|
АДМИНИСТРАЦИЯ Тюменского муниципального района
|
РАСПОРЯЖЕНИЕ
11 декабря 2013 № 2529 ро
г.Тюмень
Об обработке и обеспечении
безопасности персональных данных
В соответствии с Федеральным Законом от 26.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»:
1.Утвердить:
1.1. Порядок обработки и обеспечения безопасности персональных данных в информационных системах персональных данных администрации Тюменского муниципального района согласно приложению 1;
1.2. Порядок доступа сотрудников администрации Тюменского муниципального района в помещения, в которых ведется обработка персональных согласно приложению 2;
1.3. Типовую инструкцию администратора безопасности администрации Тюменского муниципального района согласно приложению 3;
1.4. Регламент обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных администрации Тюменского муниципального района согласно приложению 4;
1.5. Форму обязательства о неразглашении персональных данных администрации Тюменского муниципального района согласно приложению 5.
2. Контроль за исполнением распоряжения возложить на руководителя аппарата Главы района.
Глава района В.Н. Гультяев
ЛИСТ СОГЛАСОВАНИЯ
Проект распоряжения «Об обработке и обеспечении безопасности персональных данных»
СОГЛАСОВАНО:
Наименование
должности
|
Для замечаний
|
Подпись,
дата
|
Расшифровка подписи
|
Руководителя аппарата Главы района
|
|
|
И.С. Ниценко
|
Начальник управления документационного и информационного обеспечения
|
|
|
И.А. Гавриловская
|
Начальник управления по вопросам правовой и кадровой работы
|
|
|
Е.И. Швейцер
|
Начальник отдела муниципальной службы управления по вопросам правовой и кадровой работы
|
|
|
М.В. Хахонина
|
Главный бухгалтер отдела бухгалтерского отчета и отчетности
|
|
|
В.Н. Теряева
|
Рассылка:
Оригинал – общий отдел;
1 экз.– Гультяеву Александру Владимировичу, заместителю начальника управления документационного и информационного обеспечения администрации Тюменского муниципального района.
1 экз.– Хахониной Марине Викторовне, начальнику отдела кадров и муниципальной службы управления по вопросам правовой и кадровой работы администрации Тюменского муниципального района;
1 экз.– Теряевой Валентине Николаевне, главному бухгалтеру отдела бухгалтерского отчета и отчетности администрации Тюменского муниципального района.
Гультяев Александр Владимирович
(3452) 30-37-10
Приложение 1
к распоряжению администрации
от 11 декабря 2013 года № 2529 ро
Порядок обработки и обеспечения безопасности персональных данных
в информационных системах персональных данных администрации Тюменского муниципального района
Общие положения
1.1. Обработка персональных данных (далее – ПДн) осуществляется администрацией Тюменского муниципального района с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»:
обработка ПДн осуществляется на законной основе;
обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
не допускается обработка ПДн, несовместимая с целями сбора ПДн;
не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
обработке подлежат только ПДн, которые отвечают целям их обработки;
содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки;
обрабатываемые ПДн не избыточны по отношению к заявленным целям их обработки;
при обработке ПДн обеспечивает точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн;
администрация Тюменского муниципального района принимает необходимые меры по удалению или уточнению неполных или неточных данных.
хранение ПДн в администрации Тюменского муниципального района осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, к примеру, Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации» или договором, стороной которого является субъект ПДн;
обрабатываемые ПДн уничтожаются или обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.
1.2. Обработка ПДн осуществляется администрацией Тюменского муниципального района только в случаях:
наличия согласия субъекта ПДн на обработку его ПДн, если иное не предусмотрено законодательством РФ;
наличия заключенного договора, по которому администрация Тюменского муниципального района обязуется осуществлять обработку ПДн субъектов по поручению оператора;
необходимости достижения целей, предусмотренных нормативными-правовыми актами Российской Федерации и трудовым законодательством, для осуществления и выполнения возложенных законодательством РФ на администрацию Тюменского муниципального района функций, полномочий и обязанностей;
необходимости осуществления прав и законных интересов администрации Тюменского муниципального района или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
когда ПДн открыты для неограниченного круга лиц, доступ к которым предоставлен субъектом ПДн либо по его просьбе;
обязательного раскрытия и подлежащих к опубликованию ПДн в соответствии с законодательством РФ;
организации пропускного режима на территории администрации Тюменского муниципального района.
1.3. В открытом и общедоступном реестре операторов ПДн, размещенном на официальном сайте Роскомнадзора как уполномоченного лица по защите прав и свобод субъектов ПДн, содержится следующая актуальная информация:
адрес администрации Тюменского муниципального района;
цели обработки ПДн;
категории ПДн;
категории субъектов, ПДн которых обрабатываются;
правовое основание обработки ПДн;
перечень действий с ПДн, общее описание используемых администрацией Тюменского муниципального района способов обработки ПДн;
фамилия, имя, отчество физического лица, ответственного в администрации Тюменского муниципального района за организацию обработки ПДн, и номера его контактных телефонов, почтовые адреса и адреса электронной почты;
описание мер, которые администрация Тюменского муниципального района обязуется осуществлять при обработке ПДн, по обеспечению безопасности ПДн при их обработке
дата начала обработки ПДн;
срок или условие прекращения обработки ПДн;
сведения о наличии трансграничной передачи ПДн в процессе их обработки.
Администрация Тюменского муниципального района не обрабатывает специальные и биометрические категории ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведения, характеризующие биологические и физические особенности человека.
Администрация Тюменского муниципального района не осуществляет трансграничную передачу ПДн субъектов ПДн.
Администрация Тюменского муниципального района не принимает решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, на основании исключительно автоматизированной обработки его ПДн.
Меры, направленные на обеспечение защиты ПДн
администрацией Тюменского муниципального района
2.1. Администрация Тюменского муниципального района осуществляет следующие организационно-технические меры для защиты ПДн:
назначение администрацией Тюменского муниципального района лица, ответственного за организацию обработки ПДн;
издание документов, определяющих политику администрации Тюменского муниципального района в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
применение правовых, организационных и технических мер по обеспечению безопасности ПДн в соответствии со статьей 19 Федерального закона № 152-ФЗ «О персональных данных», включая:
определение угроз безопасности ПДн при их обработке в информационных системах ПДн администрации Тюменского муниципального района;
применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн администрации Тюменского муниципального района, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;
применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационных систем ПДн администрации Тюменского муниципального района;
учет машинных носителей ПДн;
обнаружение фактов несанкционированного доступа к ПДн и принятие мер;
восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к ПДн, обрабатываемым в информационных системах ПДн администрации Тюменского муниципального района, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в информационных системах ПДн администрации Тюменского муниципального района;
контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн администрации Тюменского муниципального района;
осуществление внутреннего контроля соответствия обработки ПДн законодательству РФ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике администрации Тюменского муниципального района в отношении обработки ПДн, локальным актам администрации Тюменского муниципального района;
оценка вреда, который может быть причинен субъектам ПДн в случае нарушения законодательства РФ, соотношение указанного вреда и принимаемых администрацией Тюменского муниципального района мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством РФ;
ознакомление работников администрации Тюменского муниципального района, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику администрации Тюменского муниципального района в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников;
доступ к содержанию электронного журнала сообщений возможен исключительно для администратора безопасности, или структурного подразделения, ответственного за обеспечение безопасности ПДн в информационных системах администрации Тюменского муниципального района.
3. Право субъекта персональных данных на доступ к его персональным данным
3.1. Субъект ПДн имеет право на получение сведений, указанных в пункте 3.6 настоящего раздела, за исключением случаев, предусмотренных законодательством РФ. Субъект ПДн вправе требовать от ответственных представителей администрации Тюменского муниципального района уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3.2. Сведения, указанные в пункте 3.6 настоящего раздела, предоставляются ответственными представителями администрации Тюменского муниципального района субъекту ПДн в доступной форме.
3.3. Сведения, указанные в пункте 3.6 настоящего раздела, предоставляются субъекту ПДн или его представителю ответственными представителями администрации Тюменского муниципального района при получении запроса субъекта ПДн или его представителя в письменной форме.
3.4. В случае, если сведения, указанные в пункте 3.6 настоящего раздела, а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно к ответственным представителям администрации Тюменского муниципального района или направить в администрацию Тюменского муниципального района повторный запрос в письменной форме в целях получения сведений, указанных в пункте 3.6 настоящего раздела, и ознакомления с такими ПДн не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса.
3.5. Субъект ПДн вправе обратиться повторно к ответственному представителю администрации Тюменского муниципального района или направить повторный письменный запрос в администрацию Тюменского муниципального района в целях получения сведений, указанных в пункте 3.6 настоящего раздела, а также в целях ознакомления с обрабатываемыми ПДн до истечения срока, указанного в пункте 3.4 настоящего раздела, в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.
3.6. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
1) подтверждение факта обработки ПДн администрацией Тюменского муниципального района;
2) правовые основания и цели обработки ПДн;
3) цели и применяемые администрацией Тюменского муниципального района способы обработки ПДн;
4) наименование и место нахождения администрации Тюменского муниципального района, сведения о лицах (за исключением работников администрации Тюменского муниципального района), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с администрацией Тюменского муниципального района или на основании законодательства РФ;
5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки ПДн, в том числе сроки их хранения;
7) порядок осуществления субъектом ПДн прав, предусмотренных законодательством РФ;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению администрации Тюменского муниципального района, если обработка поручена или будет поручена такому лицу.
4. Правила работы с обезличенными персональными данными
администрации Тюменского муниципального района
4.1. Обезличивание ПДн может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых ПДн, снижения класса информационных систем ПДн администрацией Тюменского муниципального района и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.2. Способы обезличивания при условии дальнейшей обработки ПДн:
4.2.1. уменьшение перечня обрабатываемых сведений;
4.2.2. замена части сведений идентификаторами;
4.2.3. обобщение – понижение точности некоторых сведений;
4.2.4. понижение точности некоторых сведений (например, «Место жительства» может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город)
4.2.5. деление сведений на части и обработка в разных информационных системах;
4.2.6. другие способы.
4.3. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня ПДн.
4.4. Для обезличивания ПДн годятся любые способы явно не запрещенные законодательно.
4.5. Перечень должностей муниципальных служащих администрации Тюменского муниципального района, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн:
4.5.1. Глава района - принимает решение о необходимости обезличивания ПДн;
4.5.2. начальник отдела кадров и муниципальной службы управления по вопросам правовой и кадровой работы, главный бухгалтер отдела бухгалтерского отчета и отчетности - непосредственно осуществляют обработку ПДн, готовят предложения по обезличиванию ПДн, обоснование такой необходимости и способ обезличивания, если это необходимо;
4.5.3. сотрудники управления документационного и информационного обеспечения, обслуживающие базы данных с ПДн, совместно с ответственным за организацию обработки ПДн - осуществляют непосредственное обезличивание выбранным способом.
4.6. Обезличенные ПДн не подлежат разглашению и нарушению конфиденциальности.
4.7. Обезличенные ПДн могут обрабатываться с использованием и без использования средств автоматизации.
4.8. При обработке обезличенных ПДн с использованием средств автоматизации необходимо соблюдение:
4.8.1. парольной политики;
4.8.2. антивирусной политики;
4.8.3. правил работы со съемными носителями (если они используется);
4.8.4. правил резервного копирования;
4.8.5. правил доступа в помещения, где расположены элементы информационных систем;
4.9. При обработке обезличенных ПДн без использования средств автоматизации необходимо соблюдение:
4.9.1. правил хранения бумажных носителей;
4.9.2. иных предусмотренных законодательством РФ законов и правовых актов.
Приложение 2
к распоряжению администрации
от 11 декабря 2013 года № 2529 ро
|