« НазадПОСТАНОВЛЕНИЕ 23.11.2017 п. Майский № 34 Об утверждении документов, определяющих политику в отношении обработки персональных данных в Администрации Майского сельсовета Романовского района Алтайского края 25.09.2018 00:49АДМИНИСТРАЦИЯ МАЙСКОГО СЕЛЬСОВЕТА РОМАНОВСКОГО РАЙОНА АЛТАЙСКОГО КРАЯ
ПОСТАНОВЛЕНИЕ
23.11.2017 п. Майский № 34
Об утверждении документов, определяющих политику в отношении обработки персональных данных в Администрации Майского сельсовета Романовского района Алтайского края
В целях исполнения требований Федерального закона от 27.07.2006 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», ПОСТАНОВЛЯЮ: 1. Утвердить правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований (прилагаются); правила рассмотрения запросов субъектов персональных данных или их представителей (прилагаются); правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора (прилагаются); правила работы с обезличенными данными (прилагаются); перечень информационных систем персональных данных (прилагается); перечни персональных данных, обрабатываемых в Администрации Майского сельсовета Романовского района Алтайского края в связи с реализацией трудовых отношений, а также в связи с оказанием муниципальных услуг и осуществлением муниципальных функций (прилагаются); перечень должностей служащих Администрации Майского сельсовета Романовского района Алтайского края, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных (прилагается); перечень должностей служащих Администрации Майского сельсовета Романовского района Алтайского края, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (прилагается); обязательство служащего Администрации Майского сельсовета Романовского района Алтайского края, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей (прилагается); форму согласия на обработку персональных данных служащих Администрации Майского сельсовета Романовского района Алтайского края, иных субъектов персональных данных (прилагается); форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные (прилагается); порядок доступа служащих Администрации Майского сельсовета Романовского района Алтайского края в помещения, в которых ведется обработка персональных (прилагается). 2. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Администрации Майского сельсовета Романовского района Алтайского края 3. Обнародовать настоящее постановление на информационном стенде Администрации Майского сельсовета и на официальном сайте Администрации Романовского района Алтайского края . 4. Контроль за исполнением данного постановления возложить на главу Майского сельсовета Романовского района Алтайского края Алпаткина А.Д.
Глава сельсовета А.Д.Алпаткин
УТВЕРЖДЕНЫ Постановлением № 34 от 23.11.2017
ПРАВИЛА обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований
Общие положения Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Федеральный закон № 152-ФЗ), постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», постановлением Правительства Российской Федерации от 21 марта 2012 №2 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и определяют содержание обрабатываемых персональных данных, цели обработки персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований, а также устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, в Администрации Майского сельсовета Романовского района Алтайского края от 23.11.2017 №34 (далее - оператор). В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона № 152-ФЗ. Содержание обрабатываемых персональных данных Перечни персональных данных, обрабатываемых оператором, утверждены настоящим постановлением. Информация о персональных данных может содержаться: на бумажных носителях; на электронных носителях; в информационных системах персональных данных оператора, перечень которых утвержден настоящим постановлением; на официальном сайте оператора в информационно-телекоммуникационной сети Интернет. Оператором используются следующие способы обработки персональных данных: без использования средств автоматизации; смешанная обработка (с применением объектов вычислительной техники). Цели обработки персональных данных Целями обработки персональных данных оператором являются: осуществление возложенных на оператора полномочий в соответствии с законодательством Российской Федерации и Алтайского края, Уставом МО Майский сельсовет Романовского района Алтайского края; организация учета муниципальных служащих Администрации сельсовета, работников, замещающих должности служащих, не отнесенных к должностям муниципальной службы для обеспечения соблюдения законодательства, содействия в трудоустройстве, обучении, продвижении по службе, пользования льготами в соответствии с законодательством в сфере муниципальной службы в Российской Федерации и Алтайском крае, Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Категории субъектов персональных данных Категории субъектов, персональные данные которых подлежат обработке в информационных системах персональных данных оператора, определяются целью обработки персональных данных в каждой информационной системе персональных данных. К категориям субъектов персональных данных оператора (далее - субъект персональных данных) относятся: муниципальные служащие Администрации Майского сельсовета, работники, замещающие должности служащих, не отнесенных к должностям муниципальной службы, а также иные лица, обратившиеся к оператору в целях трудоустройства; граждане, обратившиеся к оператору за предоставлением муниципальных и государственных услуг. Порядок сбора и уточнения персональных данных Сбор документов, содержащих персональные данные, осуществляется путем их приобщения к материалам личных дел субъектов персональных данных либо путем создания, в том числе копирования представленных оригиналов документов, внесения сведений в учетные формы (на бумажных и электронных носителях). Уточнение персональных данных производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными. Уточнение персональных данных производится только на основании законно полученной в установленном законодательством порядке информации. Субъект персональных данных свои персональные данные предоставляет самостоятельно либо через своего представителя. В случаях, предусмотренных законодательством, персональные данные также могут быть переданы оператору третьими лицами. Обработка персональных данных осуществляется с согласия субъекта персональных данных на их обработку, составленного в письменном виде по типовой форме, утвержденной настоящим постановлением. Согласие на обработку персональных данных подписывается субъектом персональных данных собственноручно либо его представителем. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. В случае, если согласие на обработку персональных данных дается представителем субъекта персональных данных от лица субъекта персональных данных, оператор проверяет полномочия представителя. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в порядке, предусмотренном законодательством. При получении персональных данных от субъекта персональных данных или его представителя оператор: разъясняет права, цели и порядок обработки персональных данных; предлагает предоставить согласие на обработку персональных данных по типовой форме; разъясняет последствия отказа предоставить персональные данные, передача которых в соответствии с законодательством является обязательной. Перечень должностей муниципальных служащих Администрации Майского сельсовета, работников, замещающих должности служащих, не отнесенных к должностям муниципальной службы замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утвержден настоящим постановление (далее - уполномоченные лица). Уполномоченные лица подписывают обязательство о соблюдении конфиденциальности персональных данных, а в случае расторжения с ними трудовых контрактов - о прекращении обработки персональных данных, ставших известными им в связи с исполнением должностных обязанностей. Порядок использования и хранения персональных данных Общий срок использования персональных данных определяется периодом времени, в течение которого оператор осуществляет действия (операции) в отношении персональных данных, обусловленные заявленными целями их обработки. Использование персональных данных осуществляется с момента их получения оператором и прекращается: по достижении целей обработки персональных данных; в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных. Использование персональных данных осуществляется при соблюдении принципа раздельности их обработки. Персональные данные при их обработке обособляются от иной информации, в частности путем фиксации их в отдельных файлах, на отдельных материальных носителях. Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Персональные данные могут храниться на бумажных (и иных материальных) носителях и (или) в электронном виде централизованно или в соответствующих структурных подразделениях Администрации Майского сельсовета. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодо- приобретателем или поручителем по которому является субъект персональных данных. Сроки хранения персональных данных (материальных носителей) устанавливаются в соответствии с номенклатурой дел структурного подразделения Администрации Майского сельсовета. Документация, входящая в состав личных дел субъектов персональных данных, хранится в шкафах, в сейфах в кабинетах учреждений, а также структурных подразделений Администрации сельсовета или в запираемом архивном помещении. Лицо, ответственное за ведение архива, назначается оператором. Уничтожение персональных данных В случае достижения целей обработки персональных данных (утраты необходимости в их достижении) оператор обязан прекратить обработку персональных данных и уничтожить либо обезличить соответствующие персональные данные в срок, не превышающий 30 календарных дней с даты достижения целей обработки персональных данных (утраты необходимости в их достижении). Персональные данные не уничтожаются (не обезличиваются) в случаях, если: договором, соглашением стороной которого, выгодоприобретателем или поручителем является субъект персональных данных, предусмотрен иной порядок обработки персональных данных; законодательством установлены сроки обязательного архивного хранения материальных носителей персональных данных; в иных случаях, прямо предусмотренных законодательством. Уничтожение части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных персональных данных, зафиксированных на материальном носителе. В случае выявления недостоверности персональных данных, неправомерности действий с персональными данными оператор осуществляет блокирование указанных персональных данных и в срок, не превышающий пяти рабочих дней с даты такого выявления, устраняет допущенные нарушения. В случае подтверждения факта недостоверности персональных данных оператор уточняет персональные данные и снимает с них блокирование на основании документов, представленных: субъектом персональных данных (его представителем); уполномоченным органом по защите прав субъектов персональных данных; иными лицами, в соответствии с законодательством. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерности действий с персональными данными, уничтожает персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор уведомляет субъекта персональных данных (его представителя) и (или) уполномоченный орган по защите прав субъектов персональных данных в срок, не превышающий десяти рабочих дней с даты устранения допущенных нарушений или уничтожения персональных данных. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор прекращает обработку персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий тридцати рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством. Уничтожение документов, содержащих персональные данные, утративших свое практическое значение и не подлежащих архивному хранению производится на основании акта уничтожения персональных данных. Обязанности уполномоченных лиц при обработке персональных данных Уполномоченные лица обязаны: знать и выполнять требования законодательства в области обеспечения защиты персональных данных, настоящих Правил; хранить в тайне известные им персональные данные, информировать о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним; соблюдать правила использования персональных данных, порядок их учета и хранения, исключить доступ к ним посторонних лиц; обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей. При обработке персональных данных уполномоченным лицам запрещается: использовать сведения, содержащие персональные данные, в неслужебных целях, а также в служебных целях - при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях; передавать персональные данные по незащищенным каналам связи (телетайп, факсимильная связь, электронная почта) без использования сертифицированных средств криптографической защиты информации; снимать копии с документов и других носителей информации, содержащих персональные данные, или производить выписки из них, а равно использовать различные технические средства (видео- и звукозаписывающую аппаратуру) для фиксации сведений, содержащих персональные данные; выполнять на дому работы, связанные с использованием персональных данных, выносить документы и другие носители информации, содержащие персональные данные, из места их хранения. Права и обязанности субъекта персональных данных Закрепление прав субъекта персональных данных, регламентирующих защиту его персональных данных, обеспечивает сохранность полной и точной информации о нем. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: подтверждение факта обработки персональных данных; правовые основания и цели обработки персональных данных; цели и применяемые оператором способы обработки персональных данных; наименование и место нахождения оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона; обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных; иные сведения, предусмотренные федеральными законами. Право субъекта персональных данных на доступ к его персональным данным ограничивается в соответствии с частью 8 статьи 14 Федерального закона № 152-ФЗ. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Сведения, указанные в пункте 33 настоящих Правил, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. Субъект персональных данных обязан: передавать оператору комплекс достоверных, документированных персональных данных, состав которых установлен законодательством; своевременно сообщать оператору об изменении своих персональных данных. В целях защиты частной жизни, личной и семейной тайны субъекты персональных данных не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда. Ответственность уполномоченных лиц Уполномоченные лица, виновные в нарушении требований законодательства о защите персональных данных, в том числе допустившие разглашение персональных данных, несут персональную гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством ответственность. Текущий контроль за соблюдением требований законодательства при обработке персональных данных осуществляется оператором путем проведения проверок по соблюдению и исполнению законодательства о персональных данных. Проверки выполнения требований законодательства при обработке персональных данных проводятся в соответствии с правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
УТВЕРЖДЕНЫ Постановлением № 34 от 23.11.2017
ПРАВИЛА рассмотрения запросов субъектов персональных данных или их представителей
Общие положения Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Федеральный закон № 152-ФЗ), Федеральным законом от 2 мая 2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами» и определяют порядок организации работы по приему, регистрации и рассмотрению поступивших в Администрации Майского сельсовета Романовского района Алтайского края от 23.11.2017 №34 (далее - оператор) запросов субъектов персональных данных или их представителей (далее - запросы). Целью настоящих Правил является упорядочение действий сотрудников оператора при обращении либо при получении запросов. Прием, регистрация и рассмотрение запросов Сведения, касающиеся обработки персональных данных субъекта персональных данных, предоставляются оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос может быть подан одним из следующих способов: лично; письменно; с использованием средств факсимильной связи или электронной связи, в том числе через официальный сайт оператора в информационнотелекоммуникационной сети «Интернет». Информация об операторе, включая информацию о месте его нахождения, графике работы, контактных телефонах, а также о порядке обработки персональных данных размещается: на стендах, расположенных в помещениях, занимаемых оператором; на официальном сайте оператора в информационно-телекоммуникационной сети «Интернет». Прием субъектов персональных данных или их представителей ведется сотрудниками оператора, ответственными за прием и регистрацию обращений в соответствии с графиком приема. При приеме субъект персональных данных или его представитель предъявляет документ, удостоверяющий его личность, а также документ, подтверждающий полномочия представителя (в случае обращения представителя). Содержание устного обращения заносится в карточку личного приема. В случае если изложенные в устном обращении факты и обстоятельства являются очевидными и не требуют дополнительной проверки, ответ с согласия субъекта персональных данных или его представителя может быть дан устно в ходе личного приема, о чем делается запись в карточке личного приема. В остальных случаях дается письменный ответ по существу поставленных в обращении вопросов. В том случае, когда при личном приеме субъект персональных данных или его представитель изъявил желание получить ответ в письменной форме, сотрудник оператора, ответственный за прием и регистрацию обращений, предлагает оформить письменный запрос и сообщает ему о сроках, в течение которых оператор обязан дать ответ на такой запрос в соответствии с федеральным законом. В случае, если в обращении содержатся вопросы, решение которых не входит в компетенцию оператора, субъекту персональных данных или его представителю дается разъяснение, куда и в каком порядке ему следует обратиться. Запросы регистрируются в день их поступления к оператору в Журнале учета обращений субъектов персональных данных. Днем обращения считается дата регистрации запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Рассмотрение запросов субъектов персональных данных или их представителей осуществляется сотрудниками оператора, ответственными за их рассмотрение и подготовку ответов (далее - уполномоченные сотрудники оператора). При рассмотрении запросов обеспечивается: объективное, всестороннее и своевременное рассмотрения запроса; принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов персональных данных; направление письменных ответов по существу запроса. Запрос прочитывается, проверяется на повторность, при необходимости сверяется с находящейся в архиве предыдущей перепиской. Оператор отказывает субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона № 152-ФЗ. Такой отказ должен быть мотивированным. Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение десяти календарных дней с даты обращения субъекта персональных данных или его представителя. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя сотрудники оператора обязаны дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его представителя. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы. Контроль за соблюдением порядка рассмотрения запросов субъектов персональных данных или их представителей Оператор осуществляет контроль за соблюдением установленного законодательством и настоящими Правилами порядка рассмотрения запросов. Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных сотрудников оператора ответственность в соответствии с законодательством Российской Федерации.
УТВЕРЖДЕНЫ постановлением № 34 от 23.11.2017
ПРАВИЛА осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора
Общие положения Настоящие Правила разработаны в соответствии Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Федеральный закон № 152-ФЗ), постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания и порядок проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом № 152-ФЗ, принятыми в соответствии с ним правовыми актами Администрации Майского сельсовета Романовского района Алтайского от 23.11.2017 №34 (далее - внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных, Администрация). В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона № 152-ФЗ. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Администрации организовывается проведение периодических проверок условий обработки персональных данных (далее - проверки). Тематика внутреннего контроля Тематика проверок обработки персональных данных с использованием средств автоматизации: соответствие полномочий пользователя матрице доступа; соблюдение пользователями информационных систем персональных данных структурных подразделений Администрации парольной политики; соблюдение пользователями информационных систем персональных данных структурных подразделений Администрации антивирусной политики; соблюдение пользователями информационных систем персональных данных структурных подразделений Администрации правил работы со съемными носителями персональных данных; соблюдение ответственными за криптографические средства защиты информации правил работы с ними; соблюдение порядка доступа в помещения структурных подразделений Администрации , где расположены элементы информационных систем персональных данных; соблюдение порядка резервирования баз данных и хранения резервных копий; соблюдение порядка работы со средствами защиты информации; знание пользователей информационных систем персональных данных о своих действиях во внештатных ситуациях. Тематика проверок обработки персональных данных без использования средств автоматизации: хранение бумажных носителей с персональными данными; доступ к бумажным носителям с персональными данными; доступ в помещения, где обрабатываются и хранятся бумажные носители с персональными данными. Порядок проведения внутренних проверок Проверки осуществляются должностным лицом, ответственным за организацию обработки персональных данных в Администрации (далее - ответственный за организацию обработки персональных данных), либо комиссией, образуемой правовым актом Администрации. В проведении проверки не может участвовать сотрудник Администрации прямо или косвенно заинтересованный в её результатах. Проверки проводятся на основании утвержденного Администрацией ежегодного Плана (Приложение №1 к настоящим Правилам) осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям к защите персональных данных (плановые проверки) или на основании поступившего в Администрацию письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Плановые проверки проводятся не чаще чем один раз в полгода. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления. План внутренних проверок включает в себя все тематики проверок. Проверки осуществляются непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра рабочих мест сотрудников, участвующих в процессе обработки персональных данных. Ответственный за организацию обработки персональных данных или комиссия имеет право: запрашивать у сотрудников Администрации информацию, необходимую для реализации полномочий; требовать от уполномоченных на обработку персональных данных должностных лиц Администрации уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных; принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации; вносить предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке; вносить предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных либо комиссии в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных. Для каждой проверки составляется Протокол проведения внутренней проверки (Приложение №2 к настоящим Правилам). При выявлении в ходе проверки нарушений, в Протоколе делается запись о мероприятиях по устранению нарушений и сроках исполнения. Протоколы хранятся в течение текущего года. Уничтожение Протоколов проводится в январе следующего за проверочным годом. О результатах проверок и мерах, необходимых для устранения нарушений докладывается главе Администрации сельсовета.
Приложение №1 к Правилам осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора
УТВЕРЖДАЮ Глава Майского сельсовета И.О. Фамилия « »______________20____ г.
ПЛАН проведения внутренних проверок условий обработки персональных данных
Приложение №2 к Правилам осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора
Протокол проведения внутренней проверки условий обработки персональных данных
Настоящий Протокол составлен в том, что ______________201_г. ответственным за организацию обработки персональных данных/ комиссией по внутреннему контролю проведена проверка (тема проверки) Проверка осуществлялась в соответствии с требованиями (название документа) В ходе проверки проверено: Выявленные нарушения: Меры по устранению нарушений: Срок устранения нарушений: Должность Ответственного либо Председатель комиссии И.О. Фамилия Члены комиссии: Должность И.О. Фамилия Должность И.О. Фамилия Должность И.О. Фамилия Должность руководителя проверяемого подразделения И.О. Фамилия
УТВЕРЖДЕНЫ постановлением №34 от 23.11.2017
ПРАВИЛА работы с обезличенными данными Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Федеральный закон № 152-ФЗ), постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», постановлением Правительства Российской Федерации от 21 марта 2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и определяют порядок работы с обезличенными данными Администрации Майского сельсовета Романовского района Алтайского от 23.11.2017 № 34 (далее - оператор). Обезличивание персональных данных проводится с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных оператора и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством. Способами обезличивания персональных данных при условии дальнейшей обработки персональных данных являются: уменьшение перечня обрабатываемых сведений; замена части сведений идентификаторами; обобщение - понижение точности некоторых сведений; понижение точности некоторых сведений (например, «Место жительства» может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город); деление сведений на части и обработка в разных информационных системах; другие способы. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных. Предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания готовят руководители структурных подразделений Администрации, осуществляющие обработку персональных данных. Служащие Администрации, осуществляющие обработку персональных данных в информационных системах персональных данных совместно с ответственным за организацию обработки персональных данных, осуществляют непосредственное обезличивание персональных данных выбранным способом. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности. Обезличенные персональные данные могут обрабатываться с использованием средств автоматизации или без использования таких средств с персональными данными. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение: парольной политики; антивирусной политики; правил работы со съемными носителями (если они используется); правил резервного копирования; правил доступа в помещения, где расположены элементы информационных систем. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение: правил хранения бумажных носителей; правил доступа к ним и в помещения, где они хранятся. Обезличивание персональных данных при обработке персональных данных с использованием средств автоматизации осуществляется с помощью специализированного программного обеспечения на основании нормативных правовых актов, правил, инструкций, руководств, регламентов, инструкций на такое программное обеспечение и иных документов для достижения заранее определенных и заявленных целей. Обезличивание персональных данных при обработке персональных данных без использования средств автоматизации допускается производить способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
УТВЕРЖДЕН постановлением № 34 от 23.11.2017
ПЕРЕЧЕНЬ информационных систем персональных данных
Понятие информационной системы персональных данных Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Информационные системы персональных данных: ИСПДн «Бухгалтерия»; ИСПДн «Программный комплекс автоматизации учёта земельных и имущественных отношений »; ИСПДн «Опека»; ИСПДн «СМЭВ»; ИСПДн «Обращения граждан»; ИСПДн «Учет избирателей»; ИСПДн «1С: Бюджет»; ИСПДн « ЗАГС»; ИСПДн « Архив».
УТВЕРЖДЕНЫ постановлением № 34 от 23.11.2017
ПЕРЕЧНИ персональных данных, обрабатываемых в Администрации Майского сельсовета Романовского района Алтайского от 23.11.2017 №34 в связи с реализацией трудовых отношений, а также в связи с оказанием муниципальных услуг и осуществлением муниципальных функций Перечень персональных данных, обрабатываемых в Администрации Майского сельсовета Романовского района Алтайского от 23.11.2017 №34 , в связи с реализацией трудовых отношений: анкетные и биографические данные; сведения об образовании; сведения о стаже; сведения о составе семьи; паспортные данные; сведения о воинском учете; сведения о заработной плате (ведомости начисления заработной платы, табели учета рабочего времени, штатное расписание); сведения о социальных льготах; занимаемая должность; сведения о судимости; адрес места жительства; домашний, сотовый телефоны; место работы или учебы членов семьи и родственников; содержание трудового договора, служебного контракта; сведения о доходах; подлинники и копии распоряжений по личному составу; личные дела и трудовые книжки; сведения, содержащие материалы по повышению квалификации и переподготовке, аттестации, материалы служебных проверок расследований; сведения о периодах нетрудоспособности, справки о состоянии здоровья; сведения об исполнительных листах; журналы инструктажа и техники безопасности; путевые листы легковых автомобилей, копии водительских удостоверений; сведения о лицах, включенных в кадровый резерв Администрации. Перечень персональных данных, обрабатываемых в Администрации сельсовета, в связи с оказанием муниципальных и государственных услуг и осуществлением муниципальных функций: фамилия, имя, отчество; сведения о документах, удостоверяющих личность (их данные); адрес места жительства (места пребывания); домашний, сотовый телефоны; сведения о стаже; сведения об образовании; сведения о судимости; сведения о составе семьи; сведения о доходах; имущественное положение; социально-бытовое положение; сведения о социальных льготах и документах, подтверждающих их; сведения о периодах нетрудоспособности, справки о состоянии здоровья; сведения об инвалидности; сведения о лицевом счете, открытом в кредитной организации.
УТВЕРЖДЕН постановлением №34 от 23.11.2017
ПЕРЕЧЕНЬ должностей служащих Администрации Майского сельсовета Романовского района Алтайского от 23.11.2017 №34, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
1. Глава сельсовета 2. Специалист Администрации сельсовета
УТВЕРЖДЕН постановлением №34 от 23.11.2017
ПЕРЕЧЕНЬ должностей служащих Администрации Майского сельсовета Романовского района Алтайского, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным
Персональные данные работников
Должности служащих Администрации сельсовета, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, в установленных пределах: Должность Объем допуска Глава сельсовета - все персональные данные сотрудников, обрабатываемые в Администрации сельсовета; Главный специалист - все персональные данные сотрудников, обрабатываемые в Администрации сельсовета.
Персональные данные граждан, обратившихся за оказанием муниципальных услуг и (или) в связи с осуществлением муниципальных функций
Должности служащих Администрации сельсовета, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, в установленных пределах: Должность Объем допуска Г лава сельсовет - в полном объеме; Специалисты сельсовета - в рамках должностной инструкции.
УТВЕРЖДЕНО постановлением № 34 23.11.2017
АДМИНИСТРАЦИЯ МАЙСКОГО СЕЛЬСОВЕТА РОМАНОВСКОГО РАЙОНА АЛТАЙСКОГО КРАЯ
ОБЯЗАТЕЛЬСТВО о неразглашении персональных данных работников и (или) граждан, обратившихся в Администрации Майского сельсовета Романовского района Алтайского края для получения муниципальной услуги
« »_______________20____ г. № п.Майский
Я, ____________________________________________________________, зарегистрированный(ая) по адресу: паспорт кем и когда выдан ознакомлен(а) с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных». В период трудовых отношений с Администрации Майского сельсовета Романовского района Алтайского края и после их прекращения обязуюсь: не сообщать персональные данные работников и (или) граждан, обратившихся в Администрации Майского сельсовета Романовского района Алтайского края для получения муниципальной услуги (далее работников и (или) граждан) третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом; не сообщать персональные данные работников и (или) граждан, в коммерческих целях без его письменного согласия; предупредить лиц, получающих персональные данные работников и (или) граждан, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работников и (или) граждан, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными в порядке, установленном федеральными законами; осуществлять передачу персональных данных работника в пределах одной организации в соответствии с локальным нормативным актом Администрации сельсовета, с которым работник должен быть ознакомлен под расписку; разрешать доступ к персональным данным работников и (или) граждан, только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций; не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции; передавать персональные данные работника представителям работников, ограничивая эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций. В случае моего увольнения все носители персональных данных работников и (или) граждан (рукописи, черновики, магнитные ленты, диски, дискеты, распечатки на принтерах, материалы и пр.), которые находились в моем распоряжении в связи с выполнением мною служебных обязанностей во время работы в Администрации сельсовета, передать__________________________________ (должностное лицо или структурное подразделение Администрации района); об утрате или недостаче носителей персональных данных работников и (или) граждан, удостоверений, пропусков, ключей от режимных помещений, хранилищ, сейфов (металлических шкафов), личных печатей и о других фактах, которые могут привести к разглашению персональных данных, а также о причинах и условиях возможной утечки сведений, немедленно сообщать_________________________________________________(должностное лицо или структурное подразделение Администрации сельсовета). До моего сведения доведены с разъяснениями соответствующие положения по обеспечению сохранности персональных данных работников и (или) граждан. Мне известно, что нарушения этих положений может повлечь уголовную, административную, гражданско-правовую или иную ответственность в соответствии с законодательством РФ. Наименование должности ______________________________ ФИО (личная подпись) Дата
Один экземпляр обязательств о неразглашении персональных данных получил Дата (подпись, расшифровка)
УТВЕРЖДЕНО постановлением № 34 от 23.11.2017
СОГЛАСИЕ на обработку Администрации Майского сельсовета Романовского района Алтайского края и передачу персональных данных третьим лицам « »____________20 г. п.Майский
Я, ________________________________________________________________, (фамилия, имя, отчество) (дата, кем) ______________________________________________________________________, зарегистрированный(ая) по адресу: _______________________________________, в соответствии с требованиями ст.9 Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных», подтверждаю свое согласие на обработку Администрации Майского сельсовета Романовского района Алтайского края (далее – Администрация района) моих персональных данных. Предоставляю Администрации сельсовета право осуществлять действия с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение. Администрация сельсовета вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, размещения на сайте Администрации сельсовета, включения в списки и другие отчётные формы. Я оставляю за собой право отозвать своё согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Администрации сельсовета заказным письмом с уведомлением о вручении либо вручен лично под расписку надлежаще уполномоченному представителю Администрации сельсовета. В случае моего письменного заявления об отзыве настоящего согласия на обработку персональных данных, Администрация сельсовета обязана прекратить их обработку и исключить персональные данные из базы данных, в том числе электронной.
Настоящее согласие дано мной ___________20___г. и действует бессрочно.
Подпись__________________/________________
УТВЕРЖДЕНЫ постановлением № 34 от 23.11.2017
РАЗЪЯСНЕНИЯ субъекту персональных данных юридических последствий отказа предоставить свои персональные данные
Субъекту персональных данных при заключении трудового договора с Администрацией сельсовета, а также гражданско-правового договора, договора об оказании муниципальной услуги (далее - договор) разъясняются юридические последствия отказа предоставить свои персональные данные. Разъяснения проводятся специалистом, который готовит проект договора. Персональные данные служащего Администрации сельсовета: Персональные данные служащего Администрации сельсовета собираются и обрабатываются на основании следующих законодательных актов: Трудового кодекса Российской Федерации; Федерального закона от 02.03.2007 № 65-ФЗ "О муниципальной службе в Российской Федерации". Федерального закона от 06.10.2003 № 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации". В случае отказа субъектом о предоставлении своих персональных данных при трудоустройстве с ним невозможно заключить Трудовой договор. В случае отзыва согласия на обработку персональных данных служащим Администрации сельсовета Трудовой договор с ним подлежит расторжению. Персональные данные граждан, состоящие с Администрацией сельсовета в гражданско-правовых отношениях: Персональные данные граждан, состоящие с Администрацией сельсовета в гражданско-правовых отношениях собираются и обрабатываются на основании следующих законодательных актов: Федерального закона от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»; Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». В случае отказа субъектом о предоставлении своих персональных данных при оформлении гражданско-правовых отношений, отношения оформлены не будут. В случае отзыва согласия на обработку персональных данных субъектом, уже состоящим в гражданско-правовых отношениях, отношения прекращаются.
УТВЕРЖДЕН постановлением № 34 23.11.2017
ПОРЯДОК доступа служащих Администрации Майского сельсовета Романовского района Алтайского края в помещения, в которых ведется обработка персональных данных
Настоящий Порядок разработан в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных » и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и устанавливает единые требования к доступу служащих Администрация Майского сельсовета Романовского района Алтайского края (далее - оператор) в помещения в целях предотвращения нарушения прав субъектов персональных данных, персональные данные которых обрабатываются оператором, и обеспечения соблюдения требований законодательства о персональных данных. Размещение информационных систем персональных данных, специального оборудования осуществляется в охраняемых помещениях. Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только уполномоченные на обработку персональных данных сотрудники оператора. Ответственными за организацию доступа в помещения, в которых ведется обработка персональных данных, являются руководители структурных подразделений оператора. Нахождение лиц в помещениях, не являющихся уполномоченными на обработку персональных данных, возможно только в сопровождении уполномоченного на обработку персональных данных сотрудника оператора. Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, проводится лицом ответственным за организацию обработки персональных данных.
УТВЕРЖДЕНО постановлением от 23.11.2017 № 34 ПОЛОЖЕНИЕ об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Администрации Майского сельсовета Романовского района 1. Общие положения 1.1. Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных Администрации Романовского района (далее – «Положение») разработано в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и другими нормативными правовыми актами и нормативными методическими документами Российской Федерации, регулирующими отношения, связанные с обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных. 1.2. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Администрации Майского сельсовета Романовского района(далее – «организация», «оператор персональных данных»). 1.3. Безопасность персональных данных при их обработке в информационных системах персональных данных (далее – ИСПДн) обеспечивается применением организационных мер и технических средств защиты информации (в том числе средств предотвращения несанкционированного доступа). Организационные меры и технические средства защиты информации должны удовлетворять требованиям, установленным нормативными правовыми актами и нормативными методическими документами Российской Федерации, регулирующими отношения, связанные с обеспечением безопасности персональных данных при их обработке в ИСПДн. 1.4. Требования настоящего Положения являются обязательными для исполнения всеми лицами, получившими доступ к персональным данным. 1.5. Решение о необходимости изменения этого Положения принимается на основании: результатов проведенных аудитов, мероприятий по контролю и надзору за
обеспечением безопасности персональных данных, осуществляемых уполномоченными органами; изменения нормативных правовых актов и (или) нормативных методических документов Российской Федерации в области защиты персональных данных; изменения процессов обработки персональных данных в ИСПДн оператора персональных данных; результатов анализа инцидентов информационной безопасности в ИСПДн. Изменения Положения должны быть направлены на предотвращение инцидентов или устранение последствий уже реализованных инцидентов информационной безопасности. Все предлагаемые изменения Положения подлежат предварительной регулирующим отношения, связанные с обеспечением безопасности персональных данных при их обработке в ИСПДн. 2. Обработка персональных данных 2.1. Оператор персональных данных осуществляет обработку персональных муниципальной службы Романовского района и должности, не относящиеся к должностям государственной гражданской и муниципальной службы Алтайского края, а также лиц, не являющихся сотрудниками оператора. 2.2. Обработка персональных данных осуществляется оператором персональных данных в целях реализации возложенных на него функций, определяемых законами и иными нормативными правовыми актами Российской Федерации, регулирующими отношения, связанные с обеспечением безопасности персональных данных при их обработке в ИСПДн. 2.3. Объем и характер обрабатываемых персональных данных должен соответствовать целям их обработки. Обрабатываемые персональные данные должны соответствовать заявленным целям обработки. Недопустимо объединение созданных для несовместимых между собой целей баз данных ИСПДн. 2.4. Обработка персональных данных осуществляется оператором персональных данных без проведения мероприятий по обезличиванию персональных данных. 2.5. Персональные данные оператор получает непосредственно от субъектов персональных данных, которые принимают решение об их предоставлении и дают согласие на их обработку своей волей и в своем интересе. 2.6. Лица, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списков сотрудников, допущенных к соответствующим персональным данным.
2.7. Принятые в организации организационно-распорядительные документы доводятся до сведения лиц, участвующих в процессе обработки персональных данных в части их касающейся. 2.8. Персональные данные, используемые для обработки в ИСПДн, порядок их использования, цель, периодичность и основания внесения изменений и дополнений в организационные документы, а также порядок хранения персональных данных устанавливаются оператором персональных данных. 2.9. Оператор персональных данных не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. 2.10. Хранение персональных данных в форме, позволяющей определить 3. Обязанности и права оператора персональных данных в ИСПДн 3.1. Оператор персональных данных обязан предоставлять субъекту персональных данных возможность ознакомления с его персональными данными, а также вносить в них необходимые изменения, уничтожать или блокировать соответствующие персональные данные в случае предоставления субъектом персональных данных сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор в ИСПДн, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и принятых мерах оператор персональных данных уведомляет субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы. 3.2. В случае выявления недостоверных персональных данных или фактов неправомерных действий с ними оператора персональных данных при обращении или по запросу субъекта персональных данных или его законного представителя, либо уполномоченного органа по защите прав субъектов персональных данных, оператор персональных данных обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки. 3.3. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем, либо уполномоченным
органом по защите прав субъектов персональных данных, или иных необходимых документов, обязан уточнить персональные данные и отменить их блокирование. 3.4. В случае выявления неправомерных действий с персональными данными оператор персональных данных в срок, не превышающий тридцати дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор персональных данных в срок, не превышающий тридцати дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных – также в указанный орган. 3.5. Оператор персональных данных, в случае достижения всех целей обработки персональных данных, обязан незамедлительно прекратить их обработку и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения всех целей обработки персональных данных, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных – также указанный орган. По согласованию с субъектом персональных данных оператор персональных данных может изменить сроки хранения его персональных данных в связи с обязанностями, возлагаемыми на оператора законодательством Российской Федерации. 3.6. Оператор персональных данных, в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, обязан прекратить их обработку и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором персональных данных и субъектом персональных данных. 3.7. Оператор персональных данных при передаче персональных данных субъектов третьим лицам ограничивает передаваемую информацию только теми персональными данными субъектов, которые необходимы третьим лицам для выполнения своих функций. Передача персональных данных по телефону, факсимильной связи, электронной почте и сети Интернет (без использования средств защиты информации, удовлетворяющих требованиям, установленным нормативными правовыми актами и нормативными методическими документами Российской Федерации, регулирующими отношения, связанные с обеспечением безопасности персональных данных при их обработке в ИСПДн) запрещается. 4. Методы и способы защиты персональных данных в ИСПДН 4.1. С целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных, оператором
персональных данных должны быть установлены уровни защищенности персональных данных ИСПДн. 4.2. В целях обеспечения безопасности персональных данных Модель угроз безопасности персональных данных корректируется при изменении состава основных технических средств и условий эксплуатации ИСПДн сотрудниками подразделения или лицом, ответственным за защиту информации в организациях. 4.3. Установка, изменение (обновление) и удаление программного обеспечения в ИСПДн производится администратором безопасности информационных систем или в его присутствии. 4.4. Доступ лиц к ИСПДн, не допущенных к работе с персональными данными, должен быть исключен. ИСПДн должны быть защищены аппаратными и (или) программными средствами защиты информации от несанкционированного доступа в соответствии с нормативными правовыми актами и нормативными методическими документами Российской Федерации, регулирующими отношения, связанные с обеспечением безопасности персональных данных при их обработке в ИСПДн. 4.5. Обработка персональных данных в ИСПДн осуществляется с использованием средств защиты информации в соответствии с установленными требованиями нормативных правовых актов Российской Федерации, регулирующих отношения, связанные с обеспечением безопасности информации. 4.6. Охрана помещений, в которых ведется работа с персональными данными, и организация режима безопасности в этих помещениях должна обеспечивать сохранность технических средств и носителей персональных данных, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц. Все носители персональных данных должны быть учтены с помощью их маркировки, а их учетные данные занесены в журнал учета с отметкой об их выдаче (приеме). 4.7. В целях обеспечения безопасности персональных данных должны перечень ИСПДн организации; перечень персональных данных, обрабатываемых в организации в связи с реализацией служебных (трудовых) отношений; список лиц, допущенных к соответствующим персональным данным; инструкция по работе пользователей в информационных системах организации; инструкция по организации доступа в помещения, в которых ведется обработка персональных данных; инструкция администратора безопасности информационных
организации; инструкция по организации резервного копирования информации в организации; инструкция по организации учета, использования и уничтожения машинных носителей информации, предназначенных для обработки и хранения персональных данных; инструкция по организации парольной защиты в информационных системах организации; инструкция по проведению антивирусного контроля в информационных системах организации; инструкция по организации технического обслуживания и ремонта технических средств информационных систем организации; инструкция по правилам обращения с носителями ключевой информации в информационных системах организации; инструкция ответственного за организацию обработки персональных данных организации; правила рассмотрения запросов субъектов персональных данных или их представителей в организации; правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в организации; правила обработки персональных данных в организации; другие организационно-распорядительные документы по обеспечению безопасности персональных данных, обрабатываемых в информационных системах организации. 4.8. Лица, уполномоченные осуществлять обработку персональных законодательством Российской Федерации. 5. Обязанности и права должностных лиц 5.1. Руководитель организации: системы защиты ИСПДн, а также организует внутренний контроль за соблюдением нормативных правовых актов Российской Федерации о персональных данных, в том числе требований к защите персональных данных; осуществляет финансовое, материально-техническое и иное обеспечение мероприятий по защите персональных данных при их обработке в ИСПДн организации по вопросам государственной службы и кадров; назначает ответственного за организацию обработки персональных данных; назначает ответственного за обеспечение безопасности персональных данных; назначает администратора безопасности информационных систем. 5.2. Ответственный за организацию обработки персональных данных:
осуществляет внутренний контроль за соблюдением оператором персональных данных и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных; доводит до сведения работников оператора персональных данных положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных; организует и осуществляет прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов. 5.3. Ответственный за обеспечение безопасности персональных данных: персональных данных при их обработке в информационных системах организации; организует выполнение мероприятий, направленных на обеспечение защиты персональных данных при их обработке в ИСПДн; организует расследование причин и условий появления нарушений безопасности ИСПДн, разработку предложений по устранению недостатков и предупреждению подобного рода нарушений; разрабатывает проекты распорядительных документов по защите персональных данных при их обработке в ИСПДн в организации; разрабатывает совместно с другими структурными подразделениями организации настоящее Положение и вносит в него в установленном порядке изменения; разрабатывает предложения по дальнейшему совершенствованию системы защиты персональных данных при их обработке в ИСПДн; осуществляет планирование мероприятий по защите персональных данных при их обработке в ИСПДн, их выполнение и контроль их эффективности; подготавливает предложения о привлечении к проведению работ по защите персональных данных при их обработке в ИСПДн на договорной основе организаций, имеющих лицензию на соответствующий вид деятельности.
5.4. Администратор безопасности информационных систем: осуществляет установку и ввод в эксплуатацию средств защиты информации ИСПДн в соответствии с эксплуатационной и технической документацией; обеспечивает работы по проведению антивирусного контроля в ИСПДн; выполняет резервное копирование персональных данных; осуществляет установку (обновление версий) программного обеспечения ИСПДн, обеспечивает его функционирование; осуществляет установку, подключение и настройку технических средств И осуществляет установку (развертывание) новых ИСПДн или подключение дополнительных устройств (узлов, блоков), необходимых для решения конкретных задач; организует регистрацию и осуществляет учет защищаемых носителей информации. 5.5. Подразделение или лицо, ответственное за техническое обслуживание средств вычислительной техники в организации обеспечивает обслуживание и ремонт сетевого оборудования, рабочих станций, серверного и периферийного оборудования в ИСПДн. 6. Контроль состояния защиты персональных данных 6.1. Контроль и надзор за выполнением требований по обеспечению безопасности персональных данных при их обработке в ИСПДн, установленных Правительством Российской Федерации, осуществляется федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, а также уполномоченным органом по защите прав субъектов персональных данных в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в ИСПДн. 6.2. Повседневный контроль выполнения организационных мероприятий, направленных на обеспечение защиты персональных данных при их обработке в ИСПДн, осуществляется ответственным за организацию обработки персональных данных и ответственным за обеспечение безопасности персональных данных. 7. Заключительные положения 7.1. Настоящее Положение вступает в силу с момента его утверждения. 7.2. Настоящее Положение не заменяет собой действующее законодательство Российской Федерации, регулирующее отношения, связанные с обеспечением безопасности персональных данных при их обработке в ИСПДн. СПДн в соответствии с технической документацией;
|