ГБУ «Центр социального обслуживания граждан пожилого возраста и инвалидов г. Бор»

                                                       Положение Об обработке персональных данных в Государственном бюджетном учреждении
«Центр социального обслуживания граждан пожилого возраста и инвалидов городского округа города Бор»  (с изменениями от 27.01.2020 г. приказ № 36) 

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Положение об обработке персональных данных в ГБУ «ЦСОГПВИИ г.о.г. Бор» (далее - Положение) разработано в соответствии с Конституцией Российской Федерации, Перечнем сведений конфиденциального характера, утвержденным Указом Президента Российской Федерации от 06.03.1997 №188 (ред. от 23.09.2005), Федеральным Законом от 27.07.2006 №152-ФЗ «О персональных данных» (далее - Федеральный закон № 152-ФЗ), Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства Российской Федерации от 01.11. 2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом «О персональных данных», и принятыми в соответствии с ними нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», Концепцией безопасности информации автоматизированной информационной системы министерства социальной политики Нижегородской области, утвержденной приказом министерства социальной политики Нижегородской области от 30.01.2015 г. №35, Положением об обработке персональных данных в министерстве социальной политики Нижегородской области, утвержденного приказом министерства социальной политики Нижегородской области от 30.01.2015 г. №34 с изменениями приказа от 21.11.2019 г. № 721».

1.2. Настоящее Положение регламентирует порядок обработки в ГБУ «ЦСОГПВИИ г.о.г. Бор» (далее – Учреждение) персональных данных, обрабатываемых в связи с трудовыми отношениями работников Учреждения, предоставлением социальных услуг гражданам пожилого возраста и инвалидам; персональных данных лиц, обратившихся с заявлением, обращением, жалобой, и иных лиц, связанных гражданско-правовыми отношениями с Учреждением.

1.3. Настоящее Положение обязательно для исполнения всеми сотрудниками Учреждения, чьи должностные обязанности предусматривают выполнение функций по обработке персональных данных.

1.4. Ответственность за организацию выполнения требований законодательства Российской Федерации при работе с персональными данными и требований настоящего Положения возлагается на директора Учреждения.

1.5. Ответственность за выполнение требований настоящего Положения возлагается на сотрудников Учреждения, чьи должностные обязанности предусматривают выполнение функций по обработке персональных данных.

1.6. Контроль выполнения организационных и технических мероприятий при обработке персональных данных осуществляет ответственный за организацию обработки персональных данных в Учреждении (далее – Ответственный за ОПД).

1.7. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания, если иное не определено законом. 

2. ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ

2.1. В настоящем Положении используются следующие понятия и определения:

– персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

– оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

– обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

– распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

– уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

– обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

– информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

– конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

– общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

– доступ к информации – возможность получения информации и ее использования;

– блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

– автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

– обработка персональных данных без использования средств автоматизации – обработка персональных данных содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;

-персональные данные работника – сведения о фактах, событиях и обстоятельствах жизни работника Учреждения, позволяющие идентифицировать его личность и содержащиеся в личном деле работника Учреждения, либо подлежащие включению в его личное дело;

- персональные данные получателя социальных услуг – сведения о фактах, событиях и обстоятельствах жизни гражданина, которому Учреждением предоставляются социальные услуги в соответствии с законодательством о социальном обслуживании, позволяющие идентифицировать его личность и содержащиеся в его личном деле  либо подлежащие включению в его личное дело;

- персональные данные иных лиц – сведения о лицах, обратившихся в Учреждение с заявлением, жалобой и (или) имеющие с ним гражданско-правовые отношения;

– безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных, при их обработке в ИСПДн;

– уполномоченное должностное лицо – сотрудник Учреждения, который приказом директора Учреждения допущен к обработке персональных данных. 

3. ОПЕРАТОР ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1.Учреждение является Оператором персональных данных: своих сотрудников, обрабатываемых в соответствии с трудовым законодательством, получателей социальных услуг, предоставляемых в соответствии с законодательством о социальном обслуживании граждан, иных лиц, обратившихся с заявлением, жалобой, и (или) связанных гражданско-правовыми отношениями с Учреждением.

 3.2.Учреждение вправе осуществлять обработку персональных данных в рамках настоящего Положения без уведомления уполномоченного органа по защите прав субъектов персональных данных в соответствии с п.2 ст.22 Федерального Закона от 27.07.2006 №152-ФЗ «О персональных данных». 

4. ЦЕЛИ И ЗАДАЧИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка персональных данных в Учреждении осуществляется в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», Трудовым кодексом Российской Федерации, постановлением Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства РФ от 06.07.2008 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», Постановлением Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21.03.2012 №211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных», Концепцией безопасности информации автоматизированной информационной системы министерства социальной политики Нижегородской области, утвержденной приказом министерства социальной политики Нижегородской области от 30.01.2015г. №35, Положением об обработке персональных данных в министерстве социальной политики Нижегородской области, утвержденного приказом министерства социальной политики Нижегородской области от 30.01.2015г. №34 Федеральным законом от 28.12.2013 г. №442-ФЗ «Об основах социального обслуживания граждан в Российской Федерации», Законом Нижегородской области от 05.11.2014 г. № 146-З «О социальном обслуживании граждан в Нижегородской области», и другими нормативными актами в сфере трудовых отношений и занятости населения, социального обслуживания граждан.

4.2. При обработке персональных данных в Учреждении достигается решение следующих задач:

• защита конституционных прав субъектов персональных данных в сфере трудовых отношений и занятости, социального обслуживания граждан;
• участие в осуществлении нормативного правового регулирования в сферах социально-трудовых отношений и занятости;
• совершенствование существующих и разработка новых систем оплаты труда работников Учреждения в целях повышения результативности деятельности Учреждения, расширения объема и повышения качества предоставления социальных услуг;
• участие в организации альтернативной гражданской службы в Учреждении, в пределах компетенции Учреждения;
• заключение и выполнение обязательств по трудовым договорам, договорам гражданско-правового характера и договорам с контрагентами;                  

  5. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ИСТОЧНИКИ ПОЛУЧЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ, СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ 

В рамках настоящего Положения Учреждением обрабатываются персональные данные следующих категорий субъектов персональных данных:

5.1.1.    работники Учреждения;

5.1.2.    соискатели на вакантные должности Учреждения;

5.1.3.   бывшие работники Учреждения;

5.1.4.   граждане - получатели социальных услуг в Учреждении;

5.1.5.  физические лица, обратившиеся в Учреждение с заявлением или      жалобой;

 5.1.6. иные физические лица, имеющие договорные отношения с Учреждением.

Источники получения: субъекты персональных данных, связанные с Учреждением трудовыми, договорными по предоставлению социальных услуг взаимоотношениями, связанные иными гражданско-правовыми отношениями, обратившиеся с заявлением, жалобой.

Сроки обработки и хранения персональных данных определяется действующим законодательством Российской Федерации. 

6. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Сбор, обработка, хранение персональных данных в Учреждении осуществляется в соответствии с требованиями действующего законодательства Российской Федерации.

6.2. Обработка персональных данных в Учреждении осуществляется на основе следующих принципов:

• законности целей и способов обработки персональных данных и добросовестности;
• соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
• соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;

6.3. Учреждение в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона 152-ФЗ «О персональных данных».

6.4. Учреждение не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).

6.5. Учреждение не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

6.6. Учреждение не производит трансграничную (на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.

6.7. Учреждение производит передачу персональных данных третьим лицам на основании соответствующего соглашения или договора, только с согласия субъектов персональных данных и только в соответствии с действующим законодательством российской Федерации.

6.8. Хранение персональных данных в Учреждении осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.

6.9. Персональные данные подлежат уничтожению или обезличиванию по достижении целей обработки, или в случае утраты необходимости в их достижении.

6.10. Обезличивание может производиться персональных данных работников Учреждения в соответствии с требованиями и методами, установленными нормативными актами по защите персональных данных, по распоряжению руководителя. 

 7.УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Обработка персональных данных в Учреждении осуществляется в соответствии с действующим законодательством Российской Федерации.

7.2. В случае, если обработка персональных данных законодательно предусматривает поручение обработки персональных данных другому оператору (юридическому лицу), то с данным оператором заключается договор (соглашение), существенным условием которого является обязанность обеспечения указанным оператором конфиденциальности и безопасности персональных данных при их обработке.

7.3. Обработка персональных данных в Учреждении осуществляется:

• с согласия субъекта персональных данных, выраженного в письменной форме. Форма согласия на обработку персональных данных утверждена приказом Директором Учреждения.
• на основании федеральных законов и нормативных актов, устанавливающих цель обработки персональных данных, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке;

7.4. При обработке персональных данных обеспечивается соблюдение конфиденциальности персональных данных и обеспечение необходимого уровня защиты информации. Данное требование обязательно для  сотрудников и руководителей подразделений Учреждения, осуществляющих обработку персональных данных.

7.5. Учреждение осуществляет обработку персональных данных в смешанном режиме. 

 8.СВЕДЕНИЯ, ОТНОСЯЩИХСЯ К ПЕРСОНАЛЬНЫМ ДАННЫМ, КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. В Учреждении обрабатываются сведения, относящиеся к персональным данным лиц, связанных с Учреждением трудовыми взаимоотношениями, договорными взаимоотношениями по предоставлению социальных услуг, иными гражданско-правовыми отношениями.

8.2. Перечень персональных данных, обрабатываемых в Учреждении, включается в Перечень сведений ограниченного доступа, не составляющих государственную тайну, который утверждается приказом директора Учреждения. Обработка персональных данных, включенных в указанный Перечень, соответствует целям сбора и использования этих данных в соответствии с разделом 6 настоящего Положения.

8.3. Учреждение осуществляет обработку следующих категорий персональных данных: фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, телефон, семейное положение, доходы, номер страхового свидетельства государственного пенсионного страхования, сведения о документах, удостоверяющих личность, сведения о воинской обязанности, не содержащие сведений о национальной принадлежности субъекта персональных данных, сведения о состоянии здоровья получателя социальных услуг и работников, сведения о документах, подтверждающих категорию и льготы получателя социальных услуг. 

9. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Субъект персональных данных имеет право:

• самостоятельно принимать решение о предоставлении своих персональных данных и давать согласие на их обработку. При этом согласие на обработку персональных данных оформляется в письменном виде по рекомендуемой форме, утвержденной приказом директора Учреждения;
• отозвать согласие на обработку персональных данных путем направления письменного заявления на имя директора Учреждения;
• на получение сведений об Учреждении, о месте его нахождения, о наличии в Учреждении персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными;
• требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, если иное не определено действующим законодательством Российской Федерации;
• на получение доступа к своим персональным данным лично или через законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть представлен в электронной форме и подписан электронной подписью в соответствии с действующим законодательством Российской Федерации;
• на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
• обратиться с жалобой в уполномоченный федеральный орган исполнительной власти по защите прав субъектов персональных данных или в суд в том случае, если полагает, что обработка его персональных данных осуществляется с нарушением требований законодательства или иным образом нарушает его права и свободы. 

10.ОБЯЗАННОСТИ УЧРЕЖДЕНИЯ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. При обработке персональных данных Учреждение обязано выполнять требования статей 18, 19, 20 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» в том числе:

• безвозмездно предоставлять субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что обрабатываемые персональные данные, которые относятся к соответствующему субъекту, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Учреждение обязано уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы;
• в случае выявления неправомерных действий с персональными данными Учреждение в срок, не превышающий трех рабочих дней с даты такого выявления, обязано устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Учреждение в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязано уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Учреждение обязано уведомить субъекта персональных данных или его законного представителя;
• в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Учреждение обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва. Об уничтожении персональных данных Учреждение обязано уведомить субъекта персональных данных;
• обеспечивать конфиденциальность персональных данных;
• определить перечень персональных данных, обрабатываемых Учреждением;
• определить перечень лиц, ответственных за организацию обработки персональных данных и за обработку персональных данных;
• определить места хранения персональных данных;
• разработать систему нормативных документов, регламентирующих обработку персональных данных (в том числе с применением средств защиты информации);
• довести требования нормативных документов, регламентирующих обработку персональных данных, до сотрудников, осуществляющих их обработку;
• закрепить ответственность сотрудников, обеспечивающих обработку персональных данных, за выполнение требований нормативных документов в их должностных инструкциях.

10.2. Обеспечивать конфиденциальность персональных данных не требуется:

• в случае обезличивания персональных данных;
• в отношении общедоступных персональных данных. 

11.ОБЯЗАННОСТИ СОТРУДНИКОВ УЧРЕЖДЕНИЯ ПРИ РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И ПРИ ОБЕСПЕЧЕНИИ КОНФИДЕНЦИАЛЬНОСТИ И БЕЗОПАСНОСТИ ОБРАБОТКИ    ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Персональные данные являются одной из категорий Перечня сведений ограниченного доступа, не содержащих государственной тайны, и подлежат защите в рамках функционирующей в Учреждении системы защиты информации.

11.2. Сотрудники Учреждения при работе с персональными данными, при обеспечении их конфиденциальности и безопасности обработки обязаны выполнять весь комплекс мероприятий, установленный нормативными документами по порядку обработки и обеспечению защиты информации, которые определяют правила работы:

• в системе защиты от несанкционированного доступа;
• при обеспечении антивирусной защиты;
• в системе криптографической защиты.

11.3. Общие правила:

• не сообщать персональные данные устно или письменно (по телефону, факсу, электронной почте, в письме или иным способом) кому бы то ни было, если это не установлено законодательством и действующими инструкциями по работе со служебными документами и обращениями граждан;
• использовать учтенные (должным образом зарегистрированные) носители информации;
• не оставлять носители информации с персональными данными без присмотра и не передавать на хранение другим лицам, не имеющим на это полномочий;
• не выносить съемные носители информации, средства вычислительной техники с размещенными на них персональными данными из служебных помещений для работы с ними на дому, в гостиницах и т. д.      

12. ПРЕДОСТАВЛЕНИЕ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ

12.1. К работе с персональными данными допускаются сотрудники Учреждения, должностные инструкции которых предусматривают выполнение обязанностей по обработке персональных данных. Список лиц, имеющих доступ к персональным данным, утверждается директором Учреждения.

12.2. Предоставление сотруднику доступа к информационному ресурсу, содержащему персональные данные, осуществляется на основании приказа по Учреждению об утверждении списка лиц, осуществляющих обработку персональных данных по заявке  руководителя подразделения Учреждения на имя директора Учреждения, с обоснованием необходимости работы с информационным ресурсом, режима работы в рамках функционирующей системы разграничения доступа.

12.3. Руководитель подразделения Учреждения при организации доступа сотрудника к персональным данным, обязан ознакомить его с настоящим Положением, с требованиями нормативных документов по установлению особенностей и правил осуществления обработки персональных данных, обеспечению безопасности персональных данных под роспись (постановления Правительства от 01.11.12 № 1119 и от 15.09.2008 № 687 в части касающейся, комплекс нормативных документов по защите информации, разработанных в Учреждении.

12.4. Каждый пользователь информационного ресурса имеет индивидуальные код (идентификатор) и пароль для доступа к информационному ресурсу. Пользователь не имеет права передавать свои учетные данные другому пользователю и несет персональную ответственность за конфиденциальность данных собственной учетной записи. 

13. СБОР, ОБРАБОТКА, ХРАНЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

13.1. Обработка персональных данных в Учреждении осуществляется в соответствии с разделом 7 настоящего Положения.

13.2. Обработка персональных данных осуществляется в Учреждении на основании действующего законодательства Российской Федерации, в соответствии с настоящим Положением и иными нормативными актами.

13.3. Хранение персональных данных осуществляется на машинных носителях информации, на средствах вычислительной техники (серверах) с использованием специализированного программного обеспечения, отвечающего требованиям информационной безопасности и (или) на бумажных носителях, и регламентируется инструкциями по обеспечению выполнения того или иного процесса в зависимости от цели обработки персональных данных, в местах, определенных Учреждением для хранения материальных носителей персональных данных.

13.4. Создание, использование и хранение резервных копий баз данных, содержащих сведения ограниченного доступа, в том числе персональные данные, допускается и осуществляется только в целях обеспечения производственного процесса и регламентируется для каждого информационного ресурса частной технологической инструкцией.

13.5. Хранение резервных копий баз данных, содержащих персональные данные, осуществляется на основании приказа директора Учреждения на средствах вычислительной техники (серверах) или на машинных носителях информации, доступ к которым ограничен.

13.6. Вынос носителей с резервными копиями баз данных, содержащих персональные данные, а также материальных носителей персональных данных из здания Учреждения запрещен, если иное не предусмотрено законодательством. 

14. ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

14.1. Обеспечение защиты персональных данных в Учреждении является одним из аспектов обеспечения защиты сведений ограниченного доступа, не составляющих государственную тайну, и осуществляется в рамках реализации комплексной системы защиты информации.

14.2. Обработка персональных данных с использованием средств автоматизации осуществляется с обеспечением необходимого уровня защиты информации, предусматривающего принятие организационных и технических мер, в том числе использование шифровальных (криптографических) средств, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

14.3. При обработке персональных данных в Учреждении организационные мероприятия выполняются в рамках реализации комплексной системы защиты информации и предусматривают:

• определение ответственных за обработку персональных данных и закрепление обязанностей и ответственности (издание приказа об утверждении списка сотрудников Учреждения, ответственных за обработку персональных данных, с возложением на них персональной ответственности за соблюдение порядка обработки и требований по защите персональных данных);
• информирование сотрудников, осуществляющих обработку персональных данных, о факте обработки ими персональных данных, категориях обрабатываемых персональных данных;
• ознакомление сотрудников, ответственных за обработку персональных данных, с требованиями нормативных документов по установлению особенностей и правил осуществления обработки персональных данных, обеспечению безопасности персональных данных под роспись (Постановления Правительства Российской Федерации от 01.11.2012 № 1119 и от 15.09.2008 №687 в части касающейся и комплекса нормативных документов по защите информации, разработанных в Министерстве);
• организация допуска и разграничение прав доступа к информационным ресурсам и материальным носителям, содержащим персональные данные, в рамках установленной системы разграничения доступа (подготовка разрешительных документов – таблиц разграничения доступа, заявок на допуск к информационному ресурсу). Работа с персональными данными лиц, не включенных в разрешительные документы, не допускается;
• внесение изменений в должностные инструкции сотрудников, имеющих отношение к обработке персональных данных, в части дополнения положениями о необходимости и обязанности соблюдения настоящего Положения, а также требований по защите персональных данных;
• внесение изменений в должностные инструкции руководителей отделений Учреждения в части дополнения положениями о необходимости и обязанности осуществления контроля за соблюдением сотрудниками отделения правил обработки персональных данных, а также требований по их защите;
• определение перечня помещений, в которых осуществляется обработка информации, содержащей сведения ограниченного доступа, в т.ч. персональные данные;
• учет и контроль перемещения носителей информации, содержащих сведения ограниченного доступа, в т. ч. персональные данные.

14.4. При обработке персональных данных с использованием средств автоматизации в Учреждении технические мероприятия выполняются в рамках реализации комплексной системы защиты информации и предусматривают:

• применение электронной подписи и шифрования данных при передаче;
• аутентификация пользователей вычислительных средств и информационных ресурсов;
• резервное копирование данных;
• авторизация доступа к информации;
• применение сертифицированных межсетевых защитных (фильтрующих) экранов;
• применение антивирусного мониторинга и детектирования;
• мониторинг процессов и действий пользователей аппаратных и информационных ресурсов;
• оборудование зданий и помещений системами пожарной и охранной сигнализации;
• применение в архитектуре вычислительных систем технологий и средств повышения надежности их функционирования и обеспечения безопасности информации;
• своевременное применение критических обновлений общесистемного и прикладного программного обеспечения;
• оптимальная настройка операционной системы и прикладного программного обеспечения (техническая и эксплуатационная документация на прикладного программного обеспечения).

14.5. В целях регистрации действий сотрудников при работе с персональными данными ведется Журнал обращений по ознакомлению с персональными данными в электронном виде средствами прикладного программного обеспечения, с использованием которых организован доступ к персональным данным, в форме, позволяющей идентифицировать пользователя, принадлежность персональных данных, дату, время доступа к персональным данным. Хранение журналов исключает несанкционированный доступ к ним. 

15. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

15.1. Передача персональных данных между отделениями Учреждения регламентируется инструкциями, определяющими порядок работы при организации соответствующего процесса.

15.3. Решение о передаче персональных данных сторонним организациям принимается только директором Учреждения на основании действующего законодательства Российской Федерации.

15.4. Передача персональных данных сторонним организациям осуществляется:

• на основании заключенных соглашений;
• по письменным мотивированным запросам по вопросам, касающимся целей обработки персональных данных, на основании решения директора Учреждения;
• в иных случаях, предусмотренных законодательством.

15.5. Исключается передача обрабатываемых персональных данных без письменного согласия субъекта персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации. 

16. ВЗАИМОДЕЙСТВИЕ С УПОЛНОМОЧЕННЫМ ОРГАНОМ ПО ЗАЩИТЕ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

16.1. Уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

16.2. Уполномоченный орган по защите прав субъектов персональных данных имеет право на совершение действий в соответствии с пунктом 3 статьи 23 Федерального Закона от 27.07.2006 №152-ФЗ.

16.3. Взаимодействие с уполномоченным органом по защите прав субъектов персональных данных по вопросам, касающимся обработки и выполнения требований по обеспечению безопасности персональных данных осуществляют:

• Руководитель Учреждения
• Юрисконсульт;
• Ответственные за организацию обработки и обработку персональных данных, (за исключением сведений, составляющих государственную тайну) в Учреждении.

17. ВЗАИМОДЕЙСТВИЕ С ОРГАНАМИ, ОСУЩЕСТВЛЯЮЩИМИ КОНТРОЛЬ И НАДЗОР ЗА ВЫПОЛНЕНИЕМ ТРЕБОВАНИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

17.1. Контроль и надзор за выполнением требований по обеспечению безопасности персональных данных осуществляются:

• федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации – федеральной службой по техническому и экспортному контролю (ФСТЭК России);
• федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности – Федеральной службой безопасности РФ (ФСБ России)в пределах их полномочий.

17.2. Контроль и надзор за выполнением требований по обеспечению безопасности персональных данных осуществляются без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

• Взаимодействие с федеральными органами, осуществляющими контроль и надзор за выполнением требований по обеспечению безопасности персональных данных, по вопросам, касающимся организации выполнения требований по обеспечению безопасности персональных данных осуществляет ответственный за информационную безопасность (в том числе за защиту персональных данных, за исключением сведений, составляющих государственную тайну) в Учреждении.

18. ВНУТРЕННИЙ КОНТРОЛЬ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ИХ ЗАЩИТЕ УСТАНОВЛЕННЫМ ЗАКОНОДАТЕЛЬСТВОМ.

18.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям Оператор организует проведение периодических проверок условий обработки ПДн, но не реже 1 раза в 3 года (Постановление от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»).

18.2. Проверки осуществляются ответственным за организацию обработки персональных данных (далее – Ответственный) либо комиссией внутреннего контроля, образуемой приказом руководителя Учреждения.

18.3. Руководитель утверждает Положение о работе комиссии внутреннего контроля соответствия обработки персональных данных установленным требованиям (далее – Комиссия), а также план проведения проверок Комиссией.

18.4. Внутренние проверки проводятся по необходимости в соответствии с поручением руководителя Учреждения и плану проведения проверок Ответственным либо Комиссией непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра рабочих мест сотрудников, участвующих в процессе обработки персональных данных.

18.5. Для каждой проверки составляется Протокол проведения внутренней проверки. Форма Протокола утверждается руководителем Учреждения.

18.6. При выявлении в ходе проверки нарушений, Ответственным либо Председателем комиссии в Протоколе делается запись о мероприятиях по устранению нарушений и сроках исполнения.

18.7. Протоколы хранятся у Ответственного либо председателя Комиссии в течение текущего года. Уничтожение Протоколов проводится Ответственным либо комиссией самостоятельно в январе следующего за проверочным годом.

18.8. О результатах проверки и мерах, необходимых для устранения нарушений, руководителю Учреждения докладывает Ответственный либо председатель Комиссии.

18.9. Тематика проверок обработки персональных данных с использованием средств автоматизации:

1. соответствие полномочий пользователя матрице доступа;
2. соблюдение пользователями ИСПДн Комитета парольной политики;
3. соблюдение пользователями ИСПДн Комитета антивирусной политики;
4. соблюдение пользователями ИСПДн Комитета правил работы со съемными носителями ПДн;
5. соблюдение ответственными за криптографические средства защиты информации правил работы с ними;
6. соблюдение порядка доступа в помещения Комитета, где расположены элементы ИСПДн;
7. соблюдение порядка резервирования баз данных и хранения резервных копий;
8. соблюдение порядка работы со средствами защиты информации;

знание пользователей ИСПДн о своих действиях во внештатных ситуациях.

18.10. Тематика проверок обработки ПДн без использования средств автоматизации:

1. хранение бумажных носителей с ПДн;
2. доступ к бумажным носителям ПДн;
3. доступ в помещения, где обрабатываются и хранятся бумажные носители с ПДн.

19. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

19.1. Нарушение требований обработки персональных данных, устанавливаемых законодательством Российской Федерации, нормативных документов по обеспечению безопасности сведений ограниченного доступа, не содержащих государственную тайну, и настоящим Положением, может повлечь гражданско-правовую, уголовную (в том числе по статьям Уголовного Кодекса Российской Федерации 137, 140, 272), административную (в том числе по статьям Кодекса об Административных Правонарушениях Российской Федерации 5.39, 13.11, 13.14), дисциплинарную и иную, предусмотренную действующим законодательством Российской Федерации, ответственность.

 

---

Скачать графическую версию положения