Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение 4
к постановлению Администрации г. Сургута
от 5 июня 2015 г. N 3833
Правила
работы с носителями персональных данных
1. Общие положения
1.1. Правила работы с машинными носителями персональных данных (далее - правила) определяют обязанности, права и ответственность пользователей, осуществляющих учет, хранение и обращение со съемными носителями персональных данных, а также их уничтожение.
1.2. В настоящих правилах используются следующие термины и определения:
- оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
- хранилище носителей персональных данных - сейф или запираемый шкаф (ящик);
- носитель персональных данных - отчуждаемый машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, на основе которых можно установить его личность.
1.3. Настоящие правила являются обязательными для всех пользователей, ведущих обработку персональных данных в информационных системах персональных данных.
2. Учет носителей персональных данных
2.1. Все находящиеся на хранении и в обращении у оператора носители персональных данных подлежат учету. Каждый носитель персональных данных, с записанными на нем персональными данными должен иметь этикетку, на которой указывается его уникальный регистрационный номер.
2.2. Учет и выдача носителей персональных данных производится с отметкой в журнале учета машинных носителей информации, осуществляется уполномоченной организацией по обеспечению безопасности персональных данных при их обработке в муниципальных ИСПДн (далее - уполномоченная организация).
2.3. Пользователи, участвующие в обработке персональных данных, в случае необходимости получают учтенный носитель персональных данных от уполномоченной организации для выполнения работ на конкретный срок. При получении делаются соответствующие записи в журнале учета носителей персональных данных.
2.4. По окончании работ пользователь сдает носитель персональных данных для хранения уполномоченной организации, о чем делается соответствующая запись в журнале учета.
3. Хранение носителей персональных данных
3.1. По окончании рабочего дня все носители персональных данных, содержащие персональные данные, помещаются в хранилище носителей персональных данных. Исключение составляют носители, персональные данные с которых или на которых формируются или обрабатываются в данный момент на рабочем месте.
3.2. Хранилище носителей персональных данных запирается на ключ и опечатывается, при этом доступ посторонних лиц к ключу и печати должен быть исключен.
3.3. Перед вскрытием хранилища носителей персональных данных необходимо проверить целостность печати на хранилище.
3.4. В случае обнаружения повреждений оттиска печати на хранилище, утраты печати или ключа от хранилища необходимо незамедлительно сообщить ответственному за организацию обработки персональных данных.
3.5. За сохранность конкретного носителя персональных данных отвечает пользователь, получивший этот носитель в пользование под расписку в журнале учета.
3.6. Не допускается:
- хранение носителей персональных данных вместе с носителями открытой информации, на рабочих столах либо оставление их без присмотра или передача на хранение другим лицам;
- вынос носителей персональных данных из служебных помещений для работы с ними на дому, в гостиницах и так далее.
3.7. Командируемым работникам под их личную ответственность с письменного разрешения руководителя оператора разрешается иметь при себе в пути следования носители персональных данных.
4. Передача носителей персональных данных
4.1. Передача носителей персональных данных от одного пользователя другому производится с обязательной отметкой в журнале учета.
4.2. При отправке или передаче носителей персональных данных адресатам на носители записываются только предназначенные адресатам данные.
4.3. Вынос носителей персональных данных для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя оператора.
4.4. Передача носителей персональных данных в другие организации производится курьерской службой, а также заказными почтовыми отправлениями. При пересылке носителей персональных данных почтовыми отправлениями они должны быть помещены в дополнительный конверт.
4.5. Персональные данные запрещается передавать по каналам факсимильной связи, с использованием глобальных сетей без использования мер защиты.
5. Утрата носителей персональных данных
5.1. О фактах утраты носителей персональных данных либо разглашения содержащихся на них сведений немедленно ставится в известность ответственный за организацию обработки персональных данных.
5.2. На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы учета носителей персональных данных.
5.3. По факту утраты носителей персональных данных проводится служебное расследование и составляется акт, который представляется ответственному за организацию обработки персональных данных, для принятия решения.
6. Уничтожение носителей персональных данных
6.1. Съемные носители персональных данных, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению.
6.2. Уничтожение носителей персональных данных производится соответствующей комиссией, осуществляющей уничтожение носителей персональных данных и иной конфиденциальной информации, находящейся на программно-технических средствах ИСПДн.
6.3. Состав комиссии утверждается приказом руководителя оператора.
6.4. В состав комиссии должен входить сотрудник уполномоченной организации.
6.5. По окончании сроков хранения носители персональных данных, подлежащие уничтожению, физически уничтожаются с целью невозможности восстановления и дальнейшего использования. Это достигается путем деформирования, нарушения единой целостности носителя персональных данных или его сжигания. Подлежащие уничтожению файлы с персональными данными, расположенные на жестком диске, удаляются путем многократной перезаписи файлов случайными символами.
6.6. Перед утилизацией оборудования все его компоненты, включая носители информации, например, жесткие диски, необходимо проверять, чтобы гарантировать, что персональные данные и лицензированное программное обеспечение были удалены.
6.7. Поврежденные носители могут потребовать оценки рисков, для того чтобы определить, следует ли их уничтожить или ремонтировать.
6.8. В случае допустимости повторного использования носителя формата FDD, CD-RW, DVD-RW, flash-носителей применяется программное удаление ("затирание") содержимого диска путем его форматирования с последующей записью новой информации на данный носитель.
6.9. По результатам уничтожения носителей персональных данных комиссией составляется и подписывается соответствующий акт об уничтожении носителей.
6.10. В течение трех дней после составления акты об уничтожении направляются комиссией на утверждение руководителю оператора.
6.11. Факт уничтожения носителей персональных данных фиксируется в журнале учета с указанием даты и номера акта уничтожения. Данный журнал является документом конфиденциального характера.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.