Распоряжение государственного органа Московской области "Уполномоченный по правам человека в Московской области и его аппарат" от 04.08.2017 N РГО МО-2415/2017 "Об утверждении Политики обработки и защиты персональных данных в государственном органе Московской области "Уполномоченный по правам человека в Московской области и его аппарат" (с изменениями и дополнениями) (документ не действует)

Распоряжение Уполномоченного по правам человека в Московской области
от 4 августа 2017 г. N РГОМО-2451/2017
"Об утверждении Политики обработки и защиты персональных данных в государственном органе Московской области "Уполномоченный по правам человека в Московской области и его аппарат"

В соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных":

1. Утвердить прилагаемую Политику обработки и защиты персональных данных в государственном органе Московской области "Уполномоченный по правам человека в Московской области и его аппарат".

2. Информационно-организационному отделу разместить настоящее распоряжение на официальном сайте Уполномоченного по правам человека в Московской области в информационно-телекоммуникационной сети Интернет.

3. Контроль за выполнением настоящего распоряжения возложить на руководителя аппарата Уполномоченного по правам человека в Московской области Пасынкову Д.A.

Уполномоченный по правам человека в Московской области

Е.Ю. Семёнова

Утверждена

распоряжением государственного органа

Московской области

"Уполномоченный по правам человека

в Московской области и его аппарат"

от 04 авг 2017 N РГОМО-2451/2017

Политика
обработки и защиты персональных данных в государственном органе Московской области "Уполномоченный по правам человека в Московской области и его аппарат"

I. Общие положения

1. Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон) и определяет порядок обработки и защиты персональных данных в государственном органе Московской области "Уполномоченный по правам человека в Московской области и его аппарат" (далее - Государственный орган) с целью защиты прав и свобод человека, и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

2. Действие настоящей Политики распространяется на все персональные данные субъектов, обрабатываемые в автоматизированных системах на базе средств вычислительной техники, в том числе в информационных системах персональных данных Государственного органа с применением средств автоматизации и без применения таких средств (далее - АС и ИСПДн).

3. Государственный орган обрабатывает персональные данные следующих категорий субъектов персональных данных:

лиц, замещающих государственные должности Московской области в Государственном органе, государственных гражданских служащих замещающих должности государственной гражданской службы Московской области в Государственном органе и работников, занимающих должности, не относящиеся к должностям государственной гражданской службы Московской области в Государственном органе (далее - сотрудники);

близких родственников сотрудников в случаях, предусмотренных законодательством;

физических лиц, обратившихся к Уполномоченному по правам человека в Московской области, Уполномоченному по правам ребенка в Московской области, Государственный орган.

II. Принципы и условия обработки персональных данных

4. Обработка персональных данных в Государственном органе осуществляется на основе следующих принципов:

законности и справедливой основы;

ограничения обработки персональных данных достижением конкретных, заранее определённых и законных целей;

недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;

недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

обработки только тех персональных данных, которые отвечают целям их обработки;

соответствия содержания и объёма обрабатываемых персональных данных заявленным целям обработки;

недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки;

обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;

уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения в АС и ИСПДн Государственного органа допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.

5. В АС и ИСПДн Государственного органа обрабатываются персональные данные при наличии хотя бы одного из следующих условий:

обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

обработка персональных данных необходима для осуществления прав и законных интересов Государственного органа или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.

6. Пользователи АС и ИСПДн Государственного органа и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.

7. В целях информационного обеспечения в Государственном органе могут создаваться общедоступные источники персональных данных сотрудников, в том числе справочники и адресные книги. В общедоступные источники персональных данных с согласия сотрудника могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

Сведения о сотруднике должны быть в любое время исключены из общедоступных источников персональных данных по требованию сотрудника, либо по решению суда или иных уполномоченных государственных органов.

III. Права субъекта персональных данных

8. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральным законодательством.

Субъект персональных данных вправе требовать от Государственного органа уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

9. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.

10. Если субъект персональных данных считает, что обработка его персональных данных в АС и ИСПДн осуществляется с нарушением требований Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Государственного органа в Уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

ГАРАНТ:

Нумерация разделов приводится в соответствии с источником

V. Хранение и использование персональных данных

11. В Государственном органе информация персонального характера хранится и обрабатывается с соблюдением требований федерального законодательства в области персональных данных.

12. Обработка персональных данных в Государственном органе осуществляется смешанным путем:

неавтоматизированным способом обработки персональных данных;

автоматизированным способом обработки персональных данных (с помощью автоматизированных систем на базе средств вычислительной техники и специальных программных продуктов).

13. Персональные данные хранятся на бумажных носителях и в электронном виде в структурных подразделениях Государственного органа.

14. Хранение бумажных и машинных носителей с текущей документацией и оконченной производством документации, содержащей персональные данные, должно быть надежным, исключающим хищение, подмену и уничтожение.

15. Хранение персональных данных осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено федеральным законом.

VI. Обеспечение безопасности персональных данных

16. Безопасность персональных данных, обрабатываемых в АС и ИСПДн Государственного органа, обеспечивается реализацией правовых, организационных, и технических мер, необходимых и достаточных для обеспечения требований федерального законодательства в области защиты персональных данных.

17. Для целенаправленного создания в АС и ИСПДн неблагоприятных условий и труднопреодолимых препятствий для нарушителей, пытающихся осуществить несанкционированный доступ к персональным данным в целях овладения ими, их видоизменения, уничтожения, заражения вредоносной компьютерной программой, подмены и совершения иных несанкционированных действий в АС и ИСПДн Государственного органа могут применяться следующие организационно-технические меры:

назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;

ограничение и регламентация состава сотрудников, имеющих доступ к персональным данным;

принятие правовых актов в области обработки и защиты персональных данных;

ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, правовыми актами Государственного органа в отношении обработки персональных данных;

осуществление внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, правовым актам Государственного органа;

обеспечение учёта и хранения материальных носителей информации и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;

определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;

разработка на основе модели угроз системы защиты персональных данных для соответствующего класса информационных систем;

проверка готовности и эффективности использования средств защиты информации в АС и ИСПДн;

идентификация и аутентификация субъектов доступа и объектов доступа;

управление доступом субъектов доступа к объектам доступа;

ограничение программной среды;

защита машинных носителей персональных данных;

регистрация событий безопасности;

антивирусная защита;

обнаружение и предотвращение вторжений; контроль (анализ) защищённости персональных данных;

обеспечение целостности автоматизированных систем на базе средств вычислительной техники и персональных данных;

обеспечение доступности персональных данных; защита технических средств;

защита АС и ИСПДн, средств, систем связи и передачи персональных данных;

криптографическая защита персональных данных, передаваемых по незащищённым каналам связи;

управление системой защиты персональных данных;

обучение сотрудников, использующих средства защиты информации, применяемые в АС и ИСПДн, правилам работы с ними;

учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним;

проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;

размещение технических средств обработки персональных данных, в пределах охраняемой территории;

допуск в помещения, в которых обрабатываются персональные данных, в соответствии со списком допущенных сотрудников;

поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности.

18. Уничтожение или обезличивание части персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).

Персональные данные, содержащиеся на материальных носителях, уничтожаются по акту об уничтожении персональных данных.

VII. Заключительные положения

19. Иные права и обязанности Государственного органа, как оператора персональных данных, определяются федеральным законодательством в области персональных данных.

Должностные лица Государственного органа, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут ответственность в порядке, установленном федеральным законодательством.