Правила обработки персональных данных в управлении записи актов гражданского состояния (ЗАГС)

Приложение № 1
УТВЕРЖДЕНЫ
приказом начальника
управления ЗАГС
Кировской области
от 06.06.2013 № 57
Правила обработки персональных данных
в управлении записи актов гражданского состояния (ЗАГС)
Кировской области
1.
Общие положения
1.1.
Настоящие Правила обработки персональных данных в управлении
записи актов гражданского состояния (ЗАГС) Кировской области (далее –
Правила) разработаны на основании и во исполнение:

Федерального закона Российской Федерации от 27 июля 2006 года
№ 152-ФЗ «О персональных данных»;

Федерального закона Российской Федерации от 15 ноября 1997 года № 143-ФЗ
«Об актах гражданского состояния»;

Федерального закона Российской Федерации от 31 июля 1998 года № 146-ФЗ
«Налоговый кодекс российской федерации часть первая»;

Федерального закона Российской Федерации от 30 декабря 2001 года № 197ФЗ «Трудовой кодекс Российской Федерации»;

Постановления
Правительства
Российской
Федерации
от
21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на
обеспечение выполнения обязанностей, предусмотренных Федеральным законом
«О персональных данных» и принятыми в соответствии с ним нормативными
правовыми актами, операторами, являющимися государственными или
муниципальными органами»;

Постановления
Правительства
Российской
Федерации
от
15 сентября 2008 года № 687 «Об утверждении Положения об особенностях
обработки персональных данных, осуществляемой без использования средств
автоматизации» и определяют политику управления записи актов гражданского
состояния (ЗАГС) Кировской области (далее – Управление) в отношении
обработки персональных данных.

Постановления
Правительства
Российской
Федерации
от
1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных
данных при их обработке в информационных системах персональных данных»:

Нормативных и методических документов по технической защите
информации Гостехкомиссии России, ФСТЭК России и ФСБ России.
1.2.
Настоящие Правила утверждаются и вводятся в действие приказом
начальника Управления и являются обязательными для исполнения всеми
сотрудниками Управления.
2
1.3.
Настоящие Правила разработаны с целью определения порядка
обработки и защиты персональных данных государственных гражданских
служащих и иных работников Управления, а так же субъектов персональных
данных, персональные данные которых подлежат обработке, на основании
полномочий оператора, от несанкционированного доступа и иных внешних
воздействий; обеспечение защиты прав и свобод человека и гражданина.
1.4.
Правила устанавливают процедуры, направленные на выявление и
предотвращение нарушений законодательства Российской Федерации в сфере
персональных данных, определяется цели и порядок получения, обработки,
хранения, передачи и любого другого использования персональных данных
граждан, в отношении которых Управлением регистрируются акты гражданского
состояния, государственных гражданских служащих и иных работников
Управления, кандидатов на службу (работу) и лиц, уволенных со службы (работы)
(далее - субъекты персональных данных) иных лиц, а также формирования,
ведения и хранения личных дел и иных материалов, содержащих персональные
данные, порядок уничтожения при достижении целей обработки или при
наступлении иных законных оснований, ответственность должностных лиц,
имеющих доступ к персональным данным, за невыполнение требований норм,
регулирующих обработку и защиту персональных данных.
2. Термины и сокращения
2.1. Персональные данные – любая информация, относящаяся кпрямо или
косвенно определённому или определяемому физическому лицу (субъекту
персональных данных).
2.2. Оператор – государственный орган, муниципальный орган,
юридическое или физическое лицо, организующие и (или) осуществляющие
обработку персональных данных, а также определяющие цели и содержание
обработки персональных данных.
2.3. Обработка персональных данных – действия (операции) с
персональными данными, совершаемых с использованием средств автоматизации
или без использования таких средств, включая сбор, систематизацию, накопление,
хранение, уточнение (обновление, изменение), использование, распространение (в
том числе передачу), обезличивание, блокирование, уничтожение персональных
данных.
2.4. Аавтоматизированная обработка персональных данных - обработка
персональных данных с помощью средств вычислительной техники.
2.5. Предоставление персональных данных - действия, направленные на
раскрытие персональных данных определённому лицу или определённому кругу
лиц.
2.6. Распространение персональных данных - действия, направленные на
раскрытие персональных данных неопределённому кругу лиц.
2.7. Использование персональных данных – действия (операции) с
персональными данными, совершаемые оператором в целях принятия решений
или совершения иных действий, порождающих юридические последствия в
3
отношении лица, которому принадлежат персональные данные, либо иным
образом затрагивающих его права и свободы.
2.8. Блокирование персональных данных – временное прекращение сбора,
систематизации, накопления, использования, распространения персональных
данных, в том числе их передачи.
2.9. Уничтожение персональных данных – действия, в результате которых
невозможно восстановить содержание персональных данных в информационной
системе персональных данных или в результате которых уничтожаются
материальные носители персональных данных.
2.10. Обезличивание персональных данных – действия, в результате
которых невозможно определить принадлежность персональных данных
конкретному субъекту персональных данных.
2.11. Информационная система персональных данных – информационная
система,
представляющая
собой
совокупность
персональных
данныхсодержащихся в базе данных, а также информационных технологий и
технических средств, позволяющих осуществлять обработку таких персональных
данных с использованием средств автоматизации или без использования таких
средств.
2.12. Конфиденциальность персональных данных – обязательное для
соблюдения Управлением или иным получившим доступ к персональных данных
лицом требование не допускать их распространение без согласия субъекта
персональных данных или наличия иного законного основания.
2.13. Общедоступные персональные данные – персональные данные, доступ
неограниченного круга лиц к которым предоставлен с согласия субъекта
персональных данных или на которые в соответствии с федеральными законами
не распространяется требование соблюдения конфиденциальности.
2.14. Пользователь – сотрудник Управления, использующий ресурсы
информационной системы персональных данных для выполнения должностных
обязанностей.
2.15. Учетная запись – информация о сетевом пользователе: имя
пользователя, его пароль, права доступа к ресурсам и привилегии при работе в
системе, также может содержать дополнительную информацию (адрес
электронной почты, телефон и т.п.).
2.16. Пароль – секретная строка символов (букв, цифр, специальных
символов), предъявляемая пользователем компьютерной системы для получения
доступа к данным и программам; является средством защиты данных от
несанкционированного доступа.
2.17. Доступ к информации – возможность получения информации и ее
использования.
2.18. Обладатель информации – лицо, самостоятельно создавшее
информацию либо получившее на основании закона или договора право
разрешать или ограничивать доступ к информации, определяемой по каким-либо
признакам.
4
2.19. К юридическим последствиям относятся случаи возникновения,
изменения или прекращения личных либо имущественных прав граждан или
иным образом затрагивающее его права, свободы и законные интересы.
Иные понятия в настоящих Правилах используются в значениях,
определенных действующим законодательством Российской Федерации либо их
значение дается по тексту.
3. Принципы обработки персональных данных
Обработка персональных данных должна осуществляться на основе
следующих принципов:
3.1. Обработка персональных данных должна осуществляться на законной
и справедливой основе.
3.2. Обработка
персональных
данных
должна
ограничиваться
достижением конкретных, заранее определенных и законных целей.
3.3. Не допускается обработка персональных данных, несовместимая с
целями сбора персональных данных.
3.4. Не допускается объединение баз данных, содержащих персональные
данные, обработка которых осуществляется в целях, несовместимых между
собой.
3.5. Обработке подлежат только персональные данные, которые отвечают
целям их обработки.
3.6. Содержание и объем обрабатываемых персональных данных должны
соответствовать заявленным целям обработки.
3.7. Обрабатываемые персональные данные не должны быть
избыточными по отношению к заявленным целям их обработки.
3.8. При обработке персональных данных должны быть обеспечены
точность персональных данных, их достаточность, а в необходимых случаях и
актуальность по отношению к целям обработки персональных данных.
3.9. Оператор должен принимать необходимые меры либо обеспечивать
их принятие по удалению или уточнению неполных или неточных данных.
3.10. Хранение персональных данных должно осуществляться в форме,
позволяющей определить субъекта персональных данных, не дольше, чем этого
требуют цели обработки персональных данных, если срок хранения персональных
данных не установлен федеральным законом, договором, стороной которого,
выгодоприобретателем или поручителем по которому является субъект
персональных данных.
3.11. Обрабатываемые персональные данные подлежат уничтожению либо
обезличиванию по достижении целей обработки или в случае утраты
необходимости в достижении этих целей, если иное не предусмотрено
федеральным законом.
3.12. Обеспечение защиты прав и свобод человека и гражданина при
обработке его персональных данных, в том числе защиты прав на
неприкосновенность частной жизни, личную и семейную тайну.
5
3.13. Обязанность лица, осуществляющего обработку персональных
данных по поручению оператора, соблюдения принципов и правил обработки
персональных данных.
3.14. Соблюдения принципов и правил обработки персональных данных
при поручении такой обработки другому лицу.
3.15. Соблюдение конфиденциальности персональных данных.
3.16. Обработки персональных данных с письменного согласия субъектов
персональных данных либо на ином законом основании.
3.17. Соблюдением обязанностей, возлагаемых на оператора персональных
данных, действующим законодательством и иными нормативными актами по
обработке персональных данных.
3.18. Принятии мер, необходимых и достаточных для обеспечения
выполнения обязанностей, предусмотренных законодательством в области
персональных данных.
3.19. Принятии необходимых правовых, организационных и технических
мер или обеспечении их принятия для защиты персональных данных от
неправомерного или случайного доступа к ним, уничтожения, изменения,
блокирования, копирования, предоставления, распространения персональных
данных, а также от иных неправомерных действий в отношении персональных
данных.
3.20. Недопустимости использования оскорбляющих чувства граждан или
унижающих человеческое достоинство способов обозначения принадлежности
персональных данных, содержащихся в государственных или муниципальных
информационных системах персональных данных, конкретному субъекту
персональных данных.
Нарушение указанных принципов обработки персональных данных
категорически запрещается.
4. Цели обработки персональных данных
Управление, являясь оператором персональных данных, должно определять
цели обработки персональных данных в своих информационных системах
персональных данных.
4.1. Цели обработки персональных данных в информационных системах
персональных данных должны быть четко определены и соответствовать:

заявленным в Положении Управления основным полномочиям и правам
Управления;

перечням задач или функций структурных подразделений (должностных лиц)
Управления, указанным в положениях о таких структурных подразделениях
(должностных обязанностях).
4.2. Цели обработки персональных данных определяют:

содержание и объем обрабатываемых персональных данных,

категории субъектов, персональные данные которых обрабатываются,

сроки их обработки и хранения,

порядок уничтожения при достижении целей обработки или при наступлении
6
иных законных оснований.
4.3.В Управлении обработка персональных данных осуществляется в целях:
4.3.1. Обеспечения соблюдения Конституции Российской Федерации,
федеральных законов и иных нормативных правовых актов Российской
Федерации, содействия работникам Управления в реализации своих трудовых
обязанностей, в обучении и должностном росте, обеспечения личной
безопасности и членов его семьи, а также в целях обеспечения сохранности
принадлежащего ему имущества и имущества Управления, учета результатов
исполнения им должностных обязанностей;
4.3.2. Предоставления и обеспечения предоставления государственной
услуги в соответствии с Федеральным законом от 15ноября1997 года№ 143-ФЗ
«Об актах гражданского состояния», для обеспечения предоставления такой
услуги;
4.3.3.В статистических целях.
4.4. Цели обработки персональных данных должны быть:

конкретны;

заранее определены;

законны;

заявлены.
5. Способы и правила обработки персональных
5.1. Правила обработки персональных данных без использования
средств автоматизации
5.1.1. Персональные данные при их обработке, осуществляемой без
использования средств автоматизации, должны обособляться от иной информации,
в частности, путем фиксации их на отдельных материальных носителях, в
специальных разделах или на полях форм (бланков).
5.1.2. Для обработки различных категорий персональных данных,
осуществляемой без использования средств автоматизации, для каждой категории
персональных данных должен использоваться отдельный материальный носитель.
5.1.3. При фиксации персональных данных на материальных носителях не
допускается фиксация на одном материальном носителе персональных данных, цели
обработки которых, заведомо несовместимы.
5.1.4. При несовместимости целей обработки персональных данных,
зафиксированных на одном материальном носителе, если материальный носитель не
позволяет осуществлять обработку персональных данных отдельно от других
зафиксированных на том же носителе персональных данных, должны быть приняты
меры по обеспечению раздельной обработки персональных данных, в частности, при
необходимости использования или распространения определенных персональных
данных отдельно от находящихся на том же материальном носителе других
персональных данных, осуществляется копирование персональных данных,
подлежащих распространению или использованию, способом, исключающим
одновременное
копирование
персональных
данных,
не
подлежащих
распространению и использованию, и используется (распространяется) копия
7
персональных данных.
5.1.5. При использовании типовых форм документов, характер информации в
которых предполагает или допускает включение в них персональных данных,
должны соблюдаться следующие условия:
5.1.5.1.
Типовая форма или связанные с ней документы (инструкция по ее
заполнению, карточки, реестры и журналы) должны содержать:

сведения о цели обработки персональных данных, осуществляемой без
использования средств автоматизации,

имя (наименование) и адрес оператора,

фамилию, имя, отчество и адрес субъекта персональных данных,

источник получения персональных данных,

сроки обработки персональных данных,

перечень действий с персональными данными, которые будут совершаться в
процессе их обработки,

общее описание используемых оператором способов обработки
персональных данных;
5.1.5.2.
Типовая форма должна предусматривать поле, в котором субъект
персональных данных может поставить отметку о своем согласии на обработку
персональных данных, осуществляемую без использования средств автоматизации, –
при необходимости получения письменного согласия на обработку персональных
данных;
5.1.5.3.
Типовая форма должна быть составлена таким образом, чтобы
каждый из субъектов персональных данных, содержащихся в документе, имел
возможность ознакомиться со своими персональными данными, содержащимися в
документе, не нарушая прав и законных интересов иных субъектов персональных
данных;
5.1.5.4.
Типовая форма должна исключать объединение полей,
предназначенных для внесения персональных данных, цели обработки которых,
заведомо не совместимы.
5.1.6. Уточнение персональных данных при осуществлении их обработки без
использования средств автоматизации производится путем обновления или
изменения данных на материальном носителе, а если это не допускается
техническими особенностями материального носителя, – путем фиксации на том же
материальном носителе сведений о вносимых в них изменениях, либо путем
изготовления нового материального носителя с уточненными персональными
данными.
5.2.Правила обработки персональных данных средствами
автоматизации
5.2.1.Обработка ПДн средствами автоматизации в Отделе допускается в
следующих случаях:
- обработка ПДн осуществляется с согласия субъекта персональных данных на
обработку его персональных данных;
8
- обработка ПДн необходима для достижения целей, предусмотренных законом,
для осуществления и выполнения возложенных законодательством Российской
Федерации на Управление функций, полномочий и обязанностей;
- обработка ПДн необходима для исполнения договора, стороной которого
является субъект персональных данных;
- обработка ПДн осуществляется в статистических или иных исследовательских
целях, при условии обязательного обезличивания ПДн;
- осуществляется обработка ПДн, доступ неограниченного круга лиц к которым
предоставлен субъектом персональных данных, либо по его просьбе
(персональные данные, сделанные общедоступными субъектом персональных
данных);
- осуществляется обработка ПДн, подлежащих опубликованию или
обязательному раскрытию в соответствии с Федеральным законом.
5.2.2. Обработка ПДн средствами автоматизации должна осуществляться на
основании правил, инструкций, руководств, регламентов и иных документов,
определяющих технологический процесс обработки информации, содержащих такие
данные, определенных для выполнения конкретных операций с заранее
определенными целями, с учетом требований настоящих Правил.
5.3.Правила смешанной обработки персональных данных
При смешанной обработке персональных данных необходимо выполнять
правила объединяющие правила обработки персональных данных при их
обработке каждым из используемых при смешанной обработке персональных
данных способов.
6. Особые правила обработки персональных данных в зависимости
от категории обрабатываемых персональных данных
В Управлении устанавливаются следующие особые правила обработки
персональных данных в зависимости от категории обрабатываемых персональных
данных:
 обработка специальных категорий персональных данных;
 обработка биометрических персональных данных;
 обработка общедоступных персональных данных.
6.1. Правила обработки специальных категорий персональных данных
6.1.1. К специальным категориям персональных данных относятся сведения,
касающиеся:
 расовой принадлежности;
 национальной принадлежности;
 политических взглядов;
 религиозных убеждений;
 философских убеждений;
 состоянии здоровья;
 интимной жизни;
9
 судимости.
6.1.2. В Управлении категорически запрещается обработка специальных
категорий персональных данных касающихся:
 расовой принадлежности;
 политических взглядов;
 религиозных убеждений;
 философских убеждений;
 интимной жизни.
6.1.3. В Управлении разрешается обработка сведений обработка
специальных категорий персональных данных, касающиеся состоянии здоровья и
судимости в минимально необходимом объеме при обязательном соблюдении
любого из следующих условий:
6.1.3.1.
Субъект персональных данных дал согласие в письменной
форме на обработку своих персональных данных;
6.1.3.2.
Обработка
персональных
данных
осуществляется
в
соответствии с законодательством о государственной социальной помощи,
трудовым законодательством, законодательством Российской Федерации о
пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
6.1.3.3.
Обработка персональных данных необходима для защиты
жизни, здоровья или иных жизненно важных интересов субъекта персональных
данных либо жизни, здоровья или иных жизненно важных интересов других лиц и
получение согласия субъекта персональных данных невозможно;
6.1.3.4.
Обработка персональных данных необходима для установления
или осуществления прав субъекта персональных данных или третьих лиц, а равно
и в связи с осуществлением правосудия;
6.1.3.5.
Обработка
персональных
данных
осуществляется
в
соответствии с законодательством Российской Федерации о безопасности, о
противодействии терроризму, о противодействии коррупции, об оперативнорозыскной деятельности, об исполнительном производстве, уголовноисполнительным законодательством Российской Федерации;
6.1.3.6.
Обработка
персональных
данных
осуществляется
в
соответствии с законодательством об обязательных видах страхования, со
страховым законодательством;
6.1.4. Обработка персональных данных о судимости осуществляется в
пределах полномочий, предоставленных Управлению в соответствии с
законодательством Российской Федерации.
6.1.5. Обработка специальных категорий персональных данных в остальных
случаях в Управлении не допускается.
6.1.6. Обработка специальных категорий персональных данных, должна быть
незамедлительно прекращена, если устранены причины, вследствие которых
осуществлялась обработка, если иное не установлено федеральным законом.
6.2. Правила обработки биометрических персональных данных
6.2.1.К биометрическим персональным данным относятся (обязательно
выполнение всех трех условий одновременно):
10
 сведения, которые характеризуют физиологические и биологические
особенности человека,
 на основании которых можно установить его личность,
 и которые используются Управлением для установления личности субъекта
персональных данных.
6.2.2. Обработка биометрических персональных данных в Управлении
осуществляется исключительно без использования средств автоматизации.
6.2.3. В случае принятия решения об обработке биометрических персональных
данных, такие данные могут обрабатываться только при наличии согласия в
письменной форме субъекта персональных данных.
6.3. Правила обработки общедоступных персональных данных
6.3.1. Общедоступные персональные данные, полученные из сторонних
общедоступных источников персональных данных, в Управлении обрабатываются
в исключительных случаях в сроки, не превышающие необходимых для их
использования. При этом совместно с такими данными должны собираться
реквизиты их источника и подтверждение согласия субъекта персональных
данных на включение такой информации в общедоступные источники
персональных данных, так как в случае обработки общедоступных персональных
данных обязанность доказывания того, что обрабатываемые персональные данные
являются общедоступными, возлагается на Управление. По достижении целей
обработки общедоступных персональных данных они подлежат немедленному
уничтожению.
6.3.2. С целью информационного обеспечения и осуществления
взаимодействия как внутри Управления, так и со сторонними физическими и
юридическими лицами в Управлении могут создаваться общедоступные
источники персональных данных. Создание общедоступного источника
персональных данных осуществляется по решению руководителя Управления. В
решении о создании общедоступного источника персональных данных должны
быть указаны:

цель создания общедоступного источника персональных данных;

ссылка на нормативный акт, устанавливающий необходимость
создания общедоступного источника персональных данных (при наличии);

перечень персональных данных, которые вносятся в общедоступный
источник персональных данных;

порядок включения персональных данных в общедоступный источник
персональных данных;

порядок уведомления пользователей общедоступного источника
персональных данных об исключении из него персональных данных либо
внесении в него изменений;

порядок получения письменного согласия субъекта персональных
данных на включение персональных данных в общедоступный источник
персональных данных;

ссылка на нормативный акт, устанавливающий порядок исключения
персональных данных из общедоступного источника персональных данных.
11
6.3.3. В общедоступный источник персональных данных могут включаться:
должность, фамилия, имя, отчество, абонентский номер рабочего телефона, место
получения образования, достигнутые результаты и другая информация.
6.3.4. Включение в общедоступные источники персональных данных
персональных данных субъекта персональных данных допускается только на
основании его письменного согласия.
6.3.5. Исключение персональных данных из указанного общедоступного
источника осуществляется при утрате необходимости в обработке таких данных,
либо на основании заявления субъекта персональных данных.
Правила обработки персональных данных при трансграничной передаче
персональных данных
6.4. Трансграничной передачей персональных данных
6.4.1. Трансграничной передачей персональных данных называется
передача персональных данных на территорию иностранного государства органу
власти иностранного государства, иностранному физическому лицу или
иностранному юридическому лицу.
6.4.2. Трансграничная передача персональных данных управлением
осуществляется в соответствии с Конвенцией от 22 января 1993 года«О
правовойпомощииправовыхотношенияхпогражданским,
семейнымиуголовнымделам».
7. Состав персональных данных
7.1. В Управлении происходит обработка, передача, накопление и хранение
информации, часть из которой является информацией с ограниченным доступом –
конфиденциальной информацией и в соответствии с действующим
законодательством РФ подлежит защите.
7.2. В связи с реализацией трудовых отношенийв Управлении происходит
обработка:
1) анкетные и биографические данные;
2) занимаемая должность;
3) адрес места жительства;
4) домашний, сотовый телефоны;
5) сведения об образовании, присвоении ученой степени, ученого звания
(если таковые имеются);
6) сведения о повышении квалификации, переподготовке и стажировке;
7) сведения о стаже и профессиональной мобильности;
8) паспортные данные;
9) сведения о воинском учете;
10) сведения о заработной плате (ведомости начисления заработной платы,
табель учета рабочего времени, штатное расписание);
11) сведения о социальных льготах;
12) сведения о судимости и дисквалификации;
13) сведения о составе семьи;
14) место работы или учебы членов семьи и родственников;
12
15) содержание служебного контракта, трудового договора, гражданскоправового договора;
16) сведения о доходах, имуществе и обязательствах имущественного
характера государственного гражданского служащего, его супруги (супруга) и
несовершеннолетних детей;
17) сведения о прохождении и результатах аттестации, присвоении
классных чинов;
18) материалы служебных проверок, расследований;
19) сведения о периодах нетрудоспособности, справки о состоянии
здоровья;
20) сведения о награждении и поощрении;
21) сведения из записей актов гражданского состояния;
22) сведения о соблюдении государственным гражданским служащим
Управления ограничений, установленных федеральными законами;
23) идентификационный номер налогоплательщика (ИНН);
24) страховой номер индивидуального лицевого счета (СНИЛС).
7.3. В Управлении обрабатываются персональные данные в связи с
оказанием государственных услуг:
1) фамилия, имя, отчество (заявителя, родившегося, родителей, умершего,
до заключения брака, после заключения брака, до расторжения брака, после
расторжения брака, до установления отцовства, после установления отцовства,
усыновителя, до перемены имени, после перемены имени);
2) адрес места жительства;
3) домашний, сотовый телефоны;
4) паспортные данные;
5) пол
6) дата(рождения, прекращения брака, смерти)
7) возраст
8) место (рождения, смерти)
9) гражданство
10)национальность
11) образование
12)семейное положение
13)реквизиты свидетельства актов гражданского состояния
14) документы, предоставляемые длягосударственной регистрацииактов
гражданского состояния и совершение иных юридически значимый действий
органами ЗАГС.
7.4. К документам, содержащим информацию персонального характера,
относятся:
1) документы, удостоверяющие личность или содержащие информацию
персонального характера;
2) учетные документы по личному составу, а также вспомогательные
регистрационно-учетные формы, содержащие сведения персонального характера;
3) служебные контракты, трудовые договоры гражданско-правовые
договоры, дополнительные соглашения к служебным контрактам и трудовым
13
договорам, гражданско-правовым договорам, должностные регламенты и
должностные инструкции, договоры о материальной ответственности с
работниками; соглашения на предоставление субсидии;
4) распорядительные документы по личному составу (подлинники и копии);
5) документы по оценке деловых и профессиональных качеств работников
при приеме на работу;
6) документы, отражающие деятельность конкурсных и аттестационных
комиссий;
7) документы о результатах служебных расследований;
8) подлинники и копии отчетных, аналитических и справочных материалов,
передаваемых начальнику Управления, заместителюначальника Управления,
руководителям структурных подразделений Управления;
9) копии отчетов, направляемых в государственные органы статистики,
налоговые инспекции, вышестоящие органы управления и другие учреждения;
10) документы бухгалтерского учета, содержащие информацию о расчетах с
персоналом;
11) медицинские документы, справки;
12) заявления о государственной регистрации актов гражданского
состояния, книги записи актов гражданского состояния.
Категории субъектов, персональные данные которых обрабатываются
в Управлении
К категориям субъектов, персональные данные которых обрабатываются в
Управлении, относятся:
1) государственные гражданские служащие Кировской областиУправления;
2) работники, замещающие в Управлении должности, не являющиеся
должностями государственной гражданской службы Кировской области;
3) младший обслуживающий персонал Управления;
4) кандидаты на замещение вакантных должностей и на включение в
кадровый резерв Управления;
5) граждане, обратившиеся к оператору за предоставлением государственных
услуг.
8.









9. Действия (операции) с персональными данными
Обработка персональных данных включает в себя:
сбор персональных данных,
запись персональных данных,
систематизацию персональных данных,
накопление персональных данных,
хранение персональных данных,
уточнение (обновление) персональных данных,
уточнение (изменение) персональных данных,
извлечение персональных данных,
использование персональных данных,
14







передачу (распространение) персональных данных,
передачу (предоставление) персональных данных,
передачу (доступ) персональных данных,
обезличивание персональных данных,
блокирование персональных данных,
удаление персональных данных,
уничтожение персональных данных.
9.1. Указанные действия (операции) с персональными данными в
информационных системах персональных данных должны быть определены и
документально оформлены в соответствии сПравилами обработки персональных
данных в информационных системах персональных данных. При документальном
оформлении действий (операций) с персональными данными рекомендуется
использовать только указанные термины.
9.2. Обработка персональных данных без определенных и документально
оформленных действий (операций) совершаемых с персональными данными не
допускается.
9.3. Правила получения и обработки персональных данныхсубъектов
персональных данных Управления
9.3.1. Все персональные данные субъекта персональных данных получаются
у него самого. Если персональные данные субъекта персональных
данныхвозможно получить только у третьей стороны, то субъект персональных
данных уведомляется об этом заранее и от него получается письменное согласие
на это (форма – Приложение № 4). Управление сообщает субъекту персональных
данных о целях, предполагаемых источниках и способах получения персональных
данных, а также о характере подлежащих получению персональных данных и
последствиях отказа субъекта персональных данных дать письменное согласие на
их получение(форма – Приложение № 1).
9.3.2. Правила получения и обработки персональных данных, необходимых
для выполнения государственных полномочий, возложенных на Управление,
устанавливаются Федеральными законами Российской Федерации: от 15 ноября
1997 года № 143-ФЗ «Об актах гражданского состояния», от 31 июля 1998 года №
146-ФЗ «Налоговый кодекс российской федерации часть первая», т 27 июля 2006
г. № 152-ФЗ «О персональных данных», от 29 ноября 2007 года № 282-ФЗ «Об
официальном статистическом учетеи системе государственной статистики в
Российской Федерации», постановлениями Правительства Российской Федерации
от 17 апреля 1999 г. № 432 «Об утверждении правил заполнения бланков записей
актов гражданского состояния и бланков свидетельств о государственной
регистрации актов гражданского состояния», от 1 ноября 2012 г. N 1119
"Об утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных", Положением об Управлении и
другими нормативно-правовыми актами Российской Федерации и Кировской
области.
15
9.4. Организация работы с персональными данными.
9.4.1. Обработка персональных данных осуществляется Управлением
только с согласия лица, которому принадлежат персональные данные, за
исключением следующих случаев:
 обработка персональных данных осуществляется на основании
федерального закона, устанавливающего её цель, условия получения
персональных данных и круг субъектов, персональные данные которых подлежат
обработке, а также определяющего полномочия оператора;
 обработка персональных данных осуществляется в целях исполнения
трудового договора, служебного контракта;
 обработка персональных данных осуществляется для статистических или
иных научных целей при условии обязательного обезличивания персональных
данных;
 обработка персональных данных необходима для защиты жизни, здоровья
или иных жизненно важных интересов работника, если получение его согласия
невозможно;
 обработка персональных данных необходима для доставки почтовых
отправлений организациями почтовой связи.
9.4.2. Согласие субъекта персональных данных на обработку своих
персональных данных
9.4.2.1. Обработка персональных данных осуществляется только с
согласия в письменной форме субъекта персональных данных. Согласие на
обработку персональных данных может быть в любой момент отозвано субъектом
персональных данных.
9.4.2.2.
Письменное согласие субъекта персональных данных на
обработку своих персональных данных должно включать в себя:
 фамилию, имя, отчество, адрес субъекта персональных данных, номер
основного документа, удостоверяющего его личность, сведения о дате выдачи
указанного документа и выдавшем его органе;
 наименование (фамилию, имя, отчество) и адрес оператора, получающего
согласие работника;
 цель обработки персональных данных;
 перечень персональных данных, на обработку которых даётся согласие
субъекта персональных данных;
 перечень действий с персональными данными, на совершение которых
даётся согласие, общее описание используемых оператором способов обработки
персональных данных;
 срок, в течение которого действует согласие, а также порядок его отзыва.
9.4.3. Порядок обработки персональных данных работников Управления.
9.4.3.1. Под персональными данными работников Управления понимаются
сведения о фактах, событиях и обстоятельствах жизни работника Управления,
позволяющие идентифицировать его личность и содержащиеся в личном деле
работника Управления, либо подлежащие включению в его личное дело в
соответствии с законодательством Российской Федерации.
16
9.4.3.2. Должностное лицо, ответственное за ведение личных дел,
обеспечивает защиту персональных работников Управления, содержащихся в их
личных делах, от неправомерного их использования или утраты.
9.4.3.3.Начальник Управления определяет перечень лиц, уполномоченных
на обработку и любое другое использование персональных данных работников
Управления и несущих ответственность, в соответствии с законодательством
Российской Федерации, за нарушение режима защиты этих персональных данных
и места хранения в отношении каждой категории персональных данных,
обеспечивающие сохранность персональных данных и исключающие
несанкционированный доступ к ним.
9.4.3.4. В целях обеспечения защиты персональных данных, хранящихся в
личных делах, работники Управления имеют право:

получать полную информацию о своих персональных данных и
обработке этих данных (в том числе автоматизированной);

осуществлять свободный бесплатный доступ к своим персональным
данным, включая право получать копии любой записи, содержащей персональные
данные работника, за исключением случаев, предусмотренных законодательством
Российской Федерации;

требовать исключения или исправления неверных или неполных
персональных данных, а также данных, обработанных с нарушением
законодательства Российской Федерации. Работник Управления при отказе
должностного лица исключить или исправить его персональные данные имеет
право заявить в письменной форме начальнику Управления или
уполномоченному им должностному лицу о своем несогласии, обосновав
соответствующим образом такое несогласие. Персональные данные оценочного
характера работник Управления имеет право дополнить заявлением,
выражающим его собственную точку зрения;

требовать от начальника Управления или уполномоченного им
должностного лица уведомления всех лиц, которым ранее Управлением были
сообщены неверные или неполные персональные данные работника, обо всех
произведенных в них изменениях или исключениях из них;

обжаловать в суд любые неправомерные действия или бездействие
начальника Управления или уполномоченного им должностного лица при
обработке и защите персональных данных работников Управления.
9.4.3.5. В соответствии со статьей 15 Федерального закона от 27.05.2003№
58-ФЗ «О системе государственной службы Российской Федерации» реестры
государственных гражданских служащих в Управлении формируются и ведутся, в
том числе на электронных носителях, на основе персональных данных
государственных гражданских служащих.
9.4.3.6. Начальник Управления или уполномоченное им должностное лицо
вправе подвергать обработке (в том числе автоматизированной) персональные
данные государственных гражданских служащих Управления при формировании
кадрового резерва.
17
9.4.3.7. В личное дело работников Управления вносятся его персональные
данные и иные сведения, связанные с поступлением на государственную
гражданскую службу (работу), ее прохождением и увольнением и необходимые
для обеспечения деятельности Управления.Личное дело ведется отделом
правовой и кадровой работы, информационных систем Управления.
9.4.3.8.Персональные данные, внесенные в личные дела работников
Управления, иные сведения, содержащиеся в личных делах, относятся к
сведениям конфиденциального характера (за исключением сведений, которые в
установленных федеральными законами случаях могут быть опубликованы в
средствах массовой информации), а в случаях, установленных федеральными
законами и иными нормативными правовыми актами Российской Федерации, – к
сведениям, составляющим государственную тайну.
9.4.4. Порядок обработки персональных данных граждан
9.4.4.1. К сбору, обработке и хранению персональных данных граждан
(субъектов персональных данных) допущены все структурныеподразделения
Управления.
9.4.4.2. Субъект персональных данных, чьи персональные данные
обрабатываются в Управлении, имеет право:

на получение сведений о подтверждении факта обработки
персональных данных Управлением;

на получение сведений о правовых основаниях и цели обработки
персональных данных;

на получение сведений о цели и применяемых Управлением способов
обработки персональных данных;

на получение сведений о наименовании и месте нахождения
Управления, сведений о лицах, которые имеют доступ к персональным данным
или которым могут быть раскрыты персональные данные на основании договора с
Управлением или на основании федерального закона;

на получение сведений о сроках обработки персональных данных, в
том числе сроках их хранения;

на получение сведений о порядке осуществления субъектом
персональных данных своих прав, предусмотренных законодательством в области
персональных данных;

на получение сведений о наименовании и адресе лица,
осуществляющего обработку персональных данных по поручению Управления,
если обработка поручена или будет поручена такому лицу;

на получение иных сведений, предусмотренных законодательством в
области персональных данных и другими федеральными законами;

требовать от Управления уточнения его персональных данных, их
блокирования или уничтожения в случае, если персональные данные являются
неполными, устаревшими, неточными, незаконно полученными или не являются
необходимыми для заявленной цели обработки;

принимать предусмотренные законом меры по защите своих прав;

требовать от Управления предоставления ему персональных данных в
18
доступной форме;

повторного обращения и запроса в целях получения сведений и
ознакомления с его персональными данными;

требовать разъяснения порядка принятия решения на основании
исключительно автоматизированной обработки его персональных данных;

заявить возражение против принятия решения на основании
исключительно автоматизированной обработки персональных данных решений,
порождающих юридические последствия в отношении субъекта персональных
данных или иным образом затрагивающих его права и законные интересы;

требовать разъяснения порядка принятия и возможные юридические
последствия принятия решения на основании исключительно автоматизированной
обработки персональных данных решений, порождающих юридические
последствия в отношении субъекта персональных данных или иным образом
затрагивающих его права и законные интересы, а также разъяснения порядка
защиты субъектом персональных данных своих прав и законных интересов;

обжаловать действия или бездействие Управления в уполномоченный
орган по защите прав субъектов персональных данных или в судебном порядке,
если субъект персональных данных считает, что Управление осуществляет
обработку его персональных данных с нарушением требований настоящего
Федерального закона или иным образом нарушает его права и свободы;

на защиту своих прав и законных интересов, в том числе на
возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

требовать предоставления безвозмездно субъекту персональных
данных или его представителю возможности ознакомления с персональными
данными, относящимися к этому субъекту персональных данных;

принимать решение о предоставлении его персональных данных и
давать согласие на их обработку свободно, своей волей и в своем интересе;

отзывать согласие на обработку персональных данных.
9.4.5. Документы, содержащие персональные данные, создаются:
 в виде записей в базах данных «Находка-ЗАГС», «Зарплата и Кадры»,
«Бухгалтерский учет»;
 в виде отдельных файлов (doc, xls и т.п.), создаваемых ответственными
лицами;
 в виде напечатанных свидетельств, справок, актов гражданского состояния,
запросов, ответов, писем, отчётных списков и т.п., создаваемых ответственными
лицами.
9.5. Организация хранения документов, содержащих персональные
данные субъектов персональных данных Управления.
9.5.1. Хранение персональных данных в Управлении осуществляется в форме,
позволяющей определить субъекта персональных данных, не дольше, чем этого
требуют цели обработки персональных данных, если срок хранения персональных
данных не установлен федеральным законом, договором, стороной которого,
выгодоприобретателем или поручителем по которому является субъект
персональных данных.
19
9.5.2.Хранение персональных данных в информационных системах
персональных данных и вне таких систем Управления осуществляется только на
таких материальных носителях информации и с применением такой технологии ее
хранения, которые обеспечивают защиту этих данных от неправомерного или
случайного:
 доступа к ним,
 их уничтожения,
 изменения,
 блокирования,
 копирования,
 предоставления,
 распространения.
9.5.3. Бумажные документы, содержащие персональные данные работников
Управления, обязаны храниться в местах хранения, запирающихся на ключ,
сейфах, металлических шкафах и т.п.
9.5.4. Бумажные документы, содержащие иные используемые при работе
персональные данные – акты гражданского состояния, справки, дела – обязаны
храниться в местах хранения, внутри контролируемого ответственным лицом
помещения.
9.5.5. Создание и хранение документов с персональными данными в виде
отдельных файлов (doc, xls и т.п.) допускается только на персональных
компьютерах ответственных лиц.
9.5.6. При работе с документами, содержащими персональные данные,
запрещается:
 хранить документы в ящиках стола, оставлять без присмотра;
 брать документы для работы и на хранение домой;
 держать документы вне сейфа, места для хранения книг без необходимости
в процессе работы;
 передавать документы на хранение лицам, не имеющим права доступа к
данным документам.
9.5.7. Правовое регулирование порядка и сроков хранения кадровых
документов осуществляется на основе следующих нормативных документов:
Федеральных законов от 30 декабря 2001 года № 197-ФЗ «Трудовой кодекс
Российской Федерации», от 27 мая 2003 г. N 58-ФЗ "О системе государственной
службы Российской Федерации», от 27 июля 2004 г. N 79-ФЗ "О государственной
гражданской службе Российской Федерации», Постановлением Правительства
Российской Федерации от 16 апреля 2003 года №225 «О трудовых
книжках»Федеральному закону от 22 октября 2004 года №125-ФЗ «Об архивном
деле в Российской Федерации».
9.5.8. Правовое регулирование порядка и сроков хранения документов,
необходимых для осуществления полномочий Управления, содержащих
персональные данные граждан, осуществляется на основе следующих
нормативных документов: Федерального закона от 15.11.1997 № 143-ФЗ "Об
актах гражданского состояния", ст. 22 Федерального закона от 22.10.2004 № 125-
20
ФЗ "Об архивном деле в Российской Федерации",Приказа Минкультуры РФ от
25.08.2010 № 558 "Об утверждении "Перечня типовых управленческих архивных
документов, образующихся в процессе деятельности государственных органов,
органов местного самоуправления и организаций, с указанием сроков хранения".
9.5.9. Текущее хранение документов, необходимых для осуществления
полномочий Управления, содержащих персональные данные граждан, организует
уполномоченное
должностное
лицо
территориального
структурного
подразделения Управления.
9.5.10.
Текущее хранение кадровых документов, содержащих
персональные данные работников, организует уполномоченное должностное лицо
отдела правовой и кадровой работы, информационных систем Управления.
9.5.11.
Организация текущего хранения документов, содержащих
персональные данные, определяется номенклатурой дел, утверждаемой приказом
начальника Управления.
9.5.12.
Срок хранения информации в базах данных автоматизированной
системы «1С Предприятие», «Зарплата и Кадры», «Находка-ЗАГС» соответствует
сроку хранения аналогичных видов документов на традиционных носителях.
9.6. Блокированиеперсональных данных.
9.6.1. Блокированием персональных данных называется временное
прекращение обработки персональных данных (за исключением случаев, если
обработка необходима для уточнения персональных данных).
9.6.2. Блокирование персональных данных конкретного субъекта
персональных данных должно осуществляться во всех информационных системах
персональных данных Управления, включая архивы баз данных, содержащих такие
персональные данные, информационных систем персональных данных.
9.6.3. Блокирование персональных данных в Управлении осуществляется:

в случае выявления неправомерной обработки персональных данных
при обращении субъекта персональных данных или его представителя либо по
запросу субъекта персональных данных или его представителя либо
уполномоченного органа по защите прав субъектов персональных данных с момента
такого обращения или получения указанного запроса на период проверки;

в случае отсутствия возможности уничтожения персональных данных в
установленные сроки до их уничтожения.
9.6.4. После устранения выявленной неправомерной обработки персональных
данных Управление осуществляет снятие блокирования персональных данных.
9.6.5. Решение о блокировании и снятии блокирования персональных данных
субъекта персональных данных принимается ответственным за организацию
обработки персональных данных в Управлении.
9.7. Передача (или распространение) персональных данных
9.7.1.Доступ к своим персональным данным
9.7.1.1.
По запросу работника о доступе к своим персональным данным,
Управление обязано не позднее 30 дней со дня получения такого запроса выдать
работнику копии документов на бумажном носителе, связанные с работой (копии
приказа о приеме на работу, приказов о переводах на другую работу, приказа об
21
увольнении с работы, выписки из трудовой книжки, справки о заработной плате,
периода работы у данного работодателя и др.). Копии документов, связанных с
работой, заверяются надлежащим образом и предоставляются работнику
безвозмездно.На должностное лицо уполномоченное на ведение и хранение
личных дел возлагается обязанность по ведению журнала учёта выдачи / передачи
персональных данных работников Управления(Приложение № 6).
9.7.1.2.
Доступ гражданина к своим персональным данным,
зафиксированных в книгах с записями актов гражданского состояния,
регламентируется Федеральным законом от 15 ноября 1997 года № 143-ФЗ «Об
актах гражданского состояния».
9.7.2. Передача персональных данных третьим лицам
9.7.2.1.Передача персональных данных контрольно-надзорным органам и в
государственные
информационные
системы
персональных
данных
осуществляется в соответствии с действующим законодательством РФ,
регламентируется соглашениями Управления с получающей сведения
оперсональных данных стороной.
9.7.2.2. Передача персональных данных страховым компаниям, банкам,
благотворительным организациям, посольствам, другим организациям;
родственникам, членам семьи и другим лицам осуществляется по письменному
запросу о предоставлении персональных данных на имя руководителя
Управления с указанием цели предоставления и характера персональных данных.
Передача персональных данных осуществляется только при условии получения
письменного согласия лица, данные которого запрашиваются (форма –
Приложение № 5).
9.7.3. При передаче персональных данных Управления должно соблюдать
следующие требования:
 не сообщать персональные данные работника третьей стороне без
письменного согласия работника, за исключением случаев, когда это необходимо
в целях предупреждения угрозы жизни и здоровью работника, а также в случаях,
установленных федеральным законом;
 предупредить лиц, получающих персональные данные работника, о том, что
эти данные могут быть использованы лишь в целях, для которых они сообщены, и
требовать от этих лиц подтверждения того, что это правило соблюдено. Лица,
получающие персональные данные работников Управления, обязаны соблюдать
конфиденциальность полученных персональных данных.
9.8. Уничтожение документов, содержащих персональные данные.
9.8.1. Уничтожение персональных данных - это действия, в результате
которых становится невозможным восстановить содержание персональных
данных в информационной системе персональных данных и (или) в результате
которых уничтожаются материальные носители персональных данных.
9.8.2. Уничтожение персональных данных в Управлении производится
только в следующих случаях:
22

обрабатываемые персональные данные подлежат уничтожению либо
обезличиванию по достижении целей обработки или в случае утраты
необходимости в достижении этих целей, если иное не предусмотрено
федеральным законом;

персональные данные являются незаконно полученными или не
являются необходимыми для заявленной цели обработки;

в случае выявления неправомерной обработки персональных данных,
если обеспечить правомерность обработки персональных данных невозможно;

в случае отзыва субъектом персональных данных согласия на
обработку его персональных данных и в случае, если сохранение персональных
данных более не требуется для целей обработки персональных данных.
9.8.3. Документы, содержащие персональные данныевременного хранения,
как правило, в архив не передаются, а по истечении срока хранения
уничтожаются.
9.8.4. Для решения вопроса об уничтожении такого рода документов один
раз в год собирается экспертная комиссия, утверждённая приказом № 7 от
14.01.2013 «О постоянно действующей экспертной комиссии». Итоги работы
комиссии оформляются актами об уничтожении документов, содержащих
персональные данные. Уничтожение документов, содержащих персональные
данные, производится любым способом, исключающим ознакомление
посторонних лиц с уничтожаемыми материалами и возможность восстановления
их текста.
9.8.5. Информация в электронном виде, содержащая персональные данные,
при достижении целей обработки или при наступлении иных законных
оснований, подлежит уничтожению в соответствии с действующим
законодательством.
9.8.6. Документы, содержащие персональные данные постоянного хранения
передаются в государственный архив. Передача дел (книг) в государственный
архив осуществляется в соответствии с Федеральными законами от 15 ноября
1997 года № 143-ФЗ «Об актах гражданского состояния» и от 22 октября 2004
года №125-ФЗ «Об архивном деле в Российской Федерации».
10. Процедуры, направленные на предотвращение и выявление нарушений
законодательства в отношении обработки персональных данных и устранение таких
последствий
10.1. Пункты Правил обязательны для исполнения сотрудниками
Управления, в обязанности которых входит обработка и защита персональных
данных. Перечень лиц, в обязанности которых входит обработка и защита
персональных данных, определён в Приложении № 7 к настоящему Положению.
10.2. Ознакомление сотрудников Управления с настоящим Положением
организует отдел правовой и кадровой работы, информационных систем
Управления.
10.3. Ответственным за информационную безопасность в Управлении в
соответствии
с
Политикой
информационной
безопасностиявляется
23
начальникУправления, который также является гарантом соблюдения
законодательства Российской Федерации о персональных данных.
10.4. Минимальная уязвимость закрытой информации обеспечивается
решением следующих задач:
 защита информационных систем (далее – ИС) от вмешательства в
процесс ее функционирования посторонних лиц (возможность использования ИС
и доступ к ее ресурсам должны иметь только зарегистрированные в
установленном порядке пользователи - работники структурных подразделений
Управления);
 разграничение доступа зарегистрированных пользователей к аппаратным,
программным и информационным ресурсам ИС (возможность доступа только к
тем ресурсам и выполнения только тех операций с ними, которые необходимы
конкретным пользователям ИС для выполнения их должностных обязанностей);
 защита хранимых и передаваемых по каналам связи данных от
несанкционированной модификации (искажения), фальсификации, уничтожения и
подтверждение аутентичности (авторства) электронных документов;
 защита конфиденциальной информации, хранимой, обрабатываемой и
передаваемой по каналам связи, от несанкционированного разглашения (утечки);
 защита от несанкционированной модификации (подмены, уничтожения) и
контроль целостности используемых в ИС программных средств, их
восстановление в случае нарушения, а также защиту системы от внедрения
несанкционированных программ, включая компьютерные вирусы.
10.5. Решение перечисленных задач достигается:
 системой охраны помещений Управления;
 раздельным хранением персональных данных (материальных носителей),
обработка, которых осуществляется в различных целях;
 хранением материальных носителей в специальных шкафах, сейфах,
использованием паролей при обработке персональных данных и хранением их в
информационных системах в электронной форме;
 запретом нахождения посторонних лиц в служебных помещениях
Управления, в которых располагаются соответствующие шкафы, сейфы,
персональные компьютеры;
 регламентацией процессов обработки данных с применением средств
автоматизации
и
действий
работников
Управления,
использующих
информационные системы, а также действий персонала, осуществляющего
обслуживание и модификацию программных и технических средств
информационных систем, на основе утверждённых руководителем Управления
организационно-распорядительных документов по вопросам обеспечения защиты
информации ограниченного доступа;
 полнотой охвата всех аспектов проблемы, согласованностью и реальной
выполнимостью требований организационно-распорядительных документов по
вопросам обеспечения защиты конфиденциальной информации;
 учётом лиц, допущенных к работе с конфиденциальной информацией, и
персональной ответственностью каждого работника, участвующего в рамках
24
своих должностных обязанностей в процессах обработки информации и
имеющего доступ к ресурсам информационных систем;
 назначением и подготовкой работников, ответственных за организацию и
осуществление
практических
мероприятий
по
обеспечению
защиты
конфиденциальной информации;
 наделением каждого работника Управления минимально необходимыми для
выполнения им своих должностных обязанностей полномочиями по доступу к
информации ограниченного доступа;
 знанием и соблюдением всеми работниками, использующими и
обслуживающими аппаратные и программные средства ИС, установленных
требований по вопросам обеспечения защиты информации ограниченного
доступа;
 учётом всех подлежащих защите ресурсов информационных систем
(информации, задач, каналов, рабочих станций, серверов и т.д.);
 принятием эффективных мер по обеспечению физической целостности
технических средств и непрерывным поддержанием необходимого уровня
защищённости компонентов информационных систем;
 возможностью
незамедлительного
восстановления
данных,
модифицированных или уничтоженных вследствие несанкционированного
доступа к ним;
 применением программно-аппаратных средств защиты ресурсов системы и
непрерывной административной поддержкой их использования;
 проведением работы с персоналом (подбор, разъяснение, обучение и т.п.) и
эффективным контролем за соблюдением сотрудниками Управления требований
по обеспечению защиты конфиденциальной информации;
 организация рассмотрения запросов субъектов персональных данных или их
представителей и ответов на такие запросы;
 организация внутреннего контроля соответствия обработки персональных
данных требованиям к защите персональных данных, установленным действующим
законодательством в области персональных данных и локальными актами
Управления;
 проведение периодических проверок условий обработки персональных
данных;
10.6. Все сотрудники Управления при приёме на работу обязаны
подписывать «Обязательство о неразглашении персональных данных», ставших
им известными в результате выполнения ими своих служебных обязанностей
(форма – Приложение № 8).
10.7. Обязанность по исполнению требований по нераспространению
сведений, содержащих персональные данные, сохраняется за бывшими
сотрудниками Управления в течение всего срока действия конфиденциальности
сведений.
10.8. Сотрудники Управления при прекращении или расторжении
служебного контракта (трудового договора), обязаныпередать (возвратить)
имеющихся в пользовании такого сотрудника материальных носителей
25
информации, содержащих персональные данные;
Контроль и надзор за соблюдением требований по обработке и
обеспечению безопасности персональных данных
11.1. Контроль и надзор за соблюдением требований по обработке и
обеспечению безопасности персональных данных в Управлении состоит из
следующих направлений:

внешний контроль и надзор за соблюдением требований по обработке
и обеспечению безопасности персональных данных;

внутренний контроль и надзор за соблюдением требований по
обработке и обеспечению безопасности персональных данных.
11.2. Порядок внешнего контроля над соблюдением требований по обработке
и обеспечению безопасности данных
11.2.1.
Внешний контроль и надзор за выполнением требований
законодательства в области персональных данных осуществляется федеральным
органом исполнительной власти, осуществляющим функции по контролю и
надзору в сфере информационных технологий и связи, федеральным органом
исполнительной власти, уполномоченным в области обеспечения безопасности, и
федеральным органом исполнительной власти, уполномоченным в области
противодействия техническим разведкам и технической защиты информации, в
пределах их полномочий.
11.2.2.
Внешний контроль и надзор за выполнением требований
законодательства в области персональных данных осуществляется в соответствии
с действующим законодательством Российской Федерации в области защиты прав
юридических лиц и индивидуальных предпринимателей при осуществлении
государственного контроля (надзора) и муниципального контроля, подзаконных
нормативных актов Правительства Российской Федерации, ведомственных
нормативных актов и административных регламентов.
11.2.3.
Уполномоченным органом по защите прав субъектов
персональных данных, на который возлагается обеспечение контроля и надзора за
соответствием обработки персональных данных требованиям настоящего
Федерального закона, является федеральный орган исполнительной власти,
осуществляющий функции по контролю и надзору в сфере информационных
технологий и связи.
11.2.4 Уполномоченный орган по защите прав субъектов персональных
данных имеет право:

запрашивать у Управления информацию, необходимую для
реализации своих полномочий, и безвозмездно получать такую информацию;

осуществлять проверку сведений, содержащихся в уведомлении об
обработке персональных данных Управления, или привлекать для осуществления
такой проверки иные государственные органы в пределах их полномочий;

требовать от Управления уточнения, блокирования или уничтожения
недостоверных или полученных незаконным путем персональных данных;

принимать в установленном законодательством Российской
11.
26
Федерации порядке меры по приостановлению или прекращению обработки
персональных
данных,
осуществляемой
с
нарушением
требований
законодательства в области персональных данных;

обращаться в суд с исковыми заявлениями в защиту прав субъектов
персональных данных, в том числе в защиту прав неопределенного круга лиц, и
представлять интересы субъектов персональных данных в суде;

направлять в федеральный орган исполнительной власти,
уполномоченный в области обеспечения безопасности, и федеральный орган
исполнительной власти, уполномоченный в области противодействия
техническим разведкам и технической защиты информации, применительно к
сфере их деятельности, необходимые сведения;

направлять в органы прокуратуры, другие правоохранительные
органы материалы для решения вопроса о возбуждении уголовных дел по
признакам преступлений, связанных с нарушением прав субъектов персональных
данных, в соответствии с подведомственностью;
привлекать к административной ответственности лиц, виновных в
нарушении настоящего Федерального закона.
11.2.5.
В отношении персональных данных, ставших известными
уполномоченному органу по защите прав субъектов персональных данных в ходе
осуществления
им
своей
деятельности,
должна
обеспечиваться
конфиденциальность персональных данных.
11.2.6.
Решения уполномоченного органа по защите прав субъектов
персональных данных могут быть обжалованы в судебном порядке.
11.3. Порядок внутреннего контроля за соблюдением требований по
обработке и обеспечению безопасности данных
11.3.1. В целях осуществления внутреннего контроля соответствия
обработки персональных данных установленным требованиям в Управлении
организуется проведение периодических проверок условий обработки
персональных данных. Проверки осуществляются ответственным за организацию
обработки персональных данных в Управлении либо комиссией, образуемой
начальником Управления.
11.3.2. При осуществлении внутреннего контроля соответствия обработки
персональных данных установленным требованиям в Управлении производится
проверка:

соблюдения принципов обработки персональных данных в
Управлении;

соответствия локальных актов в области персональных данных
Управления действующему законодательству Российской Федерации;

выполнения сотрудниками Управления требований и правил (в том
числе особых) обработки персональных данных в информационных системах
персональных данных Управления;

перечней персональных данных, используемых для решения задач и
функций структурными подразделениями Управления и необходимости обработки
персональных данных в информационных системах персональных данных
27
Управления;

актуальности содержащихся в Правилах обработки персональных
данных в каждой информационной системе персональных данных Управления
информации о законности целей обработки персональных данных и оценке вреда,
который может быть причинен субъектам персональных данных в случае
нарушения требований по обработке и обеспечению безопасности персональных
данных

правильность осуществления сбора, систематизации, сбора, записи,
систематизации, накопления, хранения, уточнения (обновления, изменения),
извлечения, использования, передачи (распространения, предоставления,
доступа), обезличивания, блокирования, удаления, уничтожения персональных
данных в каждой информационной системе персональных данных Управления;

актуальность перечня должностей сотрудников Управления,
замещение которых предусматривает осуществление обработки персональных
данных либо осуществление доступа к персональным данным;

актуальность перечня должностей сотрудников Управления,
ответственных за проведение мероприятий по обезличиванию обрабатываемых
персональных данных;

соблюдение прав субъектов персональных данных, чьи персональные
данные обрабатываются в информационных системах персональных данных
Управления;

соблюдение
обязанностей
Управления,
предусмотренных
действующим законодательством в области персональных данных;
 порядка взаимодействия с субъектами персональных данных, чьи
персональные данные обрабатываются в информационных системах
персональных данных Управления, в том числе соблюдения сроков
предусмотренных действующим законодательством в области персональных
данных, соблюдения требований по уведомлениям, порядка разъяснения
субъектам персональных данных необходимой информации, порядка
реагирования на обращения субъектов персональных данных, порядка действий
при достижении целей обработки персональных данных и отзыве согласий
субъектами персональных данных;

наличие необходимых согласий субъектов персональных данных, чьи
персональные данные обрабатываются в информационных системах
персональных данных Управления;

актуальность сведений, содержащихся в уведомлении Управления об
обработке персональных данных;

актуальность перечня информационных систем персональных данных
в Управлении;

наличие и актуальность сведений, содержащихся в Правилах
обработки персональных данных для каждой информационной системы
персональных данных Управления;

знания и соблюдение сотрудниками Управления положений
действующего законодательства Российской Федерации в области персональных
28
данных;

знания и соблюдение сотрудниками Управления положений локальных
актов Управления в области обработки и обеспечения безопасности персональных
данных;

знания и соблюдение сотрудниками Управления инструкций,
руководств и иные эксплуатационных документов на применяемые средства
автоматизации, в том числе программное обеспечение, и средства защиты
информации;

соблюдение
сотрудниками
Управления
конфиденциальности
персональных данных;

актуальность локальных актов Управления в области обеспечения
безопасности персональных данных;

соблюдение сотрудниками Управления требований по обеспечению
безопасности персональных данных;

иных вопросов.
11.3.3. О результатах проведенной проверки и мерах, необходимых для
устранения выявленных нарушений, начальнику Управления докладывает
ответственный за организацию обработки персональных данных в Управлении
либо председатель комиссии.
11.4. Оценка соотношения вреда, который может быть причинен субъектам
персональных данных в случае нарушения требований по обработке и обеспечению
безопасности персональных данных и принимаемых мер по обработке и
обеспечению безопасности персональных данных
11.4.1. Во время осуществления внутреннего контроля соответствия
обработки персональных данных установленным требованиям в Управлении
производится оценка соотношения вреда, который может быть причинен
субъектам персональных данных в случае нарушения требований по обработке и
обеспечению безопасности персональных данных и принимаемых мер по
обработке и обеспечению безопасности персональных данных в Управлении.
11.4.2. Оценкой вреда, который может быть причинен субъектам
персональных данных в случае нарушения требований по обработке и
обеспечению безопасности персональных данных является определение
юридических или иным образом затрагивающих права и законные интересы
последствий в отношении субъекта персональных данных, которые могут
возникнуть в случае нарушения требований по обработке и обеспечению
безопасности персональных данных.
11.4.3. К юридическим последствиям относятся случаи возникновения,
изменения или прекращения личных либо имущественных прав граждан или
иным образом затрагивающее его права, свободы и законные интересы.
11.4.4. При обработке персональных данных должны определяться и
документально оформляться все возможные юридические или иным образом
затрагивающие права и законные интересы последствия в отношении субъекта
персональных данных, которые могут возникнуть в случае нарушения требований
по обработке и обеспечению безопасности персональных данных при выполнении
29
заявленных в ПоложенииУправления основных полномочий и прав Управления,
либо в рамках перечня задач или функций структурных подразделений
(должностных лиц) Управления, указанных в положениях о таких структурных
подразделениях (должностных обязанностях) с учетом особых правил и способов
обработки персональных данных.
11.4.5. Обработка персональных данных без оценки вреда, который может
быть причинен субъектам персональных данных в случае нарушения требований по
обработке и обеспечению безопасности персональных данных не допускается.
11.4.6. При оценке соотношения вреда, который может быть причинен
субъектам персональных данных в случае нарушения требований по обработке и
обеспечению безопасности персональных данных, для каждой информационной
системы персональных данных Управления производится экспертное сравнение
заявленной Управлением в свих локальных актах оценки вреда, который может
быть причинен субъектам персональных данных в случае нарушения требований
по обработке и обеспечению безопасности персональных данных и
применяемыхУправлением мер, направленных на обеспечение выполнения
обязанностей, предусмотренных действующим законодательством в области
персональных данных и изложенных в настоящих Правилах.
11.4.7. По итогам сравнений принимается решение о достаточности
применяемых Управлением мер, направленных на обеспечение выполнения
обязанностей, предусмотренных действующим законодательством в области
персональных данных и возможности или необходимости принятия
дополнительных мер или изменения установленного в Управлении порядка
обработки и обеспечения безопасности персональных данных.
11.4.8. Оценка соотношения вреда, который может быть причинен
субъектам персональных данных в случае нарушения требований по обработке и
обеспечению безопасности персональных данных и принимаемых мер по
обработке и обеспечению безопасности персональных данных в Управлении
оформляется в виде отдельного документа, подписывается лицом, ответственным
за организацию обработки персональных данных в Управлении либо
председателем комиссии, образуемой начальником Управления, и утверждается
начальником Управления.
11.4.9. По результатам принятых решений, лицом, ответственным за
организацию обработки персональных данных в Управлении организуется работа
по их реализации.
Ответственность за нарушение требований в области персональных
данных
Лица, виновные в нарушении требований действующего законодательства в
области персональных данных, несут предусмотренную законодательством
Российской Федерации ответственность. Моральный вред, причиненный субъекту
персональных данных вследствие нарушения его прав, нарушения правил обработки
персональных данных, а также требований к защите персональных данных
подлежит возмещению в соответствии с законодательством Российской Федерации.
12.
30
Возмещение морального вреда осуществляется независимо от возмещения
имущественного вреда и понесенных субъектом персональных данных убытков.
13. Мероприятия при возникновении обстоятельств непреодолимой силы
(форс-мажор)
13.1. В случае появления обстоятельств непреодолимой силы, возникших в
результате событий чрезвычайного характера, которые Управление не могло
предвидеть и предотвратить разумными мерами, должностные лица Управления
обязаны принять все возможные меры по недопущению нарушения прав субъектов
персональных данных.
13.2. К обстоятельствам непреодолимой силы относятся события, на которые
Управление не могло оказывать влияние и за возникновение которых оно не несет
ответственности: землетрясение, наводнение, пожар, забастовки, насильственные
или военные действия любого характера, решения органов государственной власти
препятствующие исполнению требований законодательства в области персональных
данных.
13.3. Надлежащим доказательством наличия указанных выше обстоятельств
будут служить официальные документы Управления и органов государственной
власти Российской Федерации.
13.4. Управлениев случае возникновении указанных выше обстоятельств и
нарушении прав субъектов персональных данных, связанных с такими
обстоятельствами, извещает субъектов персональных данных всеми доступными
способами.
Мероприятия по обработке персональных данных при проведении
процедур ликвидации или реорганизации
14.1. При ликвидации Управления все носители персональных данных
подлежат уничтожению установленным настоящими Правилами способами, за
исключением носителей, подлежащих в соответствии с действующим
законодательством Российской Федерации передаче в организацию -учредитель
Управления.
14.2. При реорганизации Управления в форме слияния, присоединения и
преобразования решение о необходимости уничтожения персональных данных или
передачи их образуемому учреждению принимается в соответствии с действующим
законодательством Российской Федерации.
14.
31
Приложение № 1
Типовая форма согласия
на получение и обработку персональных данных
Я,_______________________________________________________________
(фамилия, имя, отчество)
______________________________________________________________________
(адрес регистрации)
______________________________________________________________________
(паспорт: серия, номер, дата выдачи, кем выдан)
даю своё согласие управлению записи актов гражданского состояния
(ЗАГС) Кировской области, находящемуся по адресу: г.Киров, ул.К.Либкнехта,
д.69,
на
получение,
обработку
моих
персональных
данных,
а
именно:_______________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
(указать состав персональных данных)
в автоматизированных системах и личном деле в управлении записи актов
гражданского
состояния
(ЗАГС)
Кировской
области
в
целях
______________________________________________________________________
_____________________________________________________________________
(указать цели обработки)
Предоставляю
управлению
записи
актов
гражданского
состояния
(ЗАГС)
Кировской
области
право
осуществлять
все
действия
(операции)
с
моими
персональными
данными,
включая
______________________________________________________________________
______________________________________________________________________
(указать операции)
Настоящее согласие действует со дня его подписания в период действия
служебного контракта (трудового договора), а так же на срок хранения
документов (75 лет). Настоящее согласие может быть отозвано письменным
заявлением субъекта персональных данных.
С документами управления записи актов гражданского состояния (ЗАГС)
Кировской области, устанавливающими порядок обработки персональных
данных, а также с моими правами и обязанностями в этой области ознакомлен(а).
« ___ » __________ 20___ г.. ______________ (подпись)
(Ф. И. О.)
32
Приложение № 2
Типовая форма отзыва согласия на обработку персональных данных
Начальнику управления ЗАГС
Кировской области
Ю.В. Игнатюк
______________________________________________
Ф.И.О. субъекта персональных данных
______________________________________________
Адрес субъекта персональных данных
______________________________________________
Номер паспорта
______________________________________________
Дата выдачи
______________________________________________
Наименование органа, выдавшего паспорт
Заявление.
Прошу Вас прекратить обработку моих персональных данных в связи
___________________________________________________________________________________________
(указать причину)
"__" __________ 20__г.
_____________
(подпись)
___________________________
(расшифровка подписи)
33
Приложение № 3
ТИПОВАЯ ФОРМА
разъяснения субъекту персональных данных юридических последствий
отказа предоставить свои персональные данные
Мне,
___________________________________________________________________________,
(Фамилия, имя, отчество)
разъяснены юридические последствия отказа предоставить свои персональные
данные управлению записи актов гражданского состояния (ЗАГС) Кировской
области.
1.
Настоящее разъяснение является приложением к служебному
контракту (трудовому договору).
2.
Персональные данные государственного гражданского служащего
управления записи актов гражданского состояния (ЗАГС) Кировской области:
2.1. Персональные данные собираются и обрабатываются на основании
следующих законодательных актов:
- Федерального закона от 27.07.2004 № 79-ФЗ «О государственной
гражданской службе Российской Федерации»;
- Положения о персональных данных государственного гражданского
служащего Российской Федерации и ведении его личного дела, утвержденного
Указом Президента Российской Федерации от 30.05.2005 № 609.
2.2. В случае не представления субъектом персональных данных
обязательных для заключения служебного контракта документов и сведений,
субъект персональных данных не может быть принят на государственную
гражданскую службу
2.3. В случае не предоставления государственным гражданским служащим
управления записи актов гражданского состояния (ЗАГС) Кировской области
сведений, обязательность представления которых установлена действующим
законодательством, заключенный служебный контракт с ним подлежит
расторжению.
2.4. В случае отзыва согласия на обработку персональных данных
государственным гражданским служащим управления записи актов гражданского
состояния (ЗАГС) Кировской области, служебный контракт с ним подлежит
прекращению.
3.
Персональные данные граждан, не являющихся государственными
гражданскими служащими управления записи актов гражданского состояния
(ЗАГС) Кировской области:
3.1. Персональные данные собираются и обрабатываются на основании
следующих законодательных актов:
- Трудового кодекса Российской Федерации.
34
3.2. В случае отказа гражданина, не являющимся государственным
гражданским служащим управления записи актов гражданского состояния (ЗАГС)
Кировской области, о предоставлении своих персональных данных при
трудоустройстве, с ним невозможно заключить трудовой договор.
3.3. В случае отзыва согласия на обработку персональных данных
гражданина, не являющегося государственным гражданским служащим
управления записи актов гражданского состояния (ЗАГС) Кировской области,
трудовой договор с ним подлежит расторжению.
«___» __________20__г.
_________
(подпись)
_________________
(расшифровка подписи)
35
Приложение № 4
Типовая форма заявления-согласия
субъекта на получение его персональных данных у третьей стороны
Начальнику управления
ЗАГС Кировской области
Ю.В. Игнатюк
Заявление-согласие
субъекта на получение его персональных данных у третьей стороны.
Я, _______________________________________________________________________________,
паспорт
серии
____________
номер
______________,
выданный
_________________________________________ « ___ » ___________ _______ года,
________________ на получение моих персональных данных,
(согласен/не согласен)
а именно:_____________________________________________________________________________
(указать состав персональных данных)
__________________________________________________________________________________________________
__________________________________________________________________________________________________
__________________________________________________________________________________________________
Для обработки в целях ________________________________________________________________
__________________________________________________________________________________________
__________________________________________________________________________________________
(указать цели обработки)
У следующих лиц ______________________________________________________________________
___________________________________________________________________________________________
___________________________________________________________________________________________________
(указать Ф.И.О. физического лица или наименование организации, у которых получают данные)
Я также утверждаю, что ознакомлен с возможными последствиями моего
отказа дать письменное согласие на их получение.
« ___ » __________ 20___г.
(подпись)
__________________________________
36
Приложение № 5
Типовая форма заявления-согласия субъекта на передачу его
персональных данных третьей стороне
Начальнику управления
ЗАГС Кировской области
Ю.В. Игнатюк
Заявление-согласие субъекта на передачу его персональных данных третьей
стороне
Я,
______________________________________,
паспорт
серии
________,
номер
____________, выданный ________________________________________________________________
« ___ » ___________ _____ года,
_______________ на передачу моих персональных
(согласен/не согласен)
данных, а именно: ______________________________________________________
(указать состав персональных данных)
__________________________________________________________________________________________________
__________________________________________________________________________________________________
__________________________________________________________________________________________________
Для обработки в целях ________________________________________________________________
__________________________________________________________________________________________
_________________________________________________________________________________________
(указать цели обработки)
Следующим лицам ____________________________________________________________________
__________________________________________________________________________________________
__________________________________________________________________________________________
(указать Ф.И.О. физического лица или наименование организации, которым сообщаются данные)
Я также утверждаю, что ознакомлен с возможными последствиями моего
отказа дать письменное согласие на их передачу.
« ___ » __________ 200_
г.
_______________________________
(подпись)
37
Приложение № 6
Форма журнала учета выдачи/передачи персональных данных
№
п/п
Сведения о
запрашивающем
лице
Состав
запрашиваемых
персональных
данных
Цель
получения
персональных
данных
Дата передачи
/ отказа в
передаче
персональных
данных
Подпись
запрашива
ющего
лица
Подпись
ответственн
ого
сотрудника
38
Приложение № 7
Перечень должностей, в обязанности которых
входит обработка и защита персональных данных в Управлении










Начальник Управления ЗАГС Кировской области;
Заместитель начальника управления ЗАГС Кировской области;
Начальник отдела;
Консультант;
Главный специалист-эксперт;
Ведущий специалист-эксперт;
Специалист-эксперт;
Ведущий специалист 3 разряда;
Старший специалист 1 разряда;
Специалист 1 разряда
39
Приложение № 8
СОГЛАШЕНИЕ
о неразглашении конфиденциальной информации
(персональных данных), не содержащей сведений,
составляющих государственную тайну
Я, ___________________________________________________(Ф.И.О.),
исполняющий(ая) должностные обязанности по замещаемой должности
______________________________________________________________________
__________________________________________________________(должность,
наименование структурного подразделения), предупрежден(а), что на период
исполнения должностных обязанностей в соответствии с должностным
регламентом (должностной инструкцией) мне будет предоставлен допуск к
конфиденциальной информации (персональным данным), не содержащей
сведений, составляющих государственную тайну. Настоящим добровольно
принимаю на себя обязательства:
1. Не разглашать третьим лицам конфиденциальные сведения, которые мне
доведены (будут доведены) или станут известными в связи с выполнением
должностных обязанностей.
2. Не передавать и не раскрывать третьим лицам конфиденциальные сведения,
которые мне доведены (будут доведены) или станут известными в связи с
выполнением должностных обязанностей.
3. В случае попытки третьих лиц получить от меня конфиденциальные
сведения, сообщать непосредственному начальнику, а также лицу,
ответственному за организацию защиты информации в управление записи
актов гражданского состояния (ЗАГС) Кировской области.
4. Не использовать конфиденциальные сведения с целью получения выгоды.
5. Выполнять требования нормативных правовых актов, регламентирующих
вопросы защиты конфиденциальных сведений.
6. В случае расторжения служебного контракта (трудового договора)
прекратить обработку персональных данных, ставшими известными мне в
связи с исполнением должностных обязанностей.
7. После прекращения служебного контракта (трудового договора) и
увольнения с государственной гражданской службы (работы) не разглашать
и не передавать третьим лицам известные мне конфиденциальные сведения.
Я предупрежден(а), что в случае нарушения данного обязательства буду
привлечен(а) к дисциплинарной ответственности и/или иной ответственности в
соответствии с законодательством Российской Федерации.
______________________________________________________________
Ф.И.О.
подпись
«____»_____________20___г.