Региональное
Законодательство
Башкортостана

Приказ Минтруда РБ от 20.09.2013 N 355-о "Об утверждении правил работы с персональными данными в Министерстве труда и социальной защиты населения Республики Башкортостан"

Зарегистрировано в Управлении РБ по организации деятельности мировых судей и ведению регистров правовых актов 24 декабря 2013 г. № 4232
-----------------------------------------------------------------------------

МИНИСТЕРСТВО ТРУДА И СОЦИАЛЬНОЙ ЗАЩИТЫ НАСЕЛЕНИЯ
РЕСПУБЛИКИ БАШКОРТОСТАН

ПРИКАЗ
от 20 сентября 2013 г. № 355-о

ОБ УТВЕРЖДЕНИИ ПРАВИЛ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
В МИНИСТЕРСТВЕ ТРУДА И СОЦИАЛЬНОЙ ЗАЩИТЫ НАСЕЛЕНИЯ
РЕСПУБЛИКИ БАШКОРТОСТАН
Список изменяющих документов
(в ред. Приказа Минтруда РБ от 01.04.2014 № 218-о)

В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" приказываю:
1. Утвердить:
Правила обработки персональных данных в Министерстве труда и социальной защиты населения Республики Башкортостан (приложение № 1);
Правила рассмотрения запросов субъектов персональных данных или их представителей в Министерстве труда и социальной защиты населения Республики Башкортостан (приложение № 2);
Перечень информационных систем персональных данных, используемых в Министерстве труда и социальной защиты населения Республики Башкортостан (приложение № 3);
Перечень персональных данных, обрабатываемых в Министерстве труда и социальной защиты населения Республики Башкортостан в связи с реализацией трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций (приложение № 4);
Согласие на обработку персональных данных в Министерстве труда и социальной защиты населения Республики Башкортостан (приложение № 5);
Форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные (приложение № 6);
Форму типового обязательства государственного гражданского служащего Республики Башкортостан в Министерстве труда и социальной защиты населения Республики Башкортостан (далее - работника), непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей (приложение № 7);
Порядок доступа работников Министерства труда и социальной защиты населения Республики Башкортостан в помещения, в которых ведется обработка персональных данных (приложение № 8);
Должностной регламент ответственного за организацию обработки персональных данных в Министерстве труда и социальной защиты населения Республики Башкортостан (приложение № 9).
2. Контроль за исполнением настоящего Приказа оставляю за собой.

Министр
Л.Х.ИВАНОВА





Приложение № 1
к Приказу Министерства труда
и социальной защиты населения
Республики Башкортостан
от 20 сентября 2013 г. № 355-о

ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В МИНИСТЕРСТВЕ ТРУДА
И СОЦИАЛЬНОЙ ЗАЩИТЫ НАСЕЛЕНИЯ РЕСПУБЛИКИ БАШКОРТОСТАН
Список изменяющих документов
(в ред. Приказа Минтруда РБ от 01.04.2014 № 218-о)

I. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящие Правила обработки персональных данных в Министерстве труда и социальной защиты населения Республики Башкортостан (далее - Правила) устанавливают единый порядок обработки персональных данных в Министерстве труда и социальной защиты населения Республики Башкортостан (далее - министерство).
1.2. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных", Трудовым кодексом Российской Федерации, Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

II. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

В настоящих Правилах используются следующие основные термины и определения:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор - Министерство труда и социальной защиты населения Республики Башкортостан, организующее и (или) осуществляющее обработку персональных данных;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых оператором с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники оператора;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
(в ред. Приказа Минтруда РБ от 01.04.2014 № 218-о)
информационная система персональных данных - совокупность содержащихся в базах данных оператора персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

III. ОСНОВНЫЕ УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка персональных данных осуществляется после принятия необходимых мер по защите персональных данных, а именно:
3.1. После получения согласия субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных".
3.2. После направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Башкортостан, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных".
3.3. После подписания работниками министерства, допущенными к работе с персональными данными, обязательства о неразглашении информации.

IV. МЕРЫ, НАПРАВЛЕННЫЕ НА ВЫЯВЛЕНИЕ И ПРЕДОТВРАЩЕНИЕ
НАРУШЕНИЙ ЗАКОНОДАТЕЛЬСТВА В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

К мерам, направленным на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных, относятся:
4.1. Назначение ответственного за организацию обработки персональных данных в министерстве.
4.2. Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с частью 1 и частью 2 статьи 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных".
4.3. Осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27 июля 2006 г. № 152-ФЗ "О персональных данных" и другим принятым с ним нормативным правовым актам в области защиты персональных данных, требованиям по защите персональных данных, локальным актам оператора.
4.4. Оценка вреда, который может быть причинен субъектам персональным данных в случае нарушения законодательства Российской Федерации и настоящих Правил.
4.5. Ознакомление работников министерства, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и настоящими Правилами.
4.6. Запрет на обработку персональных данных лицами, не допущенными к их обработке.

V. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных осуществляется:
после получения согласия субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона;
после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Башкортостан, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона.
5.2. Работник министерства, ответственный за защиту персональных данных, назначается приказом министерства. Перечень лиц, допущенных к обработке персональных данных, определяется приказом министерства. Лица, допущенные к обработке персональных данных, в обязательном порядке подписывают обязательство о неразглашении информации, содержащей персональные данные, и прекращении обработки персональных данных в случае расторжения служебного контракта.
5.3. Для обеспечения защиты персональных данных необходимо соблюдать ряд мер:
ограничение и регламентация состава работников министерства, функциональные обязанности которых требуют знаний, соответствующих требованиям нормативно-методических документов по защите персональных данных;
строгое избирательное и обоснованное распределение документов и информации между работниками министерства;
рациональное размещение рабочих мест работников министерства, при котором исключалось бы бесконтрольное использование защищаемой информации;
знание работниками министерства требований нормативно-методических документов по защите персональных данных;
наличие необходимых условий в помещении для работы с конфиденциальными документами и информационными системами персональных данных;
определение и регламентация состава работников министерства, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;
своевременное выявление нарушения требований разрешительной системы доступа работниками министерства;
воспитательная и разъяснительная работа с работниками министерства по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
порядок охраны территории, зданий, помещений, транспортных средств.

VI. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка персональных данных в информационных системах персональных данных осуществляется в соответствии с требованиями Постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
6.1. При эксплуатации автоматизированных систем необходимо соблюдать следующие требования:
на компьютерах, дисках, на которых обрабатываются и хранятся персональные данные, должны быть установлены пароли;
на период обработки защищаемой информации на рабочем месте с доступом к персональным данным могут находиться лица, допущенные в установленном порядке к обрабатываемой информации. Допуск других лиц может осуществляться с разрешения начальника отдела министерства.
6.2. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации:
при отсутствии установленных и настроенных сертифицированных средств защиты информации;
при отсутствии утвержденных организационных документов о порядке эксплуатации информационной системы персональных данных.

VII. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ

7.1. Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) должна осуществляться в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об обеспечении безопасности персональных данных, осуществляемой без использования средств автоматизации".
7.2. В соответствии с п. 1 Постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
7.3. При осуществлении неавтоматизированной обработки необходимо соблюдать следующий порядок:
7.3.1. Не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы.
7.3.2. Персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков).
7.3.3. Документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных.
7.3.4. Дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.
7.3.5. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия:
типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, при необходимости получения письменного согласия на обработку персональных данных;
типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
7.4. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
7.5. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
7.6. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
7.7. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
7.8. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

VIII. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ОБРАБАТЫВАЕМЫХ
ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Сроки обработки и хранения персональных данных определяются:
Приказом Министерства культуры Российской Федерации от 25 августа 2010 г. № 558 "Об утверждении "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения";
сроком исковой давности;
иными требованиями законодательства Российской Федерации и Республики Башкортостан.
8.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

IX. ОБЩИЕ ПРАВИЛА ПО ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ ПОЛЬЗОВАТЕЛЯМИ ИНФОРМАЦИОННОЙ СИСТЕМЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. К основным правам и обязанностям пользователей информационной системы персональных данных относятся следующие:
пользователю информационной системы персональных данных разрешается выполнять на автоматизированном рабочем месте, входящем в состав информационной системы персональных данных, только задачи, соответствующие целям обработки персональных данных в данной информационной системе персональных данных и предусмотренные должностными обязанностями;
(в ред. Приказа Минтруда РБ от 01.04.2014 № 218-о)
перед началом обработки на автоматизированном рабочем месте, входящем в состав информационной системы персональных данных, файлов, хранящихся на съемных носителях информации, пользователь информационной системы персональных данных должен осуществить проверку этих файлов на наличие компьютерных вирусов;
(в ред. Приказа Минтруда РБ от 01.04.2014 № 218-о)
немедленно докладывать ответственному за организацию обработки персональных данных в министерстве и администратору информационной безопасности в министерстве о случаях вирусного заражения, сообщениях об ошибках операционной системы и средств защиты информации, а также уничтожении или искажении обрабатываемых в информационной системе персональных данных персональных данных.
9.2. Пользователям информационной системы персональных данных запрещается:
записывать и хранить персональные данные на неучтенных носителях информации;
отключать (блокировать) средства защиты информации, входящие в состав системы защиты персональных данных;
производить какие-либо изменения в электрических схемах, монтаже и размещении автоматизированных рабочих мест, серверов и сетевого оборудования, входящих в состав информационной системы персональных данных;
самостоятельно устанавливать, тиражировать или модифицировать программное обеспечение, изменять установленный алгоритм функционирования технических и программных средств;
обрабатывать в информационной системе персональных данных информацию и выполнять другие работы, не предусмотренные должностными обязанностями;
работать на автоматизированном рабочем месте, входящем в состав информационной системы персональных данных, при обнаружении каких-либо неисправностей. В случае обнаружения неисправностей пользователь обязан сообщить ответственному за организацию обработки персональных данных в министерстве и администратору информационной безопасности персональных данных;
хранить носители информации вблизи сильных источников электромагнитных излучений и прямых солнечных лучей;
хранить на учтенных носителях информации программы и данные, не относящиеся к рабочей информации.

X. ПОРЯДОК ПРЕДОСТАВЛЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Предоставление персональных данных внешним организациям через Интернет осуществляется только по защищенным каналам VPN.
10.2. Режим предоставления персональных данных определяется действующими соглашениями между министерством и внешними организациями.
10.3. В случае нарушения защищенного канала VP№ или приостановки или истечения срока действия соглашения предоставление персональных данных прекращается.

XI. ПОРЯДОК ПРОВЕДЕНИЯ ИНСТРУКТАЖА И ОБУЧЕНИЯ ПОЛЬЗОВАТЕЛЕЙ
ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ И АДМИНИСТРАТОРА
СИСТЕМЫ ТЕХНИЧЕСКОЙ ЗАЩИТЫ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Администратор системы технической защиты безопасности персональных данных в министерстве должен быть ознакомлен под роспись со следующими документами:
"Инструкция администратора системы технической защиты безопасности персональных данных";
"Типовое обязательство государственного гражданского служащего Республики Башкортостан в Министерстве труда и социальной защиты населения Республики Башкортостан, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей";
"Инструкция по проведению контроля защищенности информационной системы персональных данных";
"Порядок обеспечения безопасности персональных данных при помощи криптосредств";
"Порядок обращения с криптосредствами и криптоключами".
11.2. В случае необходимости администратор системы технической защиты безопасности персональных данных должен пройти специальное обучение по вопросам обеспечения информационной безопасности и защиты персональных данных, а также по средствам защиты информации, входящим в состав средств защиты персональных данных.
11.3. Первичный инструктаж пользователя информационной системы персональных данных проводится ответственным за организацию обработки персональных данных при приеме государственного гражданского служащего министерства на государственную гражданскую службу. Пользователь информационной системы персональных данных должен быть ознакомлен под роспись со следующими документами:
"Инструкция пользователя по обеспечению безопасности персональных данных";
"Типовое обязательство государственного гражданского служащего Республики Башкортостан в Министерстве труда и социальной защиты населения Республики Башкортостан, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей".

XII. ОРГАНИЗАЦИЯ ПАРОЛЬНОЙ ЗАЩИТЫ УЧЕТНЫХ ЗАПИСЕЙ
ПОЛЬЗОВАТЕЛЕЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ

12.1. Каждому работнику министерства сопоставляется персональное уникальное в рамках министерства имя (учетная запись пользователя), под которым он будет регистрироваться и работать с информационными системами. Некоторым работникам министерства в случае производственной необходимости может быть сопоставлено несколько уникальных имен (учетных записей). Использование несколькими работниками министерства при работе в сети одного и того же имени пользователя ("группового имени") запрещено.
12.2. Основные требования к организации парольной защиты учетных записей пользователей:
пароли учетных записей пользователей должны генерироваться и распределяться централизованно либо выбираться пользователями автоматизированной системы самостоятельно с учетом следующих требований:
длина пароля должна быть не менее 8 символов;
в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.), если это поддерживается информационной системой;
пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования автоматического рабочего места и т.д.), а также общепринятые сокращения, имена пользователей, родственников, знаменательные даты;
при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях.
12.3. В целях повышения эффективности парольной защиты централизованное распределение паролей пользователей следует использовать только в случаях отсутствия в прикладной подсистеме возможности предоставления пользователям осуществлять самостоятельный выбор пароля.
12.4. Для генерации более "стойких" значений паролей (по сравнению со значениями, придуманными самими пользователями) могут применяться специальные программные средства генерации паролей. При этом должна исключаться возможность повторной выработки тех же значений другими пользователями и администратором системы технической защиты безопасности персональных данных.
12.5. Личный пароль пользователь не имеет права сообщать никому.
12.6. В случае если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на уполномоченного администратора системы технической защиты безопасности персональных данных.
12.7. Запрещается хранить пароли в общедоступных местах (на мониторе, системном блоке и т.д.).
12.8. Хранить пароли пользователей допускается только в запечатанных конвертах в сейфе (либо на память). При возникновении производственной необходимости (например, с целью обеспечить возможность оперативного доступа к данным пользователя в его отсутствие) начальник отдела министерства может потребовать от своих работников передавать ему свои пароли (вместе с именами соответствующих учетных записей пользователей) в запечатанном конверте сразу же после их смены. На конверте обязательно проставляется фамилия работника министерства, дата передачи/смены конверта и подписи работника министерства и начальника отдела министерства.
12.9. В каждом случае передачи/смены конверта начальником отдела министерства и работником министерства проверяется целостность нового и старого конверта и в случае обнаружения факта несанкционированного вскрытия необходимо немедленно письменно уведомить ответственного за организацию обработки персональных данных в министерстве.
12.10. Вскрытие конверта с паролем пользователя производится непосредственным начальником отдела с последующим письменным уведомлением ответственного за организацию обработки персональных данных в министерстве. В уведомлении указывается причина вскрытия, владелец конверта и работник министерства, который будет пользоваться паролями вскрытого конверта.
12.11. В случае отсутствия необходимости использования конвертов для хранения паролей, доступ к персональной информации пользователя в его отсутствие осуществляется внеплановой сменой пароля пользователя ответственным за организацию обработки персональных данных в министерстве. Основанием для внеплановой смены пароля в этом случае является заявка начальника отдела в отдел автоматизированных систем управления министерства. В заявке указывается причина внеплановой смены и фамилия работника министерства.
12.12. При необходимости оставить рабочее место пользователь обязан заблокировать консоль рабочей станции информационной системы.
12.13. Плановая смена паролей должна проводиться пользователями регулярно, не реже одного раза в месяц.
12.14. Внеплановая смена личного пароля или блокировка учетной записи пользователя информационной системы в случае прекращения его полномочий должна производиться администратором системы технической защиты безопасности персональных данных немедленно после визирования в министерстве обходного листа.
12.15. Смена (и если возможно блокировка) паролей системных учетных записей и администратора системы технической защиты безопасности персональных данных в случае прекращения их полномочий должна производиться немедленно после визирования ответственному за организацию обработки персональных данных обходного листа.
12.16. В случае компрометации личного пароля пользователя данный пользователь должен немедленно сменить личный пароль и письменно уведомить своего начальника и ответственного за организацию обработки персональных данных о факте компрометации.
12.17. Повседневный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на начальников отделов.
12.18. Пароли пользователей, ответственных за администрирование отдельных прикладных или системных задач, служб и подсистем информационной системы и администратора системы технической защиты безопасности персональных данных должны храниться в запечатанных конвертах в сейфе начальника отдела автоматизированных систем.
12.19. Вскрытие этих конвертов в отсутствие администратора системы технической защиты безопасности персональных данных допускается только в случае необходимости экстренного вмешательства в работу информационных систем для предотвращения уничтожения или искажения системной информации, а также для экстренного восстановления работоспособности жизненно важных для производственного процесса систем министерства после фатального сбоя.

XIII. ОРГАНИЗАЦИЯ ПАРОЛЬНОЙ ЗАЩИТЫ
СИСТЕМНЫХ УЧЕТНЫХ ЗАПИСЕЙ

13.1. Некоторым пользователям, ответственным за администрирование отдельных прикладных или системных задач, служб и подсистем информационной системы, для администрирования подсистем информационной системы может быть сопоставлено несколько дополнительных системных учетных записей. Использование несколькими работниками министерства одной системной учетной записи допускается только в случае отсутствия возможности по созданию каждому из них персональной системной учетной записи в этой подсистеме. Каждой такой "групповой" системной учетной записи сопоставляется список пользователей, ответственных за администрирование отдельных прикладных или системных задач, служб и подсистем информационных систем. Этот список согласуется начальником отдела автоматизированных систем управления и хранится у администратора системы технической защиты безопасности персональных данных.
13.2. Основные требования к организации парольной защиты системных учетных записей:
пароли выбираются администратором системы технической защиты безопасности персональных данных самостоятельно с учетом возможностей информационной системы и следующих рекомендаций:
длина пароля должна быть не менее 6 символов;
в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.), если это поддерживается информационной системой;
пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования автоматизированного рабочего места и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.), имена пользователей родственников, знаменательные даты;
при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях.
13.2.1. Для генерации более "стойких" значений паролей (по сравнению со значениями, придуманными самими пользователями) могут применяться специальные программные средства генерации паролей. При этом должна исключаться возможность повторной выработки тех же значений другими пользователями и администратором системы технической защиты безопасности персональных данных.
13.2.2. Пароли системных учетных записей пользователь, ответственный за администрирование отдельных прикладных или системных задач, служб и подсистем информационных систем, не имеет права сообщать никому.
13.2.3. Работники министерства обязаны передавать на хранение начальнику своего отдела пароли (вместе с именами соответствующих учетных записей) в запечатанном конверте сразу же после их смены. Запечатанные конверты с паролями системных учетных записей должны храниться в сейфе в отдельном конверте.
13.2.4. Период плановой смены паролей системных учетных записей определяется и производится администратором системы технической защиты персональных данных, исходя из технических возможностей и особенностей соответствующей программно-аппаратной подсистемы информационной системы, и согласуется письменно с ответственным за организацию обработки персональных данных в министерстве.
13.2.5. Внеплановая смена пароля или блокировка системной учетной записи в случае прекращения полномочий системного администратора должна производиться назначенным ответственным владельцем немедленно после визирования обходного листа. Дополнительно переоформляется список владельцев пароля этой системной учетной записи и при необходимости переназначается ответственный владелец.
13.2.6. В случае компрометации пароля системной учетной записи пользователя информационной системы персональных данных ее ответственный владелец должен немедленно сменить пароль этой учетной записи и письменно уведомить ответственного за организацию обработки персональных данных в министерстве и администратора информационной безопасности персональных данных о факте компрометации.
13.2.7. Вскрытие конвертов в отсутствие администратора системы технической защиты безопасности персональных данных допускается только в случае необходимости экстренного вмешательства в работу информационных систем для предотвращения уничтожения или искажения системной информации, а также для экстренного восстановления работоспособности жизненно важных для производственного процесса систем министерства после фатального сбоя.

XIV. ДОПОЛНИТЕЛЬНЫЕ ПРАВИЛА ОРГАНИЗАЦИИ ПАРОЛЬНОЙ ЗАЩИТЫ

Если подсистемы информационной системы обладают соответствующими возможностями, то они настраиваются согласно требованиям настоящего Положения перечисленным ниже рекомендациям:
принудительная смена пароля с периодом 60 дней;
принудительная проверка сложности пароля должна быть включена;
ведение истории не менее 5 последних паролей пользователя;
принудительная централизованная настройка рабочих мест пользователей на использование блокировки персонального компьютера экранной заставкой по истечении 10 минут неактивного состояния.

XV. ПРАВИЛА АНТИВИРУСНОЙ ЗАЩИТЫ

15.1. Антивирусное программное обеспечение должно функционировать в режиме непрерывного фонового сканирования программ и файлов на рабочей станции пользователя и на серверах. Обо всех случаях сбоев антивирусного программного обеспечения (появления сообщений об ошибках) пользователь должен немедленно уведомлять ответственного за организацию обработки персональных данных в министерстве и администратора информационной безопасности персональных данных.
15.2. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая по телекоммуникационным каналам, а также информация на съемных носителях (магнитных дисках, лентах, CD-ROM и т.п.).
15.3. Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель).
15.4. Файлы, помещаемые в электронный архив, должны в обязательном порядке проходить антивирусный контроль.
15.5. Устанавливаемое (изменяемое) программное обеспечение должно быть предварительно проверено ответственным за организацию обработки персональных данных в министерстве и администратором информационной безопасности персональных данных на отсутствие вирусов. Непосредственно после установки (изменения) программного обеспечения компьютера (локальной вычислительной сети) должна быть выполнена антивирусная проверка.
15.6. При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление сообщений о системных ошибках и т.п.) работник министерства должен самостоятельно провести внеочередной антивирусный контроль своей рабочей станции. При необходимости работник министерства привлекает работников отдела автоматизированных систем управления для определения ими факта наличия или отсутствия компьютерного вируса.
15.7. В случае обнаружения или подозрения на наличие вирусов пользователи вычислительной сети обязаны:
приостановить работу без перезагрузки компьютера;
немедленно поставить в известность о факте обнаружения зараженных вирусом файлов начальника своего отдела, ответственного за организацию обработки персональных данных в министерстве и администратора информационной безопасности персональных данных, владельца зараженных файлов, а также смежные отделы, использующие эти файлы в работе;
провести лечение или уничтожение зараженных файлов (при необходимости для выполнения требований данного пункта привлечь работников отдела автоматизированных систем управления);
совместно с работниками отдела автоматизированных систем управления определить предположительный источник (отправителя, владельца и т.д.) зараженного файла, тип зараженного файла, характер содержащейся в файле информации, тип вируса.
15.8. При обнаружении активного появления вирусов на рабочих станциях или серверах, что может быть выражено появлением информационных сообщений на станциях и серверах, информации о найденных вирусах на станциях и серверах необходимо выполнить следующие действия:
работники отдела автоматизированных систем управления должны немедленно провести диагностику вирусной атаки на рабочих станциях и серверах, а также по всей сети. Диагностика включает в себя определение типа вирусов, масштаб заражения, возможный источник и опасность атаки;
в зависимости от опасности вирусной атаки, работники отдела автоматизированных систем управления министерства в течение 8 часов обязаны провести следующие мероприятия:
попытаться штатными средствами антивирусной защиты вылечить или вычистить зараженные ресурсы;
при продолжении вирусной атаки необходимо определить источник вирусной атаки и, если он находится в пределах локальной сети, вылечить или устранить этот источник.

XVI. ПРАВИЛА ОБНОВЛЕНИЯ ОБЩЕСИСТЕМНОГО И ПРИКЛАДНОГО
ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Необходимо соблюдать следующие правила обновления общесистемного и прикладного программного обеспечения:
обновление общесистемного и прикладного программного обеспечения должно производиться регулярно по мере выхода пакетов обновлений в автоматическом режиме;
в случае невозможности автоматического обновления обновление производится вручную работником отдела автоматизированных систем управления;
пользователю запрещается самостоятельно запускать процедуру обновления.

XVII. ПОРЯДОК КОНТРОЛЯ ЗА СОБЛЮДЕНИЕМ УСЛОВИЙ ИСПОЛЬЗОВАНИЯ
СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ, ПРЕДУСМОТРЕННЫХ ЭКСПЛУАТАЦИОННОЙ
И ТЕХНИЧЕСКОЙ ДОКУМЕНТАЦИЕЙ

17.1. Контроль за соблюдением условий использования средств защиты информации должен регулярно производиться администратором системы технической защиты безопасности персональных данных.
17.2. Контроль производится в соответствии с эксплуатационной документацией на средства защиты информации, входящие в состав средств защиты персональных данных. Проверяется соответствие условий эксплуатации средств защиты информации с указанными в эксплуатационной документации.

XVIII. ПОРЯДОК УНИЧТОЖЕНИЯ ОБРАБОТАННЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
При уничтожении персональных данных заполняется акт об уничтожении персональных данных согласно приложению к настоящим Правилам.





Приложение
к Правилам обработки персональных
данных в Министерстве труда
и социальной защиты населения
Республики Башкортостан

Типовая форма акта
об уничтожении персональных данных

№ ____ "___" ______________ 20___ г.



Мы, нижеподписавшиеся работники Министерства труда и социальной защиты
населения Республики Башкортостан:

__________________________________________ ____________________________
(должность) (Ф.И.О.)

__________________________________________ ____________________________
(должность) (Ф.И.О.)

составили настоящий акт о том, что на автоматизированном рабочем месте
приема регистров получателей услуг осуществлено уничтожение регистров
получателей государственных услуг, содержащих персональные данные, путем
удаления информационных пакетов с помощью специальных программных средств.

№ п/п
Дата получения Акта о приеме-передаче региональных сегментов регистров получателей государственных услуг
Дата уничтожения регистров получателей государственных услуг, содержащих персональные данные
Примечания
1
2
3
4






Подписи участников:

1. ________________/_____________________

2. ________________/_____________________





Приложение № 2
к Приказу Министерства труда
и социальной защиты населения
Республики Башкортостан
от 20 сентября 2013 г. № 355-о

ПРАВИЛА
РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ИЛИ
ИХ ПРЕДСТАВИТЕЛЕЙ В МИНИСТЕРСТВЕ ТРУДА И СОЦИАЛЬНОЙ ЗАЩИТЫ
НАСЕЛЕНИЯ РЕСПУБЛИКИ БАШКОРТОСТАН
Список изменяющих документов
(в ред. Приказа Минтруда РБ от 01.04.2014 № 218-о)

1. Настоящие Правила рассмотрения запросов субъектов персональных данных (далее - Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (далее - Федеральный закон), Трудовым кодексом Российской Федерации и определяют порядок обработки поступающих в Министерство труда и социальной защиты населения Республики Башкортостан (далее - министерство) обращений субъектов персональных данных и их представителей.
2. В соответствии с законодательством субъект персональных данных или его представитель имеет право при обращении или запросе на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных в министерстве;
правовые основания и цели обработки персональных данных;
цели и применяемые в министерстве способы обработки персональных данных;
наименование и место нахождения министерства, сведения о лицах (за исключением государственных гражданских служащих Республики Башкортостан в министерстве), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании Федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения в министерстве;
порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению министерства, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные законодательством.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
(в ред. Приказа Минтруда РБ от 01.04.2014 № 218-о)
обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Если субъект персональных данных или его представитель считает, что министерство осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных или его представитель вправе обжаловать действия (бездействие) министерства в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных или его представитель имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
3. При поступлении запроса субъекта персональных данных или его представителя работник министерства регистрирует его в журнале учета обращений субъектов персональных данных.
Министерство обязано сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя.
В случае отказа в предоставлении субъекту персональных данных или его представителю при запросе либо при получении запроса субъекта персональных данных или его представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных, министерство обязано дать в письменной форме мотивированный ответ в срок, не превышающий семи рабочих дней со дня запроса субъекта персональных данных или его представителя, либо с даты получения запроса субъекта персональных данных или его представителя.
Министерство обязано безвозмездно предоставить субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также обязано внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные при предоставлении субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет министерство, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах министерство обязано уведомить субъекта персональных данных или его представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
Министерство обязано сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.





Приложение № 3
к Приказу Министерства труда
и социальной защиты населения
Республики Башкортостан
от 20 сентября 2013 г. № 355-о

ПЕРЕЧЕНЬ
ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ, ИСПОЛЬЗУЕМЫХ
В МИНИСТЕРСТВЕ ТРУДА И СОЦИАЛЬНОЙ ЗАЩИТЫ НАСЕЛЕНИЯ
РЕСПУБЛИКИ БАШКОРТОСТАН

№ п/п
Наименование информационной системы персональных данных
Правовое основание обработки персональных данных
Обрабатываемые персональные данные
Категория обрабатываемых персональных данных
Объем обрабатываемых данных
Наличие подключений к сетям общего пользования (Интернет)
Способ передачи персональных данных в вышестоящие и иные организации
Тип актуальных угроз
Режим обработки
1.
"1С:Бухгалтерия"
Налоговый кодекс Российской Федерации (часть первая) от 31.07.1998 № 146-ФЗ, Налоговый кодекс Российской Федерации (часть вторая) от 05.08.2000 № 117-ФЗ; Федеральный закон от 1 апреля 1996 г. № 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования"; Федеральный закон от 29 ноября 2010 г. № 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации"
Фамилия, имя, отчество; дата рождения; адрес; семейное положение; пол; гражданство; номер, серия паспорта или другого документа, удостоверяющего личность; идентификационный номер налогоплательщика; номер страхового свидетельства в пенсионном фонде; номер лицевого счета в кредитной организации; количество иждивенцев с указанием даты рождения; данные трудовой книжки
Данные сотрудников
Менее 100000
Да
Программа ViPNet Отчет (защищенного межсетевого обмена) на съемных носителях
3
Однопользовательский
2.
"1С:Зарплата и кадры"
Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ; Федеральный закон от 27.07.2004 № 79-ФЗ "О государственной гражданской службе Российской Федерации"
Фамилия, имя, отчество; дата рождения; адрес; семейное положение; пол; гражданство; номер, серия паспорта или другого документа, удостоверяющего личность; идентификационный номер налогоплательщика; номер страхового свидетельства в пенсионном фонде; номер лицевого счета в кредитной организации; количество иждивенцев с указанием даты рождения; данные трудовой книжки
Данные сотрудников
Менее 100000
Да
Не передаются
3
Однопользовательский
3.
"Автоматизированная информационная система "Адресная социальная помощь"
Постановление Правительства Республики Башкортостан от 29.12.2008 № 466 "О мерах по реализации Закона Республики Башкортостан "О форме предоставления мер социальной поддержки по оплате жилого помещения и коммунальных услуг отдельным категориям граждан в Республике Башкортостан"; Постановление Правительства Республики Башкортостан от 31.12.2004 № 272 "О мерах по реализации Закона Республики Башкортостан "О ветеранах войны, труда и Вооруженных Сил"
Фамилия, имя, отчество; дата рождения; адрес; серия и номер паспорта; сведения, удостоверяющие право заявителя (носителя льгот) на меры социальной поддержки; справка о составе семьи; свидетельство о рождении детей; сведения о количестве членов семьи; сведения о доходах заявителя и членов его семьи; сведения о наличии заболеваний; страховой номер индивидуального лицевого счета; пенсионное удостоверение; сведения о праве на льготы
Специальной категории
Более 100000
Да
Не передаются
3
Многопользовательский





Приложение № 4
к Приказу Министерства труда
и социальной защиты населения
Республики Башкортостан
от 20 сентября 2013 г. № 355-о

ПЕРЕЧЕНЬ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В МИНИСТЕРСТВЕ ТРУДА
И СОЦИАЛЬНОЙ ЗАЩИТЫ НАСЕЛЕНИЯ РЕСПУБЛИКИ БАШКОРТОСТАН
В СВЯЗИ С РЕАЛИЗАЦИЕЙ ТРУДОВЫХ ОТНОШЕНИЙ, А ТАКЖЕ В СВЯЗИ
С ОКАЗАНИЕМ ГОСУДАРСТВЕННЫХ УСЛУГ И ОСУЩЕСТВЛЕНИЕМ
ГОСУДАРСТВЕННЫХ ФУНКЦИЙ

1.
База персональных данных, содержащая сведения о доходах работников Министерства труда и социальной защиты населения Республики Башкортостан в электронном виде
2.
Информация на бумажном носителе, содержащая сведения о доходах работников Министерства труда и социальной защиты населения Республики Башкортостан
3.
В соответствии с Федеральным законом от 1 апреля 1996 г. № 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования":
- база индивидуальных сведений о страховом стаже и начисленных страховых взносах работников Министерства труда и социальной защиты населения Республики Башкортостан;
- информация на бумажном носителе, содержащая сведения о стаже и начисленных страховых взносах работников Министерства труда и социальной защиты населения Республики Башкортостан
4.
Персональные данные, внесенные в личные дела должностных лиц работников Министерства труда и социальной защиты населения Республики Башкортостан, "Индивидуальные сведения о страховом стаже и начисленных страховых взносах работников"
5.
Персональные данные работников Министерства труда и социальной защиты населения Республики Башкортостан, "Индивидуальные сведения о страховом стаже и начисленных страховых взносах работников", личные дела работников
6.
В соответствии с Постановлением Правительства Российской Федерации от 2 августа 2005 г. № 475 "О предоставлении членам семей погибших (умерших) военнослужащих и работников некоторых федеральных органов исполнительной власти компенсационных выплат в связи с расходами по оплате жилых помещений, коммунальных и других видов услуг":
- база персональных данных на получателей компенсационной выплаты в электронном виде
7.
В соответствии с Постановлением Правительства Российской Федерации от 4 августа 2006 г. № 472 "О финансировании ежемесячных компенсационных выплат нетрудоустроенным женщинам, имеющим детей в возрасте до 3 лет, уволенным в связи с ликвидацией организации":
- база персональных данных на получателей ежемесячной компенсационной выплаты в электронном виде
8.
В соответствии с Постановлением Правительства Российской Федерации от 2 октября 2006 г. № 591 "О ежемесячном пособии детям отдельных категорий военнослужащих, погибших при исполнении обязанностей военной службы по призыву":
- база персональных данных на получателей ежемесячного пособия в электронном виде
9.
В соответствии с Законом Российской Федерации от 15 мая 1991 г. № 1244-1 "О социальной защите граждан, подвергшихся воздействию радиации вследствие катастрофы на Чернобыльской АЭС":
- база персональных данных на получателей ежемесячной денежной компенсации в возмещение вреда;
- информация о персональных данных, содержащаяся в копиях личных дел получателей ежемесячной компенсационной выплаты
10.
В соответствии с Законом Республики Башкортостан от 17 декабря 2004 г. № 132-з "О ежемесячном пособии на ребенка в Республике Башкортостан"; с Федеральным законом от 19 мая 1995 г. № 81-ФЗ "О государственных пособиях гражданам, имеющим детей":
- база персональных данных на получателей компенсационной выплаты в электронном виде
11.
В соответствии с Указом Президента Республики Башкортостан от 20 сентября 2000 г. № УП-575 "О дополнительных мерах государственной поддержки отдельных категорий многодетных семей в Республике Башкортостан"; с Указом Президента Республики Башкортостан от 27 мая 1996 г. № УП-345 "О мерах по государственной поддержке семьи, материнства, детства и улучшению демографической ситуации в Республике Башкортостан"; с Указом Президента Республики Башкортостан от 22 января 1998 г. № УП-26 "О проведении года семьи, усилении защиты материнства и детства в Республике Башкортостан":
- база персональных данных на получателей ежемесячной компенсационной выплаты в электронном виде
12.
В соответствии с Постановлением Правительства Республики Башкортостан от 25 января 2008 г. № 9 "О порядке оказания адресной социальной помощи населению в Республике Башкортостан":
- база персональных данных на получателей ежемесячной компенсационной выплаты в электронном виде
13.
В соответствии с Постановлением Правительства Республики Башкортостан от 28 ноября 2005 г. № 258 "Об утверждении Правил выплаты инвалидам, получившим транспортные средства через органы социальной защиты населения, компенсации страховых премий по договору обязательного страхования гражданской ответственности владельцев транспортных средств":
- база персональных данных на получателей ежемесячной компенсационной выплаты в электронном виде
14.
В соответствии с Законом Республики Башкортостан от 25 декабря 1996 г. № 63-з "О погребении и похоронном деле в Республике Башкортостан":
- база персональных данных на получателей в электронном виде
15.
В соответствии с Законом Республики Башкортостан от 13 октября 1994 г. № ВС-25/38 "О ветеранах войны, труда и Вооруженных Сил":
- база персональных данных на получателей в электронном виде
16.
В соответствии с Указом Президента Республики Башкортостан от 26 марта 2004 г. № УП-183 "О доплате к пенсии отдельным категориям инвалидов боевых действий"; с Указом Президента Республики Башкортостан от 25 марта 1996 г. № УП-176 "Об установлении доплаты к пенсиям женщин-участниц Великой Отечественной войны"; с Законом Республики Башкортостан от 30 декабря 2002 г. № 444-з "О доплате к пенсии граждан, необоснованно привлеченных к уголовной ответственности по политическим мотивам в период политических репрессий и впоследствии реабилитированных"; с Постановлением Кабинета Министров Республики Башкортостан от 9 августа 2002 г. № 240 "Об утверждении Положения о порядке назначения и выплаты ежемесячной доплаты к пенсии отдельной категории инвалидов ВОВ, которым причинная связь инвалидности с ранением на фронте установлена по клиническим признакам ранения без предоставления военно-медицинских документов и по документам, подтверждающим пребывание в действующей армии":
- база персональных данных на получателей в электронном виде
17.
В соответствии с Законом Республики Башкортостан от 17 декабря 2004 г. № 133-з "О социальной поддержке жертв политических репрессий в Республике Башкортостан":
- база персональных данных на получателей в электронном виде
18.
В соответствии с Законом Российской Федерации от 9 июня 1993 г. № 5142-1 "О донорстве крови и ее компонентов":
- база персональных данных на получателей в электронном виде
19.
Общероссийская Государственная база данных о социальном положении ветеранов Великой Отечественной войны и участников боевых действий
20.
Информация о персональных данных, содержащаяся в личных делах граждан, состоящих на учете в органах социальной защиты населения субъектов Российской Федерации для обеспечения транспортными средствами бесплатно или на льготных условиях в соответствии с медицинскими показаниями
21.
Информация о персональных данных, содержащихся в личных делах граждан, из числа ветеранов, инвалидов и семей, имеющих детей-инвалидов, нуждающихся в улучшении жилищных условий, вставших на учет до 1 января 2005 г.
22.
В соответствии с Постановлением Правительства Республики Башкортостан от 31 декабря 2004 г. № 272 "О мерах по реализации Закона РБ "О ветеранах войны, труда и Вооруженных Сил":
- база персональных данных на получателей в электронном виде
23.
В соответствии с Федеральным законом от 24 ноября 1995 г. № 181-ФЗ "О социальной защите инвалидов в Российской Федерации":
- база персональных данных на получателей в электронном виде
24.
В соответствии с Постановлением Правительства Республики Башкортостан от 21 марта 2005 г. № 42 "О мерах по реализации Закона Республики Башкортостан "О социальной поддержке инвалидов в Республике Башкортостан":
- база персональных данных на получателей в электронном виде
25.
В соответствии с Законом Республики Башкортостан от 17 декабря 2004 г. № 130-з "О социальной поддержке инвалидов в Республике Башкортостан":
- база персональных данных на получателей в электронном виде
26.
В соответствии с Законом РФ от 18 октября 1991 г. № 1761-1 "О реабилитации жертв политических репрессий":
- база персональных данных на получателей в электронном виде
27.
В соответствии с распоряжением Правительства Республики Башкортостан от 7 апреля 2008 № 361-р о полномасштабном внедрении проекта "Социальная карта Башкортостана" в 2008 году, Приказом Министерства труда и социальной защиты Республики Башкортостан от 30 мая 2008 г. № 492-о "Об организации работы Министерства и его территориальных органов по реализации проекта "Социальная карта Башкортостана":
- база персональных данных на заявителей в электронном виде





Приложение № 5
к Приказу Министерства труда
и социальной защиты населения
Республики Башкортостан
от 20 сентября 2013 г. № 355-о

Согласие на обработку персональных данных
в Министерстве труда и социальной защиты населения
Республики Башкортостан

Я, ________________________________________________________________________
фамилия, имя, отчество
паспорт: серия _____ номер ______ кем выдан _______________________________
дата выдачи "___" _________________________________________________________
адрес регистрации по месту жительства: ____________________________________
___________________________________________________________________________
адрес регистрации по месту пребывания: ____________________________________
___________________________________________________________________________
с целью исполнения определенных сторонами условий служебного контракта даю
согласие Министерству труда и социальной защиты населения Республики
Башкортостан (450008, г. Уфа, ул. Пушкина, 95) на обработку в
документальной и/или электронной форме нижеследующих персональных данных:
фамилия, имя, отчество; дата рождения; место рождения; пол; гражданство;
знание иностранного языка; образование и повышение квалификации или наличие
специальных знаний; профессия (специальность); общий трудовой стаж,
сведения о приемах, перемещениях и увольнениях по предыдущим местам работы,
размер заработной платы; состояние в браке, состав семьи, место работы или
учебы членов семьи и родственников; паспортные данные, адрес места
жительства, дата регистрации по месту жительства; номер телефона;
идентификационный номер; номер страхового свидетельства государственного
пенсионного страхования; сведения, включенные в трудовую книжку; сведения о
воинском учете; фотография; сведения о состоянии здоровья, которые
относятся к вопросу о возможности выполнения работником трудовой функции.
Настоящее согласие действует в течение всего срока действия служебного контракта. Настоящее соглашение может быть отозвано мной в письменной форме.

"___" _______________ 20___ г. личная подпись
Зарегистрировано в журнале учета документов
о согласии на обработку персональных данных
работников
"___" _______________ 20___ г. № ____





Приложение № 6
к Приказу Министерства труда
и социальной защиты населения
Республики Башкортостан
от 20 сентября 2013 г. № 355-о

Форма разъяснения субъекту персональных данных юридических
последствий отказа предоставить свои персональные данные

Мне, ______________________________________________________________________
(фамилия, имя, отчество)
разъяснены юридические последствия отказа предоставить свои персональные
данные в Министерство труда и социальной защиты населения Республики
Башкортостан.
В соответствии со статьями 26, 42 Федерального закона от 27 июля 2004 г. № 79-ФЗ "О государственной гражданской службе Российской Федерации", Положением о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденным Указом Президента Российской Федерации от 30 мая 2005 г. № 609, определен перечень персональных данных, которые субъект персональных данных обязан предоставить в связи с поступлением на государственную гражданскую службу или прохождением государственной гражданской службы.
Без представления субъектом персональных данных обязательных для заключения служебного контракта сведений служебный контракт не может быть заключен.
На основании пункта 11 части 1 статьи 33 Федерального закона от 27 июля 2004 г. № 79-ФЗ "О государственной гражданской службе Российской Федерации" служебный контракт прекращается вследствие нарушения установленных обязательных правил его заключения, если это нарушение исключает возможность замещения должности гражданской службы.




Субъект персональных данных

"___" ___________ 20___ г. __________________ ______________________





Приложение № 7
к Приказу Министерства труда
и социальной защиты населения
Республики Башкортостан
от 20 сентября 2013 г. № 355-о

Форма типового обязательства государственного гражданского
служащего Республики Башкортостан в Министерстве труда
и социальной защиты населения Республики Башкортостан,
непосредственно осуществляющего обработку персональных
данных, в случае расторжения с ним служебного контракта
прекратить обработку персональных данных, ставших
известными ему в связи с исполнением должностных
обязанностей
Я, ___________________________________________________________________,
(Ф.И.О. лица, допущенного к обработке персональных данных)
исполняющий(ая) должностные обязанности по замещаемой должности
___________________________________________________________________________
предупрежден(а) о том, что на период исполнения должностных обязанностей
мне будет предоставлен допуск к информации, содержащей персональные данные.
Я уведомлен(а) о том, что в соответствии со статьей 7 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" персональные данные являются конфиденциальной информацией и обязуюсь:
1. Не раскрывать третьим лицам и не распространять информацию, содержащую персональные данные, ставшую известной мне в связи с исполнением должностных обязанностей, без согласия субъекта персональных данных.
2. В случае попытки третьих лиц получить от меня информацию, содержащую персональные данные, сообщать непосредственному начальнику.
3. Не использовать информацию, содержащую персональные данные, с целью получения выгоды.
4. Прекратить обработку персональных данных, ставших известными мне в связи с исполнением должностных обязанностей, в случае расторжения со мной служебного контракта, освобождения меня от замещаемой должности и (или) увольнения.
Я предупрежден(а) о том, что нарушение данного обязательства является основанием для привлечения к дисциплинарной ответственности и (или) иной ответственности в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных" и другими федеральными законами Российской Федерации.

Ознакомлен(а):

"___" _____________ 20___ г. ________________/_______________________/
(подпись) (расшифровка подписи)





Приложение № 8
к Приказу Министерства труда
и социальной защиты населения
Республики Башкортостан
от 20 сентября 2013 г. № 355-о

ПОРЯДОК
ДОСТУПА РАБОТНИКОВ МИНИСТЕРСТВА ТРУДА И СОЦИАЛЬНОЙ ЗАЩИТЫ
НАСЕЛЕНИЯ РЕСПУБЛИКИ БАШКОРТОСТАН В ПОМЕЩЕНИЯ, В КОТОРЫХ
ВЕДЕТСЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Запрещается оставлять материальные носители с персональными данными без присмотра в незапертом помещении, в котором осуществляется обработка персональных данных.
2. Все работники Министерства труда и социальной защиты населения Республики Башкортостан (далее - министерство), постоянно работающие в помещениях, в которых ведется обработка персональных данных, должны быть допущены к работе с соответствующими видами персональных данных.
3. В помещениях министерства применяются административные, технические, физические и процедурные меры, направленные для защиты данных от нецелевого использования, несанкционированного доступа, раскрытия, потери, изменения и уничтожения обрабатываемых персональных данных. К указанным мерам относятся:
- физические меры защиты: двери, снабженные замками, сейфы и безопасное уничтожение носителей, содержащих персональные данные;
- технические меры защиты: применение антивирусных программ, программ защиты, установление паролей на персональных компьютерах;
- административные меры защиты: обучение и ознакомление с принципами безопасности и конфиденциальности, доведение до операторов обработки персональных данных важности защиты персональных данных и способов обеспечения защиты;
- процедурные меры защиты: разделение обязанностей пользователей информационной системы персональных данных, разграничение доступа, минимизация привилегий.





Приложение № 9
к Приказу Министерства труда
и социальной защиты населения
Республики Башкортостан
от 20 сентября 2013 г. № 355-о

ДОЛЖНОСТНОЙ РЕГЛАМЕНТ
ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ
ДАННЫХ В МИНИСТЕРСТВЕ ТРУДА И СОЦИАЛЬНОЙ ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ


1. Ответственный за организацию обработки персональных данных в Министерстве труда и социальной защиты персональных данных (далее - министерство), назначаемый приказом министерства, в своей деятельности руководствуется Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных", Федеральным законом от 2 марта 2006 г. № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", Трудовым кодексом Российской Федерации, Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Положением об обеспечении безопасности персональных данных в Министерстве труда и социальной защиты населения Республики Башкортостан, утверждаемым приказом министерства, Правилами обработки персональных данных в Министерстве труда и социальной защиты населения Республики Башкортостан, утверждаемыми приказом министерства, настоящим Должностным регламентом.
Ответственный за организацию обработки персональных данных в министерстве обязан:
определить порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
анализировать эффективность применения мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
контролировать состояние учета машинных носителей персональных данных;
проверять соблюдение правил доступа к персональным данным в министерстве;
контролировать проведение мероприятий в министерстве по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
2. Ответственный за организацию обработки персональных данных в министерстве имеет право:
требовать от работников министерства, допущенных к обработке персональных данных в министерстве, уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
применять меры по приостановлению или прекращению обработки персональных данных в министерстве, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить министру труда и социальной защиты населения Республики Башкортостан предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке в министерстве;
предоставлять субъекту персональных данных либо его представителю по запросу информацию об обработке его персональных данных в министерстве;
осуществлять внутренний текущий контроль за соблюдением требований законодательства Российской Федерации и Правил обработки персональных данных в Министерстве труда и социальной защиты Республики Башкортостан, утвержденных приказом министерства, при обработке персональных данных, в том числе требований к защите персональных данных;
доводить до сведения лиц, допущенных к обработке персональных данных, положения федерального законодательства Российской Федерации о персональных данных, нормативных правовых актов министерства по вопросам обработки персональных данных;
получать от работников министерства, допущенных к работе с персональными данными, типовое обязательство работника Министерства труда и социальной защиты населения Республики Башкортостан, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
получать согласие субъекта персональных данных на обработку персональных данных в министерстве.


------------------------------------------------------------------