конфиденциальной информацией и я обязан (а) не раскрывать третьим
лицам и не распространять персональные данные без согласия субъекта
персональных данных, ставших известными мне в связи с исполнением
должностных обязанностей, если иное не предусмотрено федеральным законом.
Я понимаю, что разглашение указанных сведений может нанести ущерб и
вред субъектам персональных данных.
Ответственность, предусмотренная законодательством Российской Федерации
в случае нарушения требований Федерального закона от 27.07.2006 № 152-ФЗ "О
персональных данных", мне разъяснена в полном объеме.
____________ /______________________________/ "__" ________________ 20__ г.
подпись расшифровка ФИО
Приложение № 9
к Приказу
службы финансово-экономического
контроля и контроля в сфере закупок
Красноярского края
от 21 марта 2014 г. № 4нп
Список изменяющих документов
(в ред. Приказа службы финансово-экономического контроля
и контроля в сфере закупок Красноярского края
от 27.06.2014 № 8нп)
Типовая форма согласия на обработку персональных данных
государственных гражданских служащих службы
финансово-экономического контроля и контроля в сфере
закупок Красноярского края, иных субъектов
персональных данных
Я, ___________________________________________________________________,
фамилия, имя, отчество
проживающий (ая) по адресу: _______________________________________________
___________________________________________________________________________
область, край, город, улица, дом, кв.
___________________________________________________________________________
паспорт (другой документ, удостоверяющий личность), N, когда и кем выдан
___________________________________________________________________________
выражаю свое согласие на обработку своих персональных данных в
соответствии со статьями 86 - 90 Трудового кодекса Российской Федерации,
Федеральным законом от 02.05.2006 № 59-ФЗ "О порядке рассмотрения обращений
граждан Российской Федерации", главой 7 Федерального закона от 27.07.2004
№ 79-ФЗ "О государственной гражданской службе Российской Федерации",
пунктом 1 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ "О
персональных данных" в службе финансово-экономического контроля и контроля
в сфере закупок Красноярского края.
Согласие дается Оператору (службе финансово-экономического контроля и
контроля в сфере закупок Красноярского края (далее - Служба), расположенной
по адресам: 660009, г. Красноярск, ул. Ленина, 125; 660009, г. Красноярск,
ул. Карла Маркса, 122) на обработку моих персональных данных, которые
установлены в Перечне персональных данных, обрабатываемых в службе
финансово-экономического контроля и контроля в сфере закупок Красноярского
края в связи с реализацией служебных или трудовых отношений, а также в
связи с осуществлением государственных функций (приложение № 5 к Приказу
Службы от 21.03.2014 № 4нп):
для целей обеспечения содействия в прохождении конкурсных процедур,
связанных с замещением вакантной должности государственной гражданской
службы либо включения в кадровый резерв на государственной гражданской
службе Красноярского края;
для целей обеспечения соблюдения Конституции Российской Федерации,
федеральных законов и иных нормативных правовых актов Российской Федерации,
содействия гражданскому служащему в прохождении государственной гражданской
службы Российской Федерации, в обучении и должностном росте, обеспечения
личной безопасности гражданского служащего и членов его семьи, а также в
целях обеспечения сохранности принадлежащего ему имущества и имущества
государственного органа, учета результатов исполнения им должностных
обязанностей.
Настоящее согласие представляется на осуществление любых правомерных
действий в отношении моих персональных данных, которые необходимы для
достижения указанных выше целей, включая сбор, систематизацию, накопление,
хранение, уточнение (обновление, изменение), использование, распространение
(в том числе передачу и трансграничную передачу), обезличивание,
блокирование, уничтожение персональных данных, а также осуществление любых
иных действий с моими персональными данными в соответствии с действующим
законодательством Российской Федерации.
В случае моего поступления (прохождения) на государственную
гражданскую службу Красноярского края настоящее согласие действует
бессрочно, в случае включения в кадровый резерв на государственной
гражданской службе Красноярского края настоящее согласие действует до
истечения пяти лет со дня включения в кадровый резерв на государственной
гражданской службе Красноярского края. В иных случаях настоящее согласие
действует в течение одного календарного года.
Мне известно, что по истечении срока действия согласия документы,
содержащие мои персональные данные, подлежат уничтожению.
Настоящим согласием я признаю и подтверждаю, что в случае
необходимости представления моих персональных данных для достижения
указанных выше целей третьим лицам (в том числе иным государственным
органам, государственным и муниципальным учреждениям здравоохранения,
Красноярскому краевому фонду обязательного медицинского страхования,
Пенсионному фонду Красноярского края, территориальным органам федеральной
налоговой службы, страховым медицинским организациям и т.д.), а также в
случае передачи функций и полномочий от Службы другим лицам Служба вправе
в необходимом объеме раскрывать для достижения указанных выше целей мои
персональные данные таким третьим лицам, а также представлять таким третьим
лицам документы, содержащие информацию о моих персональных данных.
Настоящим согласием я признаю и подтверждаю, что настоящее согласие
считается данным мною любым третьим лицам, указанным выше, и любые такие
третьи лица имеют право на обработку моих персональных данных на основании
настоящего согласия в целях и в объеме, указанных в настоящем согласии.
Я оставляю за собой право отозвать настоящее согласие посредством
составления соответствующего письменного документа, который может быть
направлен мной в адрес Службы по почте заказным письмом с уведомлением о
вручении либо вручен лично под расписку представителю Службы.
В случае поступления (прохождения) на государственную гражданскую
службу Красноярского края я выражаю также свое согласие на включение в
общедоступные источники персональных данных.
В случае включения меня в кадровый резерв на государственной
гражданской службе Красноярского края я выражаю также свое согласие на
включение в общедоступные источники персональных данных сведений об
образовании (когда и какие учебные заведения окончил (а), специальность и
квалификация по диплому), сведений о трудовой деятельности.
Я признаю, что общедоступные источники персональных данных могут
размещаться в информационно-телекоммуникационной сети Интернет, издаваться
в виде справочников, передаваться по электронной почте и по иным каналам
связи.
Мне известно, что в соответствии с Федеральным законом от 27.07.2006
№ 152-ФЗ "О персональных данных" мои персональные данные могут быть в любое
время исключены из общедоступных источников персональных данных по моему
требованию либо по решению суда или иных уполномоченных государственных
органов.
Мне известно, что обработка Службой моих персональных данных
осуществляется без использования средств автоматизации и в информационных
системах, с применением электронных и бумажных носителей информации.
________________ /_______________________________/ "__" ___________ 20__ г.
подпись расшифровка ФИО
Я даю свое согласие на обработку персональных данных, осуществляемую
без использования средств автоматизации (в случае несогласия на такую
обработку персональных данных необходимо сделать соответствующую отметку о
несогласии на обработку персональных данных, осуществляемую без
использования средств автоматизации).
________________ /_______________________________/ "__" ___________ 20__ г.
подпись расшифровка ФИО
Приложение № 10
к Приказу
службы финансово-экономического
контроля и контроля в сфере закупок
Красноярского края
от 21 марта 2014 г. № 4нп
Типовая форма разъяснения субъекту персональных данных
юридических последствий отказа представить свои
персональные данные
Мне разъяснены юридические последствия отказа предоставить свои персональные данные.
В соответствии со статьями 26, 42 Федерального закона от 27.07.2004 № 79-ФЗ "О государственной гражданской службе Российской Федерации", Положением о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденного Указом Президента Российской Федерации от 30.05.2005 № 609, определен перечень персональных данных, которые субъект персональных данных обязан представить службе финансово-экономического контроля и контроля в сфере закупок Красноярского края в связи с поступлением или прохождением государственной гражданской службы.
Согласно статьям 57, 65, 69 Трудового кодекса Российской Федерации субъект персональных данных, поступающий на работу или работающий, обязан представить определенный перечень информации о себе.
Без представления субъектом персональных данных, обязательных для заключения служебного контракта (трудового договора) сведений, служебный контракт (трудовой договор) не может быть заключен.
На основании пункта 11 части 1 статьи 33 Федерального закона от 27.07.2004 № 79-ФЗ "О государственной гражданской службе Российской Федерации" служебный контракт прекращается вследствие нарушения установленных обязательных правил его заключения, если это нарушение исключает возможность замещения должности гражданской службы.
________________ /________________________________/ "__" __________ 20__ г.
подпись расшифровка ФИО
Приложение № 11
к Приказу
службы финансово-экономического
контроля и контроля в сфере закупок
Красноярского края
от 21 марта 2014 г. № 4нп
ПОРЯДОК
ДОСТУПА ДОЛЖНОСТНЫХ ЛИЦ СЛУЖБЫ ФИНАНСОВО-ЭКОНОМИЧЕСКОГО
КОНТРОЛЯ И КОНТРОЛЯ В СФЕРЕ ЗАКУПОК КРАСНОЯРСКОГО КРАЯ
В ПОМЕЩЕНИЯ, В КОТОРЫХ ВЕДЕТСЯ ОБРАБОТКА
ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Настоящий Порядок доступа разработан в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", Постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами.
2. Персональные данные относятся к конфиденциальной информации. Должностные лица Службы, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
3. Обеспечение безопасности персональных данных от уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных достигается в том числе установлением правил доступа в помещения, где обрабатываются персональные данные.
4. Размещение информационных систем, в которых обрабатываются персональные данные, осуществляется в охраняемых помещениях. Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.
При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
5. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только сотрудники Службы, уполномоченные на обработку персональных данных приказом руководителя Службы.
6. Ответственным за организацию доступа в помещения Службы, в которых ведется обработка персональных данных, является ответственный за организацию обработки персональных данных Службы.
7. Нахождение лиц в помещениях Службы, не являющихся уполномоченными сотрудниками на обработку персональных данных, возможно только в сопровождении уполномоченного сотрудника Службы на время, ограниченное необходимостью решения вопросов, связанных с исполнением должностных обязанностей.
------------------------------------------------------------------