Положение об обработке персональных данных в Администрации города Обнинска
|
Скачать 0.78 Mb.
|
|
Инструкция по обработке персональных данных без использования средств автоматизации Особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации 1. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. 2. К обработке персональных данных могут иметь доступ сотрудники Администрации города, определённые распоряжением, при этом они должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций. 3. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее – персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержаться в информационной системе персональных данных либо были извлечены из нее. 4. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных. Согласие субъекта персональных данных не требуется в следующих случаях: 1) обработка персональных данных осуществляется на основании Федерального закона Российской Федерации, устанавливающего её цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора; 2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных; 3) обработка персональных данных осуществляется для статистических целей при условии обязательного обезличивания персональных данных; 4) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи; 5) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе кандидатов на выборные муниципальные должности; 6) в иных случаях определённых Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных». 5. Хранение персональных данных должно происходить в порядке, исключающем их утрату, неправомерное использование, распространение (в том числе передачу) без согласия субъекта персональных данных и несанкционированный доступ. 6. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных, в специальных разделах или на типовых формах документов. 7. Сотрудники, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть ознакомлены с настоящей инструкцией. 8. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель. 9. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия: - типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных; - типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации – при необходимости получения письменного согласия на обработку персональных данных; - типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных; - типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы. 10. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности: - при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных; - при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию. 11. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). 12. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации 14. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. 15. Сотрудник при работе с персональными данными обязан: - принимать необходимые меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий; - предоставлять информацию субъекту персональных данных при его обращении, касающейся обработки персональных данных, в том числе содержащей: а) подтверждение факта обработки персональных данных оператором, а также цель такой обработки; б) способы обработки персональных данных; в) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; г) перечень обрабатываемых персональных данных и источник их получения; д) сведения о том, какие юридические последствия может повлечь за собой обработка его персональных данных. - осуществить блокирование персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними оператора; - устранять допущенные нарушения в случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления; - сообщать непосредственному начальнику о попытках несанкционированного доступа к персональным данным. Приложение №9 к распоряжению Администрации города Обнинска от ___________ № ___________ План внутренних проверок режима защиты персональных данных в информационных системах персональных данных Администрации города Обнинска
Приложение № 10 к распоряжению Администрации города Обнинска от ______________ № ______________ Инструкция о порядке рассмотрения и составления заключений по фактам нарушений обработки персональных данных 1. Общие положения В соответствии с Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» настоящая инструкция регламентирует порядок расследования инцидентов информационной безопасности в Администрации города Обнинска (далее – Администрация). 2.Термины и определения Инцидент информационной безопасности – событие, в результате наступления которого Администрации нанесен ущерб, операционных и репутационных рисков (атака на информационные ресурсы организации, разглашение персональных данных и другой конфиденциальной информации (далее – ПДн), нарушение работоспособности информационных ресурсов Администрации, внесение несанкционированных изменений и т.д.), а также установленный факт нарушения порядка обработки ПДн в Администрации. 3. Порядок регистрации 3.1. Источником информации об инциденте информационной безопасности может служить следующее: - сообщения работников, клиентов, контрагентов организации направленные в организацию виде сообщений по электронной почте, служебных записок, писем, заявлений и т.д. - данные, полученные на основании анализа журналов регистрации информационных систем, систем защиты. 3.2. При получении сообщения об инциденте информационной безопасности по электронной почте или по телефонному звонку необходимо убедиться в достоверности полученной информации (например, путем совершения "обратного" звонка по указанным в сообщении телефонам, проверки данных указанных в подписи сообщения или названных при звонке). 3.3. Сотрудник, получивший информацию об инциденте, должен сообщить об этом ответственному сотруднику за организацию обработки персональных данных. 4. Порядок разбора 4.1. Для проведения служебного расследования создается комиссия в составе не менее трех человек. 4.2. Комиссия обязана установить имела ли место утечка сведений конфиденциального характера и обстоятельства ей сопутствующие, установить лица, виновные в нарушении предписанных мероприятий по защите информации, установить причины и условия, способствовавшие нарушению. 4.3. Комиссия собирает и анализирует все данные об обстоятельствах инцидента (электронные письма, журналы информационных систем, показания сотрудников и др.). 4.4. Результаты всех мероприятий, проводимых в процессе служебного расследования, документируются. 4.5. Служебное расследование должно проводиться в максимально короткие сроки (не более месяца со дня обнаружения факта утери/разглашения). В эти же сроки должно быть принято решение о привлечении виновных лиц к ответственности в установленном порядке. 4.6. По окончании разбора инцидента информационной безопасности комиссией оформляется отчет, в котором указываются основные сведения инцидента. 4.7. В конце отчета указывается причина возникновения инцидента и предложения по недопущению подобных инцидентов в будущем. 4.8. После окончания расследования комиссия передает докладную с предложением о наказании виновных лиц главе Администрации города Обнинска. 5. Контроль исполнения настоящего положения Контроль надлежащего исполнения требований настоящей инструкции осуществляется ответственным сотрудником за организацию обработки персональных данных. Приложение №11 к распоряжению Администрации города Обнинска от ____________ № _____________ Инструкция об организации охраны помещений, в которых ведется обработка персональных данных и другой конфиденциальной информации в Администрации города Обнинска |
Похожие:
 |
Положение по организации и проведению работ по обеспечению безопасности... Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных... |
 |
Руководство пользователя по обеспечению безопасности информационной... Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке... |
|
Овсянниковского сельского поселения распоряжени е Российской федерации от 01. 11. 2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных... |
|
Об организации и проведении работ по обеспечению безопасности персональных... Х обеспечения безопасности персональных данных при обработке в информационных системах Управления Министерства юстиции Российской... |
|
Мероприятия и документы по защите персональных данных Фз «О персональных данных» и Постановления Правительства Российской Федерации от 17. 11. 2007 №781 «Об утверждении Положения об обеспечении... |
|
Положение по организации и проведению работ по обеспечению безопасности... Структура организационной системы обеспечения безопасности персональных данных 27 |
|
Регламент обеспечения безопасности персональных данных при их обработке... Защита персональных данных от несанкционированного и непреднамеренного воздействия 12 |
|
Инструкция по использованию ресурсов сети Интернет в информационной... Об утверждении Инструкции по использованию ресурсов сети Интернет в информационной сети Администрации города Обнинска |
|
Инструкция администратора безопасности в Муниципальном учреждении... Ава и обязанности администратора безопасности по вопросам обеспечения информационной безопасности при обработке персональных данных... |
|
Положение об организации работы с персональными данными работников... Ности, не отнесенные к должностям муниципальной службы (далее работники), обеспечение защиты прав работников при обработке их персональных... |
|
Соглашение об обработке персональных данных В настоящем соглашении об обработке персональных данных (далее – Соглашение) нижеприведенные термины имеют следующие определения |
|
Приказ о назначении ответственного лица в области обработки и защиты... Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных... |
|
Администрация Егорлыкского района Ростовской области постановление Фз «О персональных данных», постановлением Правительства РФ от 01. 11. 2012 №119 «Об утверждении требований к защите персональных... |
|
Методические рекомендации исполнительным органам государственной... Приказ о назначении сотрудников, ответственных за обеспечение безопасности персональных данных при их обработке в информационных... |
|
Приказ фстэк россии от 18 февраля 2013 г. №21 «Об утверждении состава... Муниципальном казенном учреждении муниципального образования город-курорт Пятигорск «Многофункциональный центр предоставления государственных... |
|
Приказ Об обработке персональных данных в Аппарате Администрации Ненецкого автономного округа |