Приказ Минобрнауки Новосибирской области от 23.10.2015 N 3072 "Об организации обработки персональных данных в информационных системах персональных данных министерства образования, науки и инновационной политики Новосибирской области"
МИНИСТЕРСТВО ОБРАЗОВАНИЯ, НАУКИ И ИННОВАЦИОННОЙ
ПОЛИТИКИ НОВОСИБИРСКОЙ ОБЛАСТИ
ПРИКАЗ
от 23 октября 2015 г. № 3072
ОБ ОРГАНИЗАЦИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ
ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ
ДАННЫХ МИНИСТЕРСТВА ОБРАЗОВАНИЯ, НАУКИ И
ИННОВАЦИОННОЙ ПОЛИТИКИ НОВОСИБИРСКОЙ ОБЛАСТИ
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" приказываю:
1. Назначить Галушко Галину Александровну, главного эксперта организационно-правового управления министерства образования, науки и инновационной политики Новосибирской области (далее - министерство), ответственной за организацию обработки персональных данных в министерстве.
2. Утвердить прилагаемые:
1) должностную инструкцию ответственного за организацию обработки персональных данных в министерстве;
2) правила рассмотрения запросов субъектов персональных данных или их представителей;
3) правила осуществления внутреннего контроля соответствия обработки персональных данных в министерстве требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора.
3. Контроль за исполнением настоящего приказа оставляю за собой.
Министр
С.А.НЕЛЮБОВ
Утверждена
приказом
Минобрнауки
Новосибирской области
от 23.10.2015 № 3072
ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ
ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ
ДАННЫХ В МИНИСТЕРСТВЕ ОБРАЗОВАНИЯ, НАУКИ И ИННОВАЦИОННОЙ
ПОЛИТИКИ НОВОСИБИРСКОЙ ОБЛАСТИ (ДАЛЕЕ - ИНСТРУКЦИЯ)
1. Настоящая Инструкция разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", Федеральным законом от 02.05.2006 № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
2. Инструкция определяет права, обязанности и ответственность лица, назначенного ответственным за организацию обработки персональных данных в министерстве образования, науки и инновационной политики Новосибирской области (далее - министерство).
3. Ответственный за организацию обработки персональных данных в министерстве отвечает за осуществление внутреннего контроля за соблюдением законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, доведение до сведений работников структурных подразделений министерства положений законодательства Российской Федерации о персональных данных, правовых актов министерства по вопросам обработки персональных данных, требований к защите персональных данных, организации приема и обработки обращений и осуществлению контроля за приемом и обработкой таких обращений.
4. Ответственный за организацию обработки персональных данных в министерстве обязан:
1) определять порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
2) определять порядок и условия применения средств защиты информации;
3) анализировать эффективность применения мер по обеспечению безопасности персональных данных;
4) контролировать состояние учета машинных носителей персональных данных;
5) проверять соблюдение правил доступа к персональным данным;
6) контролировать проведение мероприятий по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
7) обеспечивать конфиденциальность персональных данных, ставших известными в ходе проведения мероприятий внутреннего контроля.
5. Ответственный за организацию обработки персональных данных в министерстве имеет право:
1) проводить проверки по контролю соответствия обработки персональных данных требованиям к защите персональных данных;
2) требовать от ответственных должностных лиц за обработку персональных данных уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
3) применять меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
4) вносить министру образования, науки и инновационной политики Новосибирской области предложения по:
совершенствованию правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
привлечению к дисциплинарной ответственности работников, виновных в нарушении законодательства Российской Федерации о персональных данных.
Утверждены
приказом
Минобрнауки
Новосибирской области
от 23.10.2015 № 3072
ПРАВИЛА
РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ
ДАННЫХ ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ (ДАЛЕЕ - ПРАВИЛА)
1. Настоящие Правила разработаны в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Федеральный закон), постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) способы обработки персональных данных, применяемые оператором;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании Федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.
3. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Федеральным законом меры по защите своих прав.
4. Сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
5. Сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать номер документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
6. В случае если обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
7. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 5 настоящих Правил, в случае если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 4 настоящих Правил, должен содержать обоснование направления повторного запроса.
8. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 5 и 6 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
Утверждены
приказом
Минобрнауки
Новосибирской области
от 23.10.2015 № 3072
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ОБРАЗОВАНИЯ, НАУКИ И
ИННОВАЦИОННОЙ ПОЛИТИКИ НОВОСИБИРСКОЙ ОБЛАСТИ ТРЕБОВАНИЯМ
К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ
ЗАКОНОМ ОТ 27.07.2006 № 152-ФЗ "О ПЕРСОНАЛЬНЫХ ДАННЫХ"
И ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ ПРАВОВЫМИ
АКТАМИ И ЛОКАЛЬНЫМИ АКТАМИ ОПЕРАТОРА (ДАЛЕЕ - ПРАВИЛА)
1. Настоящие Правила разработаны в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и в целях обеспечения осуществления внутреннего контроля соответствия обработки персональных данных в министерстве образования, науки и инновационной политики Новосибирской области (далее - министерство) установленным законодательством Российской Федерации требованиям к защите персональных данных и установления процедуры проведения периодических проверок условий обработки персональных данных в министерстве (далее - проверки).
2. Проверки проводятся:
ответственным за организацию обработки персональных данных в министерстве, определенным приказом министерства;
ответственным за осуществление функций по технической защите персональных данных в министерстве;
постоянно действующей экспертной комиссией, созданной приказом министерства от 24.04.2013 № 1135 "О проведении мероприятий по защите персональных данных" (далее - ответственные, комиссия).
3. В проведении проверки не может участвовать работник, прямо или косвенно заинтересованный в ее результатах.
4. Проверки проводятся ежегодно на основании плана осуществления внутреннего контроля соответствия обработки персональных данных в министерстве установленным требованиям к защите персональных данных, утвержденного приказом министерства, или на основании письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки), поступившего в министерство.
Проведение внеплановых проверок осуществляется в течение трех рабочих дней с момента поступления соответствующего заявления.
5. При осуществлении внутреннего контроля соответствия обработки персональных данных в министерстве требованиям к защите персональных данных ответственным или комиссией проверяются:
соблюдение порядка и условий применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
соблюдение порядка и условий применения средств защиты информации;
эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
состояние учета машинных носителей персональных данных;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
осуществление мероприятий по обеспечению целостности персональных данных.
6. Ответственные имеют право:
запрашивать у работников министерства необходимую информацию для реализации полномочий;
требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
применять меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации о персональных данных;
вносить министру образования, науки и инновационной политики Новосибирской области предложения о совершенствовании правового, технического и организационного обеспечения безопасности персональных данных при их обработке в министерстве;
вносить министру образования, науки и инновационной политики Новосибирской области предложения о привлечении к дисциплинарной ответственности работников министерства, виновных в нарушении законодательства Российской Федерации о персональных данных.
7. При проведении проверок обеспечивается конфиденциальность персональных данных.
8. Срок окончания проверки - не позднее чем через десять дней со дня принятия решения о ее проведении.
9. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, ответственные либо председатель комиссии докладывают министру образования, науки и инновационной политики Новосибирской области в форме письменного заключения.
------------------------------------------------------------------