Расширенный поиск
Постановление Администрации городского округа "Город Чита" от 09.02.2012 № 77ПОСТАНОВЛЕНИЕ Администрации городского округа "Город Чита" 09.02.2012 г. N 77 Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных администрации городского округа "Город Чита" В целях исполнения Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" в администрации городского округа ПОСТАНОВЛЯЮ: 1. Утвердить прилагаемое Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных администрации городского округа "Город Чита". 2. Ответственность за выполнение требований настоящего Положения возложить на руководителей отраслевых (функциональных) и территориальных органов администрации городского округа "Город Чита". 3. Опубликовать настоящее постановление в газете "Читинское обозрение" и разместить на официальном сайте администрации городского округа "Город Чита", расположенном по адресу WWW.admin.chita.ru Мэр города Читы А.Д. Михалёв Приложение к постановлению администрации городского округа «Город Чита» от 09.02.2012 г. N 77 ПОЛОЖЕНИЕ об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных администрации городского округа «Город Чита» Раздел 1. ОБЩИЕ ПОЛОЖЕНИЯ 1.1. Настоящее Положение о защите персональных данных (далее – Положение), обрабатываемых в информационных системах персональных данных (далее – ИСПД), разработано в соответствии со статьями 23, 24 Конституции Российской Федерации, главы 14 Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных». 1.2. Настоящее Положение разработано в целях соблюдения законодательства Российской Федерации в части обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. 1.3. Настоящее Положение определяет состав и порядок обработки персональных данных (далее – ПД) субъектов ПД (далее Субъектов) в ИСПД администрации городского округа «Город Чита» и органах администрации городского округа «Город Чита» (далее - Оператор), организацию работы по обеспечению защиты ПД, закрепляет права и обязанности должностных лиц администрации и Субъектов, возникающие в связи с обработкой ПД. Раздел 2. ПОНЯТИЕ И СОСТАВ ПД 2.1. Для целей настоящего Положения ПД признается любая информация, относящаяся к определенному или определяемому на основании такой информации Субъекту, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, фотография, индивидуальный номер налогоплательщика, номер страхового свидетельства обязательного пенсионного страхования, данные квалификационного аттестата, другая информация. 2.2. Субъектами ПД в ИСПД администрации являются: муниципальные служащие; граждане, исполняющие обязанности по техническому обеспечению деятельности администрации; граждане, выполняющие работы и оказывающие услуги в администрации по гражданско-правовым договорам; граждане, обратившиеся в администрацию в соответствии с Федеральным законом от 02.05.2006 N 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации». 2.3. Документами, содержащими ПД, являются: а) паспорт или иной документ, удостоверяющий личность; б) трудовая книжка; в) страховое свидетельство государственного пенсионного страхования; г) свидетельство о постановке на учёт в налоговый орган и присвоения ИНН; д) документы воинского учёта; е) документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки; ж) карточка Т-2; з) автобиография; и) квалификационный аттестат; к) страховой медицинский полис; л) другие документы, содержащие данные, идентифицирующие Субъекта. 2.4. Документы, содержащие ПД, создаются путём: а) копирования подлинников (например, копии документов об образовании, свидетельство ИНН, пенсионное свидетельство Субъектов); б) заполнения анкетных данных (на бумажных и электронных носителях); в) предоставления подлинников документов (трудовая книжка, личный листок по учёту кадров, автобиография Субъектов); г) внесения информации о Субъекте ПД в ИСПД (на бумажные и электронные носители); Раздел 3. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ 3.1. Обработка ПД Субъектов осуществляется в следующих целях: соблюдения законов и иных нормативных правовых актов, в том числе в целях реализации прав Субъекта ПД; содействия Субъекту ПД в трудоустройстве, обучении и повышении в должности; обеспечения личной безопасности Субъекта ПД; обеспечения сохранности имущества Субъекта ПД; в иных целях, предусмотренных действующим законодательством. 3.2. Обработка ПД Субъектов должна осуществляться на основе принципов: - законности целей и способов обработки ПД и добросовестности; - соответствия целей обработки ПД целям, заранее определенным и заявленным при сборе ПД, а также полномочиям Оператора; - достоверности ПД, их достаточности для целей обработки, недопустимости обработки ПД, избыточных по отношению к целям, заявленным при сборе ПД; - недопустимости объединения созданных для несовместимых между собой целей баз данных ИСПД; - соответствия объема и характера обрабатываемых ПД, способов обработки ПД целям обработки ПД. При определении объема и содержания обрабатываемых ПД Субъекта, Оператор ПД должен руководствоваться Конституцией Российской Федерации и федеральными законами. 3.3. Оператор при обработке ПД Субъекта обязан соблюдать следующие требования: 3.3.1. все ПД Субъекта следует получать у него самого. В случае возникновения необходимости получения ПД Субъекта у третьей стороны Оператор обязан известить об этом Субъекта ПД, получить его письменное согласие и сообщить Субъекту о целях, предполагаемых источниках и способах получения ПД, а также о характере подлежащих получению ПД и последствиях отказа Субъекта дать письменное согласие на их получение; 3.3.2. обеспечения конфиденциальности ПД не требуется: - в случае обезличивания ПД Субъекта; - в отношении общедоступных ПД Субъекта, которые создаются в целях информационного обеспечения деятельности администрации (в том числе справочники, адресные книги). В общедоступные источники ПД Субъекта с письменного согласия Субъекта могут включаться его фамилия, имя, отчество, год и место рождения, адрес и иные ПД, предоставленные Субъектом; - сведения о Субъекте могут быть в любое время исключены из общедоступных источников ПД по требованию Субъекта, либо по решению суда или иных уполномоченных государственных органов; 3.3.3. за исключением случаев, предусмотренных федеральными законами, Оператор не имеет права обрабатывать следующие ПД Субъекта: - о политических, религиозных, философских и иных убеждениях и частной жизни; - о расовой и национальной принадлежности; - о членстве в общественных объединениях или профсоюзной деятельности; - о состоянии здоровья; - об иных ПД, предусмотренных федеральными законами; - оператор не вправе запрашивать информацию о состоянии здоровья Субъекта, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции. 3.3.4. оператор осуществляет обработку ПД Субъекта как в автоматизированной, так и в неавтоматизированной форме. Особенности способов обработки ПД (автоматизированная/ неавтоматизированная) и защиты ПД устанавливаются муниципальными правовыми актами Оператора в соответствии с Федеральным законом от 27 июля 2006 года N152-ФЗ «О персональных данных»; 3.3.5. при передаче ПД Оператор не вправе: - сообщать ПД Субъекта третьей стороне без письменного согласия Субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в других случаях, предусмотренных федеральными законами; - сообщать ПД Субъекта в коммерческих целях без его письменного согласия; 3.3.6. при передаче ПД Оператор обязан: предупредить лиц, получающих ПД Субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПД Субъекта, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными Субъектов в порядке, установленном федеральными законами; - за счет средств бюджета городского округа «Город Чита» обеспечить защиту ПД Субъекта от неправомерного их использования или утраты в порядке, установленном федеральным законом; - ознакомить Субъектов, являющихся работниками Оператора, и их представителей под подпись с документами Оператора, устанавливающими порядок обработки ПД Субъектов, а также об их правах и обязанностях в этой области; - разъяснить Субъекту, являющемуся работником Оператора (лицом, принимаемым на работу) юридические последствия отказа предоставить ПД (например - невозможность осуществления работодателем своих функций, указать нормы законодательства, требующие предоставления ПД); - разрешать доступ к персональным данным Субъекта только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД Субъекта, которые необходимы для выполнения конкретных функций; - выполнять иные обязанности, предусмотренные федеральными законами и настоящим Положением; - ПД Субъекта могут быть переданы представителю Субъекта в порядке, установленном Трудовым Кодексом Российской Федерации и иными федеральными законами, в том объеме, в каком это необходимо для выполнения указанными представителями их функций; 3.3.7. предоставление сведений о ПД Субъекта без соответствующего его согласия возможно только в случаях, предусмотренных федеральными законами; 3.3.8. трансграничная передача ПД осуществляется в порядке, предусмотренном действующим законодательством Российской Федерации; 3.3.9. в случае достижения цели обработки ПД Субъектов Оператор обязан незамедлительно прекратить обработку ПД Субъекта и уничтожить соответствующие ПД в срок, не превышающий трех рабочих дней с даты достижения цели обработки ПД, если иное не предусмотрено федеральными законами и уведомить об этом Субъекта или его законного представителя. Порядок хранения ПД Субъектов, являющихся работниками Оператора, устанавливается Оператором с соблюдением требований законодательства Российской Федерации. 3.4. Иные требования к обработке ПД Субъекта определяются действующим трудовым законодательством и законодательством о защите персональных данных. Раздел 4. ОТВЕТСТВЕННОСТЬ ДОЛЖНОСТНЫХ ЛИЦ АДМИНИСТРАЦИИ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ. 4.1. Руководители отраслевых (функциональных) и территориальных органов администрации городского округа «Город Чита» отвечают за: обеспечение защиты ПД Субъекта в соответствии с настоящим положением и иными нормативными правовыми актами по защите ПД; контроль за подчиненными в части выполнения требований нормативных правовых актов по вопросам защиты ПД. 4.2. Ответственный за эксплуатацию объекта информатизации, содержащего ИСПД, назначается правовым актом руководителя соответствующего органа администрации и отвечает за: - разработку и согласование проектов методической документации по защите ПД Субъектов в ИСПД администрации; - качественное и своевременное выполнение должностными лицами установленных требований по защите ПД Субъектов; - своевременную разработку и реализацию мер по защите ПД Субъектов; - организацию и проведение контроля состояния защиты ПД Субъектов в ИСПД администрации; - определение степени опасности технических каналов утечки информации, различных способов несанкционированного доступа (далее НСД) к ПД Субъектов, их разрушения (уничтожения) или искажения; - организацию проведения расследований по фактам нарушений в области защиты ПД Субъектов и разработку предложений по устранению недостатков и предупреждению подобного рода нарушений; - анализ состояния работ по защите ПД Субъектов и разработку предложений по совершенствованию системы защиты ПД в ИСПД администрации; - организацию и проведение занятий с руководящим составом и сотрудниками администрации по вопросам защиты ПД Субъектов; - планирование и организацию защиты ПД Субъектов в ИСПД; - выполнение требований действующих нормативных документов и защиты сведений, отнесенных к конфиденциальной информации, при проведении работ в ИСПД; - определение необходимых мер по защите ПД Субъектов, организацию их разработки и реализации; - обеспечение бесперебойного функционирования программных и аппаратных средств в ИСПД администрации; - ознакомление сотрудников администрации, которые допускаются к обработке ПД, с настоящим Положением; - ознакомление сотрудников, которые участвуют в обработке ПД, с должностными инструкциями по работе и обеспечению режима информационной безопасности в ИСПД; - соблюдение пользователями ИСПД установленных правил и параметров печати, регистрации и учета документов, а также регистрации и учета бумажных и машинных носителей информации; - проведение анализа возможности решения определенных задач на ИСПД и уточнение содержания необходимых для этого изменений в конфигурации аппаратных и программных средств; - взаимодействие с администратором безопасности ИСПД по вопросам обеспечения правильного использования пользователями средствами защиты информации (далее СЗИ) от НСД и контроля доступа этих пользователей к работе в ИСПД; - ведение и хранение документации на ИСПД; - организацию технического обслуживания (ремонта, модернизации) персонального компьютера (далее ПК) и других технических средств ИСПД. 4.3. Администратор безопасности ИСПД назначается правовым актом руководителя соответствующего органа администрации и отвечает за: - установку (развертывание, обновление версий) программных средств, необходимых для решения в ИСПД администрации конкретных задач; - удаление программных средств, необходимость в использовании которых отпала; - установку (развертывание) новых ИСПД или подключение дополнительных устройств (узлов, блоков), необходимых для решения конкретных задач (по согласованию с руководителем Оператора); - установку, подключение и настройку технических средств в ИСПД администрации в соответствии с документацией к ним и планами организации и оснащения ИСПД по согласованию с руководителем структурного подразделения, к которому имеет отношение ИСПД; - контроль за обеспечением защиты ПД Субъектов в ИСПД администрации; - своевременное обнаружение фактов несанкционированного доступа к ПД Субъектов; - проводит работы по разработке, внедрению, совершенствованию и эксплуатации системы защиты ПД Субъектов в ИСПД администрации; - организацию (при необходимости) контрольных проверок ИСПД; - установку и ввод в эксплуатацию средств защиты ПД Субъектов в соответствии с эксплуатационной и технической документацией к ним; - организацию в установленном порядке расследования причин и условий появления нарушений по вопросам технической защиты ПД Субъектов, разработку предложений по устранению недостатков и предупреждению подобного рода нарушений; - проведение анализа возможности решения (а также совмещения) указанных задач в конкретных ИСПД (с точки зрения обеспечения безопасности) и принятие решения об отнесении их к той или иной группе по степени защищенности; проведение необходимых дополнительных специальных мероприятий по обеспечению безопасности ПД; внедрение средств контроля эффективности противодействия попыткам НСД к информации и незаконного вмешательства в процесс функционирования ИСПД. Раздел 5. ПРАВА СУБЪЕКТОВ В ЦЕЛЯХ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В АДМИНИСТРАЦИИ. 5.1. Обработка персональных данных осуществляется с согласия Субъекта персональных данных на обработку его персональных данных. 5.2. Оператор, Субъекты или их представители совместно вырабатывают меры защиты ПД Субъектов. 5.3. В целях обеспечения защиты ПД, обрабатываемых в администрации, Субъекты, являющиеся работниками Оператора, имеют право на: - полную информацию об их персональных данных и обработке этих данных; - свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей ПД Субъекта, за исключением случаев, предусмотренных федеральным законом; - определение своих Представителей для защиты своих ПД; - доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору; - требование об исключении или исправлении неверных или неполных ПД, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации или иного федерального закона; Субъекты пользуются и иными правами, предусмотренными действующим законодательством в области ПД. 5.4. При отказе Оператора исключить или исправить ПД Субъекта, являющегося работником Оператора, он имеет право: - заявить в письменной форме Оператору о своем несогласии с соответствующим обоснованием такого несогласия или обратиться в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций; - требовать об извещении Оператором всех лиц, которым ранее были сообщены неверные или неполные ПД Субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях. (составляется в произвольной форме со ссылкой на требование об исключении или исправлении ПД Субъекта); - обжаловать в суде любые неправомерные действия или бездействия Оператора при обработке и защите его ПД в ИСПД. 5.5. Субъекты, не являющиеся работниками Оператора, пользуются правами в целях обеспечения защиты их персональных данных, обрабатываемых в администрации, предусмотренными действующим законодательством. Раздел 6. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ СУБЪЕКТА 6.1. Доступ к ПД Субъекта ограничивается в соответствии с федеральными законами и настоящим Положением. 6.2. Доступ в администрации (внутренний доступ): 6.2.1 доступ к ПД Субъектов имеют только сотрудники администрации, перечисленные в «Разрешительной системе допуска», утверждаемой руководителем органа администрации для каждой из ИСПД, в соответствии с «Матрицей разграничения доступа к защищаемым ресурсам»; 6.2.2 разрешительная система допуска лиц (должностей), в обязанности которых входит обработка ПД или которые по должности имеют доступ к персональным данным с правом просмотра, разрабатывается ответственным за эксплуатацию объекта информатизации, содержащего ИСПД; 6.2.3. представители Оператора имеют право получать только те ПД Субъекта, которые необходимы для выполнения конкретных функций в соответствии с должностной инструкцией указанных лиц и утвержденной «Разрешительной системой допуска». Все остальные работники Оператора, являющиеся Субъектами ПД, имеют право на полную информацию только о своих ПД. 6.3. Внешний доступ (лиц, не являющимися представителями Оператора и Субъектами ПД): 6.3.1. получение сведений о ПД Субъектов третьей стороной разрешается только при наличии заявления с указанием конкретных ПД, целей, для которых они будут использованы, способов обработки, иных сведений, установленных действующим законодательством, а также письменного согласия Субъекта, ПД которого затребованы в порядке, предусмотренном Трудовым кодексом Российской Федерации и Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных». Раздел 7. МЕРЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТА 7.1. Документы, содержащие ПД Субъекта, должны передаваться между подразделениями администрации и на доклад руководителю в запечатанном конверте с пометкой «ПЕРСОНАЛЬНЫЕ ДАННЫЕ». 7.2. Оператор определяет перечень своих представителей, имеющих право доступа и обработки информации о ПД, и соответствующие уровни доступа к этой информации. 7.3. Оператор утверждает формы ведения учета выданных ПД (если соответствующие формы не определены действующим законодательством) и уполномочивает своих представителей на их ведение. 7.4. При автоматизированной обработке ПД Оператор использует специальное программное обеспечение и аппаратные средства, соответствующее предусмотренным действующим законодательством требованиям. 7.5. Оператор в предусмотренном Трудовым кодексом Российской Федерации порядке проводит ознакомление Субъектов, являющихся работниками Оператора, с нормативными правовыми актами и муниципальными правовыми актами администрации в области защиты ПД, в том числе в случае их изменения, разъясняет права, обязанности и ответственность Субъектов за нарушение норм в данной области. 7.6. Оператор устанавливает особый режим хранения для документов, содержащих ПД Субъектов. ПД Субъектов, содержащиеся на бумажных носителях, должны храниться в запираемом шкафу или в сейфе. 7.7. Доступ к персональным данным Субъекта, содержащимся в ИСПД, ограничивается определенными Оператором сотрудниками. 7.8. Сроки хранения документов устанавливаются Оператором соответствующим правовым актом в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ «О персональных данных». Раздел 8. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ СУБЪЕКТОВ Лица, виновные в нарушении действующего законодательства, муниципальных правовых актов, регулирующих обработку и защиту ПД Субъекта, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами. Информация по документуЧитайте также
Изменен протокол лечения ковида23 февраля 2022 г. МедицинаГермания может полностью остановить «Северный поток – 2»23 февраля 2022 г. ЭкономикаБогатые уже не такие богатые23 февраля 2022 г. ОбществоОтныне иностранцы смогут найти на портале госуслуг полезную для себя информацию23 февраля 2022 г. ОбществоВакцина «Спутник М» прошла регистрацию в Казахстане22 февраля 2022 г. МедицинаМТС попала в переплет в связи с повышением тарифов22 февраля 2022 г. ГосударствоРегулятор откорректировал прогноз по инфляции22 февраля 2022 г. ЭкономикаСтоимость нефти Brent взяла курс на повышение22 февраля 2022 г. ЭкономикаКурсы иностранных валют снова выросли21 февраля 2022 г. Финансовые рынки |
Архив статей
2024 Ноябрь
|