Приложение. Положение по обработке и защите персональных данных в Комитете по ценам и тарифам Московской области. Приказ Комитета по ценам и тарифам Московской области от 31.12.2015 N 165 "Об утверждении Положения по обработке и защите персональных данных в Комитете по ценам и тарифам Московской области"

Приложение

к приказу председателя

Комитета по ценам и тарифам

Московской области

от 31.12.2015 N 165

Утверждено

приказом председателя

Комитета по ценам и тарифам

Московской области

от 31 декабря 2015 г. N 165

Положение
по обработке и защите персональных данных в Комитете по ценам и тарифам Московской области

1. Общие положения

1.1. Настоящее Положение по обработке и защите персональных данных (далее - Положение) разработано на основании Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", постановления Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказа ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" и нормативно-методическими документами по вопросам безопасности персональных данных при их обработке в информационных системах персональных данных (далее - ИСПДн).

1.2. В Положении используются следующие термины:

персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;

обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;

автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники;

распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц;

предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;

блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);

уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и /или в результате которых уничтожаются материальные носители ПДн;

обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;

информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.

1.3. Настоящее Положение определяет порядок и условия обработки ПДн в Комитете по ценам и тарифам Московской области (далее по тексту - Комитет), включая порядок передачи ПДн третьим лицам, особенности автоматизированной и неавтоматизированной обработки ПДн, порядок доступа к ПДн, систему защиты ПДн, порядок организации внутреннего контроля и ответственность за нарушения при обработке ПДн.

1.4. Действие настоящего Положения распространяется на все процессы по сбору, систематизации, накоплению, хранению, уточнению, использованию, распространению (в том числе передаче), обезличиванию, блокированию, уничтожению ПДн, осуществляемых с использованием средств автоматизации и без их использования.

1.5. Настоящее Положение вступает в силу с момента его утверждения председателем Комитета (далее - председатель) и действует бессрочно до замены его новым Положением.

1.6. Все изменения в Положение вносятся приказом.

1.7. Все сотрудники Комитета должны быть ознакомлены с настоящим Положением под роспись.

2. Цели и задачи обработки ПДн

2.1. Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с заявленными целями.

2.2. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в различных целях.

2.3. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.

2.4. Обработка ПДн сотрудников Комитета может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия сотрудникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности сотрудников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества Комитета.

2.5. Основными целями обработки ПДн является:

соблюдение трудового законодательства Российской Федерации;

соблюдение законодательства Российской Федерации об охране труда и техники безопасности;

соблюдение законодательства Российской Федерации об охране здоровья;

заключение и исполнение договоров, стороной которых являются субъекты ПДн;

зачисление заработной платы работников на банковские карты;

выпуск визитных карточек;

размещение контактных данных руководителей структурных подразделений на сайте Комитета;

размещение контактных данных председателя и его заместителей на сайте Комитета.

2.6. ИСПДн обеспечивают решение следующих задач:

защита персональных данных;

контроль использования персональных данных;

минимизация ущерба от возможной реализации угроз безопасности ПДн;

защиту от вмешательства в процесс функционирования ИСПДн посторонних лиц;

разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам ИСПДн;

регистрация действий пользователей при использовании защищаемых ресурсов ИСПДн в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов;

контроль целостности (обеспечение неизменности) среды исполнения программ и ее восстановление в случае нарушения;

защита от несанкционированной модификации и контроль целостности используемых в ИСПДн программных средств, а также защиту системы от внедрения несанкционированных программ.

3. Персональные данные, обрабатываемые в ИСПДн

3.1. В ИСПДн обрабатываются ПДн следующих субъектов ПДн:

сотрудников Комитета;

лиц, связанных с сотрудниками (дети, в отношении которых выплачиваются алименты, жены, и т.д.).

3.2. Данный перечень может пересматриваться по мере необходимости.

3.3. Персональные данные субъектов ПДн включают:

специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;

иные категории персональных данных.

3.4. Полные списки обрабатываемых ПДн формируются в перечне ПДн, подлежащих защите в ИСПДн Комитета.

4. Доступ к ПДн

4.1. Сотрудники Комитета, которые в силу выполняемых служебных обязанностей постоянно работают с ПДн, получают допуск к необходимым категориям ПДн на срок выполнения ими соответствующих должностных обязанностей в соответствии с утвержденным председателем перечнем лиц, допущенных к работе с ПДн.

4.2. Список лиц, имеющих доступ к ПДн для информационной системы, должен поддерживаться в актуальном состоянии.

4.3. Комитетом установлен разрешительный порядок доступа к ПДн. Сотрудникам предоставляется доступ к работе с ПДн исключительно в пределах и объеме, необходимых для выполнения ими своих должностных обязанностей на основании решения председателя.

4.4. Временный или разовый допуск к работе с ПДн в связи со служебной необходимостью может быть получен сотрудником Комитета по согласованию с председателем и руководителями структурных подразделений Комитета.

4.5. Доступ к ПДн третьих лиц, не являющихся сотрудниками Комитета без согласия субъекта ПДн, запрещен, за исключением доступа сотрудников органов исполнительной власти, осуществляемого в рамках мероприятий по контролю и надзору за исполнением законодательства, реализации функций и полномочий соответствующих органов государственной власти. Предоставление информации по запросу или требованию органа государственной власти осуществляется с ведома председателя.

4.6. В случае если сотруднику сторонней организации необходим доступ к ПДн сотрудников Комитета, необходимо, чтобы в договоре со сторонней организацией были прописаны условия конфиденциальности ПДн и обязанность сторонней организации и ее сотрудников по соблюдению требований действующего законодательства Российской Федерации в области защиты ПДн. Кроме того, в случае доступа к ПДн лиц, не являющихся сотрудниками Комитета, должно быть получено согласие субъектов ПДн на предоставление их ПДн третьим лицам. Указанное согласие не требуется, если ПДн предоставляются в целях исполнения гражданско-правового договора, заключенного Комитетом с субъектом ПДн.

4.7. Доступ сотрудника Комитета к ПДн прекращается с даты завершения трудовых отношений либо с даты изменения должностных обязанностей сотрудника и (или) исключения его из списка лиц, имеющих право доступа к ПДн. В случае увольнения все находившиеся в распоряжении сотрудника в соответствии с его должностными обязанностями носители, содержащие ПДн, передаются руководителю структурного подразделения.

5. Основные требования по защите ПДн

5.1. При обработке ПДн в информационных системах Комитета должно быть обеспечено:

проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

своевременное обнаружение фактов несанкционированного доступа к ПДн;

недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;

возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа;

постоянный контроль обеспечения уровня защищенности ПДн.

5.2. Комитет обязан принимать необходимые правовые, организационные и технические меры для обеспечения безопасности ПДн.

5.3. На основании нормативно - методического документа ФСТЭК России "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" для установления требований по обеспечению безопасности и внедрению системы обеспечения безопасности ПДн в Комитете разрабатывается комплект организационно-распорядительной документации и модель угроз безопасности ПДн при их обработке в ИСПДн.

5.4. В соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" членами комиссии по обследованию режимных помещений, категорированию и классификации объектов информатизации Комитета, назначенными приказом председателя, проводится классификация ИСПДн.

5.5. В соответствии с приказом ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" в Комитете разрабатывается и внедряется комплекс мер по защите и обеспечению безопасности ПДн.

5.6. Все лица, допущенные к работе с ПДн, а также связанные с эксплуатацией и техническим сопровождением ИСПДн, должны быть под роспись ознакомлены с требованиями настоящего Положения, а также должны подписать обязательство о неразглашении конфиденциальной информации.

5.7. В Комитете организуется процесс обучения использованию средств защиты ПДн, обязательный для лиц, ответственных за эксплуатацию средств защиты информации ИСПДн, и рекомендательный для лиц, имеющих постоянный доступ к ПДн, а также для лиц, эксплуатирующих технические и программные средства ИСПДн и средства защиты ИСПДн.

5.8. Сотрудники Комитета обязаны незамедлительно сообщать руководителям структурных подразделений об утрате или недостаче носителей информации, содержащих ПДн; о причинах и условиях возможной утечки ПДн; о попытках посторонних лиц получить от сотрудника ПДн, обрабатываемые Комитетом.

6. Согласие на обработку ПДн

6.1. Субъект ПДн принимает решение о предоставлении своих ПДн и дает согласие на их обработку свободно, по своей воле и в своих интересах. Согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством Российской Федерации,

6.2. Получение письменного согласия на обработку ПДн осуществляется сотрудником при получении ПДн от субъекта ПДн путем оформления письменного согласия.

7. Права субъекта в отношении ПДн, обрабатываемых Комитетом

7.1. Субъект ПДн имеет право:

получать от Комитета информацию, касающуюся обработки его ПДн. Сведения должны быть предоставлены субъекту ПДн в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн. Перечень сведений и порядок получения сведений предусмотрен действующим законодательством Российской Федерации;

требовать от Комитета уточнения его ПДн, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством Российской Федерации меры по защите своих прав;

давать предварительное письменное согласие при принятии Комитетом исключительно в процессе автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы;

заявлять возражения на решения Комитета в процессе исключительно автоматизированной обработки ПДн и на возможные юридические последствия таких решений;

обжаловать действия или бездействие Комитета в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.

8. Права и обязанности Комитета

8.1. Комитет вправе:

8.1.1. Поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта,

8.1.2. В случае отзыва субъектом ПДн согласия на обработку ПДн продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в законодательстве Российской Федерации.

8.1.3. Отказать субъекту ПДн в выполнении повторного запроса сведений, не соответствующего условиям, предусмотренным законодательством Российской Федерации. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Комитете.

8.1.4. Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей Комитета, предусмотренных законодательством Российской Федерации.

8.2. Комитет обязан:

8.2.1. До начала обработки ПДн уведомить уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации.

8.2.2. При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети "Интернет", Комитет обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4 статьи 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

8.2.3. При получении доступа к ПДн не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено Федеральным законом.

8.2.4. Представить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия законных оснований обработки ПДн без согласия субъекта ПДн.

8.2.5. Разъяснить субъекту ПДн порядок принятия решения на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом ПДн своих прав и законных интересов.

8.2.6. При сборе ПДн предоставить субъекту ПДн по его просьбе информацию, предусмотренную законодательством Российской Федерации.

Если предоставление ПДн Комитету для субъекта ПДн является обязательным в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", они обязаны разъяснить субъекту ПДн юридические последствия его отказа предоставить ПДн.

8.2.7. Если ПДн получены не от субъекта ПДн, Комитет, за исключением случаев, предусмотренных законодательством Российской Федерации, до начала обработки таких ПДн должен предоставить субъекту ПДн следующую информацию:

наименование и адрес Комитета либо фамилию, имя, отчество его представителя;

цель обработки ПДн и ее правовое основание;

предполагаемые пользователи ПДн;

установленные права субъекта персональных данных;

источник получения ПДн.

8.2.8. Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей Комитета, предусмотренных законодательством Российской Федерации.

8.2.9. Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях по защите ПДн.

8.2.10. При осуществлении сбора ПДн с использованием информационно-телекоммуникационных сетей опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки ПДн, и сведения о реализуемых требованиях по защите ПДн, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

8.2.11. Представить документы и локальные акты, предусмотренные законодательством Российской Федерации, и/или иным образом подтвердить принятие мер, необходимых и достаточных для обеспечения выполнения обязанностей Комитета по запросу уполномоченного органа по защите прав субъектов ПДн.

8.2.12. При обработке ПДн принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

8.2.13. Назначить лицо, ответственное за организацию обработки ПДн.

9. Порядок обработки и защиты ПДн

9.1. Обеспечение конфиденциальности ПДн, обрабатывающихся Комитетом, является обязательным требованием для всех лиц, которым ПДн стали известны.

9.2. Сотрудники Комитета, осуществляющие оформление документов, обязаны получать в установленных случаях согласие субъектов ПДн на обработку.

9.3. В случае нарушения установленного порядка обработки ПДн сотрудники Комитета несут ответственность в соответствии с разделом 11 настоящего Положения.

9.4. ПДн субъектов на бумажных носителях, обрабатываемые Комитетом, хранятся в отделах (у сотрудников), имеющих допуск к обработке соответствующих ПДн. Право допуска сотрудников к неавтоматизированным ИСПДн определяется приказом председателя. Носители ПДн не должны оставаться без присмотра. При покидании рабочего места сотрудники, осуществляющие обработку ПДн, должны убирать носители в сейф, запираемый шкаф, или иным образом ограничивать несанкционированный доступ к носителям. При утере или порче ПДн осуществляется их восстановление (по возможности).

9.5. Места хранения документов, содержащих ПДн:

9.5.1. ПДн клиентов Комитета (договоры, акты, соглашения, анкеты, копии паспортов и подобные документы, содержащие ПДн клиентов, носители информации (флэш-карты, CD-диски, и т.п.) хранятся в сейфах, размещаются на полках и запираются на ключ. Ответственное лицо, осуществляющее контроль, определяется приказом председателя.

9.5.2. ПДн сотрудников Комитета: документы, носители информации (флэш - карты, CD - диски, и т.п.) - хранятся в сейфах и запираются на ключ.

9.6. Выдача документов для ознакомления осуществляется лицам, допущенным к соответствующей информации в целях исполнения должностных обязанностей, на срок не более одного рабочего дня.

9.7. При работе с программными средствами информационной системы Комитета, реализующей функции просмотра и редактирования ПДн, запрещается демонстрация экранных форм, содержащих такие данные, лицам, не имеющим соответствующего допуска.

9.8. При получении ПДн сотрудником Комитета, который в соответствии с должностными обязанностями получает ПДн от клиента, сотрудника, иного лица, в обязательном порядке проводится проверка достоверности ПДн. Ввод ПДн, полученных Комитетом, в информационную систему осуществляется сотрудниками, имеющими доступ к соответствующим ПДн. Сотрудники, осуществляющие ввод информации, несут ответственность за достоверность и полноту введенной информации.

9.9. Особенности обработки ПДн, содержащихся на бумажных носителях, без использования средств автоматизации (при составлении документов не используется ИСПДн) установлены в соответствии с постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

9.10. При неавтоматизированной обработке различных категорий ПДн должен использоваться отдельный материальный носитель для каждой категории ПДн.

9.11. При