Обработка персональных данных военнослужащих и гражданского персонала минобороны пойдет по новым правилам
В оборонном ведомстве озаботились более тщательным сохранением персональных данных военнослужащих и гражданского персонала армии и флота.
Новый порядок работы с конфиденциальной информацией, к которой всегда относились "именные" сведения о личном составе Вооруженных сил, детально расписан в приказе министра обороны N1500. Он опубликован в сегодняшнем номере "Российской газеты".
Документ регламентирует не только этапы электронной обработки персональных данных служивых, но и подробно говорит о порядке обращения с бумажными носителями секретных данных. За тем, чтобы они не попали в чужие руки, будут следить в специальном управлении Генштаба - так называемой "восьмерке". Кроме того, ее специалисты проверят, нет ли утечки сведений во время их обработки в информационных системах минобороны.
Эта предосторожность лишней не выглядит. Персональные данные армейских руководителей и военачальников всегда были и останутся предметом пристального внимания иностранных разведок. А с недавних пор информацию о руководителях некоторых структур минобороны пытаются использовать и для организации экономических преступлений. К примеру, недавно полицейские обезвредили группу мошенников, которые с помощью телефонных и электронных запросов, якобы исходящих из МВД, добывали в силовых ведомствах конфиденциальные сведения и продавали их заинтересованным лицам.
Чтобы такой "слив" был невозможным, в приказе министра обороны четко сказано, кому и кого разрешено знакомить с персональными данными военных. Таким правом, в частности, наделены армейские кадровики. А доступ к этой информационной базе сторонних организаций обставлен целым перечнем требований. Среди них обязательное наличие письменного запроса, договора или соглашения на обмен закрытой информацией. Более того, во многих случаях передача таких сведений запрещена без письменного согласия человека.
Но сам военнослужащий вправе узнать, что хранится в его базе данных, и даже затребовать оттуда копию любой записи. Главное, чтобы процедура ознакомления с этими сведениями не нарушала Закон "О персональных данных".
Если военнослужащий обнаружил, что информация о нем неполная, устаревшая или недостоверная, он может потребовать, чтобы ее исправили, блокировали или даже уничтожили. То же касается данных, которые занесены в его базу с нарушением закона.
Для государства важно иметь исчерпывающую информацию не только о действующих военных, но и о людях, которых могут призвать в армию во время войны. Поэтому Закон "О государственной гражданской службе Российской Федерации" разрешает министерству обороны вести учет персональных данных российских граждан при формировании кадрового резерва. Это положение тоже нашло свое отражение в приказе N 1500.
Приказ Министра обороны Российской Федерации от 16 июня 2012 г. N 1500 г. Москва "Об утверждении Положения об обработке персональных данных в центральном аппарате Министерства обороны Российской Федерации"
Дата официальной публикации: 3 октября 2012 г.
Опубликовано: 3 октября 2012 г. в "РГ" - Федеральный выпуск №5900
Зарегистрирован в Минюсте РФ 14 сентября 2012 г. Регистрационный N 25474
1. Утвердить прилагаемое Положение об обработке персо нальных данных в центральном аппарате Министерства обороны Российской Федерации.
2. Возложить функцию по обеспечению безопасности персо нальных данных при их обработке в информационных системах Министерства обороны Российской Федерации на Восьмое управление Генерального штаба Вооруженных Сил Российской Федерации.
3. Руководителям центральных органов военного управления:
обеспечить доработку должностных регламентов (должностных обязанностей) лиц, уполномоченных на обработку персональных данных, в части закрепления ответственности, предусмотренной законодательством Российской Федерации за нарушение режима конфиденциальности, а также обеспечения безопасности обраба тываемых ими персональных данных;
определить места хранения персональных данных;
до 1 октября 2012 г. осуществить классификацию эксплуати руемых информационных систем персональных данных.
4. Контроль за выполнением настоящего приказа возложить на начальника Генерального штаба Вооруженных Сил Российской Федерации - первого заместителя Министра обороны Российской Федерации.
Министр обороны Российской Федерации А. Сердюков
Приложение
Положение об обработке персональных данных в центральном аппарате Министерства обороны Российской Федерации
I. Общие положения
1. Настоящее Положение разработано в соответствии с Феде ральным законом от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации" (Собрание законодательства Российской Федерации, 2004, N 31, ст. 3215; 2006, N 6, ст. 636; 2007, N 10, ст. 1151; N 16, ст. 1828; N 49, ст. 6070; 2008, N 13, ст. 1186; N 30 (ч. II), ст. 3616; N 52 (ч. I), ст. 6235; 2009, N 29, ст. 3597, 3624; N 48, ст. 5719; N 51, ст. 6150, 6159; 2010, N 5, ст. 459; N 7, ст. 704; N 49, ст. 6413; N 51 (ч. III), ст. 6810; 2011, N 1, ст. 31; N 27, ст. 3866; N 29, ст. 4295; N 48, ст. 6730; N 50, ст. 7337) (далее - Федеральный закон "О государственной граждан ской службе Российской Федерации"), частью 2 статьи 4 Феде рального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31 (ч. I), ст. 3451; 2009, N 48, ст. 5716; N 52 (ч. I), ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, 4196; N49, ст. 6409; 2011, N 23, ст. 3263; N 31, ст. 4701) (далее - Федеральный закон "О персо нальных данных"), Указом Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персо нальных данных государственного гражданского служащего Российской Федерации и ведении его личного дела" (Собрание законодательства Российской Федерации, 2005, N 23, ст. 2242; 2008, N 43, ст. 4921), постановлением Правительства Российской Феде рации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2007, N 48 (ч. II), ст. 6001), постановлением Правительства Российской Федерации от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных" (Собрание законодательства Российской Федерации, 2008, N 28, ст. 3384), постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (Собрание законодательства Российской Федерации, 2008, N 38, ст. 4320) и определяет правила и условия обработки персональных данных военнослужащих и федеральных государственных гражда нских служащих Вооруженных Сил Российской Федерации, прохо дящих службу в центральном аппарате Министерства обороны Российской Федерации (далее - военнослужащие и гражданские служащие), и кандидатов на замещение вакантных должностей федеральной государственной гражданской службы Министерства обороны (далее - иные лица) в центральном аппарате Министерства обороны (далее - субъекты персональных данных).
2. Министерство обороны является оператором, самос тоятельно или совместно с другими лицами организующим и (или) осуществляющим обработку персональных данных субъектов персональных данных (далее - персональные данные), а также определяющим цели обработки персональных данных, состав персо нальных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
3. Обработка персональных данных в центральном аппарате Министерства обороны осуществляется в целях исполнения функций в области обороны, а также ведения кадровой работы (ведение и хранение личных дел, учетных карточек и трудовых книжек гражданских служащих, содействие в трудоустройстве, обучении и должностном росте, обеспечение личной безопасности военнослужащего (гражданского служащего) и членов его семьи, учет результатов исполнения им должностных обязанностей, обеспечение сохранности имущества Министерства обороны, а также документов иных лиц.
II. Правила обработки персональных данных
4. Обработка персональных данных осуществляется с письменного согласия субъектов персональных данных, которое действует со дня их поступления на службу и на время ее прохождения, как с использованием средств автоматизации, так и без использования таких средств.
5. Представитель нанимателя в лице Министра обороны Российской Федерации (статс-секретаря - заместителя Министра обороны Российской Федерации), осуществляющего полномочия нанимателя от имени Российской Федерации, а также начальник Главного управления кадров Министерства обороны Российской Федерации обеспечивают защиту персональных данных, содержа щихся в личных делах субъектов персональных данных, от неправомерного их использования или утраты.
6. Персональные данные и иные сведения, содержащиеся в личных делах субъектов персональных данных, относятся к сведениям конфиденциального характера (за исключением сведе ний, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - к сведе ниям, составляющим государственную тайну.
7. При обработке персональных данных в целях реализации возложенных на Министерство обороны полномочий лица, уполно моченные на обработку персональных данных (далее - уполно моченные должностные лица), обязаны соблюдать следующие требования:
а) объем и характер обрабатываемых персональных данных, способы обработки персональных данных должны соответствовать целям обработки персональных данных;
б) защита персональных данных от неправомерного их испо льзования или уничтожения обеспечивается в порядке, установлен ном нормативными правовыми актами Российской Федерации;
в) передача персональных данных не допускается без письменного согласия субъекта персональных данных, за исключением случаев, установленных федеральными законами. В случае если лицо, обратившееся с запросом, не обладает соответствующими полномочиями на получение персональных данных либо отсутствует письменное согласие субъекта персональных данных на передачу его персональных данных, Министерство обороны вправе отказать в предоставлении персо нальных данных, В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации;
г) обеспечение конфиденциальности персональных данных, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных;
д) хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Указанные сведения подлежат уничтожению по достижении цели обработки или в случае утраты необходимости в их достижении, если иное не установлено законодательством Российской Федерации. Факт уничтожения персональных данных оформляется актом;
е) опубликование и распространение персональных данных до пускается в случаях, установленных законодательством Российской Федерации.
8. Обработка биометрических и специальных категорий персо нальных данных осуществляется с письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации в области персональных данных. Использование и хранение биометрических и специальных категорий персональных данных вне информационных систем персональных данных может осуществляться только на таких мате риальных носителях информации и с применением такой техно логии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
9. В целях обеспечения защиты персональных данных субъекты персональных данных вправе:
а) получать полную информацию о своих персональных данных и способе обработки этих данных (в том числе автома тизированной);
б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, за исключением случаев, предусмотренных Федеральным законом "О персональных данных";
в) требовать внесения необходимых изменений, уничтожения или блокирования персональных данных, которые являются неполными, устаревшими, недостоверными, незаконно получен ными или не являются необходимыми для заявленной цели обработки;
г) обжаловать в порядке, установленном законодательством Российской Федерации, действия (бездействие) уполномоченных должностных лиц.
10. Министерство обороны в соответствии с Федеральным законом "О государственной гражданской службе Российской Федерации" вправе осуществлять обработку (в том числе автоматизированную) персональных данных гражданских служащих при формировании кадрового резерва.
11. Трансграничная передача персональных данных на терри тории иностранных государств осуществляется в соответствии со статьей 12 Федерального закона "О персональных данных" и Указом Президента Российской Федерации от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-теле коммуникационных сетей международного информационного обме на" (Собрание законодательства Российской Федерации, 2008, N 12, ст. 1110; N 43, ст. 4919; 2011, N 4, ст. 572).
12. Министерство обороны в соответствии с Федеральным законом "О государственной гражданской службе Российской Федерации" и Положением о конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации, утвержденным Указом Президента Российской Федера ции от 1 февраля 2005 г. N112 (Собрание законодательства Российской Федерации, 2005, N 6, ст. 439; 2011, N 4, ст. 578) вправе осуществлять обработку (в том числе автоматизированную) персональных данных иных лиц.
13. При переводе или назначении гражданского служащего на должность федеральной государственной гражданской службы в другом государственном (муниципальном) органе его личное дело передается в государственный (муниципальный) орган по новому месту замещения должности гражданской службы по письменному запросу соответствующего органа.
III. Правила обработки персональных данных, осуществляемой без использования средств автоматизации
14. Обработка персональных данных без использования средств автоматизации осуществляется как на бумажных носителях, так и в электронном виде на материальных носителях информации.
15. Неавтоматизированная обработка персональных данных в электронном виде должна осуществляться на съемных материальных носителях информации.
16. При отсутствии технологической возможности осуществле ния неавтоматизированной обработки персональных данных в электронном виде на съемных материальных носителях информации необходимо принимать организационные (охрана помещений) и технические (установка сертифицированных средств защиты информации) меры, исключающие возможность несанкциони рованного доступа к персональным данным лиц, не допущенных к их обработке.
17. Учет материальных носителей информации, содержащих персональные данные, осуществляется служебным делопроизвод ством. Допускается ведение журналов учета в электронном виде.
18. При обработке персональных данных без использования средств автоматизации уполномоченными должностными лицами не допускается фиксация на одном материальном носителе персональ ных данных, цели обработки которых заведомо несовместимы.
19. Обработка персональных данных на бумажных носителях осуществляется в соответствии с правовыми актами Министерства обороны по делопроизводству.
20. При разработке и использовании типовых форм доку ментов, необходимых для реализации возложенных на Минис терство обороны полномочий, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, адрес Министерства обороны, фамилию, имя, отчество и адрес субъекта персональных данных, чьи персональные данные вносятся в указанную типовую форму, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, чьи персональные данные содержатся в типовой форме, при ознакомлении со своими персональными данными не имел возможности доступа к персональным данным других лиц, содержащихся в указанной типовой форме;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
21. Уничтожение или обезличивание персональных данных, если это допускается материальным носителем, может произво диться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
22. Уточнение персональных данных при их обработке без использования средств автоматизации производится путем изготовления нового материального носителя с уточненными персональными данными.
IV. Правила обработки персональных данных в информационных системах персональных данных
23. Обработка персональных данных в информационных системах персональных данных осуществляется после завершения работ по созданию системы защиты персональных данных в информационной системе, проверки ее комиссией, назначаемой приказом органа военного управления, и оценки соответствия информационной системы персональных данных требованиям безопасности информации.
24. Безопасность персональных данных при их обработке в информационных системах Министерства обороны обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвра щения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные техно логии. Технические и программные средства должны удовлет ворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
25. Выбор методов и способов защиты информации в информационных системах персональных данных осуществляется в соответствии с Положением о методах и способах защиты информации в информационных системах персональных данных, утвержденным приказом Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. N 58* на основе угроз безопасности персональных данных (модели угроз) в зависимости от класса информационной системы персональных данных.
Модель угроз разрабатывается на основе методических доку ментов, утвержденных в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. N 781.
26. Класс информационной системы персональных данных определяется в соответствии с приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информа ционных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классифи кации информационных систем персональных данных"**.
27. Классификация (пересмотр класса) информационной системы персональных данных проводится комиссией органа (органов) военного управления, в интересах которого создается (эксплуатируется) информационная система, с привлечением органа военного управления, осуществляющего по доверенности функции государственного заказчика вооружения, военной, специальной техники и военно-технического имущества в рамках государствен ного оборонного заказа, и специалистов по обеспечению безопас ности информации на этапе создания или в ходе эксплуатации информационной системы.
28. Разрешением на обработку персональных данных на объекте информационной системы персональных данных является приказ руководителя органа военного управления о вводе указанного объекта в эксплуатацию, который издается на основании положительных выводов комиссии и результатов оценки соответствия требованиям безопасности информации.
29. Безопасность персональных данных, обрабатываемых с использованием средств автоматизации, достигается путем исклю чения несанкционированного, в том числе случайного, доступа к персональным данным.
30. Персональные данные могут быть предоставлены для ознакомления:
а) сотрудникам, допущенным к обработке персональных дан ных с использованием средств автоматизации, в части, касающейся их должностных обязанностей;
б) уполномоченным работникам федеральных органов испол нительной власти в порядке, установленном законодательством Российской Федерации.
31. Уполномоченными должностными лицами при обработке персональных данных в информационных системах персональных данных должна быть обеспечена их безопасность с помощью системы защиты, включающей организационные меры и средства защиты информации, в том числе шифровальные (криптогра фические) средства.
32. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации организационных мер и путем применения программных и технических средств.
33. Самостоятельное подключение средств вычислительной техники, применяемых для хранения, обработки или передачи персональных данных, к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к информационно-телекоммуникационной сети Интернет, не допус кается.
34. Доступ пользователей к персональным данным в информационных системах персональных данных Министерства обороны разрешается после обязательного прохождения процедуры идентификации и аутентификации.
35. Структурными подразделениями (должностными лицами) Министерства обороны, ответственными за обеспечение безопас ности персональных данных при их обработке в информационных системах, должно быть обеспечено:
а) своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до руководящих должностных лиц Министерства обороны;
б) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
в) возможность незамедлительного восстановления персональ ных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
г) постоянный контроль за обеспечением уровня защищен ности персональных данных;
д) знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
е) учет применяемых средств защиты информации, эксплуата ционной и технической документации к ним, носителей персо нальных данных;
ж) при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление пре доставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;
з) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
36. В случае выявления нарушений порядка обработки персональных данных в информационных системах Министерства обороны уполномоченными должностными лицами принимаются меры по установлению причин нарушений и их устранению.
V. Правила допуска и доступа к персональным данным
37. Уполномоченные должностные лица допускаются к информации, содержащей персональные данные, в соответствии с занимаемой должностью и в объеме, необходимом для выполнения ими служебных обязанностей.
38. Допуск к персональным данным разрешается руководи телем органа военного управления с соблюдением требований настоящего Положения.
39. Фактом ознакомления с разрешением на допуск является подпись уполномоченного должностного лица об ознакомлении со списком должностных лиц, доступ которых к персональным данным необходим для выполнения служебных обязанностей.
40. Доступ уполномоченных должностных лиц к персональным данным в информационных системах осуществляется после прохождения процедуры, установленной в пункте 34 настоящего Положения.
41. В соответствии с частью 3 статьи 6 Федерального закона "О персональных данных" Министерство обороны вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного контракта, либо на основании правового акта Министерства обороны. Лицо, осуществляющее обработку персональных данных по поручению Министерства обороны, обяза но соблюдать принципы и правила обработки персональных данных.
42. В поручении Министерства обороны (правовом акте, контракте, договоре, соглашении) должны быть определены пере чень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона "О персональных данных".
43. Допуск к персональным данным, в том числе содержа щимся в информационных системах персональных данных сторонних организаций, деятельность которых не связана с исполнением функций Министерства обороны, регламентируется законодательством Российской Федерации, контрактами (догово рами, соглашениями) и другими нормативными правовыми актами Российской Федерации.
44. Доступ к техническим (программно-техническим) сред ствам информационных систем персональных данных Министер ства обороны предоставляется сторонним организациям, выпол няющим работы на договорной основе.
Порядок допуска указанных организаций определяется в договоре на выполнение работ (оказание услуг). Решением о допуске является подписанный в установленном порядке договор на выполнение работ (оказание услуг).
45. Доступ к персональным данным сторонних организаций осуществляется на основании письменных запросов или письменных соглашений (договоров) сторон об обмене информа цией.
В письменном запросе (соглашении, договоре) должны быть указаны следующие сведения:
- цель получения информации;
конкретное наименование информации (состав персональных данных);
способ доступа (предоставления), а также сведения о регистрации в уполномоченных органах по защите прав субъектов персональных данных, осуществляющих функции по контролю и надзору в сфере информационных технологий и связи.
При наличии соглашения со сторонней организацией о допуске к персональным данным (предоставлении информации) доступ к персональным данным осуществляется в порядке, указанном в подписанном соглашении (договоре).
46. Доступ к персональным данным, в том числе содержа щимся в информационных системах персональных данных сторонних организаций, выполняющих работы на договорной основе, осуществляется на основании подписанного договора на оказание услуг, а также настоящего Положения.
47. Запрещается передача электронных копий баз (банков) данных, содержащих персональные данные, любым сторонним организациям, за исключением случаев, предусмотренных законо дательством Российской Федерации.
* Зарегистрирован в Министерстве юстиции Российской Федерации 19 февраля 2010 г., регистрационный N 16456.
** Зарегистрирован в Министерстве юстиции Российской Федерации 3 апреля 2008 г., регистрационный N 11462.
Юрий Гаврилов