Приложение 1. Политика обработки и обеспечения безопасности персональных данных в Государственной информационной системе обеспечения градостроительной деятельности Республики Крым Принятые определения. Приказ Министерства строительства и архитектуры Республики Крым от 08.11.2021 N 396 "Об организационных мерах защиты информации, обрабатываемой в Государственной информационной системе обеспечения градостроительной деятельности Республики Крым"

Приложение 1
к приказу Министерства строительства
и архитектуры Республики Крым
от 08.11.2021 N 396

Политика
обработки и обеспечения безопасности персональных данных в Государственной информационной системе обеспечения градостроительной деятельности Республики Крым

Принятые определения

В настоящей Политике Министерства строительства и архитектуры Республики Крым в отношении обработки и обеспечения безопасности персональных данных Государственной информационной системе обеспечения градостроительной деятельности Республики Крым (далее - Политика) используются термины и определения в значениях, установленных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ).

Сотрудник - Государственный гражданский служащий Министерства строительства и архитектуры Республики Крым.

Оператор - Министерство строительства и архитектуры Республики Крым.

Носитель ПДн - материальный носитель (дела, книги и журналы учета, договоры, иные съемные носители информации, содержащие ПДн) с зафиксированной на нем в любой форме информацией, содержащей ПДн субъектов ПДн в виде текста, фотографии и (или) их сочетания.

1. Общие положения

1.1. Настоящая Политика разработана с целью реализации требований законодательства Российской Федерации в области обработки персональных данных (далее - ПДн) субъектов ПДн, а именно требований Федерального закон N 152-ФЗ, Приказа ФСТЭК от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (далее - Приказ ФСТЭК N 21).

1.2. Если в отношениях с Оператором участвуют законные представители субъектов ПДн, то Оператор становится оператором ПДн лиц, представляющих указанных субъектов. Положения Политики и другие локальные акты Оператора распространяются на случаи обработки и обеспечения безопасности ПДн законных представителей субъектов ПДн, даже если эти лица в локальных актах прямо не упоминаются, но фактически участвуют в правоотношениях с Оператором.

1.3. Оператор до начала обработки ПДн осуществляет уведомление уполномоченного органа по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн. Оператор уведомляет уполномоченный орган по защите прав субъектов ПДн об изменении сведений, поданных ранее, согласно требованиям Федерального закона N 152-ФЗ.

1.4. В рамках политики реализуются следующие требования законодательства РФ:

1.4.1. Политика описывает принципы обработки оператором ПДн в Государственной информационной системе обеспечения градостроительной деятельности Республики Крым (далее - ГИСОГД РК), права и обязанности Министерства строительства и архитектуры Республики Крым при обработке ПДн, права субъектов ПДн, а также включает перечень мер, применяемых Министерством строительства и архитектуры Республики Крым в целях обеспечения безопасности ПДн при их обработке.

1.4.2. Положения Политики распространяются на отношения по обработке и обеспечению безопасности ПДн, полученных Оператором как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и обеспечению безопасности ПДн, полученных до ее утверждения.

ГАРАНТ:

Нумерация подпунктов приводится в соответствии с источником

1.2.3. Политика является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке и обеспечению безопасности ПДн в информационных системах.

2. Информация об операторе

2.1. Полное наименование: Министерство строительства и архитектуры Республики Крым.

2.2. ИНН: 9102001000.

2.3. Адрес: 295001, Республика Крым, г. Симферополь, ул. Ленина 17.

2.4. Регистрационный номер в Реестре операторов персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (http://rkn.gov.ru/personal-data/register/) (далее - Реестр): 91-15-000700.

2.5. Министерство строительства и архитектуры Республики Крым внесено в Реестр приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 13.12.2019 N 92.

3. Правовые основания обработки ПДн

3.1. Обработка ПДн субъектов Оператора осуществляется на основании согласия субъекта ПДн на обработку его ПДн, либо его законного представителя (подпункт 1 пункта 1 статьи 6 Федерального закона N 152-ФЗ).

3.2. Обработка ПДн необходима для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (подпункт 2 пункта 1 статьи 6 Федерального закона N 152-ФЗ).

3.3. Обработка ПДн необходима для автоматизации процессов информационного обмена, связанные с предоставлением гражданам и организациям актуальной информации о деятельности органов государственной власти Республики Крым.

4. Объем обрабатываемых ПДн

В ГИСОГД РК обрабатываются ПДн более 100 000 субъектов ПДн.

5. Цели обработки ПДн

5.1. Обработка ПДн осуществляется с целью:

Осуществление государственных (муниципальных) функций и предоставление государственных (муниципальных) услуг в сфере градостроительной деятельности - предоставление картографических данных гражданам;

Рассмотрение информации, направляемой для размещения в ГИСОГД РК.

6. Документы, которыми руководствуется Оператор при работе с ПДн

6.1. Оператор при работе с ПДн руководствуется следующими правовыми актами Российской Федерации и руководящими документами ФСТЭК России и ФСБ России:

Конституцией Российской Федерации;

Уголовным кодексом Российской Федерации;

Кодексом Российской Федерации об административных правонарушениях;

Трудовым кодексом Российской Федерации;

Федеральным законом от 19 декабря 2005 г. N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных";

Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

Указом Президента Российской Федерации от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена";

Распоряжением Президента Российской Федерации от 10 июля 2001 г. N 366-рп "О подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных";

Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

Постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

Постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора Федеральной службы по техническому и экспортному контролю 15 февраля 2008 г.;

Методикой оценки угроз безопасности информации, утвержденной заместителем директора Федеральной службы по техническому и экспортному контролю 5 февраля 2021 г.;

Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21;

Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденного приказом ФСБ России от 10 июля 2014 г. N 378.

7. Принципы обработки ПДн

7.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки ПДн, указанных в ст. 5 Федерального закона N 152-ФЗ.

7.2. При обработке ПДн обеспечивается исключение:

7.2.1. неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);

7.2.2. неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);

7.2.3. неправомерного блокирования информации (обеспечение доступности информации).

8. Сроки обработки ПДн

8.1. Сроки обработки ПДн субъектов ПДн в информационных системах Оператора установлены в соответствии с целями обработки ПДн и закреплены в Перечнях информации, в отношении которой установлено требование об обеспечении ее конфиденциальности, обрабатываемой в информационной системе, утверждаемых приказами министра.

8.2. В соответствии с Федеральным законом N 152-ФЗ установлены следующие сроки и условия прекращения обработки ПДн:

8.2.1. не более 30 дней с момента достижения цели обработки ПДн;

8.2.2. не более 30 дней с момента утраты необходимости в достижении целей обработки ПДн;

8.2.3. не более 7 дней с момента предоставления субъектом ПДн, его наследником или представителем субъекта ПДн сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;

8.2.4. не более 10 дней с момента выявления невозможности обеспечить правомерность обработки ПДн;

8.2.5. не более 30 дней с момента отзыва субъектом ПДн согласия на обработку ПДн ¹ , если сохранение ПДн более не требуется для целей обработки ПДн.

9. Способы обработки ПДн

9.1. Обработка ПДн Оператором включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

9.2. Оператор не производит трансграничную передачу ПДн.

9.3. Оператор не принимает решения, порождающие юридические последствия в отношении субъектов ПДн или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки их ПДн.

9.4. Оператор не осуществляет передачу ПДн третьим лицам, за исключением случаев, предусмотренных нормативными правовыми актами Российской Федерации.

9.5. Оператор осуществляет обработку ПДн с использованием средств автоматизации.

10. Состав обрабатываемых ПДн

10.1. Оператор обрабатывает только ПДн, которые отвечают целям, указанным в пункте 5 Политики.

10.2. Оператор не осуществляет обработку биометрических ПДн.

11. Меры по надлежащей организации обработки и обеспечению безопасности ПДн

11.1. Оператор при обработке ПДн принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности ПДн достигается, в частности, следующими способами:

11.1.1. Назначением лиц, ответственных за организацию обработки ПДн, и лиц, ответственных за обеспечение безопасности информации, в отношении которой установлено требование об обеспечении ее конфиденциальности, в том числе ПДн (далее - Администратор безопасности информации).

11.1.2. Осуществлением внутреннего контроля соответствия обработки ПДн Федеральному закону N 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям по обеспечению безопасности ПДн.

11.1.3. Ознакомлением сотрудников Оператора, осуществляющих обработку ПДн, с законодательством Российской Федерации о защите информации, в отношении которой установлено требование об обеспечении ее конфиденциальности, в том числе с требованиями по обеспечению безопасности ПДн, актами в отношении обработки ПДн и/или обучением сотрудников Оператора.

11.1.4. Определением угроз безопасности ПДн при их обработке в информационных системах ПДн.

11.1.5. Применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, а также на материальных носителях, необходимых для выполнения требований по обеспечению безопасности ПДн.

11.1.6. Оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн.

11.1.7. Учетом носителей ПДн.

11.1.8. Выявлением фактов несанкционированного доступа к ПДн и принятием мер в соответствии с законодательством Российской Федерации об обеспечении безопасности ПДн.

11.1.9. Восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

11.1.10. Установкой правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в информационной системе ПДн.

11.1.11. Контролем над принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности информационных систем ПДн.

11.2. Обязанности сотрудников Оператора, осуществляющих обработку и защиту ПДн, а также их ответственность, определяются в соответствующих должностных инструкциях сотрудников Оператора.

12. Сотрудники Оператора, ответственные за организацию обработки ПДн и Администратор безопасности информации

12.1. Права, обязанности и юридическая ответственность сотрудников Оператора, ответственных за организацию обработки ПДн и Администратора безопасности информации, установлены Федеральным законом N 152-ФЗ и приказами Министерства строительства и архитектуры Республики Крым.

12.2. Назначение на должность сотрудников Оператора, ответственных за организацию обработки ПДн, и Администратора безопасности информации и освобождение от нее осуществляется приказом Министерства строительства и архитектуры Республики Крым.

12.3. Сотрудники Оператора, ответственные за организацию обработки ПДн:

12.3.1. Организуют осуществление внутреннего контроля над соблюдением сотрудниками Оператора законодательства Российской Федерации о ПДн, в том числе требований к обеспечению безопасности ПДн.

12.3.2. Доводят до сведения сотрудников Оператора положений законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к обеспечению безопасности ПДн.

12.3.3. Организуют прием и обработку обращений, запросов субъектов ПДн, и осуществляют контроль над приемом и обработкой таких обращений и запросов.

13. Права субъектов ПДн

13.1. Субъект ПДн имеет право на получение сведений об обработке его ПДн в Министерства строительства и архитектуры Республики Крым. Форма запроса для получения данных сведений приведена в приложении Б к настоящей Политике.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду "приложении 2"

13.2. Субъект ПДн вправе требовать от Оператора уточнения своих ПДн, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

13.3. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.

13.4. Для реализации и защиты своих прав и законных интересов субъект ПДн имеет право обратиться в Министерство строительства и архитектуры Республики Крым. Оператор рассматривает любые обращения и жалобы со стороны субъектов ПДн, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных сотрудников Оператора и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

14. Уполномоченный орган по защите прав субъектов ПДн в Республике Крым

14.1. Полное наименование: Управление федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Крым.

14.2. Краткое наименование: Управление Роскомнадзора по Республике Крым и г. Севастополь.

14.3. Адрес: 295000, Республика Крым, город Симферополь, улица Генерала Васильева, дом 27в.

14.4. Телефон: 8 (3652) 66-92-93.

14.5. Адрес электронной почты: rsockanc82@.rkn.gov.ru.

14.6. Веб-сайт: https://82.rkn.gov.ru/.

15. Доступ к Политике

15.1. Действующая редакция Политики на бумажном носителе хранится по месту нахождения Оператора по адресу: Республика Крым, г. Симферополь, ул. Ленина, 17.

16. Ответственность

16.1. Сотрудники Оператора, виновные в нарушении норм, регулирующих обработку и обеспечение безопасности ПДн, несут ответственность, предусмотренную законодательством Российской Федерации, локальными актами Оператора.

------------------------------

¹_{Форма отзыва согласия субъектом ПДн на обработку ПДн приведена в приложении А к настоящей Политике.}

------------------------------

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду "приложении 1"