Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
Распоряжение Администрации местного самоуправления г. Владикавказа от 2 апреля 2010 г. N 111 "О персональных данных в администрации г. Владикавказа"
В соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Федеральным законом от 02.03.2007 N25-ФЗ "О муниципальной службе в Российской Федерации", Трудовым кодексом Российской Федерации, Постановлением Правительства РФ от 17.11.2007 N 781 "Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" и в целях совершенствования системы защиты информации в администрации местного самоуправления г. Владикавказа (далее - администрации г. Владикавказа) и подведомственных ей учреждениях и предприятиях, а также в связи с необходимостью внесения изменений в ранее утвержденное распоряжение администрации г.Владикавказа от 29.05.2008 N380/ДСП:
ГАРАНТ:
См. Решение Собрания представителей г. Владикавказа от 30 июня 2009 г. N 5/35 "Об утверждении структуры Администрации местного самоуправления г. Владикавказа"
1. Утвердить прилагаемое Положение о защите персональных данных в администрации г. Владикавказа.
2. Утвердить прилагаемый Перечень сведений, отнесенных к персональным данным, обрабатываемых в администрации г. Владикавказа.
3. Утвердить прилагаемый План внутренних проверок режима защиты персональных данных.
4. Утвердить прилагаемый План мероприятий по обеспечению защиты персональных данных в информационных системах персональных данных.
5. Утвердить прилагаемый Перечень должностных лиц, имеющих доступ к персональным данным сотрудников администрации г. Владикавказа и граждан, обращающихся в администрацию г. Владикавказа.
6. Назначить ответственными за:
защиту персональных данных в администрации г. Владикавказа первого заместителя главы - руководителя аппарата АМС (Базаев Д.Г.);
разработку нормативной документации по защите персональных данных в администрации г. Владикавказа, осуществление координации деятельности сотрудников, ответственных за обработку персональных данных в администрации г. Владикавказа в области защиты персональных данных и обеспечение технической защиты информационных систем персональных данных в администрации г.Владикавказа начальника Отдела информатизации и защиты информации (Текиев А.В.);
обработку персональных данных сотрудников администрации г.Владикавказа начальника Отдела кадрового обеспечения (Кокоева А.А.), начальника Отдела учета и отчетности (Басиева И.Г.), начальника Мобилизационного отдела (Газаев О.А.);
обработку персональных данных граждан, обращающихся в администрацию г.Владикавказа, начальника Управления документационного обеспечения деятельности АМС и приема граждан (Вардашева М.Г.).
7. Руководителям структурных подразделений, обрабатывающих персональные данные сотрудников администрации г. Владикавказа и (или) граждан, обращающихся в администрацию г. Владикавказа, дополнить положения о структурных подразделениях, должностные инструкции начальника и сотрудников структурного подразделения пунктом, содержащим ответственность за обработку персональных данных.
8. Ответственному за обработку персональных данных сотрудников администрации г. Владикавказа - начальнику Отдела кадрового обеспечения (Кокоева А.А.):
собрать с сотрудников администрации г. Владикавказа расписки об ознакомлении сотрудника с Положением о защите персональных данных и Перечнем сведений, отнесенных к персональным данным, обрабатываемых в администрации г. Владикавказа, а также обязательства о неразглашении персональных данных субъектов персональных данных, в соответствии с формами, указанными в приложениях 1 и 2 к вышеуказанному положению;
при принятии на муниципальную службу в администрацию г. Владикавказа, осуществлять ознакомление вновь принятых сотрудников с Положением о защите персональных данных в администрации г. Владикавказа, Перечнем сведений, отнесенных к персональным данным, обрабатываемых в администрации г.Владикавказа под роспись, в соответствии с формами, указанными в приложениях 1 и 2 к вышеуказанному положению.
расписки об ознакомлении и обязательство о неразглашении приложить к личным делам сотрудников администрации г. Владикавказа;
в срок до 1 января 2011 года совместно с Отделом информатизации и защиты информации (Текиев А.В.) привести информационные системы персональных данных в администрации г. Владикавказа в соответствие с Федеральным законом от 27.07.2006 N152-ФЗ "О персональных данных".
9. Руководителям структурных подразделений администрации г. Владикавказа, являющихся отдельными юридическими лицами:
9.1 В срок до 01.06.2010 назначить ответственных за защиту персональных данных в подразделении и предоставить сведения об этом первому заместителю главы - руководителю аппарата АМС Базаеву Д.Г. в соответствии с формой, указанной в приложении N 1.
9.2 В срок до 01.06.2010 разработать и утвердить:
положение о защите персональных данных в подразделении;
перечень сведений, отнесенных к персональным данным, обрабатываемых в подразделении;
перечень должностных лиц, имеющих доступ к персональным данным сотрудников подразделения и граждан, обращающихся в подразделение.
9.3 Обязать ответственных за защиту персональных данных в подразделении до 1 января 2011 года привести информационные системы персональных данных, созданные до 1 января 2010 года в соответствие с Федеральным законом от 27.07.2006 N152-ФЗ "О персональных данных".
9.4 Обязать руководителей подведомственных им учреждений и предприятий (при наличии) обеспечить выполнение пунктов 9.1, 9.2 и 9.3 части 9 настоящего распоряжения.
10. С момента вступления в силу настоящего распоряжения, распоряжение администрации г. Владикавказа от 29.05.2008 N380/ДСП "О персональных данных в администрации г.Владикавказа" признать утратившим силу.
11. Контроль над исполнением настоящего распоряжения возложить на первого заместителя главы - руководителя аппарата АМС Базаева Д.Г.
|
Глава администрации |
С. Дзантиев |
Утверждено
распоряжением администрации
местного самоуправления г. Владикавказа
от 2 апреля 2010 г. N 111
Положение о защите персональных данных в администрации г. Владикавказа
1.Общие положения
1.1. Настоящее Положение разработано в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Федеральным законом от 02.03.2007 N25-ФЗ "О муниципальной службе в Российской Федерации", Федеральным законом Российской Федерации от 27.07.2006 N149-ФЗ "Об информации, информационных технологиях и о защите информации" и другими нормативными правовыми актами Российской Федерации.
ГАРАНТ:
См. постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"
См. Закон Республики Северная Осетия-Алания от 31 марта 2008 г. N 7-РЗ "О муниципальной службе в Республике Северная Осетия-Алания"
1.2. Настоящее Положение определяет порядок обработки персональных данных в администрации г. Владикавказа (далее - оператор) сотрудников администрации г. Владикавказа и граждан, обращающихся в администрацию г. Владикавказа (далее - субъекты), а также исследование и оценку информационных систем персональных данных (далее - ИСПДн) и средств защиты персональных данных (далее - СЗПДн), на которых будет происходить обработка персональных данных.
2. Основные понятия и состав персональных данных
2.1. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами РФ не распространяется требование соблюдения конфиденциальности;
оператор - лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.
2.2. К персональным данным относятся следующие сведения и документы:
все биографические сведения о субъекте персональных данных;
образование;
специальность;
занимаемая должность;
наличие судимостей;
место жительства (пребывания);
домашний телефон;
состав семьи;
место работы или учебы членов семьи и родственников;
характер взаимоотношений в семье;
размер заработной платы;
содержание трудового договора;
содержание налоговых деклараций;
личные дела, личные карточки и трудовые книжки;
копии отчетов, направляемые в органы статистики;
анкеты, заполняемые субъектом персональных данных;
копии документов об образовании;
результаты медицинского обследования.
3. Принципы обработки персональных данных
3.1. Обработка персональных данных должна осуществляться на основе принципов:
законности целей и способов обработки персональных данных и добросовестности;
соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
3.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки, если иное не предусмотрено федеральными законами.
3.3. Субъект персональных данных является собственником своих персональных данных и самостоятельно решает вопрос передачи оператору своих персональных данных.
3.4. Держателем персональных данных является оператор, которому субъект персональных данных добровольно передает во владение свои персональные данные. Оператор выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.
3.5. Право доступа к персональным данным субъекта персональных данных имеют лица, уполномоченные оператором (Перечень должностных лиц, имеющих доступ к персональным данным сотрудников администрации г. Владикавказа и граждан, обращающихся в администрацию г. Владикавказа).
3.6. Потребителями (пользователями) персональных данных являются юридические и физические лица, обращающиеся к собственнику или держателю персональных данных за получением необходимых сведений и пользующиеся ими без права передачи, разглашения.
3.7. Получение, хранение, комбинирование, передача или любое другое использование персональных данных субъекта персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия субъектам персональных данных в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности субъектов персональных данных, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
4. Обработка и хранение персональных данных
4.1. Условием обработки персональных данных субъекта персональных данных является его согласие (Приложение N 5). Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных пунктом 4.2 настоящего положения. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.
4.2. Согласие субъекта персональных данных на обработку его персональных данных не требуется в следующих случаях:
обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
обработка персональных данных осуществляется в целях исполнения трудового или иного договора или соглашения между субъектом персональных данных и оператором;
обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия при данных обстоятельствах невозможно;
осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами.
4.3. Письменное согласие субъекта персональных данных на обработку его персональных данных должно включать в себя:
фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
наименование и адрес оператора;
цель обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
срок, в течение которого действует согласие, а также порядок его отзыва.
Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта персональных данных на обработку его персональных данных, дополнительное согласие не требуется.
В случае смерти субъекта персональных данных согласие на обработку его персональных данных при необходимости дает в письменной форме один из его наследников, если такое согласие не было дано субъектом при его жизни.
4.4. Не допускается получение и обработка персональных данных субъекта персональных данных о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, а также о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных пунктом 4.5 настоящего положения.
4.5. Обработка указанных в пункте 4.4. настоящего положения персональных данных допускается в случаях, если:
субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
персональные данные являются общедоступными;
персональные данные относятся к состоянию здоровья субъекта персональных данных, и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных в данный момент невозможно;
обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
обработка персональных данных необходима в связи с осуществлением правосудия;
обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
4.6. Обработка персональных данных о судимости может осуществляться в соответствии с федеральными законами.
4.7. Обработка персональных данных, перечисленных в пункте 4.4. настоящего положения должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
4.8. Документы, содержащие персональные данные субъекта персональных данных составляют его личное дело. Личное дело хранится уполномоченным лицом на бумажных носителях, а помимо этого может храниться в виде электронных документов. Личное дело пополняется на протяжении всей трудовой деятельности субъекта персональных данных. Письменные доказательства получения оператором согласия субъекта персональных данных на обработку его персональных данных хранятся в личном деле субъекта персональных данных.
4.9. При обработке персональных данных субъектов персональных данных оператор вправе определять способы обработки, документирования, хранения и защиты персональных данных на базе современных информационных технологий.
4.10. Сотрудники, ответственные за обработку персональных данных в администрации г. Владикавказа, а также сотрудники владеющие персональными данными в силу выполнения своих должностных обязанностей, должны подписать обязательство о неразглашении персональных данных субъектов персональных данных (Приложение N 2).
4.11. Помещения, в которых хранятся персональные данные субъектов персональных данных, должны быть оборудованы надежными замками и сигнализацией на вскрытие помещений.
4.12. Помещения в рабочее время, при отсутствии сотрудников, работающих в них, должны быть закрыты.
4.13. Проведение уборки помещений должно проводиться в присутствии сотрудников, работающих в этих помещениях.
5. Организация разрешительной системы доступа пользователей к обрабатываемой в ИСПДн информации
5.1. Требования при регистрации пользователей ИСПДн
5.1.1. Оператор получает сведения о персональных данных субъекта персональных данных из следующих документов:
паспорт или иной документ, удостоверяющий личность;
страховое свидетельство государственного пенсионного страхования;
документы воинского учета;
документ об образовании, о квалификации или наличии специальных знаний;
анкета, заполняемая субъектом персональных данных при приеме на работу;
иные документы и сведения, предоставляемые субъектом персональных данных при приеме на работу и в процессе работы.
5.1.2. Все персональные данные субъекта персональных данных (сотрудника администрации г. Владикавказа) получаются у него самого. Отдел, ответственный за документационное обеспечение кадровой деятельности (Отдел кадрового обеспечения), принимает от субъекта персональных данных документы, проверяет их полноту и правильность указываемых сведений.
Если персональные данные субъекта персональных данных возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (Приложение N 3). Оператор должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение (Приложение N 4).
5.2. Порядок предоставления доступа к информационным ресурсам ИСПДн.
Внутренний доступ к персональным данным субъекта персональных данных имеют сотрудники структурных подразделений организации, которым эти данные необходимы для выполнения должностных обязанностей (Перечень должностных лиц, имеющих доступ к персональным данным сотрудников администрации г. Владикавказа и граждан, обращающихся в администрацию г. Владикавказа).
5.3. Наделение пользователей ИСПДн полномочиями доступа к информационным ресурсам.
Пользователь персональных данных имеет доступ к своим персональным данным. Такого рода полномочиями пользователя наделяет Оператор. Это делается для сохранения конфиденциальности персональных данных других пользователей. Для этого создается разрешительная система допуска, по которой каждый пользователь может просмотреть только свои персональные данные (Приложение N 11).
6. Конфиденциальность персональных данных
6.1. Оператором и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных пунктом 6.2 настоящего положения.
7. Общедоступные источники персональных данных
7.1. В целях информационного обеспечения деятельности могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги и др.). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных (Приложение N 6) могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.
7.2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по его требованию либо, по решению оператора, либо суда или иных уполномоченных государственных органов.
8. Права и обязанности сторон в области защиты персональных данных
8.1. Субъект персональных данных обязан:
передавать оператору или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен трудовым законодательством, включая сведения об образовании, специальных знаниях, стаже работы, отношении к воинской обязанности, гражданстве, месте жительства и др.;
своевременно сообщать оператору об изменении своих персональных данных.
8.2. Субъект персональных данных имеет право:
получать полную информацию о своих персональных данных;
иметь свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных действующим законодательством;
иметь доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по своему выбору;
получать сведения об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных;
требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
получать информацию, касающуюся обработки его персональных данных, в том числе содержащую: подтверждение факта обработки персональных данных оператором, а также цель такой обработки; способы обработки персональных данных, применяемые оператором; сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных, в том числе сроки их хранения; сведения о том, какие юридические последствия для него может повлечь за собой обработка его персональных данных;
при отказе оператора исключить или исправить персональные данные субъекта персональных данных он (субъект) имеет право заявить в письменной форме оператору о своем несогласии с соответствующим обоснованием такого несогласия.
Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при личном обращении, либо при получении запроса (Приложение N 7). Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
8.3. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
предоставление персональных данных нарушает конституционные права и свободы других лиц.
8.4. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных пунктом 8.5 настоящего положения.
8.5. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия субъекта персональных данных в письменной форме (Приложение N 5) или в случаях, предусмотренных федеральными законами.
8.6. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты своих прав и законных интересов (Приложение N 4). Оператор обязан рассмотреть возражение субъекта персональных данных в течение семи рабочих дней со дня его получения и уведомить его о результатах рассмотрения такого возражения.
8.7. Если обязанность предоставления персональных данных субъектом персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.
8.8. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию (Приложение N 8):
наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
цель обработки персональных данных и ее правовое основание;
предполагаемые пользователи персональных данных;
права субъекта персональных данных в области защиты персональных данных.
8.9. Оператор обязан безвозмездно предоставить субъекту персональных данных возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных сведений, подтверждающих, что персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных и третьих лиц, которым персональные данные этого субъекта персональных данных были переданы (Приложение N 9).
8.10. В случае выявления недостоверных персональных данных или неправомерных действий с ними, оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента получения такой информации на период проверки. В случае подтверждения факта недостоверности персональных данных оператор на основании соответствующих документов обязан уточнить персональные данные и снять их блокирование.
В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных (Приложение N 9).
8.11. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных (Приложение N 9).
8.12. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных, оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением сторон. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных (Приложение N 9).
9. Доступ к персональным данным и их передача
9.1. Внутренний доступ к персональным данным субъекта персональных данных имеют уполномоченные оператором лица, которым эти данные необходимы для выполнения должностных обязанностей (Перечень должностных лиц, имеющих доступ к персональным данным сотрудников администрации г. Владикавказа и граждан, обращающихся в администрацию г. Владикавказа).
Для хранения персональных данных используются специально оборудованные шкафы или сейфы, которые запираются на ключ.
9.2. После увольнения субъекта персональных данных документы, содержащие его персональные данные, хранятся в организации в течение сроков, установленных архивным законодательством.
9.3. Внешний доступ со стороны третьих лиц к персональным данным субъекта персональных данных осуществляется только с письменного согласия субъекта персональных данных, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта персональных данных или других лиц, и иных случаев, установленных законодательством.
К числу массовых потребителей персональных данных вне администрации г. Владикавказа можно отнести государственные и негосударственные функциональные структуры:
налоговые инспекции;
органы статистики;
военкоматы;
пенсионные фонды;
органы социального страхования;
организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компания, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), которые могут получить доступ к персональным данным сотрудника только в случае письменного согласия.
9.4. Оператор обязан сообщать персональные данные субъекта персональных данных по надлежаще оформленным запросам суда, прокуратуры, правоохранительных органов.
9.5. При передаче персональных данных субъекта персональных данных оператор должен соблюдать следующие требования:
9.5.1. Передача внешнему потребителю:
Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
При передаче персональных данных субъекта персональных данных потребителям в коммерческих целях за пределы организации, оператор не должен сообщать эти данные третьей стороне без письменного согласия субъекта персональных данных.
Ответы на правомерные письменные запросы других фирм, учреждений и организаций даются с разрешения оператора и только в письменной форме и в том объеме, который позволяет не разглашать излишний объем персональных сведений.
Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.
Сведения передаются в письменной форме и должны иметь гриф конфиденциальности.
9.5.2. Передача внутреннему потребителю
Оператор вправе разрешать доступ к персональным данным субъектов персональных данных только специально уполномоченным лицам.
Потребители персональных данных должны подписать обязательство о неразглашении персональных данных субъектов персональных данных (Приложение N 2).
9.6. Схема разделения полномочий и зон ответственности
9.6.1. "Внутренняя защита"
Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и специалистами организации. Для защиты персональных данных субъектов персональных данных оператор обязан соблюдать следующие правила:
ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;
избирательное и обоснованное распределение документов и информации между сотрудниками;
рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации;
знание сотрудниками требований нормативно-методических документов по защите персональных данных;
наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
определение и регламентация состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;
организация порядка уничтожения информации;
своевременное выявление нарушения требований разрешительной системы доступа сотрудниками подразделения;
воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты сведений при работе с конфиденциальными документами.
9.6.2. "Внешняя защита"
Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности компании, посетители, сотрудники других организационных структур.
Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в подразделениях.
Для защиты персональных данных сотрудников необходимо соблюдать ряд мер:
порядок приема, учета и контроля деятельности посетителей;
пропускной режим организации;
порядок охраны территории, зданий, помещений, транспортных средств;
требования к защите информации при интервьюировании и собеседованиях.
10. Безопасность персональных данных
10.1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
ГАРАНТ:
См. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных (утв. Федеральной службой по техническому и экспортному контролю 15 февраля 2008 г.)
См. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утв. Федеральной службой по техническому и экспортному контролю 15 февраля 2008 г.)
10.2. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
11. Ответственность за разглашение конфиденциальной информации,
связанной с персональными данными
Каждый сотрудник администрации г. Владикавказа, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
Нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных влечет дисциплинарную, административную, гражданско-правовую или уголовную ответственность граждан и юридических лиц.
12. Порядок классификации ИСПДн
Необходимо провести предварительную классификацию ИСПДн. ИСПДн делятся на:
1. Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
2. Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). К специальным информационным системам должны быть отнесены: информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных; информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
12.1. Порядок проведения классификации ИСПДн
1. Настоящий Порядок определяет проведение классификации информационных систем персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы).
2. Классификация информационных систем проводится муниципальными органами, юридическими и физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - оператор).
3. Классификация информационных систем проводится на этапе создания информационных систем или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем) с целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных.
4. Проведение классификации информационных систем включает в себя следующие этапы:
сбор и анализ исходных данных по информационной системе;
присвоение информационной системе соответствующего класса и его документальное оформление.
5. При проведении классификации информационной системы учитываются следующие исходные данные:
категория обрабатываемых в информационной системе персональных данных - Хпд;
объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) - Хнпд;
заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;
структура информационной системы;
наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;
режим обработки персональных данных;
режим разграничения прав доступа пользователей информационной системы;
местонахождение технических средств информационной системы.
6. Определяются следующие категории обрабатываемых в информационной системе персональных данных (Хпд):
категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 - обезличенные и (или) общедоступные персональные данные.
7. Хнпд может принимать следующие значения:
1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
8. По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.
Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
К специальным информационным системам должны быть отнесены:
информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
9. По структуре информационные системы подразделяются:
на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
на комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).
10. По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы подразделяются на системы, имеющие подключения, и системы, не имеющие подключений.
11. По режиму обработки персональных данных в информационной системе информационные системы подразделяются на однопользовательские и многопользовательские.
12. По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.
13. Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.
14. По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:
класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.
15. Класс типовой информационной системы определяется в соответствии с таблицей.
|
Хпд \ Хнпд |
3 |
2 |
1 |
|
категория 4 |
К4 |
К4 |
К4 |
|
категория 3 |
К3 |
К3 |
К2 |
|
категория 2 |
К3 |
К2 |
К1 |
|
категория 1 |
К1 |
К1 |
К1 |
16. В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.
17. Результаты классификации информационных систем оформляются соответствующим актом оператора (Приложение N 10).
18. Класс информационной системы может быть пересмотрен:
по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;
по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.
13. Порядок разработки, ввода в действие и эксплуатацию СЗПДн
13.1. Предпроектная стадия
Включает предпроектное обследование ИСПДн, разработку технического (частного технического) задания на ее создание.
13.2. Проведение предпроектного обследования ИСПДн
На предпроектной стадии по обследованию ИСПДн рекомендуются следующие мероприятия:
определение перечня ПДн, обрабатываемых в ИСПДн;
определение перечня ПДн, подлежащих защите от НСД;
определение условий расположения ИСПДн относительно границ контролируемой зоны (КЗ);
определение конфигурации и топологии ИСПДн в целом и ее отдельных компонентов, физических, функциональных и технологических связей как внутри этих систем, так и с другими системами различного уровня и назначения;
определение технических средств и систем, предполагаемых к использованию в разрабатываемой ИСПДн, условия их расположения, общесистемные и прикладные программные средства, имеющиеся и предлагаемые к разработке;
определение режимов обработки ПДн в ИСПДн в целом и в отдельных компонентах;
определение класса ИСПДн;
уточнение степени участия должностных лиц в обработке ПДн, характера их взаимодействия между собой;
определение (уточнение) угрозы безопасности ПДн применительно к конкретным условиям функционирования ИСПДн.
По результатам предпроектного обследования на основе документа с учетом установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности ПДн, включаемые в техническое (частное техническое) задание на разработку СЗПДн.
13.3. Разработка технического (частного технического) задания на создание СЗПДн
Техническое (частное техническое) задание на разработку СЗПДн должно содержать:
обоснование разработки СЗПДн;
исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном аспектах;
класс ИСПДн;
ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;
конкретизацию мероприятий и требований к СЗПДн;
перечень предполагаемых к использованию сертифицированных средств защиты информации;
обоснование проведения разработок собственных средств защиты информации при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.
13.4. Стадия проектирования и реализации СЗПДн
Включает разработку проектов и реализацию ИСПДн, включая разработку СЗПДн в составе ИСПДн.
На стадии проектирования и создания СЗПДн проводятся следующие мероприятия:
разработка задания и проекта проведения работ (в том числе строительных и строительно-монтажных) по созданию (реконструкции) ИСПДн в соответствии с требованиями технического (частного технического) задания на разработку СЗПДн;
выполнение работ в соответствии с проектной документацией;
обоснование и закупка совокупности используемых в ИСПДн серийно выпускаемых технических средств обработки, передачи и хранения информации;
разработка мероприятий по защите информации в соответствии с предъявляемыми требованиями;
обоснование и закупка совокупности используемых в ИСПДн сертифицированных технических, программных и программно-технических средств защиты информации и их установка;
проведение сертификации по требованиям безопасности информации технических, программных и программно-технических средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные средства защиты информации;
разработка и реализация разрешительной системы доступа пользователей к обрабатываемой на ИСПДн информации;
определение подразделений и назначение лиц, ответственных за эксплуатацию средств защиты информации, с их обучением по направлению обеспечения безопасности ПДн;
разработка эксплуатационной документации на ИСПДн и средства защиты информации, а также организационно-распорядительной документации по защите информации;
выполнение других мероприятий, характерных для конкретных ИСПДн и направлений обеспечения безопасности ПДн.
13.5. Стадия ввода в действие СЗПДн
Включает опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также оценку соответствия ИСПДн требованиям безопасности информации.
На стадии ввода в действие СЗПДн осуществляются:
выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;
опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСПДн;
приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации;
организация охраны и физической защиты помещений ИСПДн, исключающих несанкционированный доступ к техническим средствам ИСПДн, их хищение и нарушение работоспособности, хищение носителей информации;
оценка соответствия ИСПДн требованиям безопасности ПДн.
14. Порядок контроля за обеспечением уровня защищенности ПДн и
оценки соответствия ИСПДн
14.1. Порядок обследования защищенности ПДн
14.1.1. Порядок организации обследования защищенности ПДн:
выделение информационных ресурсов, содержащих в себе персональные данные, а также технические средства, позволяющие осуществлять обработку персональных данных, из всей совокупности обрабатываемой информации;
определение соответствия действующей системы обработки персональных данных требованиям ФЗ N152 "О защите персональных данных";
классификация информационных систем персональных данных.
14.1.2. Порядок оформления результатов обследования
Актуальную информацию о действующей ИСПДн, достаточную для начала работ по приведению ИСПДн в соответствие с требованиями регуляторов:
аналитический отчет о предпроектном обследовании и текущей защищенности персональных данных;
акт классификации информационной системы персональных данных (Приложение N 10).
14.2. Порядок оценки соответствия ИСПДн требованиям безопасности ПДн.
Порядок работ по подготовке информационных систем персональных данных (ИСПДн) к проведению оценки соответствия ИСПДн требованиям безопасности персональных данных (ПДн) и созданию системы защиты ПДн (СЗПДн):
14.2.1. Проведение обследования ИСПДн:
а) анализ информационных ресурсов:
определение перечня всех существующих ИСПДн;
определение состава и структуры каждой ИСПДн;
определение перечня и местонахождения ПДн, подлежащих защите;
категорирование персональных данных;
определение режима обработки ПДн в целом и отдельных компонентах.
б) анализ уязвимых звеньев и возможных угроз безопасности ПДн:
оценка возможности физического доступа к ИСПДн;
выявление возможных каналов утечки информации, в т.ч. технических;
анализ возможностей программно-математического воздействия на ИСПДн;
анализ возможностей электромагнитного воздействия на ИСПДн.
14.2.2. Обоснование требований по обеспечению безопасности ПДн, обрабатываемых в ИСПДн:
разработка модели угроз безопасности ПДн;
разработка модели нарушителя безопасности ПДн;
составление перечня и проведение оценки актуальных угроз безопасности ПДн;
определение класса ИСПДн.
14.2.3. Обоснование требований по обеспечению безопасности ПДн с использованием криптосредств:
разработка модели угроз безопасности ПДн с использованием криптосредств;
разработка модели нарушителя безопасности ПДн с использованием криптосредств;
определение требуемого уровня криптографической защиты ПДн;
определение требуемого уровня специальной защиты от утечки по каналам побочных излучений и наводок при защите ПДн с использованием криптосредств.
14.2.4. Проведение работ по организации обеспечения безопасности ПДн при их обработке в ИСПДн:
разработка и согласование с уполномоченными службами требований к системе защиты персональных данных (СЗПДн) и формулирование задач по защите ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн);
выбор способов, мер и средств защиты ПДн в соответствии с мероприятиями по защите;
разработка технического задания (ТЗ) на СЗПДн.
14.2.5. Разработка документов, регламентирующих вопросы организации обеспечения безопасности ПДн и эксплуатации СЗПДн в ИСПДн.
14.2.6. Развертывание и ввод в опытную эксплуатацию СЗПДн в ИСПДн.
14.2.7. Доработка СЗПДн по результатам опытной эксплуатации.
14.2.8. Проведение работ по оценке соответствия ИСПДн по требованиям безопасности ПДн (сертификация (аттестация) по требованиям безопасности информации для ИСПДн 1 и 2 классов, декларирование соответствия требованиям безопасности информации для ИСПДн 3 класса, оценка соответствия для ИСПДн 4 класса).
ГАРАНТ:
См. данную форму в редакторе Microsoft Word
Приложение N 1
Расписка об ознакомлении сотрудника с Положением о защите персональных
данных и Перечнем сведений, отнесенных к персональным данным,
обрабатываемых в администрации г. Владикавказа
Я,_______________________________________________________________________,
(должность, Ф.И.О.)
ознакомлен (а) с Положением о защите персональных данных и Перечнем сведений, отнесенных к персональным данным, обрабатываемых в администрации г. Владикавказа
______________________________________________________________
__________ _________________________________
(подпись, расшифровка подписи)
_____________________________________________
(дата)
ГАРАНТ:
См. данную форму в редакторе Microsoft Word
Приложение N 2
Обязательство о неразглашении персональных данных субъектов
персональных данных
Я, _____________________________________________________________________,
(должность, Ф.И.О.)
ознакомлен с Положением о защите персональных данных в администрации г.Владикавказа и обязуюсь не разглашать сведения, содержащие персональные данные субъектов персональных данных, ставшие мне известными в связи с исполнением мною моих должностных обязанностей. Об ответственности за разглашение указанных сведений предупрежден.
__________ ________________________________
(подпись, расшифровка подписи)
____________________________________________
(дата)
ГАРАНТ:
См. данную форму в редакторе Microsoft Word
Приложение N 3
Письменное согласие субъекта персональных данных на получение
его персональных данных у третьих лиц
Я, _______________________________________________________________________,
(Ф.И.О.)
согласен на получение оператором от
__________________________________________________________________________
(Ф.И.О. или наименование третьего лица)
следующей информации
__________________________________________________________________________
(виды запрашиваемой информации и (или) документов)
__________________________________________________________________________
__________________________________________________________________________
__________ _______________________________
(подпись, расшифровка подписи)
___________________________________________
(дата)
ГАРАНТ:
См. данную форму в редакторе Microsoft Word
Приложение N 4
Уведомление
Уважаемый(ая)___________________________________________________________!
(Ф.И.О.)
В связи с _____________________________________________________________
(указать причину)
у организации возникла необходимость получения следующей информации, составляющей Ваши персональные данные
________________________________________________________________________
(перечислить информацию)
________________________________________________________________________.
Просим Вас предоставить указанные сведения ___________________
(кому)
в течение трех рабочих дней с момента получения настоящего уведомления.
В случае невозможности предоставить указанные сведения просим в указанный срок дать письменное согласие на получение оператором необходимой информации из следующих источников _________________________________________________________________________ ,
(указать источники)
следующими способами: ___________________________________________________.
(автоматизированная обработка, иные способы)
По результатам обработки указанной информации оператором планируется принятие следующих решений, которые будут доведены до Вашего сведения _________________________________________________________________________ _
(указать решения и иные юридические последствия обработки информации)
_________________________________________________________________________.
Против принятого решения Вы имеете право заявить свои письменные возражения в ______________________________________ срок.
Информируем Вас о последствиях Вашего отказа дать письменное согласие на получение работодателем указанной информации _________________________________________________________________________ _
(перечислить последствия)
_________________________________________________________________________
Информируем Вас о Вашем праве в любое время отозвать свое письменное согласие на обработку персональных данных.
_______________________________
(должность, подпись)
_______________________________
(дата)
Настоящее уведомление на руки получил
_____________________________________
(подпись субъекта персональных данных)
_______________________________
(дата)
ГАРАНТ:
См. данную форму в редакторе Microsoft Word
Приложение 5
Согласие субъекта персональных данных на обработку его
персональных данных
Я, _____________________________________________________________________
(Ф.И.О.)
_________________________________________________________________________
(адрес субъекта персональных данных)
_________________________________________________________________________,
(номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе)
даю согласие на обработку следующих сведений, составляющих мои
персональные данные
_________________________________________________________________________,
(перечислить сведения)
необходимых в целях
__________________________________________________________________________
(указать цели обработки данных)
__________________________________________________________________________
(кем, наименование и адрес оператора)
Согласен на совершение оператором следующих действий: сбор,
систематизацию, накопление, хранение, уточнение, обновление, изменение,
(нужное подчеркнуть)
использование, распространение (в том числе передачу), обезличивание,
блокирование, уничтожение персональных данных следующими способами:
автоматизированная о бработка, обработка без использования средств
автоматизации.(нужное подчеркнуть)
Срок действия настоящего согласия ___________________________.
С правом отзыва настоящего согласия ознакомлен.
С юридическими последствиями автоматизированной обработки моих
персональных данных ознакомлен.
__________ ____________________
(подпись, расшифровка подписи)
_______________________________
(дата)
ГАРАНТ:
См. данную форму в редакторе Microsoft Word
Приложение N 6
Согласие субъекта персональных данных на включение информации о
его персональных данных в_______________________________________________________
(справочник, каталог и др. общедоступные источники)
Я, ________________________________________________________________________,
(Ф.И.О.)
согласен (на) на включение оператором в
______________________________________________________________
(справочник, каталог и др. общедоступные источники)
следующей информации, содержащей мои персональные данные:
________________________________________________________________________
(фамилия, имя, отчество, год и место рождения, адрес, абонентский номер,
__________________________________________________________________________
сведения о профессии или иные персональные данные)
__________ ____________________
(подпись, расшифровка подписи)
_______________________________
(дата)
ГАРАНТ:
См. данную форму в редакторе Microsoft Word
Приложение N 7
Запрос о доступе субъекта персональных данных к своим персональным данным
____________________________________________________________________ _____
(наименование и адрес оператора)
От __________________________________________________________________________
(Ф.И.О., номер основного документа, удостоверяющего личность субъекта
персональных данных или его законного представителя, сведения о дате
выдачи указанного документа и выдавшем его органе)
Прошу предоставить мне для ознакомления следующую информацию (документы),
составляющую мои персональные данные:
______________________________________________________________________
(перечислить)
_______________________________________________________________________
__________ ____________________
(подпись, расшифровка подписи)
_______________________________
(дата)
ГАРАНТ:
См. данную форму в редакторе Microsoft Word
Приложение N 8
Уведомление
Уважаемый(ая)______________________________________________
(Ф.И.О.)
на основании _______________________________________________________
администрация г.Владикавказа получила от
_____________________________________________________________________
(наименование организации, адрес)
_____________________________________________________________________
_____________________________________________________________________
следующую информацию, содержащую Ваши персональные данные:
______________________________________________________________,
(перечислить)
Указанная информация будет обработана и использована оператором в целях:
_________________________________________________________________________
Вы имеете право на полную информацию о своих персональных данных, содержащуюся у оператора, свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей Ваши персональные данные, за исключением случаев, предусмотренных действующим законодательством; требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав, получать иную информацию, касающуюся обработки Ваших персональных данных.
_______________________________
(должность, подпись)
_______________________________
(дата)
Настоящее уведомление на руки получил __________________________________
(подпись субъекта персональных данных)
_______________________________
(дата)
ГАРАНТ:
См. данную форму в редакторе Microsoft Word
Приложение N 9
Уведомление о прекращении обработки (изменении, устранении нарушений,
уничтожении) персональных данных
Уважаемый(ая)___________________________________________________________
(Ф.И.О.)
В связи с ______________________________________________________________
(недостоверностью, выявлением неправомерных действий с Вашими
персональными данными,
_______________________________________________________________________
достижением цели обработки, отзывом Вами согласия на обработку, другие
причины)
________________________________________________________________________
(перечислить)
сообщаем Вам, что обработка Ваших персональных данных прекращена и
указанная информация подлежит изменению (устранению нарушений,
уничтожению)
_______________________________
(должность, подпись)
_______________________________
(дата)
Настоящее уведомление на руки получил _________________________
(подпись субъекта персональных данных)
_______________________________
(дата)
ГАРАНТ:
См. данную форму в редакторе Microsoft Word
Приложение N 10
Акт классификации информационной системы персональных данных
Утверждаю
глава администрации
С.Ш. Дзантиев
"____" ___________ 20__ г.
Акт классификации
информационной системы персональных данных
________________________________________________________________
(наименование информационной системы)
Комиссия в составе:
|
|
Ф.И.О. |
Должность |
|
Председатель |
|
|
|
Члены комиссии |
|
|
|
|
|
|
|
|
|
рассмотрев исходные данные на информационную систему персональных данных:
__________________________________________________________________________
_______________________________________________________________________
(наименование информационной системы)
Исходные данные для классификации информационной системы персональных
данных:
|
Критерий классификации |
Значение |
|
Виды обрабатываемых персональных данных |
|
|
Категория обрабатываемых персональных данных |
|
|
Объем обрабатываемых персональных данных |
|
|
Характеристики безопасности |
|
|
Структура информационной системы |
|
|
Наличие подключения информационной системы к сетям связи общего пользования и сетям международного информационного обмена |
|
|
Режим обработки персональных данных |
|
|
Режим разграничения прав доступа пользователей к информационной системе |
|
|
Местонахождение технических средств информационной системы |
|
|
Дополнительная информация |
|
|
Тип информационной системы персональных данных |
|
В соответствии с порядком проведения классификации ИСПДн, утвержденным
приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008
N 55/86/20 "Об утверждении Порядка проведения классификации
информационных систем персональных данных", комиссия решила:
Установить информационной системе персональных данных
________________________________________________________________
(наименование информационной системы)
класс - "____________".
Председатель комиссии:
____________________/
Члены комиссии:
____________________/
____________________/
____________________/
____________________/
ГАРАНТ:
См. данную форму в редакторе Microsoft Word
Приложение N 11
Разрешительная система допуска
Утверждаю
глава администрации
С.Ш. Дзантиев
"____" ___________ 20__ г.
Разрешительная система допуска на объект вычислительной техники
"Автоматизированное рабочее место на базе автономной ПЭВМ
(инв. N_______) администрации г. Владикавказа"
Перечень лиц, имеющих самостоятельный доступ к штатным средствам ОВТ (субъектов доступа):
|
Ф.И.О. |
Уровень полномочий (Администратор/ Пользователь) |
Имя в системе |
Вид выполняемых функций |
|
|
|
|
|
|
|
|
|
|
Перечень защищаемых информационных ресурсов ОВТ (объектов доступа):
|
Место хранения защищаемого ресурса |
Категория защищаемого ресурса |
Содержание ресурса |
|
|
|
|
|
|
|
|
|
|
|
Матрица разграничения доступа к защищаемым ресурсам АС (месту хранения и используемым техническим средствам):
|
Тип ресурса(информа-ционный/ аппаратный) |
Название ресурса |
Имя пользователя и полномочия * |
|
|
Администратор |
Пользователи |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Примечание *
"+" - полные права на доступ;
"-" - отсутствуют права на доступ;
"Ч" - читать файлы (массивы информации);
"З" - записывать: добавлять (создавать) файлы (массивы информации), вносить изменения, удалять файлы (массивы информации), сохранять (записывать) на учтенные магнитные носители, распечатывать на принтере файлы (массивы информации);
"И" - выполнять (запускать программы, используемые для обработки секретной информации).
Ответственный за защиту информации
_____________________________________
(должность, подпись)
_______________________________
(дата)
Утвержден
распоряжением администрации
местного самоуправления г. Владикавказа
от 2 апреля 2010 г. N 111
План внутренних проверок режима защиты персональных данных
|
Мероприятие |
Периодичность |
Исполнитель |
|
Контроль над соблюдением режима обработки персональных данных |
еженедельно |
Ответственные за защиту персональных данных в структурных подразделениях |
|
Контроль над соблюдением режима защиты |
еженедельно |
Ответственные за защиту персональных данных в структурных подразделениях |
|
Контроль над выполнением антивирусной защиты |
еженедельно |
Отдел информатизации и защиты информации |
|
Контроль над соблюдением режима защиты при подключении к сетям общего пользования и (или) международного обмена |
еженедельно |
Ответственные за защиту персональных данных в структурных подразделениях |
|
Проведение внутренних проверок на предмет выявления изменений в режиме обработки и защиты персональных данных |
ежегодно |
Отдел информатизации и защиты информации |
|
Контроль за обновлениями программного обеспечения и единообразия применяемого программного обеспечения на всех элементах информационных систем персональных данных |
еженедельно |
Отдел информатизации и защиты информации |
|
Контроль над обеспечением резервного копирования |
ежемесячно |
Ответственные за защиту персональных данных в структурных подразделениях |
|
Организация анализа и пересмотра имеющихся угроз безопасности персональных данных, а также предсказание новых, еще неизвестных угроз |
ежегодно |
Отдел информатизации и защиты информации |
|
Поддержание в актуальном состояния нормативно - организационных документов |
ежемесячно |
Отдел кадрового обеспечения |
Утвержден
распоряжением администрации
местного самоуправления г. Владикавказа
от 2 апреля 2010 г. N 111
План мероприятий по обеспечению защиты персональных данных в
информационных системах персональных данных
План мероприятий по обеспечению защиты персональных данных содержит необходимый перечень мероприятий для обеспечения защиты персональных данных.
|
N |
Наименование мероприятия |
|
Организационные мероприятия | |
|
1. |
|
|
2. |
Определение перечня ИСПДн |
|
3. |
Определение обрабатываемых ПДн и объектов защиты |
|
4. |
Определение круга лиц, участвующих в обработке ПДн |
|
5. |
|
|
6. |
|
|
7. |
|
|
8. |
Введение режима защиты ПДн |
|
9. |
Назначение комиссии по классификации ИСПДн |
|
10. |
|
|
11. |
|
|
12. |
Установление контролируемой зоны вокруг ИСПДн |
|
13. |
Выбор помещений для установки аппаратных средств ИСПДн в помещениях, с целью исключения НСД, лиц не допущенных к обработке ПДн |
|
14. |
|
|
15. |
|
|
16. |
Организация информирования сотрудников о порядке обработки ПДн |
|
17. |
Разработка должностных инструкций о порядке обработки ПДн и обеспечении введенного режима защиты |
|
18. |
Разработка инструкций о порядке работы при подключении к сетям общего пользования и (или) международного обмена |
|
19. |
|
|
20. |
|
|
Физические мероприятия | |
|
21. |
Установка решеток на окнах первого этажа здания |
|
22. |
Установка системы пожаротушения в помещениях, где расположены элементы ИСПДн |
|
23. |
Установка систем кондиционирования в помещениях, где расположены аппаратные средства ИСПДн |
|
24. |
Установка систем бесперебойного питания на ключевые элементы ИСПДн |
|
Технические (аппаратные и программные) мероприятия | |
|
25. |
Внедрение антивирусной защиты |
|
26. |
Внедрение межсетевого экранирования |
|
27. |
Внедрение криптографической защиты |
|
Контрольные мероприятия | |
|
28. |
Контроль над соблюдением режима обработки ПДн |
|
29. |
Контроль над соблюдением режима защиты |
|
30. |
Контроль над выполнением антивирусной защиты |
|
31. |
Контроль над соблюдением режима защиты при подключении к сетям общего пользования и (или) международного обмена |
|
32. |
|
|
33. |
Контроль за обновлениями программного обеспечения и единообразия применяемого ПО на всех элементах ИСПДн |
|
34. |
Контроль за обеспечением резервного копирования |
|
35. |
Организация анализа и пересмотра имеющихся угроз безопасности ПДн, а также предсказание появления новых, еще неизвестных угроз |
|
36. |
Поддержание в актуальном состоянии нормативно-организационных документов |
Утвержден
распоряжением администрации
местного самоуправления г. Владикавказа
от 2 апреля 2010 г. N 111
Перечень сведений, отнесенных к персональным данным, обрабатываемых
в администрации г. Владикавказа
1. Анкетные данные.
2. Сведения об образовании.
3. Биографические данные.
4. Сведения о трудовом и общем стаже.
5. Сведения о составе семьи.
6. Паспортные данные.
7. Сведения о воинском учете.
8. Сведения о заработной плате.
9. Сведения о доходах.
10. Специальность, занимаемая должность.
11. Сведения о наличии судимостей.
12. Адрес места жительства.
13. Домашний телефон.
14. Состав декларируемых сведений о наличии материальных ценностей.
15. Сведения о содержании декларации, подаваемой в налоговую инспекцию.
16. Подлинники и копии приказов (распоряжений) по работникам.
17. Личные дела и трудовые книжки работников.
18. Сведения о делах, содержащие материалы по повышению квалификации и переподготовке работников, их аттестации, служебным расследованиям.
19. Телефонные справочники.
20. Отчеты, в которых содержатся персональные данные (фамилия, имя, отчество и другая информация, предназначенная для установления контактов.
21. Сведения об участниках конкурса, подавших заявки на участие в конкурсе.
22. Документы о прохождении конкурса на замещение вакантной должности муниципальной службы (если работник назначен на должность по результатам конкурса).
23. Копии решений о награждении государственными наградами, присвоении почетных воинских и специальных званий, присуждении государственных премий.
24. Копии документов о присвоении муниципальному служащему классного чина муниципальной службы Российской Федерации (квалификационного разряда).
25. Копии решений о поощрении работника, а также о наложении на него дисциплинарного взыскания до его снятия или отмены.
26. Документы, связанные с оформлением допуска к сведениям, составляющим государственную или иную охраняемую законом тайну, если исполнение обязанностей по замещаемой должности связано с использованием таких сведений.
27. Письменные объяснения работника.
28. Данные о штатной численности организации.
Утвержден
распоряжением администрации
местного самоуправления г. Владикавказа
от 2 апреля 2010 г. N 111
Перечень должностных лиц, имеющих доступ к персональным данным
сотрудников администрации г.Владикавказа и граждан, обращающихся
в администрацию г.Владикавказа
|
N п/п |
Наименование должности |
|
Доступ к персональным данным сотрудников администрации г. Владикавказа | |
|
1. |
Глава администрации г.Владикавказа |
|
2. |
Заместители главы администрации г. Владикавказа (к персональным данным сотрудников курируемых подразделений) |
|
3. |
Заместители руководителя аппарата администрации г. Владикавказа (к персональным данным сотрудников курируемых подразделений) |
|
4. |
Сотрудники Отдела кадрового обеспечения администрации г. Владикавказа |
|
5. |
Сотрудники Отдела учета и отчетности администрации г. Владикавказа |
|
6. |
Сотрудник Мобилизационного отдела администрации г. Владикавказа |
|
7. |
Сотрудники Отдела информатизации и защиты информации администрации г.Владикавказа |
|
Доступ к персональным данным граждан, обращающихся в администрацию г. Владикавказа | |
|
1. |
Глава администрации г. Владикавказа |
|
2. |
Заместители главы администрации г. Владикавказа |
|
3. |
Заместители руководителя аппарата администрации г. Владикавказа |
|
4. |
Помощники главы |
|
5. |
Руководители структурных подразделений администрации г. Владикавказа |
|
6. |
Сотрудники структурных подразделений администрации г. Владикавказа |
Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Утвержденное положение о защите персональных данных в администрации г. Владикавказа определяет порядок обработки персональных данных сотрудников администрации г. Владикавказа и граждан, обращающихся в администрацию.
Персональными данными признаются любые сведения о физическом лице, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, составляющая перечень сведений, отнесенных к персональным данным. Право доступа к персональным данным субъекта имеют лица, указанные в утвержденном перечне должностных лиц.
Определены условия обработки персональных данных, в частности установлен запрет на обработку данных без согласия субъекта персональных данных. Предусмотрены случаи, когда такое согласие не требуется. Отдельно регулируются отношения по обработке специальных категорий персональных данных (сведения о расовой, национальной принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья, интимной жизни). Обработка указанных категорий сведений не допускается без предварительного согласия субъекта персональных данных, за исключением случаев, когда персональные данные являются общедоступными, обработка данных необходима для обеспечения жизни и здоровья лица; или при наличии иных обстоятельств.
Документы, содержащие персональные данные составляют личное дело субъекта персональных данных. Личное дело пополняется на протяжении всей трудовой деятельности субъекта персональных данных.
Важнейшей гарантией прав субъекта персональных данных является обязанность лиц, получивших доступ к персональным данным, обеспечивать их конфиденциальность (кроме случаев их обезличивания и общедоступных персональных данных). При обработке персональных данных используются шифровальные средства, для защиты данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Каждый сотрудник администрации г. Владикавказа, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
Распоряжение Администрации местного самоуправления г. Владикавказа от 2 апреля 2010 г. N 111 "О персональных данных в администрации г. Владикавказа"
Текст распоряжения официально опубликован не был