|
Расширенный поиск
Постановление Администрации Тамбовской области от 24.12.2012 № 1644обеспечение электромагнитной развязки между линиями связи и другими цепями вспомогательных технических средств и систем, выходящими за пределы охраняемой территории, и информационными цепями, по которым циркулирует защищаемая информация. В ИСПДн с установленным вторым уровнем защищенности ПДн для обработки информации используются средства вычислительной техники, удовлетворяющие требованиям национальных стандартов по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам средств вычислительной техники. При применении в информационных системах функции голосового ввода ПДн в информационную систему или функции воспроизведения информации акустическими средствами информационных систем для ИСПДн с установленным первым уровнем защищенности ПДн реализуются методы и способы защиты акустической (речевой) информации. Методы и способы защиты акустической (речевой) информации заключаются в реализации организационных и технических мер для обеспечения звукоизоляции ограждающих конструкций помещений, в которых расположена информационная система, их систем вентиляции и кондиционирования, не позволяющей вести прослушивание акустической (речевой) информации при голосовом вводе ПДн в информационной системе или воспроизведении информации акустическими средствами. Величина звукоизоляции определяется оператором исходя из характеристик помещения, его расположения и особенностей обработки ПДн в информационной системе. Размещение устройств вывода информации средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео и буквенно-цифровой информации, входящих в состав ИСПДн, в помещениях, в которых они установлены, осуществляется таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей ПДн. Обмен ПДн при их обработке в ИСПДн осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств, в том числе средств криптографической защиты информации. 27. Требования к помещениям, в которых производится обработка персональных данных Размещение оборудования ИСПДн, специального оборудования и охрана помещений, в которых ведется работа с ПДн, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей ПДн и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц. Помещения, в которых располагаются технические средства ИСПДн или хранятся носители ПДн, должны соответствовать требованиям пожарной безопасности, установленным действующим законодательством Российской Федерации. Определение уровня специального оборудования помещения осуществляется специально создаваемой комиссией. По результатам определения класса и обследования помещения на предмет его соответствия такому классу составляются акты. Кроме указанных мер по специальному оборудованию и охране помещений, в которых устанавливаются криптографические средства защиты информации или осуществляется их хранение, реализуются дополнительные требования, определяемые методическими документами Федеральной службы безопасности России. 28. Мероприятия при возникновении обстоятельств непреодолимой силы (форс-мажор) В случае появления обстоятельств непреодолимой силы, возникших в результате событий чрезвычайного характера, которые администрация области не может предвидеть, за возникновение которых она не несет ответственности и не может предотвратить разумными мерами, должностные лица администрации области обязаны принять все возможные меры по недопущению нарушения прав субъекта персональных данных. К обстоятельствам непреодолимой силы относятся события: землетрясение, наводнение, пожар, забастовки, насильственные или военные действия любого характера, решения органов государственной власти, препятствующие исполнению требований законодательства в области ПДн. Надлежащим доказательством наличия указанных выше обстоятельств будут служить официальные документы администрации области и органов государственной власти Российской Федерации. Администрация области в случае возникновения указанных выше обстоятельств и нарушения прав субъектов персональных данных, связанных с такими обстоятельствами, извещает субъекта персональных данных всеми доступными способами. ПРИЛОЖЕНИЕ N 2 УТВЕРЖДЕНЫ постановлением администрации области от 24.12.2012 N 1644 Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации области 1. Общие положения Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации области (далее - Правила) относятся к основным организационно-распорядительным документам системы документов информационной безопасности администрации области и разработаны в соответствии с требованиями постановления Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами". В Правилах определен порядок организации и осуществления внутреннего контроля обработки персональных данных (ПДн) в администрации области с целью своевременного выявления и предотвращения: хищения технических средств и носителей информации; утраты информации; преднамеренных программно-технических воздействий на информацию и (или) средства вычислительной техники, вызывающих нарушение целостности информации и нарушение работоспособности автоматизированной системы; несанкционированного доступа к ПДн с целью уничтожения, искажения, модификации (подделки), копирования и блокирования; утечки информации по техническим каналам. Внутренний контроль состояния защиты информации включает в себя: контроль организации защиты информации; контроль эффективности защиты информации. 2. Порядок внутреннего контроля за соблюдением требований по обработке и обеспечению безопасности персональных данных В целях осуществления внутреннего контроля соответствия обработки ПДн установленным требованиям организуется проведение периодических проверок условий обработки ПДн. Проверки осуществляются государственными гражданскими служащими структурного подразделения администрации области, ответственного за организацию обработки ПДн в администрации области либо комиссией, образуемой главой администрации области, не реже одного раза в год в соответствии с утвержденным графиком. При осуществлении внутреннего контроля соответствия обработки ПДн установленным требованиям производится проверка: соблюдения принципов обработки ПДн; соответствия локальных актов в области ПДн администрации области действующему законодательству Российской Федерации; выполнения служащими администрации области требований и правил обработки ПДн в информационных системах персональных данных (ИСПДн) администрации области; перечней ПДн, используемых для решения задач и функций структурными подразделениями администрации области и необходимости обработки ПДн в ИСПДн администрации области; актуальности содержащихся в Правилах обработки ПДн в администрации области в каждой ИСПДн администрации области информации о законности целей обработки ПДн и оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности ПДн; правильности осуществления сбора, систематизации, записи, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения ПДн в каждой ИСПДн администрации области; актуальности перечня должностей государственных гражданских служащих области, замещающих должности государственной гражданской службы в администрации области, уполномоченных на обработку ПДн, имеющих доступ к ПДн; актуальности перечня должностей государственных гражданских служащих области, замещающих должности государственной гражданской службы в администрации области, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн; соблюдения прав субъектов персональных данных, чьи ПДн обрабатываются в ИСПДн администрации области; соблюдения обязанностей администрации области как оператора ПДн, предусмотренных действующим законодательством в области ПДн; порядка взаимодействия с субъектами персональных данных, ПДн которых обрабатываются в ИСПДн области, в том числе соблюдения сроков, предусмотренных действующим законодательством в области ПДн, соблюдения требований по уведомлениям, порядка разъяснения субъектам персональных данных необходимой информации, порядка реагирования на обращения (запросы) субъектов персональных данных, порядка действий при достижении целей обработки ПДн и отзыве согласий субъектами персональных данных; наличия необходимых согласий субъектов персональных данных, чьи ПДн обрабатываются в ИСПДн администрации области; актуальности сведений, содержащихся в уведомлении об обработке (о намерении осуществлять обработку) персональных данных; актуальности перечня ИСПДн в администрации области; наличия и актуальности сведений, содержащихся в Правилах обработки ПДн администрации области для каждой ИСПДн администрации области; знания и соблюдения государственными гражданскими служащими области, замещающими должности государственной гражданской службы в администрации области (далее - служащие администрации области) положений действующего законодательства Российской Федерации в области ПДн; знания и соблюдения служащими администрации области положений локальных актов администрации области в области обработки и обеспечения безопасности ПДн; знания и соблюдения служащими администрации области инструкций, руководств и иных эксплуатационных документов на применяемые средства автоматизации, в том числе программное обеспечение, и средства защиты информации; соблюдения служащими администрации области конфиденциальности ПДн; актуальности локальных актов администрации области в области обеспечения безопасности ПДн, в том числе в Технических паспортах ИСПДн; соблюдения служащими администрации области требований по обеспечению безопасности ПДн; наличия локальных актов администрации области, технической и эксплуатационной документации технических и программных средств ИСПДн администрации области; по иным вопросам. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, лицо, ответственное за проведение проверки, докладывает главе администрации области. При проведении внутреннего контроля на ИСПДн (отдельное автоматизированное рабочее место) администрации области составляется протокол контроля выполнения требований по обеспечению безопасности информации, содержащей сведения ограниченного доступа, при ее автоматизированной обработке на автоматизированном рабочем месте по форме, приведенной в приложении к настоящим Правилам. 3. Оценка соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных Во время осуществления внутреннего контроля соответствия обработки ПДн установленным требованиям в администрации области производится оценка соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности ПДн и принимаемых мер по обработке и обеспечению безопасности ПДн в администрации области. При оценке соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности ПДн, для каждой ИСПДн администрации области производится экспертное сравнение заявленной администрацией области в своих локальных актах оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности ПДн и применяемых администрацией области мер, направленных на обеспечение выполнения обязанностей, предусмотренных действующим законодательством в области ПДн и изложенных в настоящих Правилах осуществления внутреннего контроля соответствия обработки ПДн в администрации области. По итогам сравнений принимается решение о достаточности применяемых администрацией области мер, направленных на обеспечение выполнения обязанностей, предусмотренных действующим законодательством в области ПДн и возможности или необходимости принятия дополнительных мер или изменения установленного в администрации области порядка обработки и обеспечения безопасности ПДн. Оценка соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности ПДн и принимаемых мер по обработке и обеспечению безопасности ПДн, в администрации области оформляется в виде отдельного документа, подписывается председателем комиссии и утверждается главой администрации области. По результатам принятых решений структурным подразделением администрации области, ответственным за организацию обработки ПДн в администрации области, организуется работа по их реализации. ПРИЛОЖЕНИЕ к Правилам осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации области Форма Протокол N ___ контроля выполнения требований по обеспечению безопасности информации, содержащей сведения ограниченного доступа, при ее автоматизированной обработке на автоматизированном рабочем месте ______________________________________________________________________ (наименование структурного подразделения администрации области) 1. Объект контроля Указать: наименование автоматизированного рабочего места (АРМ); заводской (инвентарный) номер системного блока ПЭВМ АРМ; принадлежность к подразделению; адрес размещения АРМ. 2. Назначение объекта Указать: тип информации, обрабатываемой (хранимой) на АРМ; уровень защищенности персональных данных при их обработке в информационной системе. 3. Контролируемые вопросы Состояние организации технической защиты информации при обработке (хранении) информации ограниченного доступа. Контроль наличия руководящих документов, инструкций, документации, регламентирующей обработку (хранение) информации ограниченного доступа: перечня защищаемых ресурсов и уровня их конфиденциальности; перечня лиц, обслуживающих АРМ; перечня лиц, имеющих право самостоятельного доступа в помещение с АРМ; перечня лиц, имеющих право самостоятельного доступа к штатным средствам АРМ и уровень их полномочий; распоряжения о назначения комиссии для определении уровня защищенности персональных данных; распоряжения о назначении администратора информационной безопасности; данных по уровню подготовки персонала; инструкции по обеспечению защиты информации, обрабатываемой на АРМ; перечня программного обеспечения; описания технологического процесса обработки информации; схемы информационных потоков; технического паспорта; матрицы доступа субъектов к защищаемым информационным ресурсам; акта установки системы активного зашумления (при наличии); акта установки системы защиты информации от несанкционированного доступа (СЗИ НСД) (при наличии); описания системы разграничения доступа и настроек СЗИ НСД; инструкции администратору безопасности; инструкции пользователю; инструкции по антивирусному контролю; распоряжения о допуске служащих; распоряжения о вводе в эксплуатацию. Контроль соответствия настройки подсистемы управления доступом, подсистемы регистрации и учета, подсистемы обеспечения целостности требованиям присвоенного класса защищенности от НСД. В соответствии с требованиями руководящего документа "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", утвержденного решением Председателя Гостехкомиссии от 30.03.1992, в настройках подсистемы управления доступом проверяется: наличие требований к длине и сложности пароля; ограничение максимального срока действия пароля; настройки блокировки учетных записей при попытках несанкционированного доступа; наличие административных прав у пользователей; выполнение требований мандатного разграничения прав доступа к каталогам, программам, файлам. В настройках подсистемы регистрации и учета контролируется: отсутствие критических ошибок и несанкционированных запусков процессов, зарегистрированных в журнале приложений; отсутствие зарегистрированных критических системных ошибок в системном журнале; отсутствие зарегистрированных изменений действующих политик безопасности, прав доступа, настроек системы защиты информации в журнале системы защиты информации; возможности несанкционированного доступа к информации, аудиты отказа, зарегистрированные в журнале безопасности. В настройках подсистемы обеспечения целостности контролируется: соответствие программного обеспечения, установленного на АРМ, аттестационным материалам; отсутствие программных средств разработки и отладки приложений; наличие средств антивирусного контроля, включая срок действия лицензии и периодичность обновления антивирусных баз. Контроль наличия лицензионного программного обеспечения, установленного в процессе проведенной аттестации по требованиям безопасности информации. Контроль срока действия лицензии, порядка и периодичности обновления баз антивирусной программы. Контроль наличия сетевых плат (в том числе интегрированных) и физической возможности их использования. Контроль возможности и фактов подключения незарегистрированных магнитных и иных носителей информации. 4. Метод проведения контроля Экспертно-документальный 5. Средства контроля Программные возможности операционной системы, установленной на контролируемом АРМ 6. Перечень документов, регламентирующих выполнение требований по обеспечению безопасности информации Контроль проводится в соответствии с требованиями: Указа Президента Российской Федерации "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" от 17.03.2008 N 351; специальных требований и рекомендаций по технической защите конфиденциальной информации (приказ Гостехкомиссии России от 30.08.2002 N 282); руководящего документа "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" (решение Председателя Гостехкомиссии от 30.03.1992); руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (приказ Председателя Гостехкомиссии России от 4.06.1999 N 114); нормативных и руководящих документов ФСТЭК России по защите информации. Контроль выполнили: ______________________ _________________ ___________________ должность подпись фамилия, инициалы ______________________ _________________ ___________________ должность подпись фамилия, инициалы При проведении контроля присутствовали: ______________________ _________________ ___________________ должность подпись фамилия, инициалы ______________________ _________________ ___________________ должность подпись фамилия, инициалы Дата проведения контроля: ______________________________. (число, месяц, год) ПРИЛОЖЕНИЕ N 3 УТВЕРЖДЕНЫ постановлением администрации области от 24.12.2012 N1644 Правила рассмотрения запросов субъектов персональных данных или их представителей 1. Общие положения Настоящие Правила рассмотрения запросов субъектов персональных данных или их представителей (далее - Правила) регулируют отношения, возникающие при выполнении администрацией области (далее - Оператор) обязательств согласно требованиям статей 14, 20 и 21 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ). Положения настоящих Правил распространяются на действия оператора при получении запроса от государственных гражданских служащих области, замещающих должности государственной гражданской службы в администрации области, иных лиц и их законных представителей (далее - субъект персональных данных) и Уполномоченного органа по защите прав субъектов персональных данных. Эти действия направлены на определение порядка учета (регистрации), рассмотрение запросов, а также на подтверждение наличия, ознакомления, уточнения, уничтожения персональных данных (ПДн) или отзыв согласия на обработку ПДн, а также на устранение нарушений законодательства, допущенных при обработке ПДн. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации", Трудовым кодексом Российской Федерации, постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами. 2. Организация и проведение работ Оператором по запросу персональных данных Субъект персональных данных имеет право на получение информации, касающейся обработки его ПДн в соответствии с частью 7 статьи 14 Федерального закона N 152-ФЗ. Право субъекта персональных данных на доступ к его ПДн может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона N 152-ФЗ. Субъект персональных данных вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Сведения, указанные в части 7 статьи 14 Федерального закона N 152-ФЗ, предоставляются субъекту персональных данных Оператором при получении запроса от субъекта персональных данных. Сведения, указанные в части 7 статьи 14 Федерального закона N 152-ФЗ, должны быть предоставлены субъекту персональных данных в доступной форме и в них не должны содержаться ПДн, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких ПДн. Запрос субъекта персональных данных должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер служебного контракта, дата заключения служебного контракта, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором, подпись субъекта персональных данных. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Рассмотрение запросов является служебной обязанностью должностных лиц Оператора, в чьи обязанности входит обработка ПДн. Должностные лица Оператора обеспечивают: объективное, всестороннее и своевременное рассмотрения запроса; принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов персональных данных; направление письменных ответов по существу запроса. Ведение делопроизводства по запросам осуществляется управлением информационных технологий, связи и документооборота администрации области. Все поступившие запросы регистрируются в день их поступления в журнале учета запросов граждан (субъектов персональных данных) по вопросам обработки ПДн. На запросе проставляется штамп, в котором указывается входящий номер и дата регистрации. Запрос прочитывается, проверяется на повторность, при необходимости сверяется с находящейся в архиве предыдущей перепиской. В случае подачи субъектом персональных данных повторного запроса, в целях получения сведений, указанных в части 7 статьи 14 Федерального закона N 152-ФЗ, необходимо руководствоваться частями 4 и 5 статьи 14 Федерального закона N 152-ФЗ. Повторный запрос наряду со сведениями, указанными выше, должен содержать обоснование направления повторного запроса. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона N 152-ФЗ. Такой отказ должен быть мотивированным. Прошедшие регистрацию запросы в тот же день докладываются главе администрации области либо лицу, его заменяющему, который дает по каждому из них письменное указание исполнителям. Исполнители при рассмотрении и разрешении запроса обязаны: внимательно разобраться в их существе, в случае необходимости истребовать дополнительные материалы или направить служащих администрации области на места для проверки фактов, изложенных в запросах, принять другие меры для объективного разрешения поставленных заявителями вопросов, выявления и устранения причин и условий, порождающих факты нарушения законодательства о ПДн; принимать по ним законные, обоснованные и мотивированные решения и обеспечивать своевременное и качественное их исполнение; сообщать в письменной форме заявителям о решениях, принятых по их запросам, со ссылками на законодательство Российской Федерации, а в случае отклонения запроса - разъяснять также порядок обжалования принятого решения. Оператор обязан сообщить субъекту персональных данных информацию о наличии ПДн, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими ПДн при запросе субъекта персональных данных либо в течение тридцати дней с даты получения запроса субъекта персональных данных. В случае отказа в предоставлении информации о наличии ПДн о соответствующем субъекте персональных данных или ПДн субъекту персональных данных при получении запроса субъекта персональных данных Оператор обязан руководствоваться частью 2 статьи 20 Федерального закона N 152-ФЗ. Оператор обязан: предоставить безвозмездно субъекту персональных данных возможность ознакомления с ПДн, относящимися к этому субъекту персональных данных; уведомить субъекта персональных данных о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы заявителю. Ответы на запросы печатаются на бланке установленной формы и регистрируются за теми же номерами, что и запросы. Должностное лицо, назначенное главой администрация области, осуществляет непосредственный контроль за соблюдением установленного законодательством и настоящими Правилами порядка рассмотрения запросов. На контроль берутся все запросы. При осуществлении контроля обращается внимание на сроки исполнения запроса и полноту рассмотрения поставленных вопросов, своевременность их исполнения и направления ответов заявителям. 3. Действия Оператора в ответ на запросы по персональным данным 3.1. В случае поступления запроса субъекта персональных данных по ПДн необходимо выполнить следующие действия: при получении запроса субъекта персональных данных на наличие ПДн необходимо в течение 30 дней с даты получения запроса (согласно части 1 статьи 20 Федерального закона N 152-ФЗ) подтвердить обработку ПДн в случае ее осуществления. Если обработка ПДн субъекта не ведется, то в течение 30 дней с даты получения запроса (согласно части 2 статьи 20 Федерального закона N 152-ФЗ) необходимо отправить уведомление об отказе в предоставлении информации о наличии персональных данных; при получении запроса субъекта персональных данных на ознакомление с ПДн необходимо в течение 30 дней с даты получения запроса (согласно части 1 статьи 20 Федерального закона N 152-ФЗ) предоставить для ознакомления ПДн, в случае осуществления обработки этих ПДн. Если обработка ПДн субъекта не ведется, то в течение 30 дней с даты получения запроса (согласно части 2 статьи 20 Федерального закона N 152-ФЗ) необходимо отправить уведомление об отказе в предоставлении информации по ПДн. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: подтверждение факта обработки персональных данных Оператором; правовые основания и цели обработки персональных данных; цели и применяемые оператором способы обработки персональных данных; наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Федерального закона N 152-ФЗ; обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом N 152-ФЗ; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом N 152-ФЗ; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу; иные сведения, предусмотренные Федеральным законом N 152-ФЗ или другими федеральными законами; при получении запроса субъекта персональных данных или его представителя на уточнение ПДн необходимо внести в них необходимые изменения в срок, не превышающий 7 рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, по предоставлению субъектом ПДн или его сведений, подтверждающих, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются неполными, неточными или неактуальными (согласно части 3 статьи 20 Федерального закона N 152-ФЗ) и отправить уведомление о внесенных изменениях. Если обработка ПДн субъекта не ведется или не были предоставлены сведения, подтверждающие, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются неполными, неточными или неактуальными, то необходимо в течение 30 дней с даты получения запроса отправить уведомление об отказе в осуществлении изменения ПДн; при получении запроса субъекта персональных данных на уничтожение ПДн необходимо их уничтожить в срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки (согласно части 3 статьи 20 Федерального закона N 152-ФЗ), и отправить уведомление об уничтожении. Если обработка ПДн субъекта не ведется или не были предоставлены сведения, подтверждающие, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются незаконно полученными или не являются необходимыми для заявленной цели обработки, а также в силу необходимости обработки ПДн по требованиям иных законодательных актов, то необходимо в течение 30 дней с даты получения запроса отправить уведомление об отказе в уничтожении ПДн; при получении запроса на отзыв согласия субъекта персональных данных на обработку ПДн необходимо прекратить их обработку и, в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн в срок, не превышающий 30 дней с даты поступления указанного отзыва (согласно части 5 статьи 21 Федерального закона N 152-ФЗ), если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами (согласно части 5 статьи 21 Федерального закона N 152-ФЗ); при выявлении недостоверности ПДн при обращении или по запросу субъекта ПДн необходимо их блокировать с момента такого обращения или получения такого запроса на период проверки (согласно части 1 статьи 21 Федерального закона N 152-ФЗ). Если факт недостоверности ПДн подтвержден на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов, необходимо уточнить ПДн в течение 7 рабочих дней со дня представления таких сведений и снять блокирование ПДн (согласно части 2 статьи 21 Федерального закона N 152-ФЗ). Если факт недостоверности ПДн не подтвержден, то необходимо отправить уведомление об отказе в изменении ПДн; при выявлении неправомерных действий с ПДн Оператору по запросу субъекта ПДн необходимо в срок, не превышающий трех рабочих дней с даты этого выявления, прекратить неправомерную обработку ПДн (согласно части 3 статьи 21 Федерального закона N 152-ФЗ). В случае если обеспечить правомерность обработки ПДн невозможно, Оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн (согласно части 3 статьи 21 Федерального закона N 152-ФЗ), обязан уничтожить такие ПДн. Об устранении допущенных нарушений или об уничтожении ПДн Оператор обязан уведомить субъекта персональных данных, а в случае, если обращение субъекта персональных данных либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган; при достижении целей обработки ПДн Оператор обязан незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в течение 30 дней с даты достижения цели обработки ПДн (согласно части 4 статьи 21 Федерального закона N 152-ФЗ), если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта персональных данных на основаниях, предусмотренных Федерального закона N 152-ФЗ или другими федеральными законами, и отправить уведомление об уничтожении ПДн. 3.2. В случае поступления запроса уполномоченного органа по защите прав субъекта персональных данных по ПДн необходимо выполнить следующие действия: при получении запроса необходимо в течение 30 дней (согласно части 4 статьи 20 Федерального закона N 152-ФЗ) предоставить информацию, необходимую для осуществления деятельности указанного органа; при выявлении недостоверных ПДн по запросу уполномоченного органа по защите прав субъекта ПДн необходимо их блокировать с момента такого обращения или получения такого запроса на период проверки (согласно части 1 статьи 21 Федерального закона N 152-ФЗ). Если факт недостоверности ПДн подтвержден на основании документов, предоставленных субъектом ПДн, необходимо в течение 7 рабочих дней уточнить ПДн и снять их блокирование (согласно части 2 статьи 21 Федерального закона N 152-ФЗ). Если факт недостоверности ПДн не подтвержден, то необходимо отправить уведомление об отказе изменения и снять блокирование ПДн; при выявлении неправомерных действий Оператора с ПДн по запросу уполномоченного органа по защите прав субъекта ПДн необходимо прекратить неправомерную обработку ПДн в срок, не превышающий 3 рабочих дней с момента такого обращения или получения такого запроса на период проверки (согласно части 1 статьи 21 Федерального закона 152-ФЗ). В случае невозможности обеспечения правомерности обработки оператором ПДн в срок, не превышающий 10 рабочих дней с даты выявления неправомерности действий с ПДн, необходимо уничтожить ПДн и отправить уведомление об уничтожении ПДн. 4. Ответственность Оператора Персональные данные не подлежат разглашению (распространению). Прекращение доступа к такой информации не освобождает работника от взятых им обязательств по неразглашению информации ограниченного доступа. Организация и проведение работ по ответам на запросы, устранению нарушений, а также уточнению, блокированию и уничтожению ПДн возлагается на начальников структурных подразделений администрации области, обрабатывающих ПДн. Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных должностных лиц ответственность в соответствии с законодательством Российской Федерации. Обобщенный алгоритм действий по запросу ПДн приведен в приложении к настоящим Правилам. ПРИЛОЖЕНИЕ к Правилам рассмотрения запросов субъектов персональных данных или их представителей Действия по запросу персональных данных -------------------------------------------------------------------------------- N | Запрос | Действия | Срок | Ответ ---|------------------|----------------|--------------------|------------------- 1 | 2 | 3 | 4 | 5 -------------------------------------------------------------------------------- 1. Запрос субъекта персональных данных или его представителя 1.1. Наличие ПДн Подтверждение 30 дней (согласно Подтверждение обработки ПДн части 1 статьи 20 обработки ПДн Федерального закона N 152-ФЗ) Отказ в 30 дней (согласно Уведомление об предоставлении части 2 статьи 20 отказе в информации о Федерального предоставлении наличии ПДн закона N 152-ФЗ) информации о наличии ПДн 1.2. Ознакомление с ПДн Предоставление 30 дней (согласно Подтверждение информации по части 1 статьи 20 обработки ПДн, а ПДн Федерального также правовые закона N 152-ФЗ) основания и цели такой обработки Способы обработки ПДн Сведения о лицах, которые имеют доступ к ПДн Перечень обрабатываемых ПДн и источник их получения Сроки обработки ПДн, в том числе сроки их хранения Информация об осуществленных или о предполагаемой трансграничной передаче Другое Отказ 30 дней (согласно Уведомление об предоставления части 2 статьи 20 отказе информации по Федерального предоставления ПДн закона N 152-ФЗ) информации по ПДн 1.3. Уточнение ПДн Изменение ПДн 7 рабочих дней со Уведомление о дня предоставления внесенных уточняющих изменениях сведений (согласно части 3 статьи 20 Федерального закона N 152-ФЗ) Отказ изменения 30 дней Уведомление об ПДн отказе предоставления изменения ПДн 1.4. Уничтожение ПДн Уничтожение ПДн 7 рабочих дней со Уведомление об дня предоставления уничтожении сведений о незаконном получении ПДн или отсутствии необходимости ПДн для заявленной цели обработки (согласно части 3 статьи 20 Федерального закона N 152-ФЗ) Отказ 30 дней Уведомление об уничтожения отказе ПДн уничтожения ПДн 1.5. Отзыв согласия Прекращение 3 рабочих дня Уведомление о на обработку ПДн обработки и (согласно части 5 прекращении уничтожение ПДн статьи 21 обработки и Федерального уничтожении закона N 152-ФЗ) ПДн Отказ 30 дней Уведомление об прекращения отказе обработки и прекращения уничтожения ПДн обработки и уничтожения ПДн 1.6. Недостоверность Блокировка ПДн С момента Уведомление о ПДн субъекта обращения субъекта внесенных ПДн о изменениях недостоверности или с момента получения запроса на период проверки (согласно части 1 статьи 21 Федерального закона N 152-ФЗ) Изменение ПДн 7 рабочих дней со дня предоставления уточненных Снятие сведений (согласно блокировки части 2 статьи 21 ПДн Федерального закона N 152-ФЗ) Отказ изменения 30 дней Уведомление об ПДн отказе изменения ПДн 1.7. Неправомерность Прекращение 3 рабочих дня Уведомление об действий с ПДн неправомерной (согласно части 3 устранении субъекта обработки ПДн статьи 21 нарушений Федерального закона N 152-ФЗ) Уничтожение ПДн 10 рабочих дней Уведомление об в случае (согласно части 3 уничтожении невозможности статьи 21 ПДн обеспечения Федерального правомерности закона N 152-ФЗ) обработки 1.8. Достижение целей Прекращение 30 дней (согласно Уведомление об обработки ПДн обработки ПДн. части 4 статьи 21 уничтожении субъекта Федерального ПДн Уничтожение ПДн закона N 152-ФЗ) 2. Запрос уполномоченного органа по защите прав субъекта ПДн 2.1. Информация для Предоставление 30 дней (согласно Предоставление осуществления затребованной части 4 статьи 20 затребованной деятельности информации по Федерального информации по уполномоченного ПДн закона N 152-ФЗ) ПДн органа 2.2. Недостоверность Блокировка ПДн С момента Уведомление о ПДн обращения внесенных Уполномоченного изменениях органа о недостоверности или с момента получения запроса на период проверки (согласно части 1 статьи 21 Федерального закона N 152-ФЗ) Изменение ПДн 7 рабочих дней со дня предоставления Снятие уточненных блокировки сведений (согласно ПДн части 2 статьи 21 Федерального закона N 152-ФЗ) Отказ изменения 30 дней Уведомление об ПДн отказе изменения ПДн 2.3. Неправомерность Прекращение 3 рабочих дня Уведомление об действий с ПДн неправомерной (согласно части 3 устранении обработки ПДн статьи 21 нарушений Федерального закона N 152-ФЗ) Уничтожение ПДн 10 рабочих дней Уведомление об в случае (согласно части 3 уничтожении невозможности статьи 21 ПДн обеспечения Федерального правомерности закона N 152-ФЗ) обработки 2.4. Достижение целей Блокировка ПДн 30 дней (согласно Уведомление об обработки ПДн части 4 статьи 21 уничтожении Федерального ПДн закона N 152-ФЗ) -------------------------------------------------------------------------------- ПРИЛОЖЕНИЕ N 4 УТВЕРЖДЕНЫ постановлением администрации области от 24.12.2012 N 1644 Типовые формы документов по запросу субъектов персональных данных или их представителей Форма В администрацию области __________________________ (ф.и.о. заявителя) __________________________ __________________________ проживающего по адресу: __________________________ __________________________ __________________________ (наименование и реквизиты документа, удостоверяющего личность заявителя) __________________________ __________________________ Заявление В том случае, если администрация области обрабатывает мои персональные данные, прошу предоставить мне сведения о Вашей организации. В противном случае прошу Вас уведомить меня об отсутствии обработки моих персональных данных. Ответ прошу направить в письменной форме по вышеуказанному адресу в срок, предусмотренный Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных". "___" __________ 20 ___г. _____________ _____________________ (подпись) (расшифровка подписи) Форма В администрацию области __________________________ (ф.и.о. заявителя) __________________________ __________________________ проживающего по адресу: __________________________ __________________________ __________________________ (наименование и реквизиты документа, удостоверяющего личность заявителя) __________________________ __________________________ Заявление В соответствии со статьей 14 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" прошу предоставить мне для ознакомления обрабатываемую Вами информацию, составляющую мои персональные данные, указать: осуществляется ли обработка моих персональных данных; цели, способы и сроки ее обработки; перечень обрабатываемых вами моих персональных данных и источник их получения; какие лица имеют доступ или могут получить доступ к моим персональным данным; срок хранения моих персональных данных; осуществлялась ли трансграничная передача моих персональных данных, если нет, то предполагается ли такая передача; сведения о том, какие юридические последствия для меня может повлечь ее обработка; другое. Ответ прошу направить в письменной форме по вышеуказанному адресу в предусмотренный Законом срок. "___" __________ 20 ___г. _____________ _____________________ (подпись) (расшифровка подписи) Форма Уведомление субъекта ПДн об обработке ПДн Уважаемый(ая) __________________________________________________, (ф.и.о.) администрацией области производится обработка сведений, составляющих Ваши персональные данные: ___________________________________________. (указать сведения) ______________________________________________________________________ ______________________________________________________________________ _____________________________________________________________________. Цели обработки: ________________________________________________. Способы обработки:______________________________________________. Перечень лиц, которые имеют доступ к информации, содержащей Ваши персональные данные или могут получить такой доступ: ---------------------------------------------------------------------- Должность | Ф.И.О. | Вид доступа | Примечания ---------------------------------------------------------------------- | | | ---------------------------------------------------------------------- | | | ---------------------------------------------------------------------- | | | ---------------------------------------------------------------------- Другое. По результатам обработки указанной информации нами планируется принятие следующих решений ___________________________________________ ______________________________________________________________________ _____________________________________________________________________, которые будут доведены до Вашего сведения. Против принятого решения Вы имеете право заявить свои письменные возражения в ____________________ срок. ____________________ __________________ _____________________ (должность) (подпись) (расшифровка подписи) "___" ____________ 20__г. Форма В администрацию области __________________________ (ф.и.о. заявителя) __________________________ __________________________ проживающего по адресу: __________________________ __________________________ __________________________ (наименование и реквизиты документа, удостоверяющего личность заявителя) __________________________ __________________________ Заявление Прошу уточнить обрабатываемые Вами мои персональные данные в соответствии со сведениями:__________________________________________, (указать уточненные персональные данные заявителя) ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ в связи с тем, что___________________________________________________. (указать причину уточнения персональных данных) ______________________________________________________________________ ______________________________________________________________________ _____________________________________________________________________. Ответ прошу направить в письменной форме по вышеуказанному адресу в срок, предусмотренный Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных". "___" __________ 20 ___г. _____________ _____________________ (подпись) (расшифровка подписи) Форма Уведомление об уточнении ПДн субъекта ПДн Уважаемый(ая)___________________________________________________, (ф.и.о.) в связи с ________________________________________ сообщаем Вам, что Ваши персональные данные уточнены в соответствии со сведениями: _____________________________________________________________________. ____________________ __________________ _____________________ (должность) (подпись) (расшифровка подписи) "___" ____________ 20__г. Форма В администрацию области __________________________ (ф.и.о. заявителя) __________________________ __________________________ проживающего по адресу: __________________________ __________________________ __________________________ (наименование и реквизиты документа, удостоверяющего личность заявителя) __________________________ __________________________ Заявление Прошу заблокировать обрабатываемые Вами мои персональные данные: ______________________________________________________________________ (указать блокируемые персональные данные) ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ на срок: __________________________, в связи с тем, что_______________ (указать срок блокирования) _____________________________________________________________________. (указать причину блокирования персональных данных) Ответ прошу направить в письменной форме по вышеуказанному адресу в срок, предусмотренный Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных". "___" __________ 20 ___г. _____________ _____________________ (подпись) (расшифровка подписи) Форма Уведомление о блокировании ПДн субъекта ПДн Уважаемый(ая) __________________________________________________, (ф.и.о.) в связи с_____________________________________________________________ сообщаем Вам, что Ваши персональные данные____________________________ (указать персональные данные) ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ заблокированы на срок ___________________. ____________________ __________________ _____________________ (должность) (подпись) (расшифровка подписи) "___" ____________ 20__г. Форма В администрацию области __________________________ (ф.и.о. заявителя) __________________________ __________________________ проживающего по адресу: __________________________ __________________________ __________________________ (наименование и реквизиты документа, удостоверяющего личность заявителя) __________________________ __________________________ Заявление Прошу Вас прекратить обработку и уничтожить мои персональные данные: ______________________________________________________________________ (указать уничтожаемые персональные данные) ______________________________________________________________________ ______________________________________________________________________ _____________________________________________________________________, в связи с тем, что___________________________________________________. (указать причину уничтожения персональных данных) ______________________________________________________________________ ______________________________________________________________________ _____________________________________________________________________. Ответ прошу направить в письменной форме по вышеуказанному адресу в срок, предусмотренный Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных". "___" __________ 20 ___г. _____________ _____________________ (подпись) (расшифровка подписи) Форма Уведомление о прекращении обработки и уничтожении ПДн субъекта ПДн Уважаемый(ая) __________________________________________________, (ф.и.о.) в связи с_____________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ сообщаем Вам, что обработка Ваших персональных данных прекращена и Ваши персональные данные______________________________________________ (указать персональные данные) ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ уничтожены. ____________________ __________________ _____________________ (должность) (подпись) (расшифровка подписи) "___" ____________ 20__г. Форма Запрос Уважаемый(ая) __________________________________________________, (ф.и.о.) в связи с ____________________________________________________________ у администрации области возникла необходимость получения следующей информации, составляющей Ваши персональные данные ______________________________________________________________________ (перечислить информацию) ______________________________________________________________________ ______________________________________________________________________ _____________________________________________________________________. Просим Вас предоставить указанные сведения в течение ______ рабочих дней с момента получения настоящего запроса. В случае невозможности предоставить указанные сведения просим в указанный срок дать письменное согласие на получение нами необходимой информации из следующих источников ___________________________________ следующими способами ________________________________________________. По результатам обработки указанной информации нами планируется принятие следующих решений, которые будут доведены до Вашего сведения. _____________________________________________________________________. Против принятого решения Вы имеете право заявить свои письменные возражения в ____________________ срок. Ответ прошу направить в письменной форме в наш адрес в срок, предусмотренный Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных". ____________________ __________________ _____________________ (должность) (подпись) (расшифровка подписи) "___" ____________ 20__г. Форма Уведомление субъекта ПДн об устранении допущенных нарушений Уважаемый(ая) __________________________________________________, (ф.и.о.) в связи с_____________________________________________________________ сообщаем Вам, что все допущенные нарушения при обработке Ваших персональных данных устранены. Нашей организацией были внесены изменения в Ваши персональные данные:_______________________________________________________________ (указать персональные данные) ______________________________________________________________________ ______________________________________________________________________ _____________________________________________________________________. ____________________ __________________ _____________________ (должность) (подпись) (расшифровка подписи) "___" ____________ 20__г. Форма Уведомление уполномоченного органа по защите прав субъекта ПДн об устранении допущенных нарушений В_____________________________________ (наименование уполномоченного органа) Настоящим уведомлением сообщаем Вам, что допущенные нарушения при обработке персональных данных, а именно ______________________________ (указать допущенные нарушения) _____________________________________________________________________ ______________________________________________________________________ ___________________________________________________________ устранены. Нашей организацией были внесены изменения в персональные данные ______________________________________________________________________ (Ф.И.О. субъекта ПДн, его персональные данные) ______________________________________________________________________ ______________________________________________________________________ _____________________________________________________________________. ____________________ __________________ _____________________ (должность) (подпись) (расшифровка подписи) "___" ____________ 20__г. Форма Уведомление уполномоченного органа по защите прав субъекта ПДн об уничтожении ПДн В_____________________________________ (наименование уполномоченного органа) Настоящим уведомлением сообщаем Вам, что в связи с ______________________________________________________________________ персональные данные __________________________________________________ (Ф.И.О. субъекта ПДн, его персональные данные) ______________________________________________________________________ ______________________________________________________________________ __________________________________________________________ уничтожены. ____________________ __________________ _____________________ (должность) (подпись) (расшифровка подписи) "___" ____________ 20__г. Форма Титульный лист Инв. N ______ ____________ (гриф) ЖУРНАЛ учета запросов граждан (субъектов персональных данных) в администрацию области по вопросам обработки персональных данных Начат: "___" ___________ 20 ___ г. Окончен: "___" ___________ 20 ___ г. На ___________ листах Срок хранения _______ лет Содержание --------------------------------------------------------------------------------------------- N | Сведения | Краткое | Цель | Отметка | Дата | Подпись |Примечание п/п|о запраши-|содержание|запроса|о предоставлении|передачи/отказа |ответственного| | вающем | запроса | | информации или |в предоставлении| лица | | лице | | | отказе в ее | информации | | | | | | предоставлении | | | ---|----------|----------|-------|----------------|----------------|--------------|---------- 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 ---|----------|----------|-------|----------------|----------------|--------------|---------- | | | | | | | --------------------------------------------------------------------------------------------- ПРИЛОЖЕНИЕ N 5 УТВЕРЖДЕНЫ постановлением администрации области от 24.12.2012 N 1644 Правила работы с обезличенными персональными данными в администрации области 1. Общие положения Настоящие Правила работы с обезличенными персональными данными в администрации области (далее - Правила) разработаны с учетом требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и постановления Правительства Российской Федерации от 221.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами". Настоящие Правила определяют порядок работы с обезличенными данными в администрации области и действуют постоянно. 2. Условия обезличивания Обезличивание персональных данных (ПДн) проводится с целью снижения ущерба от разглашения защищаемых ПДн и снижения требований к защите информационной системы персональных данных (ИСПДн) администрации области. Обезличивание персональных данных также осуществляется по достижению целей обработки ПДн или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом. Способы обезличивания при условии дальнейшей обработки ПДн: уменьшение перечня обрабатываемых сведений; замена части сведений идентификаторами; замена численных значений минимальным, средним или максимальным значением (например, иногда нет необходимости обрабатывать сведения о возрасте каждого субъекта, достаточно обрабатывать данные о среднем возрасте по всей выборке или отдельным ее частям); обобщение - понижение точности некоторых сведений; понижение точности некоторых сведений; деление сведений на части и обработка их в разных информационных системах; другие способы. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня ПДн. Для обезличивания ПДн применяются любые способы явно не запрещенные законодательно. Перечень должностей государственных гражданских служащих администрации области, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн, утвержден постановлением администрации области от 26.06.2012 N 760. Глава администрации области принимает решение о необходимости обезличивания ПДн. Руководители структурных подразделений администрации области, непосредственно осуществляющих обработку ПДн, готовят предложения по обезличиванию ПДн, обоснование такой необходимости и определяют способ обезличивания. Государственные гражданские служащие области, замещающие должности государственной гражданской службы в структурных подразделениях администрации области, обслуживающие базы данных с ПДн, осуществляют непосредственное обезличивание выбранным способом. 3. Порядок работы с обезличенными персональными данными Обезличенные ПДн не подлежат разглашению и нарушению конфиденциальности. Обезличенные ПДн могут обрабатываться с использованием и без использования средств автоматизации. При обработке обезличенных ПДн с использованием средств автоматизации необходимо соблюдение: парольной политики; антивирусной политики; правил работы со съемными носителями (если они используется); правил резервного копирования; правил доступа в помещения, где расположены элементы информационных систем. При обработке обезличенных ПДн без использования средств автоматизации необходимо соблюдение: правил хранения бумажных носителей; правил доступа к ним и в помещения, где они хранятся. ПРИЛОЖЕНИЕ N 6 УТВЕРЖДЕНО постановлением администрации области от 24.12.2012 N 1644 Типовое обязательство государственного гражданского служащего области, замещающего должность государственной гражданской службы в администрации области, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей Обязательство о соблюдении конфиденциальности персональных данных Я, _____________________________________________________________, (фамилия, имя, отчество) являясь государственным гражданским служащим области, замещающим должность государственной гражданской службы в администрации области и непосредственно осуществляя обработку персональных данных, ознакомлен с требованиями по соблюдению конфиденциальности обрабатываемых мною персональных данных субъектов персональных данных и обязуюсь в случае расторжения администрации области со мной служебного контракта прекратить обработку персональных данных, ставших мне известными в связи с исполнением должностных обязанностей. Я ознакомлен с предусмотренной действующим законодательством Российской Федерации ответственностью за нарушения неприкосновенности частной жизни и установленного Законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). ____________________________________ (фамилия имя отчество) ____________________________________ (паспортные данные) ____________________________________ (подпись) ____________________________________ (дата) ПРИЛОЖЕНИЕ N 7 УТВЕРЖДЕНА постановлением администрации области от 24.12.2012 N 1644 Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные Уважаемый(-ая), __________________________________________! (имя, отчество) В соответствии с требованиями Федерального закона Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных" уведомляем Вас, что обязанность предоставления Вами персональных данных установлена _______________________________ Федерального закона (пункт, статья, часть) _____________________________________________________________________, (реквизиты и наименование федерального закона) а также следующими нормативными актами________________________________ _____________________________________________________________________. (указываются реквизиты и наименования таких нормативных актов) ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ В случае отказа Вами предоставить свои персональные данные администрация области не сможет на законных основаниях осуществлять такую обработку, что приведет к следующим для Вас юридическим последствиям _____________________________________________________________________. (перечислить юридические последствия для субъекта персональных данных, то есть случаи возникновения, изменения или прекращения личных либо имущественных прав граждан или случаи иным образом затрагивающие его права, свободы и законные интересы) ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ ______________________________________________________________________ В соответствии с действующим законодательством Российской Федерации в области персональных данных Вы имеете право: на получение сведений об администрации области как операторе, осуществляющем обработку Ваших персональных данных (в объеме, необходимом для защиты своих прав и законных интересов по вопросам обработки своих персональных данных), о месте нахождения администрации области, о наличии у администрации области своих персональных данных, а также на ознакомление с такими персональными данными; подавать запрос на доступ к своим персональным данным; требовать безвозмездного предоставления возможности ознакомления со своими персональными данными, а также внесения в них необходимых изменений, их уничтожения или блокирования при предоставлении сведений, подтверждающих, что такие персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки; получать уведомления по вопросам обработки персональных данных в установленных действующим законодательством Российской Федерации случаях и сроки; требовать от администрации области разъяснения порядка защиты субъектом персональных данных своих прав и законных интересов; обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке; на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. __________________________________ (должность, фамилия и инициалы) __________________________________ (подпись) __________________________________ (дата) ПРИЛОЖЕНИЕ N 8 УТВЕРЖДЕН постановлением администрации области от 24.12.2012 N 1644 Порядок доступа государственных гражданских служащих области, замещающих должности государственной гражданской службы в администрации области, в помещения администрации области, в которых ведется обработка персональных данных 1. Общие положения Настоящий Порядок доступа государственных гражданских служащих, замещающих должности государственной гражданской службы в администрации области в помещения администрации области, в которых ведется обработка персональных данных, (далее - Порядок) разработан в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами. Настоящий Порядок регламентирует условия и порядок осуществления доступа государственных гражданских служащих области, замещающих должности государственной гражданской службы в администрации области, (далее - служащие администрации области) и других лиц в помещения администрации области, в которых ведется обработка персональных данных (далее - помещения) в целях обеспечения безопасности персональных данных (ПДн). Для обеспечения доступа служащих администрации области в помещения предусматривается комплекс специальных мер, направленных на поддержание и обеспечение установленного порядка деятельности администрации области. Указанные меры организуются структурным подразделением администрации области, ответственным за организацию обработки ПДн, а осуществляются руководителями структурных подразделений администрации области, осуществляющих обработку ПДн. Контроль за порядком обеспечения доступа служащих администрации области в помещения осуществляется руководителями структурных подразделений администрации области, осуществляющих обработку ПДн. 2. Порядок доступа служащих администрации области в помещения Обеспечение безопасности персональных данных от уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн достигается, в том числе, установлением правил доступа в помещения, где ведется обработка ПДн с использованием средств автоматизации или без использования таковых. Для помещений, в которых обрабатываются ПДн, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей ПДн и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц. Доступ служащих администрации области в помещения осуществляется в соответствии со Списком государственных гражданских служащих области, замещающих должности государственной гражданской службы в администрации области, имеющих право самостоятельного доступа в помещения, в которых ведется обработка ПДн (далее - Список). Список готовится и уточняется структурным подразделением администрации области, ответственным за организацию обработки ПДн, по представлению руководителей структурных подразделений администрации области, осуществляющих обработку ПДн, и утверждается главой администрации области. Доступ в помещения иных лиц осуществляется служащими администрации области, указанными в Списке. Пребывание посторонних лиц в помещениях допускается только в присутствии вышеуказанных служащих администрации области на время, ограниченное необходимостью решения вопросов, связанных с исполнением государственных функций и (или) осуществлением полномочий в рамках договоров, заключенных с администрацией области. Внутренний контроль за соблюдением порядка доступа в помещения проводится структурным подразделением администрации области ответственным за организацию обработки ПДн или комиссией, список которой утверждается распоряжением администрации области. Информация по документуЧитайте также
Изменен протокол лечения ковида23 февраля 2022 г. МедицинаГермания может полностью остановить «Северный поток – 2»23 февраля 2022 г. ЭкономикаБогатые уже не такие богатые23 февраля 2022 г. ОбществоОтныне иностранцы смогут найти на портале госуслуг полезную для себя информацию23 февраля 2022 г. ОбществоВакцина «Спутник М» прошла регистрацию в Казахстане22 февраля 2022 г. МедицинаМТС попала в переплет в связи с повышением тарифов22 февраля 2022 г. ГосударствоРегулятор откорректировал прогноз по инфляции22 февраля 2022 г. ЭкономикаСтоимость нефти Brent взяла курс на повышение22 февраля 2022 г. ЭкономикаКурсы иностранных валют снова выросли21 февраля 2022 г. Финансовые рынки |
Архив статей
2024 Октябрь
|
