ДЕПАРТАМЕНТ СОЦИАЛЬНОЙ ЗАЩИТЫ НАСЕЛЕНИЯ
ТОМСКОЙ ОБЛАСТИ
РАСПОРЯЖЕНИЕ
14.06.2013 № 3-р-пд
|
О реализации требований Постановления Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
В целях организации работы по обработке персональных данных в Департаменте социальной защиты населения Томской области (далее – Департамент) и обеспечения их безопасности, руководствуясь Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", подпунктом 18 пункта 10 Положения о Департаменте
1. Утвердить:
- Правила рассмотрения запросов субъектов персональных данных или их представителей в Департаменте, согласно приложению 1 к настоящему распоряжению;
- Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами, согласно приложению 2 к настоящему распоряжению;
- Правила работы с обезличенными данными в Департаменте совместно с перечнем должностей государственной гражданской службы в Департаменте, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, согласно приложению 3 к настоящему распоряжению;
- Перечень информационных систем персональных данных, обрабатываемых в Департаменте, согласно приложению 4 к настоящему распоряжению;
- Перечень должностей государственной гражданской службы в Департаменте, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, согласно приложению 5 к настоящему распоряжению;
- Должностную инструкцию ответственного за обработку персональных данных в Департаменте, согласно приложению 6 к настоящему распоряжению;
- Типовое обязательство о неразглашении информации, содержащей персональные данные, согласно приложению 7 к настоящему распоряжению;
- Типовую форму согласия на обработку персональных данных государственных гражданских служащих, иных субъектов персональных данных Департамента, согласно приложению 8 к настоящему распоряжению;
- Типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные, согласно приложению 9 к настоящему распоряжению;
- Порядок доступа государственных гражданских служащих и других лиц в помещения Департамента, в которых ведется обработка персональных данных, согласно приложению 10 к настоящему распоряжению.
- Перечень персональных данных, обрабатываемых в Департаменте социальной защиты населения в связи с реализацией трудовых отношений а также в связи с оказанием государственных функций.
2. Руководителям подведомственных учреждений, осуществляемым обработку персональных данных, в срок до 15.07.2013 разработать необходимые документы и провести комплекс мероприятий, предусмотренных пунктом 1 настоящего распоряжения, а также в соответствии с разработанным Положением о защите персональных данных, обрабатываемых в информационных системах персональных данных в учреждении.
3. Ведущему специалисту, выполняющему функции подразделения по защите информации (Калинкин С.А.) обеспечить контроль за исполнением руководителями подведомственных учреждений поручения, указанного в пункте 2 настоящего распоряжения.
4. Заместителям начальника Департамента (Токинова С.И., Барнева И.Н., Давыдова В.Г.), Комитету кадрово-правовой работы Департамента (Пронина И.С.) осуществить ознакомление работников Департамента, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и организовать обучение указанных работников.
5. Контроль за исполнением настоящего распоряжения возложить на заместителя начальника Департамента - председателя Комитета социального развития отрасли (Барнева И.Н.).
Начальник Департамента И.А.Трифонова
Приложение 1
к распоряжению
Департамента социальной защиты
населения Томской области
от 14.06.2013 № 3-р-пд
ПРАВИЛА
рассмотрения запросов cубъектов персональных данных или их представителей
в Департаменте социальной защиты населения Томской области
(далее - Правила)
1. Общие положения
1.1. Настоящие Правила разработаны в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ), Трудовым кодексом Российской Федерации и определяют порядок обработки поступающих в Департамент социальной защиты населения Томской области (далее - Департамент) обращений субъектов персональных данных.
2. Права субъектов персональных данных
2.2. В соответствии с действующим законодательством субъект персональных данных имеет право на получение при обращении или при получении запроса - информации, касающейся обработки его персональных данных, в том числе содержащей:
2.2.1. подтверждение факта обработки персональных данных Департаментом;
2.2.2. правовые основания и цели обработки персональных данных Департаментом;
2.2.3. цели и применяемые Департаментом способы обработки персональных данных;
2.2.4. наименование и место нахождения Департамента, сведения о лицах (за исключением работников Департамента), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Департаментом или на основании федерального закона;
2.2.5. обрабатываемые персональные данные, относящиеся к соответствую-щему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
2.2.6. сроки обработки персональных данных, в том числе сроки их хранения;
2.2.7. порядок осуществления субъектом персональных данных прав, преду-смотренных Федеральным законом № 152-ФЗ;
2.2.8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
2.2.9. наименование или фамилию, имя, отчество и адрес лица, осуществляю-щего обработку персональных данных по поручению Департамента, если обработка поручена или будет поручена такому лицу;
2.2.10. иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.
2.3. Право субъекта персональных данных на доступ к его персональным данным ограничивается в соответствии с федеральными законами, в том числе в случаях, предусмотренных частью 8 статьи 14 Федерального закона № 152-ФЗ.
2.4. Субъект персональных данных вправе требовать от Департамента уточ-нения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2
Если субъект персональных данных считает, что Департамент осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Департамента в уполномо-ченном органе по защите прав субъектов персональных данных или в судебном порядке.
2.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
3. Порядок работы с запросами, уведомлениями и иными обращениями
субъектов персональных данных или их представителей
3.1. При поступлении запроса, уведомления или иного обращения субъекта персональных данных или его представителя уполномоченными должностными лицами Департамента осуществляется его регистрация в журнале учета обращений субъектов персональных данных.
3.2. Уполномоченные должностные лица Департамента обязаны сообщить в порядке, предусмотренном статьей 14 Федерального закона № 152-ФЗ, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 30 (тридцати) дней с даты получения запроса субъекта персональных данных или его представителя.
3.3. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении, либо при получении запроса субъекта персональных данных или его представителя, уполномоченные должностные лица Департамента обязаны дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 (тридцати) дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
3.4. Уполномоченные должностные лица Департамента обязаны предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, уполномоченные должностные лица Департамента обеспечивают внесение в них необходимых изменений. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уполномоченные должностные лица Департамента обязаны уничтожить такие персональные данные. Уполномоченные должностные лица Департамента обязаны уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
3
3.5. Уполномоченные должностные лица Департамента обязаны сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 (тридцати) дней с даты получения такого запроса.
3.6. Документальное оформление работы с запросами, уведомлениями и иными обращениями субъектов персональных данных и их представителей осуществляется в соответствии с формами, приведенными в приложениях 1 – 12 к настоящим Правилам.
3.7. Во всем ином, что не урегулировано настоящими Правилами, при работе с запросами, уведомлениями и иными обращениями по вопросам обработки персональных данных уполномоченные должностные лица Департамента руководствуются действующим законодательством и правовыми актами Департамента.
Приложение 1
к Правилам рассмотрения запросов
субъектов персональных данных или
их представителей в Департаменте
В ______________________________
(указать уполномоченный орган)
Уведомление об уничтожении
(примерная форма)
Настоящим уведомлением сообщаем вам, что в связи с __________________________
________________________________________________________________________________
________________________________________________________________________________ персональные данные _________________________________________________ уничтожены.
(указать персональные данные)
______________________ __________________________ _____________________
(должность) (подпись) (ФИО)
"___" _____________ 20___ г.
4
Приложение 2
к Правилам рассмотрения запросов
субъектов персональных данных или
их представителей в Департаменте
В ______________________________
(указать уполномоченный орган)
Уведомление об устранении допущенных нарушений
(примерная форма)
Настоящим уведомлением сообщаем вам, что допущенные нарушения при обработке персональных данных, а именно __________________________________________
________________________________________________________________________________
________________________________________________________________________________
_____________________________________________ устранены.
(указать допущенные нарушения)
______________________ __________________________ _____________________
(должность) (подпись) (ФИО)
"___" _____________ 20___ г.
Приложение 3
к Правилам рассмотрения запросов
субъектов персональных данных или
их представителей в Департаменте
Запрос
(примерная форма)
Уважаемый(ая) _____________________________________________ (ФИО), в связи с ______________________ у Департамента социальной защиты населения Томской области возникла необходимость получения следующей информации, составляющей Ваши персональные данные ___________________________________________________________ ,
(перечислить информацию)
просим Вас предоставить указанные сведения в течение _____ рабочих дней с момента получения настоящего запроса.
В случае невозможности предоставить указанные сведения просим в указанный срок дать письменное согласие на получение нами необходимой информации из следующих источников __________________________________________________________ , следующими способами __________________________________________________________ .
По результатам обработки указанной информации нами планируется принятие следующих решений, которые будут доведены до Вашего сведения ______________
_______________________________________________________________________________ .
Против принятого решения Вы имеете право заявить свои письменные возражения в ____________________ срок.
(указать срок 00-дневный)
___________________ __________________________ _____________________
(должность) (подпись) (ФИО)
"___" _____________ 20___ г.
5
Приложение 4
к Правилам рассмотрения запросов
субъектов персональных данных или
их представителей в Департаменте
Уведомление о блокировании
(примерная форма)
Уважаемый(ая) ____________________________________________ (Ф.И.О.), в связи с
_____________________________________________ сообщаем Вам, что Ваши персональные
данные _________________________________ заблокированы на срок ___________________.
(указать персональные данные)
______________________ __________________________ _____________________
(должность) (подпись) (ФИО)
"___" _____________ 20___ г.
Приложение 5
к Правилам рассмотрения запросов
субъектов персональных данных или
их представителей в Департаменте
Уведомление об уточнении
(примерная форма)
Уважаемый(ая) ____________________________________________ (Ф.И.О.), в связи с
_____________________________________________ сообщаем Вам, что Ваши персональные
данные уточнены в соответствии со сведениями: _____________________________________
_______________________________________________________________________________.
______________________ __________________________ _____________________
(должность) (подпись) (ФИО)
"___" _____________ 20___ г.
6
Приложение 6
к Правилам рассмотрения запросов
субъектов персональных данных или
их представителей в Департаменте
Уведомление
(примерная форма)
Уважаемый(ая) ____________________________________________________ (Ф.И.О.),
Департаментом социальной защиты населения Томской области производится обработка сведений, составляющих Ваши персональные данные: _________________________________
________________________________________________________________________________.
(указать сведения)
Цели обработки: ___________________________________________________________
________________________________________________________________________________.
Способы обработки: ________________________________________________________
________________________________________________________________________________.
Перечень лиц, которые имеют доступ к информации, содержащей Ваши персональные данные или могут получить такой доступ:
№
|
Должность
|
Ф.И.О.
|
Вид доступа
|
Примечания
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
По результатам обработки указанной информации нами планируется принятие следующих решений, которые будут доведены до Вашего сведения ______________
________________________________________________________________________________
________________________________________________________________________________.
Против принятого решения Вы имеете право заявить свои письменные возражения в ____________________ срок.
(00-дневный)
______________________ __________________________ _____________________
(должность) (подпись) (ФИО)
"___" _____________ 20___ г.
Приложение 7
к Правилам рассмотрения запросов
субъектов персональных данных или
их представителей в Департаменте
Уведомление об уничтожении
(примерная форма)
Уважаемый(ая) ____________________________________________ (Ф.И.О.), в связи с
___________________________________________________________________ сообщаем Вам,
что Ваши персональные данные _______________________________________ уничтожены.
(указать персональные данные)
______________________ __________________________ _____________________
(должность) (подпись) (ФИО)
"___" _____________ 20___ г.
7
Приложение 8
к Правилам рассмотрения запросов
субъектов персональных данных или
их представителей в Департаменте
Уведомление об устранении допущенных нарушений
(примерная форма)
Уважаемый(ая) ____________________________________________ (Ф.И.О.), в связи с
______________________________________ сообщаем Вам, что все допущенные нарушения
при обработке Ваших персональных данных устранены.
______________________ __________________________ _____________________
(должность) (подпись) (ФИО)
"___" _____________ 20___ г.
Приложение 9
к Правилам рассмотрения запросов
субъектов персональных данных или
их представителей в Департаменте
Начальнику Департамента социальной
защиты населения Томской области
______________________________
от ____________________________
(ф.и.о., фактический адрес проживания, тел.)
Заявление
(примерная форма)
Прошу заблокировать обрабатываемые Вами мои персональные данные: ________
________________________________________________________________________________
(указать блокируемые персональные данные)
на срок: ______________________________________________________________________ ;
(указать срок блокирования)
в связи с тем, что _______________________________________________________.
(указать причину блокирования персональных данных)
___________________ ________________________
(подпись) (ФИО)
"___"______________ 20___ г.
8
Приложение 10
к Правилам рассмотрения запросов
субъектов персональных данных или
их представителей в Департаменте
Начальнику Департамента социальной
защиты населения Томской области
_____________________________
от ___________________________
(ф.и.о., фактический адрес проживания, тел.)
Заявление
(примерная форма)
Прошу предоставить мне для ознакомления обрабатываемую Вами информацию, составляющую мои персональные данные, указать цели, способы и сроки ее обработки, предоставить сведения о лицах, которые имеют к ней доступ (которым может быть предоставлен такой доступ), сведения о том, какие юридические последствия для меня может повлечь ее обработка.
В случае отсутствия такой информации прошу Вас уведомить меня об этом.
___________________ ________________________
(подпись) (ФИО)
"___"______________ 20___ г.
Приложение 11
к Правилам рассмотрения запросов
субъектов персональных данных или
их представителей в Департаменте
Начальнику Департамента социальной
защиты населения Томской области
_________________________________
от _______________________________
(ф.и.о., фактический адрес проживания, тел.)
Заявление
(примерная форма)
Прошу уничтожить обрабатываемые Вами мои персональные данные: _____________ ___________________________________________________________________________
(указать уничтожаемые персональные данные)
в связи с тем, что _______________________________________________________.
(указать причину уничтожения персональных данных)
___________________ ________________________
(подпись) (ФИО)
"___"______________ 20___ г.
9
Приложение 12
к Правилам рассмотрения запросов
субъектов персональных данных или
их представителей в Департаменте
Начальнику Департамента социальной
защиты населения Томской области
_________________________________
от _______________________________
(ф.и.о., фактический адрес проживания, тел.)
Заявление
(примерная форма)
Прошу уточнить обрабатываемые Вами мои персональные данные в соответствии со сведениями: _______________________________________________________
________________________________________________________________________________
(указать уточненные персональные данные заявителя)
в связи с тем, что ________________________________________________________________.
(указать причину уточнения персональных данных)
___________________ ________________________
(подпись) (ФИО)
"___"______________ 20___ г.
Приложение 2
к распоряжению
Департамента социальной защиты
населения Томской области
от 14.06.2013 № 3-р-пд
ПРАВИЛА
осуществления внутреннего контроля соответствия обработки
персональных данных требованиям к защите персональных данных,
установленных Федеральным законом "О персональных данных",
принятыми в соответствии с ним нормативными правовыми актами
Департамента социальной защиты населения Томской области
(далее – Правила)
1. Общие положения
1.1. Настоящие Правила разработаны в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
1.2. Настоящие Правила определяют порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персо-нальных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами Департамента социальной защиты населения Томской области (далее – Департамент).
2. Тематика внутреннего контроля
2.1. Тематика проверок обработки персональных данных с использованием средств автоматизации:
2.1.1. соответствие полномочий пользователя матрице доступа;
2.1.2. соблюдение пользователями информационных систем персональных данных (далее - ИСПДн) Департамента парольной политики;
2.1.3. соблюдение пользователями ИСПДн Департамента антивирусной политики;
2.1.4. соблюдение пользователями ИСПДн Департамента правил работы со съемными носителями персональных данных;
2.1.5. соблюдение ответственными за криптографические средства защиты информации правил работы с ними;
2.1.6. соблюдение порядка доступа в помещения Департамента, где расположены элементы ИСПДн;
2.1.7. соблюдение порядка резервирования баз данных и хранения резервных копий;
2.1.8. соблюдение порядка работы со средствами защиты информации;
2.1.9. знание пользователей информационных систем персональных данных о своих действиях во внештатных ситуациях.
2.2. Тематика проверок обработки персональных данных без использования средств автоматизации:
2.2.1. хранение бумажных носителей с персональными данными;
2.2.2. доступ к бумажным носителям с персональными данными;
2.2.3. доступ в помещения, где обрабатываются и хранятся бумажные носители с персональными данными.
2
3. Порядок проведения внутренних проверок
3.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, указанным в пункте 1.2 настоящих Правил, в Департаменте организуется проведение периоди-ческих проверок условий обработки персональных данных в соответствии с Планом внутренних проверок условий обработки персональных данных Департамента (примерная форма указана в приложении 1 к настоящим Правилам), а также внеплановых проверок условий обработки персональных данных.
3.2. Проверки осуществляются комиссией, образуемой по представлению ответственным за организацию обработки персональных данных в Департаменте лицом (далее - комиссия).
3.3. Внеплановые проверки проводятся в случае поступления в Департамент сведений об имеющихся нарушениях при осуществлении обработки персональных данных в соответствии с поручением ответственного заместителя начальника Департамента.
3.4. Проверки осуществляются комиссией непосредственно на месте обработки персональных данных путем опроса сотрудников, путем осмотра рабочих мест сотрудников, участвующих в процессе обработки персональных данных, а в иных формах в соответствии с действующим законодательством и правовыми актами Департамента.
3.5. Для каждой проверки оформляется бланк Протокола проведения внутренней проверки условий обработки персональных данных в Департаменте (далее - Протокол). Примерная форма Протокола приведена в приложении 2 к настоящим Правилам.
3.6. При выявлении в ходе проверки нарушений председателем комиссии в бланке Протоколе делается запись о необходимых мероприятиях по устранению выявленных нарушений и сроках их устранения.
3.7. Протоколы хранятся в режимно-секретном подразделении Департамента и уничтожаются в установленном законом порядке.
3.8. О результатах проверки и мерах, необходимых для устранения нарушений, начальнику Департамента докладывает Ответственное лицо за организацию обработки персональных данных в Департаменте (председатель комиссии).
Приложение 1
к Правилам осуществления внутреннего контроля
соответствия обработки персональных данных требо-
ваниям к защите персональных данных, установлен-
ным Федеральным законом "О персональных данных",
принятыми в соответствии с ним нормативными
правовыми актами Департамента социальной защиты
населения Томской области
УТВЕРЖДАЮ
Начальник Департамента социальной
защиты населения Томской области
______________________________
"___" ______________ 20__ г.
План
внутренних проверок условий обработки персональных данных
Департамента социальной защиты населения Томской области
(примерная форма)
№
|
Тема проверки
|
Нормативный документ,
предъявляющий требования
|
Срок
проведения
|
Исполнитель
|
1
|
2
|
3
|
4
|
5
|
1
|
Соответствие полномочий
пользователя матрице доступа
|
Разрешительная система (матрица) доступа
|
|
|
2
|
Соблюдение пользователями
ИСПДн парольной политики
|
Положение по защите персональ-ных данных, обрабатываемых в ИСПДн.
Инструкция пользователю АС, содержащей ИСПДн.
Концепция информационной безопасности
|
|
|
3
|
Соблюдение пользователями
ИСПДн антивирусной политики
|
|
|
4
|
Соблюдение пользователями
ИСПДн правил работы со
съемными носителями
персональных данных
|
|
|
5
|
Соблюдение ответственными за
криптографические средства
защиты информации правил
работы с ними
|
Инструкция администратору
безопасности АС, содержащей ИСПДн
|
|
|
6
|
Соблюдение порядка доступа в
помещения, где расположены
элементы ИСПДн
|
Инструкция ответственному за эксплуатацию объекта информати-зации, содержащего ИСПДн.
Список помещений Департамента в которых обрабатываются ПД и доступ к ним
|
|
|
7
|
Соблюдение порядка
резервирования баз данных и
хранения резервных копий
|
Порядок резервирования и восста-новления работоспособности технических средств и ПО, баз данных и СЗИ
|
|
|
8
|
Соблюдение порядка работы со
средствами защиты информации
|
Инструкция администратору безо-пасности АС, содержащей ИСПДн
|
|
|
9
|
Знание пользователей ИСПДн о
своих действиях во
внештатных ситуациях
|
Инструкция пользователя ИСПДн
по обеспечению безопасности
обработки ПД при возникновении
внештатных ситуаций
|
|
|
10
|
Хранение бумажных носителей
с персональными данными
|
Положение о работе с персональ-ными данными работников
Департамента.
Список помещений Департамента, в которых обрабатываются персо-
|
|
|
11
|
Доступ к бумажным носителям
с персональными данными
|
4
1
|
2
|
3
|
4
|
5
|
12
|
Доступ в помещения, где
обрабатываются и хранятся
бумажные носители с
персональными данными
|
нальные данные, и доступ к ним
|
|
|
Должность ответственного __________________ И.О. Фамилия
либо
Председатель комиссии __________________ И.О. Фамилия
Приложение 2
к Правилам осуществления внутреннего контроля
соответствия обработки персональных данных требо-
ваниям к защите персональных данных, установлен-
ным Федеральным законом "О персональных данных",
принятыми в соответствии с ним нормативными
правовыми актами Департамента социальной защиты
населения Томской области
Протокол
проведения внутренней проверки условий обработки персональных данных
в Департаменте социальной защиты населения Томской области
Настоящий Протокол составлен в том, что ____.______. 20_____ ответственным за организацию обработки персональных данных/ комиссией по внутреннему контролю проведена проверка ______________________________________________.
(тема проверки)
Проверка осуществлялась в соответствии с требованиями
__________________________________________________________________________
__________________________________________________________________________.
В ходе проверки проверено:
__________________________________________________________________________
__________________________________________________________________________
__________________________________________________________________________.
Выявленные нарушения:
__________________________________________________________________________
__________________________________________________________________________
_________________________________________________________________________.
Необходимые меры по устранению нарушений:
__________________________________________________________________________
__________________________________________________________________________.
Срок устранения нарушений: _________________________.
Должность ответственного __________________ И.О. Фамилия
либо
Председатель комиссии __________________ И.О. Фамилия
Члены комиссии:
Должность __________________ И.О. Фамилия
Должность __________________ И.О. Фамилия
Должность __________________ И.О. Фамилия
Должность руководителя
проверяемого подразделения __________________ И.О. Фамилия
Приложение 3
к распоряжению
Департамента социальной защиты
населения Томской области
от 14.06.2013 № 3-р-пд
ПРАВИЛА
работы с обезличенными персональными данными
в Департаменте социальной защиты населения Томской области
(далее - Правила)
1. Общие положения
1.1. Настоящие Правила работы с обезличенными персональными данными в Департаменте социальной защиты населения Томской области (далее – Департамент) разработаны в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
1.2. Настоящие Правила определяют порядок работы с обезличенными персональными данными в Департаменте.
1.3. Термины "персональные данные", "обработка персональных данных", "обезличивание персональных данных" используются в настоящих Правилах в значениях, определенных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных".
2. Условия обезличивания
2.1. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных Департамента и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.2. Способы обезличивания при условии дальнейшей обработки персональных данных:
2.2.1. уменьшение перечня обрабатываемых сведений;
2.2.2. замена части сведений идентификаторами;
2.2.3. обобщение - понижение точности некоторых сведений;
2.2.4. понижение точности некоторых сведений (например, "Место жительства" может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);
2.2.5. деление сведений на части и обработка в разных информационных системах;
2.2.6. другие способы.
2.3. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
2.4. Перечень должностей государственной гражданской службы Департамента социальной защиты населения Томской области, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, приведен в приложении к настоящим Правилам.
2
2.5. Заместители начальника Департамента принимают решение о необхо-димости обезличивания персональных данных.
2.6. Руководители структурных подразделений Департамента, непосредственно осуществляющих обработку персональных данных, готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания.
2.7. Сотрудники структурных подразделений Департамента, обслуживающих базы данных с персональными данными, совместно с ответственным за организацию обработки персональных данных, осуществляют непосредственное обезличивание выбранным способом.
3. Порядок работы с обезличенными персональными данными
3.1. Обезличенные персональные данные не подлежат разглашению и наруше-нию конфиденциальности.
3.2. Обезличенные персональные данные могут обрабатываться с использо-ванием и без использования средств автоматизации.
3.3. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
3.3.1. парольной политики;
3.3.2. антивирусной политики;
3.3.3. правил работы со съемными носителями (если они используются);
3.3.4. правил резервного копирования;
3.3.5. правил доступа в помещения, где расположены элементы информаци-онных систем.
3.4. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
3.4.1. правил хранения бумажных носителей;
3.4.2. правил доступа к ним и в помещения, где они хранятся.
Приложение
к Правилам работы с обезличенными
персональными данными в Департаменте
социальной защиты населения Томской области
ПЕРЕЧЕНЬ
должностей государственной гражданской службы
Департамента социальной защиты населения Томской области,
ответственных за проведение мероприятий по обезличиванию
обрабатываемых персональных данных
1. Заместитель начальника Департамента.
2. Заместитель начальника Департамента - председатель комитета социального развития отрасли.
3. Заместитель начальника Департамента - председатель комитета финансов, экономики и государственного заказа.
4. Председатель комитета кадрово-правовой работы.
5. Председатель комитета государственных пособий и социальных выплат.
6. Председатель комитета социальных гарантий.
7. Председатель комитета социального обслуживания населения.
8. Начальник отдела контрольно-ревизионной работы.
Приложение 4
к распоряжению
Департамента социальной защиты
населения Томской области
от 14.06.2013 № 3-р-пд
ПЕРЕЧЕНЬ
информационных систем персональных данных, обрабатываемых
в Департаменте социальной защиты населения Томской области
Информационные системы персональных данных, обрабатываемых в Департаменте социальной защиты населения Томской области (далее – Департамент) определены по результатам отчета внутренней проверки от 14.12.2011г.
Согласно актам классификации обработка персональных данных осуществляется в ИСПДн:
1. АС «Единая система социальной защиты населения». Акт классификации № 1 от 15.12.2011г.
2. АС «Документооборот». Акт классификации № 2 от 15.12.2011г.
3. АС «1С: Предприятие 7.7 (Сетевая версия) Конфигурация Бухгалтерия для бюджетных учреждений». Акт классификации № 3 от 15.12.2011г.
4. АС «1С: Предприятие 7.7 (Сетевая версия) Конфигурация Зарплата + Кадры». Акт классификации № 4 от 15.12.2011.
5. АС «Налогоплательщик». Акт классификации № 5 от 15.12.2011г.
6. АС «Клиент приема /передачи данных» Сбербанк. Акт классификации № 6 от 15.12.2011г.
7. АС «Система электронного документооборота (СЭД) с Управлением Феде-рального казначейства по Томской области». Акт классификации № 7 от 15.12.2011г.
8. АС «Автоматизированный центр контроля». Акт классификации № 8 от 15.12.2011г.
9. «Автоматизированная информационная система государственного заказа (АИС ГЗ)». Акт классификации № 9 от 15.12.2011г.
10. «Информационно-аналитическая система централизованного сбора отчет-ности (Барс-Своды)». Акт классификации № 10 от 15.12.2011г.
11. «Общероссийский официальный сайт государственных закупок». Акт класси-фикации № 11 от 15.12.2011г.
12. «Система Контур-Экстерн». Акт классификации № 12 от 15.12.2011г.
13. АС «Единая система сбора, обработки, хранения и предоставления статистической информации (Web-Сбор)». Акт классификации № 13 от 15.12.2011г.
14. «Vipnet Castom». Акт классификации № 14 от 15.12.2011г.
Приложение 5
к распоряжению
Департамента социальной защиты
населения Томской области
от 14.06.2013 № 3-р-пд
ПЕРЕЧЕНЬ
должностей государственной гражданской службы
Департамента социальной защиты населения Томской области,
замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным
1. Список сотрудников, имеющих доступ к персональным данным
1.1. К персональным данным работников Департамента социальной защиты населения Томской области (далее – Департамент), обрабатываемых неавтоматизиро-ванным способом, для выполнения своих должностных обязанностей имеют доступ все сотрудники Комитета кадрово-правовой работы, Комитета финансов, экономики и государственного заказа, отдела контрольно-ревизионной работы и работник Департамента, выполняющий функции мобилизационного и режимно-секретного подразделений Департамента.
1.2. К персональным данным граждан, обратившихся в Департамент с жалобой или на личном приеме, обрабатываемых неавтоматизированным способом, для выполнения своих должностных обязанностей имеют доступ сотрудники всех структурных подразделений Департамента в соответствии с должностными обязанностями и данными в этой части поручениями вышестоящих должностных лиц.
1.3. Каждый сотрудник Департамента имеет доступ к своим персональным данным.
1.4. Ответственность за работу с бумажными носителями персональных данных работников Департамента несут сотрудники Комитета кадрово-правовой работы, Комитета финансов, экономики и государственного заказа и сотрудник Департамента, выполняющий функции мобилизационного и режимно-секретного подразделений Департамента; за работу с бумажными носителями персональных данных при обращении граждан - сотрудники всех структурных подразделений Департамента в соответствии с должностными обязанностями и выданными в этой части поручениями вышестоящих должностных лиц.
2. Пользователи информационных систем персональных данных
2.1. Перечень лиц, имеющих самостоятельный доступ к информационным ресурсам информационных систем персональных данных, уровень их полномочий и вид выполняемых функций представлен в разрешительной системе (матрице) доступа, утвержденной начальником Департамента.
Приложение 6
к распоряжению
Департамента социальной защиты
населения Томской области
от 14.06.2013 № 3-р-пд
ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ
ответственного за организацию обработки персональных данных
в Департаменте социальной защиты населения Томской области
1. В Департаменте социальной защиты населения Томской области (далее - Департамент) назначается лицо, ответственное за организацию обработки персональ-ных данных (далее - ПДн).
2. Деятельность ответственного лица за организацию обработки ПДн в Департаменте регламентируется федеральными законами и иными нормативными правовыми актами в области защиты ПДн, актами Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности, нормативными правовыми актами по эксплуатации средств защиты информации, а также правовыми актами Департамента.
3. Ответственное лицо обязано:
3.1. Знать и выполнять требования действующих нормативных правовых актов в области защиты ПДн, а также внутренних инструкций, распоряжений, регламен-тирующих порядок действий при обработке ПДн и их защите.
3.2. Организовывать работу руководителей структурных подразделений Депар-тамента по выполнению подчиненными работниками установленных требований к обработке ПДн и их защите.
3.3. Лично и через работника Департамента, уполномоченного решать задачи организационной работы со сведениями конфиденциального характера, оказывать содействие и координировать работу ОГБУ «Информационно-технический центр Томской области» по следующим вопросам:
- установка и настройка средств защиты, контрольные и тестовые испытания и проверки элементов информационных систем персональных данных (далее - ИСПДн), ведение их учета;
- приемка новых программных средств;
- обеспечение доступа к защищаемым ПДн пользователям ИСПДн согласно их правам, в соответствии с матрицей доступа;
- уточнение в установленном порядке обязанностей пользователей ИСПДн
|
