Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Распоряжение Уполномоченного по правам человека в Иркутской области от 22 октября 2021 г. N 22 "Об утверждении политики Уполномоченного по правам человека в Иркутской области в отношении обработки персональных данных"
- Приложение N 1. Правила обработки персональных данных Уполномоченным по правам человека в Иркутской области
- Глава 4. Обеспечение безопасности персональных данных при их обработке в государственном органе
Глава 4. Обеспечение безопасности персональных данных при их обработке в государственном органе
Глава 4. Обеспечение безопасности персональных данных при их обработке в государственном органе
21. Обеспечение безопасности персональных данных при их обработке в государственном органе достигается, в частности:
1) допуском к обработке персональных данных только уполномоченных должностных лиц;
2) ограничением доступа в помещения, в которых осуществляется обработка персональных данных (далее - помещения) лиц, не являющихся уполномоченными должностными лицами;
3) обнаружением фактов нарушений законодательства, допущенных при обработке персональных данных в государственном органе, и устранением обнаруженных нарушений;
4) обнаружением фактов несанкционированного доступа к персональным данным в государственном органе и принятием мер;
5) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
22. Обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных в аппарате помимо мер, предусмотренных пунктом 21 настоящих Правил, достигается в частности:
1) определением угроз безопасности персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных в государственном органе;
5) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных в государственном органе, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных в государственном органе;
6) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных в государственном органе.
23. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных в информационных системах персональных данных в государственном органе проводится государственным органом самостоятельно. Указанная оценка проводится не реже одного раза в три года.
Решение о проведении оценки эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных в государственном органе принимает руководитель аппарата.
24. Доступ в помещения разрешается уполномоченным должностным лицам.
Иные лица могут находиться в помещении только в присутствии уполномоченных должностных лиц.
25. Рабочие места уполномоченных должностных лиц в помещениях должны располагаться таким образом, чтобы исключалась возможность просмотра информации, содержащейся в документах на бумажных носителях и (или) отображаемой на экране монитора, лицом, не допущенным к обработке соответствующих персональных данных.
26. В отсутствие уполномоченного должностного лица на его рабочем месте не должны находиться документы, содержащие персональные данные, а также на его рабочем месте работа с информационной системой персональных данных в государственном органе должна быть завершена и (или) блокирована работа операционной системы.
27. Помещения в нерабочее время, а также в рабочее время при отсутствии в них уполномоченных должностных лиц должны быть закрыты на ключ.
28. Допущенные при обработке персональных данных в государственном органе нарушения законодательства в виде неправомерной обработки персональных данных и (или) обработки неточных персональных данных могут быть выявлены:
1) при обращении субъекта персональных данных (его представителя);
2) по запросу субъекта персональных данных (его представителя);
3) по запросу уполномоченного органа по защите прав субъектов персональных данных;
4) по результатам осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям.
29. В случаях выявления неправомерной обработки персональных данных и (или) обработки неточных персональных данных уполномоченными должностными лицами руководитель аппарата принимает меры, предусмотренные пунктами 30 - 42 настоящих Правил.
В случаях выявления неправомерной обработки персональных данных и (или) обработки неточных персональных данных лицом, которому обработка персональных данных поручена государственным органом, руководитель аппарата обеспечивает выполнение указанным лицом действий, предусмотренных статьей 21 Федерального закона "О персональных данных".
30. В случаях выявления неправомерной обработки персональных данных и (или) обработки неточных персональных данных уполномоченными должностными лицами руководитель аппарата принимает решение о проведении проверки фактов указанных нарушений законодательства, решение о блокировании неправомерно обрабатываемых персональных данных, а также, если это не нарушает права и законные интересы субъектов персональных данных и третьих лиц, - решение о блокировании неточных персональных данных.
Указанное решение (указанные решения) принимается (принимаются) руководителем аппарата не позднее рабочего дня, следующего за днем выявления неправомерной обработки персональных данных и (или) обработки неточных персональных данных в государственном органе.
31. При принятии решения о проведении проверки, предусмотренной пунктом 30 настоящих Правил, руководитель аппарата определяет уполномоченное должностное лицо, которое будет проводить проверку, а также срок проведения проверки, который не может превышать:
1) для проверки фактов неправомерной обработки персональных данных - один рабочий день после дня принятия решения о проведении проверки;
2) для проверки фактов обработки неточных персональных данных - четыре рабочих дня после дня принятия решения о проведении проверки.
32. Решения, предусмотренные пунктом 30 настоящих Правил, доводятся до сведения соответствующих уполномоченных должностных лиц не позднее рабочего дня, следующего за днем выявления неправомерной обработки персональных данных и (или) обработки неточных персональных данных.
33. Уполномоченные должностные лица, осуществляющие обработку персональных данных, в отношении которых принято решение о блокировании, обязаны блокировать эти персональные данные не позднее рабочего дня, следующего за днем выявления неправомерной обработки персональных данных и (или) обработки неточных персональных данных. Блокирование персональных данных осуществляется на период проведения соответствующей проверки.
34. Если при проведении проверки фактов обработки неточных персональных данных уполномоченным должностным лицом будет установлено, что сведений, представленных субъектом персональных данных (его представителем) и (или) уполномоченным органом по защите прав субъектов персональных данных, недостаточно для проверки указанных фактов, уполномоченное должностное лицо делает запрос (запросы) с целью получения информации, подтверждающей или опровергающей факт обработки неточных персональных данных. В этом случае течение срока проверки факта обработки неточных персональных данных приостанавливается со дня направления соответствующего запроса (соответствующих запросов) до рабочего дня, следующего за днем получения ответа на него (последнего ответа на них).
35. По результатам проведения проверки, предусмотренной пунктом 30 настоящих Правил, уполномоченное должностное лицо составляет акт проверки, содержащий один из следующих выводов:
1) о подтверждении факта неправомерной обработки персональных данных;
2) о неподтверждении факта неправомерной обработки персональных данных;
3) о подтверждении факта обработки неточных персональных данных;
4) о неподтверждении факта обработки неточных персональных данных.
36. В акте проверки, предусмотренном подпунктом 1 пункта 35 настоящих Правил, должны содержаться предложения по обеспечению правомерности обработки соответствующих персональных данных либо сведения об отсутствии возможности обеспечить правомерность обработки соответствующих персональных данных.
В акте проверки, предусмотренном подпунктом 3 пункта 35 настоящих Правил, должны содержаться предложения по уточнению соответствующих персональных данных.
37. В случаях установления при проведении проверки, предусмотренной пунктом 30 настоящих Правил, фактов неисполнения или ненадлежащего исполнения уполномоченным должностным лицом по его вине возложенных на него обязанностей, в результате которых персональные данные обрабатывались государственным органом неправомерно и (или) государственным органом обрабатывались неточные персональные данные, акт проверки, предусмотренный подпунктами 1, 3 пункта 35 настоящих Правил, должен содержать предложения по применению мер ответственности к такому уполномоченному должностному лицу.
38. Акт проверки, предусмотренный пунктом 35 настоящих Правил, должен соответствовать требованиям, предусмотренным для актов внеплановых проверок Правилами осуществления внутреннего контроля обработки персональных данных в государственном органе, утвержденными распоряжением Уполномоченного по правам человека в Иркутской области.
39. Уполномоченное должностное лицо представляет руководителю аппарата акт проверки, предусмотренный пунктом 35 настоящих Правил, не позднее рабочего дня, следующего за днем окончания срока проверки.
40. По результатам рассмотрения акта проверки, предусмотренного пунктом 35 настоящих Правил, руководитель аппарата принимает одно из следующих решений:
1) об оставлении обработки соответствующих персональных данных без изменения;
2) о прекращении обработки персональных данных, неправомерно обрабатываемых в государственном органе, и об обеспечении правомерности их обработки;
3) об уничтожении персональных данных, неправомерно обрабатываемых в государственном органе;
4) об уточнении неточных персональных данных в государственном органе и снятии блокирования.
41. Решение, предусмотренное пунктом 40 настоящих Правил, принимается руководителем аппарата не позднее рабочего дня, следующего за днем окончания срока проведения соответствующей проверки.
42. В случае принятия решения, предусмотренного подпунктом 2 пункта 40 настоящих Правил, уполномоченное должностное лицо, проводившее проверку, обеспечивает правомерность обработки соответствующих персональных данных не позднее пяти рабочих дней после дня принятия указанного решения.
43. Если в течение срока, предусмотренного пунктом 42 настоящих Правил, будет выявлено, что обеспечение правомерности обработки персональных данных невозможно, уполномоченное должностное лицо сообщает об этом руководителю аппарата. В этом случае руководитель аппарата принимает решение об уничтожении персональных данных, неправомерно обрабатываемых в государственном органе. Указанное решение принимается не позднее рабочего дня, следующего за днем истечения срока, предусмотренного пунктом 42 настоящих Правил.
44. В случае принятия решения, предусмотренного подпунктом 4 пункта 40 настоящих Правил, персональные данные подлежат уточнению не позднее рабочего дня, следующего за днем принятия указанного решения.
Уточнение персональных данных, обрабатываемых в государственном органе без использования средств автоматизации, производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными. Уточнение персональных данных, содержащихся в информационной системе персональных данных в государственном органе, осуществляется путем их изменения в соответствующей информационной системе в государственном органе.
Блокирование с уточненных персональных данных снимается с момента их уточнения.
45. Уполномоченное должностное лицо уведомляет субъекта персональных данных (его представителя), а в случаях, предусмотренных подпунктом 3 пункта 28 настоящих Правил, - также уполномоченный орган по защите прав субъектов персональных данных, о мерах, принятых им в соответствии с пунктами 40 - 44, 57 - 60 настоящих Правил. Указанное уведомление направляется уполномоченным должностным лицом не позднее трех рабочих дней со дня принятия соответствующих мер.
46. В случаях обнаружения несанкционированного доступа к персональным данным, обрабатываемым в государственном органе без использования средств автоматизации, или попыток такого доступа уполномоченное должностное лицо незамедлительно сообщает об этом руководителю аппарата.
47. Руководитель аппарата не позднее рабочего дня, следующего за днем обнаружения обстоятельств, предусмотренных пунктом 46 настоящих Правил, принимает решение о проведении проверки фактов несанкционированного доступа к персональным данным, обрабатываемым в аппарате без использования средств автоматизации (попыток такого доступа).
48. При принятии решения, предусмотренного пунктом 47 настоящих Правил, руководитель аппарата определяет уполномоченное должностное лицо (уполномоченных должностных лиц), которое будет (которые будут) проводить проверку, а также срок проведения проверки, который не может превышать двадцать рабочих дней.
49. По результатам проведения проверки, предусмотренной пунктом 47 настоящих Правил, уполномоченное должностное лицо составляет (уполномоченные должностные лица составляют) акт проверки, содержащий один из следующих выводов:
1) о неподтверждении факта несанкционированного доступа к персональным данным, обрабатываемым в аппарате без использования средств автоматизации (факта попытки такого доступа);
2) о подтверждении факта попытки несанкционированного доступа к персональным данным, обрабатываемым в государственном органе без использования средств автоматизации;
3) о подтверждении факта несанкционированного доступа к персональным данным, обрабатываемым в государственном органе без использования средств автоматизации.
50. Акт проверки, предусмотренный подпунктами 2, 3 пункта 49 настоящих Правил, должен содержать:
1) предложения по принятию мер, направленных на предотвращение несанкционированного доступа к персональным данным, обрабатываемым в государственном органе без использования средств автоматизации;
2) предложения по применению мер ответственности к уполномоченному должностному лицу - в случаях установления фактов неисполнения или ненадлежащего исполнения таким уполномоченным должностным лицом по его вине возложенных на него обязанностей, в результате которых был совершен несанкционированный доступ к персональным данным, обрабатываемым в государственном органе без использования средств автоматизации (попытка такого доступа).
51. Акт проверки, предусмотренный подпунктом 3 пункта 49 настоящих Правил, также должен содержать:
1) описание действий, совершенных с персональными данными в результате несанкционированного доступа к ним;
2) предложения по восстановлению персональных данных - в случаях их уничтожения или модификации в результате несанкционированного доступа;
3) оценку вреда, который может быть причинен субъектам персональных данных в результате несанкционированного доступа к их персональным данным в государственном органе, соотношение указанного вреда и принимаемых аппаратом мер, направленных на обеспечение безопасности персональных данных при их обработке в государственном органе.
52. Акт проверки, предусмотренный пунктом 49 настоящих Правил, должен соответствовать требованиям, предусмотренным для актов внеплановых проверок Правилами осуществления внутреннего контроля обработки персональных данных в государственном органе, утвержденными распоряжением Уполномоченного по правам человека в Иркутской области.
53. Уполномоченное должностное лицо представляет (уполномоченные должностные лица представляют) руководителю аппарата акт проверки, предусмотренный пунктом 49 настоящих Правил, не позднее рабочего дня, следующего за днем окончания срока проверки.
54. По результатам рассмотрения акта проверки, предусмотренного пунктом 49 настоящих Правил, руководитель аппарата не позднее рабочего дня, следующего за днем окончания срока проверки, принимает решение о принятии мер, направленных на устранение последствий несанкционированного доступа к персональным данным, обрабатываемым в аппарате без использования средств автоматизации, и (или) предотвращение несанкционированного доступа к персональным данным, обрабатываемым в аппарате без использования средств автоматизации (попыток такого доступа).