Положение об обработке персональных данных в Администрации города Обнинска
|
Скачать 0.78 Mb.
|
|
Правила рассмотрения запросов субъектов персональных данных или их представителей в Администрации города Обнинска 1. Общие положения Настоящий документ устанавливает правила рассмотрения запросов субъектов персональных данных или их представителей направленных на предотвращение нарушений законодательства Российской Федерации при обработке персональных данных, определяет сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований регламентирует порядок работы с документами и электронными и магнитными носителями, содержащими персональные данные в Администрации города Обнинска (далее – Администрация), в целях реализации: Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», Постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановления Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правыми актами, операторами, являющимися государственными или муниципальными органами», Приказа ФСТЭК России от 5 февраля 2010 г. № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных». 2. Порядок рассмотрения запросов субъектов персональных данных или их представителей 2.1. В целях обеспечения сохранности документов, содержащих персональные данные, все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться сотрудниками Администрации, осуществляющими данную работу в соответствии: - со своими служебными обязанностями, зафиксированными в их должностных инструкциях; - с Правилами обработки персональных данных в Администрации 2.2. Запросы, поступающие в Администрацию, обрабатываются в соответствии с Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» и с утвержденной инструкцией по ведению делопроизводства. При обработке документа, содержащего персональные данные, в книге учета входящих/исходящих расписываются все сотрудники Администрации, участвующие в работе с этим документом. 2.3. Ответ на запрос предоставляется только при наличии обоснованной причины в соответствии с законодательством Российской Федерации, документа, удостоверяющего личность (с наличием фото), а при необходимости доверенности. 2.4. Ответы на запросы граждан и организаций даются в объеме полученного запроса, за исключением данных, содержащихся в материалах запроса или опубликованных в общедоступных источниках. 2.5. Жалобы субъектов персональных данных (в том числе в электронном виде) на нарушение прав в области незаконного использования их персональных данных, регистрируются в журнале регистрации и учета обращений субъектов персональных данных (Приложение № 1). 2.6. Лицо, ответственное за организацию обработки персональных данных, несет ответственность за организацию приема и обработки обращений и запросов субъектов персональных данных или их представителей по нарушению прав в области незаконного использования их персональных данных и осуществляет контроль за приемом и обработкой таких обращений и запросов. Приложение № 1 к Правилам рассмотрения запросов субъектов персональных данных или их представителей в Администрацию города Обнинска Типовая форма журнала регистрации и учета обращений субъектов персональных данных в Администрацию города Обнинска Журнал начат __________________ Журнал завершен _______________ Ответственный _________________ (Ф.И.О.) На ______ листах
Приложение №7 к распоряжению Администрации города Обнинска № ____________ от ____________ Правила обработки персональных данных в Администрации города Обнинска 1. Общие положения Настоящие Правила регулируют правоотношения, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований, регламентируют порядок работы с документами и электронными и магнитными носителями, содержащими персональные данные в Администрации города Обнинска (далее – Администрация), с целью реализации: Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановления Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правыми актами, операторами, являющимися государственными или муниципальными органами», Приказа ФСТЭК России от 5 февраля 2010 г. № 58 «Положение о методах и способах защиты информации в информационных системах персональных данных» 2. Порядок обеспечения безопасности при обработке и хранении персональных данных, осуществляемых без использования средств автоматизации 2.1. В целях обеспечения сохранности документов, содержащих персональные данные, все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться сотрудниками Администрации, осуществляющими данные обязанности в соответствии с должностными инструкциями. 2.2. Документы с персональными данными, как и все остальные документы, поступающие в Администрацию, обрабатываются в соответствии с утвержденной инструкцией по делопроизводству. При обработке документа, содержащего персональные данные, в книге учета входящих/исходящих документов расписываются все сотрудники Администрации, участвующие в работе с этим документом. 2.3. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на специальных полях форм (бланков). 2.4. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель. 2.5. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники Администрации или лица, осуществляющие такую обработку по договору с Администрацией), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Администрацией без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Администрации (при их наличии). 2.6. Использование типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), возможно при соблюдении следующих условий: а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, наименование и адрес Администрации, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых в Администрации способов обработки персональных данных; б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, – при необходимости получения письменного согласия на обработку персональных данных; в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных; г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы. 2.7. Ведение журналов (реестров, книг), содержащих персональные данные, необходимых для однократного пропуска субъекта персональных данных на территорию, на которой находится Администрация, возможно при соблюдении следующих условий: а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена нормативным актом Администрации, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится Администрация, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных; б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается; в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится Администрация; г) наличия списка ответственных за правильность заполнения и сохранность журнала, утвержденного нормативным актом Администрации; д) наличия списка допущенных к обработке ПДн, утвержденного нормативным актом Администрации. 2.8. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности: а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных; б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию. 2.9. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). 2.10. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными. 2.11. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. 2.12. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ, для этого документы должны находиться в закрываемых на замок шкафах, сейфах, иных шкафах, имеющих запираемые блок-секции, должен перечень лиц назначены ответственные за хранение документов, ответственные за помещения в которых хранятся документы, документы должны выдаваться допущенным к ним сотрудникам под роспись в журналах. Журналы ведутся в соответствии с нормативными актами. 2.13. Не допускается без согласования с руководителем структурного подразделения формирование и хранение баз данных (картотек, файловых архивов и др.), содержащих персональные данные. 2.14. Передача персональных данных не допускается с использованием средств телекоммуникационных каналов связи (телефон, телефакс, электронная почта и т.п.) без письменного согласия субъекта персональных данных, за исключением случаев, установленных законодательством Российской Федерации. 2.15. Ответы на запросы граждан и организаций обрабатываются в соответствии с Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» и предоставляются только при наличии обоснованной причины в соответствии с законодательством Российской Федерации, в том объеме, который позволяет не разглашать в ответах конфиденциальные данные (не относящиеся к запросу), за исключением данных, содержащихся в материалах запроса или опубликованных в общедоступных источниках. 3. Порядок обеспечения безопасности при обработке и хранении персональных данных, осуществляемых с использованием средств автоматизации 3.1. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. 3.2. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. 3.3. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем. 3.4. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) в случае необходимости путем применения технических средств. 3.5. Организация режима обеспечения безопасности, где размещено специальное оборудование, а также охрана помещений, в которых ведется работа с персональными данными, должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц. 3.6. Безопасность персональных данных при их обработке в информационной системе обеспечивает Администрация или лицо, которому на основании договора Администрация поручает обработку персональных данных (далее - уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность и безопасность персональных данных при их обработке в информационной системе. 3.7. При обработке персональных данных в информационной системе должно быть обеспечено: а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; б) своевременное обнаружение фактов несанкционированного доступа к персональным данным; в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование; г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; д) постоянный контроль за обеспечением уровня защищенности персональных данных. 3.8. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз; б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем; в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации; г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией; д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними; е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных; ж) учет лиц, допущенных к работе с персональными данными в информационной системе; з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией; и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; к) описание системы защиты персональных данных; л) Администрация при необходимости может разработать дополнительные нормативные акты по защите персональных данных. 3.9. Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе Администрации или уполномоченным лицом может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных. 3.10. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного Администрацией или уполномоченным лицом. 3.11. Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам по возможности должны регистрироваться автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами (работниками) Администрации или уполномоченного лица. 3.12. При обнаружении нарушений порядка предоставления персональных данных Администрация или уполномоченное лицо незамедлительно приостанавливают предоставление персональных данных до выявления причин нарушений и устранения этих причин. 3.13. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. 3.14. Особенности обеспечения безопасности информации и конфиденциальности персональных данных, связанные с использованием конкретных автоматизированных информационных систем, определяются локальными нормативными актами Администрации, регламентирующими порядок использования указанных информационных систем, а также эксплуатационной и инструктивной документацией, касающейся технических средств обработки персональных данных в рамках конкретной автоматизированной информационной системы. 3.15. После изменения имеющихся файлов, а также для подготовки и передачи документа при необходимости файлы переносятся подготовившим их должностным лицом на маркированные носители, предназначенные для хранения персональных данных (с уничтожением их на автоматизированном средстве разработки документа в соответствии с действующим законодательством). Об уничтожении файлов необходимо делать отметки в журнале, утвержденного приказом министра. 3.16. При осуществлении обработки персональных данных с использованием средств автоматизации для каждой информационной системы персональных данных должен быть назначен администратор системы безопасности, прошедший обучение работе с установленными средствами защиты. Техническое обслуживание оборудования должно осуществляться соответствующим обслуживающим персоналом, состав которого утверждается приказом министра. О проведенных работах должны делаться отметки в журналах по работе со средствами защиты. 3.17. Работа со съемными носителями информации проводится в соответствии с инструкцией по работе и учету электронных, магнитных и оптических носителей информации, на которых обрабатываются персональные данные и другая конфиденциальная информация, в Администрации. 3.18. В целях обеспечения антивирусной защиты работа с персональными данными проводится в соответствии с инструкцией «По организации антивирусной защиты». Приложение № 8 к распоряжению Администрации города Обнинска от ____________ № ____________ |
Похожие:
 |
Положение по организации и проведению работ по обеспечению безопасности... Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных... |
 |
Руководство пользователя по обеспечению безопасности информационной... Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке... |
|
Овсянниковского сельского поселения распоряжени е Российской федерации от 01. 11. 2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных... |
|
Об организации и проведении работ по обеспечению безопасности персональных... Х обеспечения безопасности персональных данных при обработке в информационных системах Управления Министерства юстиции Российской... |
|
Мероприятия и документы по защите персональных данных Фз «О персональных данных» и Постановления Правительства Российской Федерации от 17. 11. 2007 №781 «Об утверждении Положения об обеспечении... |
|
Положение по организации и проведению работ по обеспечению безопасности... Структура организационной системы обеспечения безопасности персональных данных 27 |
|
Регламент обеспечения безопасности персональных данных при их обработке... Защита персональных данных от несанкционированного и непреднамеренного воздействия 12 |
|
Инструкция по использованию ресурсов сети Интернет в информационной... Об утверждении Инструкции по использованию ресурсов сети Интернет в информационной сети Администрации города Обнинска |
|
Инструкция администратора безопасности в Муниципальном учреждении... Ава и обязанности администратора безопасности по вопросам обеспечения информационной безопасности при обработке персональных данных... |
|
Положение об организации работы с персональными данными работников... Ности, не отнесенные к должностям муниципальной службы (далее работники), обеспечение защиты прав работников при обработке их персональных... |
|
Соглашение об обработке персональных данных В настоящем соглашении об обработке персональных данных (далее – Соглашение) нижеприведенные термины имеют следующие определения |
|
Приказ о назначении ответственного лица в области обработки и защиты... Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных... |
|
Администрация Егорлыкского района Ростовской области постановление Фз «О персональных данных», постановлением Правительства РФ от 01. 11. 2012 №119 «Об утверждении требований к защите персональных... |
|
Методические рекомендации исполнительным органам государственной... Приказ о назначении сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационных... |
|
Приказ фстэк россии от 18 февраля 2013 г. №21 «Об утверждении состава... Муниципальном казенном учреждении муниципального образования город-курорт Пятигорск «Многофункциональный центр предоставления государственных... |
|
Приказ Об обработке персональных данных в Аппарате Администрации Ненецкого автономного округа |