Приложение 10. Должностной регламент ответственного за организацию обработки персональных данных в департаменте развития бизнеса и внешнеэкономической деятельности Краснодарского края. Приказ департамента развития бизнеса и внешнеэкономической деятельности Краснодарского края от 04.07.2024 N 246 "О мерах, направленных на реализацию требований постановления Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами"

Приложение 10

УТВЕРЖДЕН
приказом департамента развития
бизнеса и внешнеэкономической
деятельности Краснодарского края
от 04.07.2024 N 246

Должностной регламент
ответственного за организацию обработки персональных данных в департаменте развития бизнеса и внешнеэкономической деятельности Краснодарского края

1. Общие положения

Ответственным за организацию обработки персональных данных (далее соответственно - Ответственный) является государственный гражданский служащий департамента развития бизнеса и внешнеэкономической деятельности Краснодарского края (далее - департамент) и назначается руководителем департамента.

Ответственный подчиняется непосредственно руководителю департамента и проводит мероприятия по защите персональных данных (далее - ПДн) в интересах департамента.

Деятельность Ответственного осуществляется согласно утвержденному руководителем департамента плану мероприятий по защите ПДн департамента на год. План мероприятий по защите ПДн департамента разрабатывается на каждый календарный год.

2. Задачи

На Ответственного возложены следующие задачи:

1) организация внутреннего контроля за соблюдением государственными гражданскими служащими департамента (далее - служащие) соответствия обработки ПДн требованиям к защите ПДн, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), принятым в соответствии с ним нормативным правовым актом и локальным актом департамента;

2) разработка, внедрение и актуализация локальных актов по вопросам обработки ПДн;

3) доведение до сведения служащих департамента, непосредственно осуществляющих обработку ПДн, положений законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн, и проведение обучения указанных служащих;

4) осуществление контроля приема и обработки обращений или запросов субъектов ПДн или их представителей по вопросам обработки ПДн и внесение предложений по организации приема и обработки таких обращений или запросов;

5) осуществление рассмотрения обращений и запросов субъектов ПДн или их представителей по вопросам обработки ПДн и организация предоставления субъектам ПДн или их представителям информации, предусмотренной Федеральным законом N 152-ФЗ;

6) определение методов и способов проведения обезличивания ПДн в информационных системах;

7) организация работ по комплексной защите объектов информатизации департамента, а именно:

а) информационных ресурсов, представленных в виде документированной информации на магнитных, оптических носителях, информативных физических полей, информационных массивов и баз данных, содержащих ПДн субъектов департамента;

б) средств и систем информатизации (средств вычислительной техники, информационно-вычислительных комплексов, локальных вычислительных сетей и корпоративных информационных систем), программных средств (операционных систем, систем управления базами данных, другого общесистемного и прикладного программного обеспечения), автоматизированных систем управления информационными, управленческими и технологическими процессами, систем связи и передачи данных, технических средств приема, передачи и обработки информации (звукозаписи, звукоусиления, звуковоспроизведения, переговорных устройств и других технических средств обработки графической, смысловой и буквенно-цифровой информации), используемых для реализации процессов ведения деятельности, обработки информации, содержащей ПДн субъектов департамента;

8) организация защиты ПДн субъектов департамента;

9) разработка и проведение организационных мероприятий, обеспечивающих безопасность объектов защиты департамента, своевременное выявление и устранение возможных каналов утечки информации;

10) организация проведения работ по технической защите информации на объектах информатизации, в информационно-вычислительных сетях, системах и средствах связи и телекоммуникаций департамента;

11) методическое руководство системой обеспечения информационной безопасности департамента;

12) организация контроля состояния и проведение оценки эффективности системы обеспечения информационной безопасности ПДн, а также реализация мер по ее совершенствованию;

13) внедрение в информационную инфраструктуру департамента современных методов и средств обеспечения информационной безопасности.

3. Функции

Для решения поставленных задач Ответственный осуществляет следующие функции:

1) участие в разработке и внедрении правовых, организационных и технических мер по комплексному обеспечению безопасности ПДн;

2) контроль обеспечения соблюдения режима конфиденциальности при обработке ПДн и внесение предложений по соблюдению такого режима;

3) контроль выполнения мер по обезличиванию ПДн в информационных системах при наступлении достижения целей обработки ПДн или утраты необходимости в достижении этих целей, если ранее эти данные не были уничтожены;

4) разработка планов по защите ПДн на объектах департамента;

5) контроль выполнения мер по защите ПДн, анализ материалов контроля, выявление недостатков и нарушений. Разработка и реализация мер по их устранению;

6) обеспечение взаимодействия с контрагентами по вопросам организации и проведения проектно-изыскательских, научно-исследовательских, опытно-конструкторских и других работ по защите информации. Участие в разработке технических заданий на выполняемые исследования и работы;

7) контроль выполнения плановых заданий, договорных обязательств, а также сроков, полноты и качества работ по защите ПДн, выполняемых контрагентами;

8) разработка и внесение предложений по обеспечению финансирования работ по защите ПДн, в том числе выполняемых по договорам (контрактам);

9) контроль организации режима обеспечения безопасности помещений, в которых происходит обработка ПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в такие помещения, а также внесение предложений по обеспечению безопасности таких помещений;

10) участие в организации доступа служащих департамента к ПДн в соответствии с возложенными на них должностными обязанностями и подготовка предложений по организации такого доступа;

11) разработка и внедрение локальных актов, определяющих перечень служащих департамента, имеющих доступ к ПДн;

12) контроль размещения устройств ввода (отображения) информации, исключающего ее несанкционированный просмотр;

13) проведение оценки вреда, который может быть причинен субъекту ПДн в случае нарушения законодательства по защите ПДн;

14) участие в разработке и реализации политики по работе с инцидентами информационной безопасности в части обработки ПДн;

15) внесение предложений по актуализации внутренней организационно-распорядительной документации по защите ПДн при изменении существующих и выходе новых нормативных правовых документов по вопросам обработки ПДн и подготовка соответствующих необходимых проектов документов;

16) в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав ПДн иным заинтересованным лицом уведомить уполномоченный орган по защите прав ПДн:

в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов ПДн, по вопросам, связанным с выявленным инцидентом;

в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

4. Права

Ответственный имеет право:

1) осуществлять контроль за деятельностью структурных подразделений департамента по выполнению ими требований по защите ПДн;

2) составлять акты, докладные записки, отчеты для рассмотрения руководителем департамента при выявлении нарушений порядка обработки ПДн;

3) принимать необходимые меры при обнаружении несанкционированного доступа к ПДн как служащими департамента, так и третьими лицами и докладывать о принятых мерах руководителю департамента с предоставлением информации о субъектах, нарушивших режим доступа;

4) вносить на рассмотрение руководителю департамента предложения, акты, заключения о приостановлении работ в случае обнаружения каналов утечки (или предпосылок к утечке) информации ограниченного доступа;

5) давать структурным подразделениям департамента, а также отдельным служащим департамента обязательные для исполнения указания по вопросам, входящим в компетенцию Ответственного;

6) запрашивать и получать от всех структурных подразделений департамента сведения, справочные и другие материалы, необходимые для осуществления деятельности Ответственного;

7) составлять акты и другую техническую документацию о степени защищенности объекта информатизации;

8) готовить и вносить предложения: на проведение работ по защите ПДн; о привлечении к проведению работ по оценке эффективности защиты ПДн на объекте департамента (на договорной основе) учреждений и организаций, имеющих лицензию на соответствующий вид деятельности; о закупке необходимых технических средств защиты и другой спецтехники, имеющих в обязательном порядке сертификат соответствия;

9) осуществлять визирование договоров (контрактов) с контрагентами с целью правового обеспечения передачи им ПДн субъектов департамента в ходе выполнения работ по этим договорам (контрактам);

10) представлять интересы департамента при осуществлении государственного контроля и надзора за обработкой ПДн уполномоченным органом по защите прав субъектов персональных данных (федеральный орган исполнительной власти, осуществляющий самостоятельно функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных).

5. Взаимодействие

Ответственный выполняет свои задачи, осуществляя взаимодействие со всеми структурными подразделениями департамента.

Для выполнения своих функций и реализации предоставленных прав Ответственный взаимодействует с территориальными и региональными подразделениями Федеральной службы по техническому и экспортному контролю России, Федеральной службы безопасности России, Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, Министерства внутренних дел Российской Федерации и другими представителями исполнительной власти Российской Федерации и организациями, предоставляющими услуги и работы в области защиты ПДн на законном основании.

6. Ответственность

Ответственный несет ответственность за надлежащее и своевременное выполнение возложенных задач и функций по организации обработки ПДн в департаменте в соответствии с положениями законодательства Российской Федерации в области ПДн.

С должностным регламентом ответственного за организацию обработки персональных данных ознакомлен(-а):

"___" __________ 20__ г.    ____________________    _________________

                                  (Ф.И.О.)             (подпись)

"___" __________ 20__ г.    ____________________    _________________

                                  (Ф.И.О.)             (подпись)

Начальник финансового отдела департамента

Л.А. Черномаз