Об организации работ по обеспечению безопасности персональных данных в администрации сельского поселения Половинка


173 Кб
скачать

15-р от 04.03.2020

Приложения

 

 

АДМИНИСТРАЦИЯ

СЕЛЬСКОГО ПОСЕЛЕНИЯ ПОЛОВИНКА

Кондинский район

Ханты-Мансийский автономный округ - Югра

РАСПОРЯЖЕНИЕ

от 4 марта 2020 года № 15-р

Об организации работ по обеспечению

безопасности персональных данных

в администрации сельского поселения Половинка

В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ
«О персональных данных», постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных
на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», в целях приведения в соответствие
с действующим законодательством порядка обработки персональных данных
в администрации сельского поселения Половинка:

1. Утвердить Положение об обработке и защите персональных данных
в администрации сельского поселения Половинка (Приложение № 1).

2. Назначить ответственных за организацию обработки персональных данных специалистов администрации сельского поселения Половинка.

3. Утвердить инструкцию ответственного за организацию обработки персональных данных в администрации сельского поселения Половинка (Приложение № 2).

4. Утвердить Порядок доступа работников администрации сельского поселения Половинка в помещения, в которых ведется обработка персональных данных (Приложение № 3).

5. Контроль за выполнением настоящего распоряжения оставить за главой сельского поселения Половинка А.А. Старжинским.

Исполняющий обязанности

главы сельского поселения Половинка

Л.В. Зеленикина

Приложение № 1

к распоряжению администрации

сельского поселения Половинка

от 4 марта 2020 года № 15-р

Положение об обработке и защите персональных данных

в администрации сельского поселения Половинка

1. Общие положения

1.1. Настоящее Положение об обработке и защите персональных данных вадминистрации сельского поселения Половинка (далее – Положение) имеет своей целью закрепление механизмов обеспечения прав граждан иработников администрации сельского поселения Половинка (далее – администрация поселения) на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах их жизни.

1.2. Настоящее Положение определяет порядок сбора, хранения, передачи илюбого другого использования персональных данных субъектов в администрации поселения в соответствии с законодательством Российской Федерации и гарантии конфиденциальности предоставленных сведений о субъекте.

1.3. Положение разработано в соответствии с Федеральным законом
от 27 июля 2006 года № 152-ФЗ «О персональных данных», Федеральным законом
от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях
и о защите информации», иными нормативными правовыми актами, действующими на территории Российской Федерации.

1.4. Оператором персональных данных (далее – Оператор) является администрация поселения.

2. Основные понятия

2.1. Персональные данные (далее – ПДн) – любая информация, относящаяся кпрямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.2. Представитель субъекта – физическое лицо, обладающее законным правом представлять субъекта в случае его недееспособности, несовершеннолетия или в иных установленных федеральными законами случаях.

2.3. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.4. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.5. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.6. Информационная система персональных данных (далее – ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.7. Обработка персональных данных без использования средств автоматизации (неавтоматизированная) – обработка персональных данных, содержащихся винформационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

2.8. Защита персональных данных – защита от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий вотношении персональных данных.

2.9. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.10. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.11. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.12. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных винформационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.13. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.14. Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

2.15. Матрица доступа – таблица, отображающая правила разграничения доступа пользователей к ресурсам информационной системы.

2.16. Материальные носители информации – бумага или электронные съемные носители.

3. Организация защиты персональных данных

3.1. В администрации поселения защите подлежат все сведения, содержащие персональные данные субъектов, в том числе:

3.1.1. Зафиксированные в бумажных документах.

3.1.2. Зафиксированные в электронных документах на технических средствах, включая внешние носители.

3.1.3. Речевая (акустическая) информация, содержащая персональные данные.

3.1.4. Текстовая и графическая видовая информация, содержащая персональные данные.

3.2. Защита персональных данных должна вестись по трём взаимодополняющим направлениям:

3.2.1. Проведение организационных мероприятий:

3.2.1.1. Разработка и внедрение внутренних организационно-распорядительных документов, регламентирующих обработку и защиту персональных данных вадминистрации, в том числе порядок доступа в помещения и к персональным данным.

3.2.1.2. Ознакомление сотрудников с законодательством Российской Федерации ивнутренними нормативными документами, получение обязательств, касающихся обработки персональных данных.

3.2.1.3. Проведение обучения сотрудников вопросам защиты персональных данных.

3.2.2. Программно-аппаратная защита:

3.2.2.1. Разработка модели угроз безопасности персональным данным.

3.2.2.2. Внедрение программно-аппаратных средств защиты информации.

3.2.2.3. Организация учёта носителей персональных данных.

3.2.3. Инженерно-техническая защита:

3.2.3.1. Установка сейфов или запирающихся шкафов для хранения носителей персональных данных.

3.2.3.2. Установка усиленных дверей, сигнализации, режима охраны здания ипомещений, в которых обрабатываются персональные данные.

4. Порядок обработки персональных данных

4.1. Общие требования при обработке персональных данных:

4.1.1. Обработка персональных данных в администрации поселения осуществляется сцелью реализации трудовых отношений, принятия решения о трудоустройстве, формировании кадрового резерва, решения вопросов местного значения.

4.1.2. При обработке персональных данных должны быть обеспечены их точность, достаточность, и в необходимых случаях актуальность по отношению к целям обработки.

4.1.3. Персональные данные не могут быть использованы в целях причинения имущественного или морального вреда субъекту, затруднения реализации прав и свобод субъекта.

4.1.4. Сроки хранения содержащих персональные данные оригиналов документов или копий документов на материальных носителях информации, устанавливаются правовыми актами администрации поселения, а также нормативными правовыми актами Российской Федерации.

4.2. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации.

4.2.1. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

4.2.2. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

4.2.3. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

4.3. Особенности обеспечения безопасности персональных данных при их обработке в информационной системе персональных данных.

4.3.1. Состав информационных систем персональных данных администрации поселения и их характеристика определяется Перечнем информационных систем персональных данных в администрации сельского поселения Половинка (Приложение № 1 кПоложению).

4.3.2. Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных, программные средства, средства защиты информации, применяемые в информационных системах.

4.3.3. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

4.3.4. Средства защиты информации, применяемые в информационных системах, в обязательном порядке проходят процедуру оценки соответствия в установленном законодательством Российской Федерации порядке.

4.3.5. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер, а также применения технических и(или) программных средств.

4.3.6. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

4.3.7. Безопасность персональных данных при их обработке в информационной системе персональных данных обеспечивает администратор безопасности ИСПДн, назначенный распоряжением администрации поселения.

4.3.8. При обработке персональных данных в информационной системе должно быть обеспечено:

4.3.8.1. Проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, неимеющим права доступа к такой информации.

4.3.8.2. Своевременное обнаружение фактов несанкционированного доступа кперсональным данным.

4.3.8.3. Недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование.

4.3.8.4. Возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

4.3.8.5. Постоянный контроль над обеспечением уровня защищенности персональных данных.

4.3.9. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают:

4.3.9.1. Определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз.

4.3.9.2. Разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем.

4.3.9.3. Установку и ввод в эксплуатацию средств защиты информации всоответствии с эксплуатационной и технической документацией.

4.3.9.4. Обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними.

4.3.9.5. Учет применяемых средств защиты информации, эксплуатационной итехнической документации к ним, носителей персональных данных.

4.3.9.6. Учет лиц, допущенных к работе с персональными данными винформационной системе.

4.3.9.7. Контроль по соблюдению условий использования средств защиты информации, предусмотренных эксплуатационной и технической документации.

4.3.9.8. Описание системы защиты персональных данных.

4.4. Порядок получения персональных данных:

4.4.1. Перед началом обработки персональных данных необходимо получить согласие субъекта в письменной виде в соответствии с утвержденной в администрации района формой такого согласия на обработку персональных данных (Приложение № 2 кПоложению).

4.4.2. Согласие субъекта не требуется, если обработка персональных данных производится для осуществления и выполнения, возложенных на администрацию поселения функций, полномочий и обязанностей, необходимых для предоставления муниципальных услуг, а также в иных предусмотренных федеральными законами случаях.

4.4.3. Согласие на обработку персональных данных может быть отозвано субъектом или его представителем.

4.4.4. В случае отзыва субъектом или его представителем персональных данных согласия на обработку персональных данных администрация поселения вправе продолжить обработку персональных данных без согласия субъекта или его представителя впредусмотренных федеральным законом случаях.

4.4.5. Администрация поселения может получить необходимые персональные данные субъекта у третьей стороны только с согласия субъекта или его представителя на обработку его персональных данных или в случаях, указанных в пункте 4.4.2. настоящего Положения.

4.4.6. Запрещается получать и обрабатывать персональные данные субъекта о его политических, религиозных, философских убеждениях, интимной жизни, расовой, национальной принадлежности, состоянии здоровья, за исключением случаев, предусмотренных федеральными законами.

4.5. Порядок хранения персональных данных:

4.5.1. Хранение персональных данных субъектов должно осуществляться на учтенных электронных носителях информации, бумажных носителях информации, ссоблюдением предусмотренных нормативными правовыми актами Российской Федерации правовых, организационных и технических мер по защите персональных данных.

4.5.2. Хранение персональных данных субъектов должно осуществляться в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки персональных данных.

4.6. Порядок передачи персональных данных:

4.6.1. Передавать персональные данные субъектов допускается только тем сотрудникам, которые имеют допуск к обработке персональных данных.

4.6.2. Запрещается распространять персональные данные субъекта третьей стороне без согласия субъекта или его представителя, за исключением случаев, предусмотренных федеральными законами.

4.6.3. Передача персональных данных, в том числе с информационно-вычислительной сети администрации поселения и сети Интернет, должна осуществляться сприменением необходимых и достаточных мер по их защите (конфиденциальности). Перечень мер, направленных на обеспечение защиты персональных данных, определяются нормативными правовыми актами Российской Федерации.

4.7. Порядок доступа к персональным данным:

4.7.1. Доступ к обрабатываемым персональным данным, могут иметь работники администрации поселения в целях исполнения своих должностных обязанностей, иназначенные муниципальным правовым актом администрации поселения.

4.7.2. Все работники администрации поселения, имеющие доступ к персональным данным субъектов, обязаны подписать обязательство о неразглашении информации ограниченного доступа (Приложение № 3 к Положению).

4.7.3. Доступ субъекта или его представителя к персональным данным субъекта осуществляется при личном обращении субъекта или его представителя, либо путем направления в администрацию поселения запроса субъекта или его представителя вписьменной форме, или электронной форме, подписанной электронной подписью всоответствии с законодательством Российской Федерации. При личном обращении, субъект или его представитель обязан предоставить документ удостоверяющий личность. В запросе субъект или его представитель обязан указать номер основного документа, удостоверяющего личность субъекта или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта или его представителя в отношениях с Оператором и иные сведения, предусмотренные федеральным законом.

4.8. Уничтожение персональных данных:

4.8.1. Персональные данные субъектов должны хранятся не дольше, чем этого требуют цели их обработки, и подлежать уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, а также в иных случаях, определенных федеральными законами.

4.8.2. Документы на бумажных носителях, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном законодательством Российской Федерации.

4.8.3. При уничтожении носителей персональных данных, в случае достижения цели обработки, составляется акт уничтожения носителей персональных данных (Приложение № 4 к Положению).

5. Права и обязанности субъектов персональных данных и Оператора

5.1. Права и обязанности субъектов и Оператора определяются в соответствии сФедеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».

5.2. Для защиты персональных данных субъектов Оператор обязан:

5.2.1. За свой счет обеспечить правовую, организационную и техническую защиту персональных данных субъекта от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

5.2.2. Назначить ответственное лицо за организацию обработки персональных данных, которое должно осуществлять внутренний контроль за соблюдением Оператором законодательства Российской Федерации о персональных данных.

5.2.3. Ознакомить своих работников с настоящим Положением.

5.2.4. Осуществлять передачу персональных данных субъекта только всоответствии с настоящим Положением и законодательством Российской Федерации.

5.2.5. Предоставлять персональные данные субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим Положением и законодательством Российской Федерации.

5.2.6. Обеспечить безвозмездно и в доступной форме ознакомление субъекта или его представителя с информацией, касающейся обработки персональных данных субъекта, включая доступ к персональным данным субъекта, с правовым основанием ицелью обработки персональных данных, сроками обработки и хранения.

5.2.7. По требованию субъекта или его представителя, в установленный федеральным законом срок, уточнить, заблокировать или уничтожить персональные данные субъекта, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

5.2.8. Разъяснить субъекту или его представителю, если предоставление персональных данных является обязательным в соответствии с федеральным законом, юридические последствия отказа предоставления его персональных данных.

5.2.9. До начала обработки персональных данных, полученных не от субъекта (представителя), предоставить субъекту информацию об обработке персональных данных субъекта.

5.3. Оператор не вправе без письменного согласия субъекта или его представителя передавать обрабатываемые персональные данные третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации.

5.4. Специалисты администрации обрабатывающие персональные данные обязаны обеспечить защиту персональных данных.

6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

6.1. Специалисты администрации несут персональную ответственность за защиту персональных данных.

6.2. Лица, виновные в нарушении норм, регулирующих получение, обработку изащиту персональных данных, привлекаются к дисциплинарной ответственности, атакже привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

 

 

ПриложениеПриложение
Дата создания: 05-03-2020
Дата последнего изменения: 05-03-2020
Закрыть
Сообщение об ошибке
Отправьте нам сообщение. Мы исправим ошибку в кратчайшие сроки.
Расположение ошибки: .

Текст ошибки:
Комментарий или отзыв о сайте:
Отправить captcha
Введите код: *