Положение об организации обработки персональных данных

172.5 Кб
скачать

Утверждено

приказом министерства инвестиционной политики Новгородской области

от «02»__04__2018 № 498

 

 

 

 

Положение

об организации обработки персональных данных

 

 

 

Содержание

  1. ОБЩИЕ ПОЛОЖЕНИЯ.. 4
  2. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.. 5
  3. ПЕРСОНАЛЬНЫЕ ДАННЫЕ, ОБРАБАТЫВАЕМЫЕ В МИНИСТЕРСТВЕ.. 6
  4. УВЕДОМЛЕНИЕ В РОСКОМНАДЗОР ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. СЛУЧАИ И ПОРЯДОК НАПРАВЛЕНИЯ.. 6
  5. СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ. СЛУЧАИ И ПОРЯДОК ПОЛУЧЕНИЯ СОГЛАСИЯ. 7
  6. ПРАВА СУБЪЕКТА В ОТНОШЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В МИНИСТЕРСТВЕ.. 8
  7. ПОРЯДОК ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ.. 10
  8. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ... 11
  9. ОСОБЕННОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СОТРУДНИКОВ МИНИСТЕРСТВА 16

 


 

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

 

В настоящем документе используются следующие термины и их определения:

  • персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
  • распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

 

 

 

1.        ОБЩИЕ ПОЛОЖЕНИЯ

  • Настоящее положение об организации обработки персональных данных (далее – Положение) в министерстве инвестиционной политики Новгородской области (далее – министерство) разработано в соответствии с законодательством Российской Федерации о персональных данных (далее – ПДн) и нормативно-методическими документами исполнительных органов государственной власти по вопросам безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн).
  • Основными нормативно-правовыми и методическими документами, на которых основывается настоящее Положение, являются:
  • Федеральный закон от 27 июля 2006 года №152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»);
  • Приказ Федеральной службы по техническому и экспертному контролю Российской Федерации (далее – ФСТЭК России) от 11 февраля 2013 года № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
  • Приказ ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Постановление Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Нормативно-методические документы ФСТЭК России по обеспечению безопасности ПДн при их обработке в ИСПДн;
  • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённая заместителем директора ФСТЭК России 14 февраля 2008 года;
  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённая заместителем директора ФСТЭК России 14 февраля 2008 года.
    • Настоящее Положение определяет порядок, условия обработки и меры защиты ПДн в министерстве, включая порядок передачи ПДн третьим лицам, случаи взимания согласий субъектов ПДн и уведомления органа по защите прав субъектов ПДн, особенности автоматизированной и неавтоматизированной обработки ПДн, порядок доступа к ПДн, систему защиты ПДн, порядок организации внутреннего контроля и ответственность за нарушения при обработке ПДн, иные вопросы.
    • Действие настоящего Положения распространяется на все процессы по сбору, систематизации, накоплению, хранению, уточнению, использованию, распространению (в том числе передаче), обезличиванию, блокированию, уничтожению ПДн, осуществляемых с использованием средств автоматизации и без их использования.
    • Порядок ввода в действие и изменения Положения.
      • Настоящее Положение вступает в силу с момента его утверждения и действует бессрочно, до отмены или замены его новым Положением.
      • Все изменения в Положение вносятся приказом министерства.
      • Все сотрудники министерства должны быть ознакомлены с настоящим Положением под роспись.

2.        ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  • Министерство, являясь оператором ПДн, осуществляет обработку ПДн сотрудников и других субъектов ПДн, не состоящих с министерством в трудовых отношениях.
  • Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
  • Обработка ПДн в министерстве осуществляется с учетом необходимости обеспечения защиты прав и свобод сотрудников министерства и других субъектов ПДн, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
  • обработка ПДн в министерстве осуществляется на законной и справедливой основе;
  • обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
  • не допускается обработка ПДн, несовместимая с целями сбора ПДн;
  • не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только ПДн, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых ПДн соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки;
  • при обработке ПДн обеспечиваются точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. В министерстве принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных ПДн;
  • хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
  • обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
    • ПДн обрабатываются в министерстве в целях:
  • обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов министерства;
  • осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на министерство, в том числе по предоставлению ПДн в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
  • регулирования трудовых отношений с сотрудниками министерства (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
  • предоставления сотрудникам министерства и членам их семей дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;
  • защиты жизни, здоровья или иных жизненно важных интересов субъектов ПДн;
  • подготовки, заключения, исполнения и прекращения договоров с контрагентами;
  • обеспечения пропускного и внутриобъектового режимов на объектах министерстве;
  • формирования справочных материалов для внутреннего информационного обеспечения деятельности министерства;
  • исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • осуществления прав и законных интересов министерства в рамках осуществления видов деятельности, предусмотренных Положением и иными локальными нормативными актами министерства, или третьих лиц либо достижения общественно значимых целей;
  • ведения кадрового делопроизводства;
  • оказание услуг контрагентам министерства;
  • в иных законных целях.
    • Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

3.        ПЕРСОНАЛЬНЫЕ ДАННЫЕ, ОБРАБАТЫВАЕМЫЕ В МИНИСТЕРСТВЕ

В министерстве обрабатываются ПДн следующих субъектов ПДн:

  • сотрудники министерства;
  • контрагенты (потребители услуг министерства, физические лица и представители юридических лиц в соответствии с договором, стороной которого является субъект ПДн);
  • индивидуальные предприниматели — контрагенты министерства;
  • иные физические лица, ПДн которых обрабатываются в министерстве.
  • данный перечень может пересматриваться по мере необходимости.

4.        УВЕДОМЛЕНИЕ В РОСКОМНАДЗОР ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. СЛУЧАИ И ПОРЯДОК НАПРАВЛЕНИЯ

  • В соответствии с ФЗ «О персональных данных» министерство является оператором ПДн.
  • В соответствии с пунктом 1 статьи 22 ФЗ «О персональных данных» оператор ПДн обязан уведомить уполномоченный орган по защите прав субъектов ПДн (в настоящее время – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – «Роскомнадзор») об обработке ПДн.
  • В случае неполноты или изменения сведений, указанных в уведомлении, министерство обязано уведомить об изменениях Роскомнадзор в установленном им порядке.
  • Министерство вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов ПДн обработку ПДн:
  • обрабатываемых в соответствии с трудовым законодательством;
  • относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что ПДн не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов ПДн;
  • сделанных субъектом ПДн общедоступными;
  • необходимых в целях однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включенных в ИСПДн, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы ПДн, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности ПДн при их обработке и к соблюдению прав субъектов ПДн;
  • обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

5.        СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ. СЛУЧАИ И ПОРЯДОК ПОЛУЧЕНИЯ СОГЛАСИЯ.

  • Обработка ПДн допускается без согласия субъекта персональных данных в следующих случаях:
  • обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);
  • обработка ПДн необходима для исполнения договора (гражданско-правового или трудового), стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
  • обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн.
    • Получения согласия на обработку ПДн контрагентов по гражданско-правовым договорам не требуется, если ПДн передаются в момент и после заключения договора.
    • Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением следующих случаев (полный перечень установлен пункте 2 статьи 10 ФЗ «О персональных данных»):
  • субъект ПДн предоставил согласие в письменной форме на обработку своих ПДн.
    • В случае трансграничной передачи ПДн сотрудников или контрагентов министерства необходимо получать согласие субъектов ПДн на обработку ПДн. Трансграничная обработка осуществляется в соответствии с положениями статьи 12 ФЗ «О персональных данных».
    • Порядок получения согласия на обработку ПДн:
      • Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются оператором.
      • Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн оператор вправе продолжить обработку ПДн без согласия субъекта ПДн, если это необходимо в целях исполнения заключенного договора с субъектом ПДн, а также в иных случаях, установленных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 ФЗ «О персональных данных».
      • Согласие в письменной форме субъекта ПДн на обработку его ПДн должно включать в себя:
    • фамилию, имя, отчество (при наличии), адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
    • фамилию, имя, отчество (при наличии), адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);
    • наименование или фамилию, имя, отчество (при наличии) и адрес оператора, получающего согласие субъекта ПДн;
    • цель обработки ПДн;
    • перечень ПДн, на обработку которых дается согласие субъекта ПДн;
    • наименование или фамилию, имя, отчество (при наличии) и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;
    • перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;
    • срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено федеральным законом;
    • подпись субъекта ПДн.
      • В отношении несовершеннолетних детей согласие предоставляют законные представители.
      • Письменное согласие на обработку ПДн может быть отозвано субъектом ПДн или его законным представителем, по письменному запросу на имя руководителя министерства. Запрос должен содержать фамилию, имя, отчество (при наличии) субъекта ПДн или его законного представителя, номер основного документа, удостоверяющего личность субъекта ПДн или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта ПДн или его законного представителя, обратный адрес субъекта ПДн.
    • Получение письменного согласия на обработку ПДн осуществляется сотрудником министерства, при получении ПДн от субъекта ПДн, путем оформления письменного согласия по форме, установленной в министерстве.

6.        ПРАВА СУБЪЕКТА В ОТНОШЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В МИНИСТЕРСТВЕ

  • Субъект ПДн имеет право на получение информации (далее — сведения), касающейся обработки его ПДн, в том числе содержащей:
  • подтверждение факта обработки ПДн оператором;
  • правовые основания и цели обработки ПДн;
  • цели и применяемые оператором способы обработки ПДн;
  • наименование и место нахождения оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона.
  • обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральными законами;
  • сроки обработки ПДн, в том числе сроки их хранения;
  • порядок осуществления субъектом ПДн прав, предусмотренных федеральными законами;
  • информацию об осуществлённой или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество (при наличии) и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.
    • Субъект ПДн вправе требовать от оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
    • Сведения должны быть предоставлены субъекту ПДн оператором в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.
    • Сведения предоставляются субъекту ПДн или его представителю оператором при обращении либо при получении запроса субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн оператором, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Срок ответа на запрос – 30 дней.
    • В случае, если сведения, а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 7.1, и ознакомления с такими ПДн не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.
    • Оператор обязан предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн. В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие ПДн. Оператор обязан уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.
    • Оператор обязан сообщить в уполномоченный орган по защите прав субъектов ПДн по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
    • Если ПДн были получены не от субъекта ПДн, за исключением случаев, когда ПДн были предоставлены министерству на основании федерального закона или если ПДн являются общедоступными, министерство до начала обработки таких ПДн обязано предоставить субъекту ПДн следующую информацию:
  • наименование и адрес министерства и его представителя (фамилия, имя, отчество (при наличии));
  • цель обработки ПДн и ее правовое основание;
  • предполагаемые пользователи ПДн;
  • установленные ФЗ «О персональных данных» права субъекта ПДн.
    • Если обязанность предоставления ПДн установлена федеральным законом, министерство обязано разъяснить субъекту ПДн юридические последствия отказа предоставить свои ПДн.

7.        ПОРЯДОК ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

  • Министерство обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
  • Меры, необходимые и достаточные для обеспечения выполнения министерством обязанностей оператора, предусмотренных законодательством Российской Федерации в области ПДн, включают:
  • принятие локальных нормативных актов и иных документов в области обработки и защиты ПДн;
  • организацию обучения и проведение методической работы с сотрудниками подразделений министерства, занимающими должности, включенные в перечень должностей, замещение которых предусматривает осуществление обработки ПДн;
  • получение согласий субъектов ПДн на обработку их ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации;
  • обособление ПДн, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях ПДн, в специальных разделах;
  • обеспечение раздельного хранения ПДн и их материальных носителей, обработка которых осуществляется в разных целях, и которые содержат разные категории ПДн;
  • установление запрета на передачу ПДн по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны, и сетям Интернет без применения установленных в министерстве мер по обеспечению безопасности ПДн (за исключением общедоступных и (или) обезличенных ПДн);
  • хранение материальных носителей ПДн с соблюдением условий, обеспечивающих сохранность ПДн и исключающих несанкционированный доступ к ним;
  • осуществление внутреннего контроля соответствия обработки ПДн ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, локальным нормативным актам министерства;
  • иные меры, предусмотренные законодательством Российской Федерации в области ПДн.
    • Меры по обеспечению безопасности ПДн при их обработке в информационных системах ПДн устанавливаются в соответствии с локальными нормативными актами министерства, регламентирующими вопросы обеспечения безопасности ПДн при их обработке в информационных системах ПДн министерства.
    • Для разработки требований по обеспечению безопасности и внедрения системы обеспечения безопасности ПДн в министерстве разработана типовая модель угроз «Модель угроз (частная модель угроз) безопасности ПДн и модель нарушителя при их обработке в ИСПДн органа исполнительной власти» на основе нормативно - методического документа ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
    • В министерстве разработан и внедрен комплекс мер по защите и обеспечению безопасности ПДн.
    • Средства защиты информации ИСПДн.

Технические и программные средства защиты информации, используемые при обработке ПДн приведены в технических паспортах ИСПДн.

  • Требования к сотрудникам в связи с обработкой ПДн
    • Должностные обязанности сотрудников по вопросам обеспечения безопасности ПДн при их обработке в ИСПДн определены в должностных инструкциях и руководствах пользователей.
    • Обеспечение конфиденциальности ПДн, обрабатывающихся в министерстве, является обязательным требованием для всех сотрудников министерства, которым ПДн стали известны.
    • В министерстве организован процесс обучения использования средств защиты информации ПДн, эксплуатируемых в министерстве. Обучение по данному направлению рекомендовано лицам, имеющим постоянный доступ к ПДн, и лицам, эксплуатирующим технические и программные средства ИСПДн и средств защиты информации ИСПДн. В обязательном порядке обучение должны проходить лица, ответственные за эксплуатацию средств защиты информации ИСПДн.
    • ПДн поступают в министерство при заключении договоров, получении заявок на предоставление государственных услуг, а также в иных случаях. Сотрудники министерства, осуществляющие оформление документов, обязаны получать в установленных случаях согласие субъектов ПДн на обработку.
    • Ответственность сотрудников министерства за нарушения установленного порядка обработки ПДн устанавливается в соответствии с нормами действующего законодательства внутренними документами министерства, а также трудовыми договорами и должностными инструкциями сотрудников министерства.

8.        ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

  • В министерстве установлен разрешительный порядок доступа к ПДн. Сотрудникам министерства предоставляется доступ к работе с ПДн исключительно в пределах и объеме, необходимых для выполнения ими своих должностных обязанностей на основании решения министра или заместителя министра, осуществляющего в соответствии с должностным регламентом руководство вопросами защиты информации.
  • Сотрудники министерства, которые в силу выполняемых служебных обязанностей постоянно работают с ПДн, получают допуск к необходимым категориям ПДн на срок выполнения ими соответствующих должностных обязанностей на основании перечня лиц, допущенных к работе с ПДн, который утверждается министром или заместителем министра, осуществляющим в соответствии с должностным регламентом руководство вопросами защиты информации.
  • Список лиц, имеющих доступ к ПДн ИСПДн, должен поддерживаться в актуальном состоянии.
  • Временный или однократный допуск к работе с ПДн в связи со служебной необходимостью может быть получен сотрудником министерства по решению министра или заместителя министра, осуществляющего в соответствии с должностным регламентом руководство вопросами защиты информации.
  • Доступ к ПДн третьих лиц, не являющихся сотрудниками министерства, без согласия субъекта ПДн запрещён, за исключением доступа сотрудников органов исполнительной власти, осуществляемого в рамках мероприятий по контролю и надзору за исполнением законодательства, реализации функций и полномочий соответствующих органов государственной власти, в иных случаях предусмотренных законодательством РФ. Предоставление информации по запросу или требованию органа государственной власти осуществляется с разрешения министра или заместителя министра, осуществляющего в соответствии с должностным регламентом руководство вопросами защиты информации.
  • В случае, если сотруднику сторонней организации необходим доступ к ПДн министерства, то необходимо, чтобы в договоре со сторонней организацией были прописаны условия конфиденциальности ПДн и обязанность сторонней организации и её сотрудников по соблюдению требований текущего законодательства в области защиты ПДн. Кроме того, в случае доступа к ПДн лиц, не являющихся сотрудниками министерства, должно быть получено согласие субъектов ПДн на предоставление их ПДн третьим лицам. Указанное согласие не требуется, если ПДн предоставляются в целях исполнения гражданско-правового договора, заключенного министерством с субъектом ПДн.
  • Доступ сотрудника министерства к ПДн прекращается с даты прекращения трудовых отношений и/или даты изменения должностных обязанностей сотрудника министерства и/или исключения сотрудника из списка лиц, имеющих право доступа к ПДн. В случае увольнения сотрудника все носители, содержащие ПДн, которые в соответствии с должностными обязанностями находились в распоряжении сотрудника во время работы в министерстве, должны быть переданы соответствующему должностному лицу министерства.
  • Сотрудники обязаны незамедлительно сообщать соответствующему должностному лицу министерства об утрате или недостаче носителей информации, составляющей ПДн, а также о причинах и условиях возможной утечки ПДн. В случае попытки посторонних лиц получить от сотрудника ПДн, обрабатываемых в министерстве, незамедлительно известить об этом соответствующее должностное лицо министерства.
  • ПДн субъектов на бумажных носителях, обрабатываемые министерством, хранятся в отделах (у сотрудников), имеющих допуск к обработке соответствующих ПДн. Носители ПДн не должны оставаться без присмотра. При уходе с рабочего места, сотрудники, осуществляющие обработку ПДн, должны убирать носители в сейф, запираемый шкаф или иным образом ограничивать несанкционированный доступ к носителям. При утере или порче ПДн осуществляется, по возможности, их восстановление.
  • Места хранения документов, содержащих ПДн:
  • ПДн контрагентов министерства (договоры, заявления, акты, соглашения, анкеты, копии паспортов, иные подобные документы, содержащие ПДн контрагентов министерства), носители информации (флеш-карты. CD-диски, и т.п.) хранятся в отделах (у сотрудников), имеющих допуск к обработке соответствующих ПДн., размещаются в сейфах, запираемых шкафах или иным образом ограничивается несанкционированный доступ к носителям. Ответственное лицо, осуществляющее контроль назначается министром или заместителем министра, осуществляющим в соответствии с должностным регламентом руководство вопросами защиты информации;
  • ПДн сотрудников министерства - носители информации (флеш-карты, CD- диски и т.п.) хранятся в сейфе министерства и запираются на ключ. Ответственное лицо, осуществляющее контроль, назначается министром или заместителем министра, осуществляющим в соответствии с должностным регламентом руководство вопросами защиты информации.
    • Выдача документов для ознакомления осуществляется лицам, допущенным к соответствующей информации в целях исполнения должностных обязанностей, на срок не более одного рабочего дня.
    • Места и порядок хранения иных носителей информации.

Иные носители информации могут храниться в помещениях министерства, размещаются на полках и запираются на ключ, или же в сейфе министерства. Ответственное лицо, осуществляющее контроль, назначается министром или заместителем министра, осуществляющим в соответствии с должностным регламентом руководство вопросами защиты информации.

  • При работе с программными средствами ИСПДн министерства, реализующих функции просмотра и редактирования ПДн, запрещается демонстрация экранных форм, содержащих такие данные лицам, не имеющим соответствующего допуска. При получении персональных данных сотрудником министерства, который в соответствии с должностными обязанностями получает ПДн от контрагента министерства, сотрудника или иного лица в обязательном порядке проводится проверка достоверности ПДн. Ввод ПДн, полученных министерством, в ИСПДн министерства, осуществляется сотрудниками имеющими доступ к соответствующим ПДн. Сотрудники, осуществляющие ввод информации, несут ответственность за достоверность и полноту введенной информации.
  • Сотрудники, осуществляющие обработку ПДн, должны быть ознакомлены с настоящим Положением.
  • Особенности обработки ПДн, содержащихся на бумажных носителях, без использования средств автоматизации установлены в соответствии с «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденным Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.
  • При неавтоматизированной обработке различных категорий ПДн должен использоваться отдельный материальный носитель для каждой категории ПДн.
  • При неавтоматизированной обработке ПДн на бумажных носителях не допускается фиксация на одном бумажном носителе ПДн, цели обработки которых заведомо не совместимы.
  • ПДн должны обособляться от иной информации, в частности путём фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков).
  • При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее - типовые формы) должны соблюдаться следующие условия:
  • типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки ПДн, имя (наименование) и адрес оператора, фамилию, имя, отчество (при наличии) и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн;
  • типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на неавтоматизированную обработку ПДн (при необходимости получения письменного согласия на обработку ПДн);
  • типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;
  • типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.
    • Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
    • Случаи уничтожения, блокирования и уточнения ПДн:
  • в случае выявления недостоверных ПДн или неправомерных действий с ними министерство при обращении или по запросу субъекта ПДн или его законного представителя либо уполномоченного органа по защите прав субъектов ПДн может осуществить блокирование ПДн, относящихся к соответствующему субъекту ПДн, с момента такого обращения или получения такого запроса на период проверки. Блокирование осуществляется на основании приказа министерства путём прекращения каких-либо действий с ПДн;
  • в случае подтверждения факта неточности ПДн министерство на основании документов, представленных субъектом ПДн или его законным представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязан уточнить ПДн (внести изменения) и снять их блокирование. Снятие блокирования осуществляется на основании приказа министерства;
  • в случае выявления неправомерных действий с ПДн министерство в срок, не превышающий трех рабочих дней с даты такого выявления, обязано устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений министерство в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с ПДн, обязано уничтожить ПДн. Об устранении допущенных нарушений или об уничтожении ПДн министерство обязано уведомить субъекта ПДн или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов ПДн, также в указанный орган;
  • в случае достижения цели обработки ПДн министерство обязано незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в срок, не превышающий 30 рабочих дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором с субъектом ПДн и в случае необходимости уведомить об этом субъекта ПДн или его законного представителя;
  • в случае отзыва субъектом ПДн согласия на обработку своих ПДн министерство обязано прекратить обработку ПДн и уничтожить ПДн в срок, не превышающий 30 рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между министерством и субъектом ПДн. Об уничтожении ПДн министерство обязано уведомить субъекта ПДн;
  • уничтожение или обезличивание части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, уничтожение);
  • уточнение ПДн при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными ПДн.
    • Уничтожение носителей, содержащих ПДн, осуществляется в следующем порядке:
  • ПДн на бумажных носителях уничтожаются путем использования шредера, установленного в офисе министерства;
  • ПДн, размещённые в памяти ПЭВМ, уничтожаются путем удаления их из памяти ПЭВМ;
  • ПДн, размещенные на флеш-карте, CD-диске, ином носителе информации уничтожаются путем удаления файла с носителя, при необходимости путем нарушения работоспособности флеш- карты или CD-диска;
    • Карточка ПДн контрагентов, которые обрабатывает министерство, блокируется по достижении цели обработки ПДн без составления дополнительных актов уничтожения/блокирования информации, без возможности дальнейшей работы с данным контрагентом. Блокирование карточки контрагента допускается по запросу Роскомнадзора или иных лиц, назначенных приказом министерства.
    • При уничтожении носителя информации составляется Акт об уничтожении ПДн.
    • Требования к помещениям, в которых обрабатывается ПДн:
  • доступ в помещения, в которых располагаются средства обработки ПДн, должен контролироваться;
  • помещения министерства по окончании рабочего дня и отсутствия сотрудников в помещениях должны запираться на ключ, окна должны быть закрыты, должна быть включена сигнализация (при наличии);
  • уборка помещений и обслуживание технических средств ИСПДн должны осуществляться под контролем ответственных за данные помещения и технические средства лиц с соблюдением мер, исключающих несанкционированный доступ к ПДн, носителям информации, программным и техническим средствам обработки, передачи и защиты информации ИСПДн.
    • Сетевое оборудование, серверы должны располагаться в местах, недоступных для посторонних лиц.
    • Осуществление внутреннего контроля обработки и обеспечения безопасности ПДн направлены на решение следующих задач:
  • обеспечение соблюдения сотрудниками министерства требований настоящего Положения и нормативно-правовых актов, регулирующих сферу ПДн;
  • оценка компетентности персонала, задействованного в обработке ПДн;
  • обеспечение работоспособности и эффективности технических средств ИСПДн и средств защиты ПДн, их соответствия требованиям уполномоченных органов исполнительной власти по вопросам безопасности ПДн;
  • выявление нарушений установленного порядка обработки ПДн и своевременное предотвращение негативных последствий таких нарушений:
  • принятие корректирующих мер, направленных на устранение выявленных нарушений, как в порядке обработки ПДн, так и в работе технических средств ИСПДн;
  • разработка рекомендаций по совершенствованию порядка обработки и обеспечения безопасности ПДн по результатам контрольных мероприятий;
  • осуществление внутреннего контроля за исполнением рекомендаций и указаний по устранению нарушений.
    • Результаты контрольных мероприятий оформляются актами и являются основанием для разработки рекомендаций по совершенствованию порядка обработки и обеспечения безопасности по модернизации технических средств ИСПДн и средств защиты информации ПДн, по обучению и повышению компетентности персонала, задействованного в обработке ПДн.

9.        ОСОБЕННОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СОТРУДНИКОВ МИНИСТЕРСТВА

  • Обработка ПДн сотрудника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия сотрудникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности сотрудников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
  • Министерство не имеет права получать и обрабатывать ПДн сотрудника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
  • При принятии решений, затрагивающих интересы сотрудника, министерство не имеет права основываться на ПДн сотрудника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
  • Министерство обязуется не сообщать ПДн сотрудника в коммерческих целях без его письменного согласия.
  • Министерство обязуется предупредить сотрудников министерства, третьих лиц, получающих ПДн сотрудника (при его согласии), о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПДн сотрудника, обязаны соблюдать режим конфиденциальности. Режим конфиденциальности обеспечивается подписанием с лицом соглашения.
  • Доступ к ПДн сотрудников предоставляется сотрудникам министерства в целях исполнения ими должностных обязанностей, выполнения организационно-распорядительных функций.
Сообщение об ошибке
Закрыть
Отправьте нам сообщение. Мы исправим ошибку в кратчайшие сроки.
Расположение ошибки:
Текст ошибки:
Комментарий или отзыв о сайте: