Приложение 1. Положение о порядке организации работы по обработке и защите персональных данных, обрабатываемых в информационных системах персональных данных администрации города Пятигорска. Постановление администрации города-курорта Пятигорска Ставропольского края от 02.09.2016 N 3468 "Об утверждении Положения о порядке организации работ по обработке и защите персональных данных, обрабатываемых в информационных системах персональных данных администрации города Пятигорска" (с изменениями и дополнениями)

Приложение 1

к постановлению администрации

города Пятигорска

от 2 сентября 2016 г. N 3468

Положение
о порядке организации работы по обработке и защите персональных данных, обрабатываемых в информационных системах персональных данных администрации города Пятигорска

1. Общие положения

1.1. Настоящее Положение определяет механизм получения, обработки, хранения и защиты персональных данных, обрабатываемых в информационных системах персональных данных аппарата администрации города Пятигорска и структурных подразделений администрации города Пятигорска, обладающих правами юридического лица, устанавливает требования к обеспечению безопасности персональных данных (далее - ПДн), при их обработке в информационных системах, а также устанавливает основные принципы работы с ПДн.

1.2. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27 июля 2006 года N 152-ФЗ "О ПДн" (далее ФЗ "О ПДн"), Постановлением Правительства Российской Федерации от 21.03.2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О ПДн" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Постановлением Правительства Российской Федерации от 01.11.2012 года N 1119 г. "Об утверждении требований к защите ПДн при их обработке в информационных системах ПДн", требования к защите ПДн при их обработке в информационных системах ПДн" и иными нормативными правовыми актами Российской Федерации.

1.3. Целью настоящего Положения является обеспечение в соответствии с законодательством Российской Федерации обработки, хранения и защиты ПДн в администрации города Пятигорска.

1.4. Значение основных терминов, используемых в настоящем Положение, определяется Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и ФЗ "О ПДн".

2. Принципы обработки ПДн

2.1. Обработка ПДн в администрации города Пятигорска осуществляется на основе следующих принципов:

- законность обработки ПДн;

- соответствие целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям администрации города Пятигорска;

- соответствие содержания и объема обрабатываемых ПДн целям обработки ПДн;

- недопустимости объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

2.2. Обработка ПДн субъекта без письменного его согласия не допускается, если иное не определено законодательством Российской Федерации. ПДн относятся к категории конфиденциальной информации. Режим конфиденциальности ПДн снимается в случаях обезличивания или по истечении сроков хранения, если иное не определено действующим законодательством Российской Федерации.

2.3. Должностные лица администрации города Пятигорска, в обязанности которых входит обработка ПДн субъектов, обязаны обеспечить каждому субъекту возможность ознакомления со своими ПДн, если иное не предусмотрено законодательством Российской Федерации.

2.4. ПДн не могут быть использованы в целях:

- причинения имущественного и морального вреда гражданам;

- затруднения реализации прав и свобод граждан Российской Федерации.

2.5. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

2.6. Субъект ПДн является собственником своих ПДн и самостоятельно решает вопрос передачи администрации города Пятигорска своих ПДн.

3. Состав ПДн

3.1. В администрации города Пятигорска подлежат обработке ПДн:

- муниципальных служащих, замещающих должности муниципальной службы администрации города Пятигорска, а также лиц включенных в кадровый резерв администрации города Пятигорска;

- работников, не замещающих должности муниципальной службы и исполняющих обязанности по техническому обеспечению деятельности в администрации города Пятигорска;

- лиц, претендующих на замещение должностей муниципальной службы в администрации города Пятигорска и на включение в кадровый резерв;

- руководителей подведомственных администрации города Пятигорска муниципальных учреждений и предприятий;

- лиц, обращающихся в администрацию города Пятигорска с целью реализации своих прав и законных интересов.

3.2. К ПДн субъектов ПДн относятся следующие сведения:

- ФИО;

- паспортные данные;

- дата и место рождения;

- гражданство;

- данные о регистрации;

- сведения об образовании;

- сведения о воинском учете;

- место жительства;

- ИНН, СНИЛС, номер обязательного медицинского страхования;

- номер телефона (домашний, мобильный);

- семейное положение;

- сведения о зарплате, налогах;

- лицевой счет;

- иная информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

4. Получение, обработка и хранение ПДн

4.1. Субъект ПДн обязан предоставлять в администрацию города Пятигорска достоверные сведения о себе. Администрация города Пятигорска имеет право проверять достоверность указанных сведений в порядке, не противоречащем законодательству Российской Федерации.

4.2. Ответственное должностное лицо администрации города Пятигорска принимает от субъекта материальные носители ПДн (документы, копии документов), сверяет копии документов с подлинниками.

4.3. Условием обработки ПДн субъекта является его письменное согласие. Согласие в письменной форме субъекта ПДн на обработку его ПДн должно включать в себя, в частности (форма согласия утверждается муниципальным правовым актом администрации города Пятигорска).

Согласие на обработку ПДн может быть отозвано субъектом ПДн в соответствии с положением статьи 9 Федерального закона "О ПДн".

4.4. Согласие субъекта на обработку его ПДн не требуется в следующих случаях:

- обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

- обработка ПДн необходима для исполнения договора, стороной которого, либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

- обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

- обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;

- обработка ПДн осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания ПДн;

- осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе;

- осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.

4.5. В случае недееспособности субъекта ПДн согласие на обработку ПДн в письменной форме дает его законный представитель.

В случае смерти субъекта согласие на обработку его ПДн при необходимости дает в письменной форме один из его наследников, если такое согласие не было дано субъектом ПДн при его жизни.

4.6. Сведения о доходах, имуществе и обязательствах имущественного характера соответствующих муниципальных служащих администрации города Пятигорска в соответствии с федеральным законодательством предоставляются для опубликования средствам массовой информации.

ГАРАНТ:

См. Решение Думы города-курорта Пятигорска Ставропольского края от 26 июня 2009 г. N 64-44 ГД "Об утверждении Положения об отдельных вопросах муниципальной службы в городе-курорте Пятигорске"

4.7. Защита ПДн субъекта от неправомерного их использования или утраты должна быть обеспечена оператором за счет его средств в порядке, установленном федеральным законодательством Российской Федерации.

4.8. Классификация информационных систем ПДн используемых в администрации города Пятигорска, а также режимы использования данных по каждой группе устанавливаются муниципальным правовым актом администрации города Пятигорска.

4.9. При обработке ПДн администрация города Пятигорска вправе определять способы обработки, документирования, хранения и защиты ПДн на базе современных информационных технологий.

4.10. Обработка ПДн осуществляется уполномоченными должностными лицами администрации города Пятигорска, определенными нормативно-правовыми актами администрации города Пятигорска, которые действуют на основании инструкций, предусматривающих выполнение комплекса мероприятий по обеспечению безопасности ПДн.

4.11. Сроки обработки и хранения ПДн определяются законодательством Российской Федерации, законодательством Ставропольского края, муниципальными правовыми актам органов местного самоуправления города-курорта Пятигорска.

4.12. Хранение и обработка ПДн муниципальных служащих, замещающих должности муниципальной службы в администрации города Пятигорска, и работников, замещающих должности, не являющиеся должностями муниципальной службы, уволенных с муниципальной службы, хранятся в течение 10 лет со дня увольнения с муниципальной службы в отделе муниципальной службы, после чего передаются в архив. Помимо личного дела, реестра муниципальных служащих города Пятигорска и личной карточки работника формы Т-2, работодатель (администрация города Пятигорска) обеспечивает хранение и ведение трудовой книжки работника (муниципального служащего), являющейся основным документом о трудовой деятельности и стаже работника.

Хранение трудовых книжек, личных дел (на бумажных носителях) и карточек формы Т-2 осуществляется в металлических несгораемых шкафах, сейфах, в отдельных помещениях или огороженных, закрытых для свободного доступа частях помещения, месте постоянного размещения (рабочего места) работника, ответственного за ведение кадрового учета в структурных подразделениях администрации города Пятигорска.

Помещения, в которых осуществляется хранение документов, содержащих ПДн работников администрации города Пятигорска, должны находиться под охраной.

По заявлению работника, в соответствии с законодательством, ему может выдаваться копия его трудовой книжки. Выдача личного дела и личной карточки работника (форма Т-2) ему на руки не допускается.

Работник имеет право на ознакомление в любое время с содержанием документов, хранящихся в его личном деле, а также со сведениями, содержащимися в личной карточке работника (форма Т-2). При этом в личном деле и карточке делается отметка об ознакомлении с содержанием с проставлением работником в отведенном для этого месте личной подписи и даты ознакомления.

Работник имеет право запросить, а работодатель обязан изготовить и предоставить работнику заверенную копию любого документа, хранящегося в личном деле данного работника.

Формирование и пополнение электронных вариантов личных дел работников администрации города Пятигорска, Реестра муниципальных служащих города Пятигорска осуществляется с соблюдением условий защиты информации, содержащей ПДн работника: ведение дел на строго определенных компьютерах при ограниченном числе пользователей и в порядке, установленном федеральным законодательством и настоящим Положением.

4.13. ПДн граждан, включенных в кадровый резерв администрации города Пятигорска, хранятся на бумажных носителях в течение периода действия кадрового резерва.

ПДн граждан, не допущенных к участию в конкурсе, и граждан, участвовавших в конкурсе, но не прошедших конкурсный отбор, хранятся на бумажных носителях в течение 3 лет со дня завершения конкурса, если они не были возвращены по письменным заявлениям граждан.

ПДн граждан, обрабатываемые в связи с рассмотрением обращений граждан, хранятся на бумажных носителях в течение 5 лет.

ПДн граждан, обрабатываемые в целях заключения договоров и контрактов, хранятся на бумажных носителях в течение 5 лет.

4.14. Базы данных информационных систем ПДн администрации города Пятигорска хранятся в структурных подразделениях администрации города Пятигорска, осуществляющих их эксплуатацию, в соответствии со сроками хранения документов, помещенных в базы данных.

4.15. Уполномоченными лицами при обработке ПДн в информационных системах ПДн администрации города Пятигорска должно обеспечиваться:

- своевременное обнаружение фактов несанкционированного доступа к ПДн и немедленное сообщение этой информации управляющему делами администрации города Пятигорска;

- недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;

- возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- постоянный контроль за обеспечением уровня защищенности ПДн;

- знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей ПДн;

- при обнаружении нарушений порядка предоставления ПДн, незамедлительное приостановление предоставления ПДн пользователям информационной системы до выявления причин нарушений и устранения этих причин;

- в случае выявления нарушений порядка обработки ПДн в информационных системах администрации города Пятигорска, принятие мер по установлению причин нарушений и их устранению;

- разбирательство и составление заключений по фактам несоблюдения условий хранения бумажных и электронных носителей ПДн, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

4.16. . Помещения, в которых обрабатываются и хранятся ПДн субъектов, оборудуются надежными замками. Должно быть исключено бесконтрольное пребывание посторонних лиц в этих помещениях.

Для хранения ПДн используются специально оборудованные шкафы или сейфы, которые запираются на ключ.

Помещения, в которых обрабатываются и хранятся ПДн субъектов, в рабочее время при отсутствии в них работников должны быть закрыты.

Уборка помещений, в которых хранятся ПДн, должна производиться в присутствии ответственных за хранение ПДн.

5. Права и обязанности сторон в области защиты ПДн

5.1. Субъект ПДн обязан:

- передать администрации города Пятигорска комплекс ПДн.

- своевременно, в срок, не превышающий 5 (пяти) рабочих дней, сообщать администрации города Пятигорска об изменении своих ПДн.

5.2. Субъект ПДн имеет право:

- на получение сведений об администрации города Пятигорска, о месте ее нахождения, о наличии в администрации города Пятигорска ПДн, относящихся к соответствующему субъекту ПДн, а также на ознакомление с такими ПДн, за исключением случаев, если предоставление ПДн нарушает конституционные права и свободы других лиц;

- на свободный бесплатный доступ к своим ПДн, включая право на получение копии любой записи, содержащей ПДн, за исключением случаев, предусмотренных федеральным законодательством;

- получать информацию, касающуюся обработки его ПДн, в том числе содержащую:

а) подтверждение факта обработки;

б) правовые основания и цели обработки ПДн;

в) цели и способы обработки ПДн, применяемые оператором;

г) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального законодательства;

д) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законодательством;

е) сроки обработки ПДн, в том числе сроки их хранения;

ж) порядок осуществления субъектом ПДн прав, предусмотренных ФЗ "О персональных данных";

з) сведения о том, какие юридические последствия для него может повлечь за собой обработка его ПДн;

- обжаловать в судебном порядке любые неправомерные действия или бездействие администрации города Пятигорска и ее должностных лиц при обработке, хранении и защите ПДн;

- требовать об извещении всех лиц, которым ранее были сообщены неверные или неполные ПДн субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях;

- требовать исключения, исправления или уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- при отказе оператора исключить или исправить ПДн субъекта и заявить в письменной форме о своем несогласии с соответствующим обоснованием такого несогласия.

Сведения о ПДн должны быть предоставлены субъекту в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн.

5.3. Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, не может быть принято на основании исключительно автоматизированной обработки его ПДн.

5.4. Администрация города Пятигорска обязана разъяснить субъекту ПДн порядок принятия решения на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты своих прав и законных интересов.

5.5. Администрация города Пятигорска обязана рассмотреть возражение субъекта ПДн в течение 30 (тридцати) рабочих дней со дня его получения и уведомить его о результатах рассмотрения такого возражения.

5.6. Администрация города Пятигорска обязана безвозмездно предоставить субъекту ПДн возможность ознакомления с ПДн, относящихся к нему, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие ПДн по предоставлении субъектом сведений, подтверждающих, что ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

5.7. Администрация города Пятигорска обязана сообщить в уполномоченный орган по защите прав субъектов ПДн по его запросу информацию, необходимую для осуществления деятельности указанного органа в установленные нормативными правовыми актами Российской Федерации сроки.

5.8. В случае выявления недостоверных ПДн или неправомерных действий с ними, администрация города Пятигорска обязана осуществить блокирование ПДн, относящихся к соответствующему субъекту, с момента получения такой информации на период проверки. Администрация города Пятигорска обязана уточнить ПДн в течение 7 (семи) рабочих дней со дня их получения и снять их блокирование. А в случае подтверждения недостоверности ПДн, уничтожить их.

5.9. В случае выявления неправомерных действий с ПДн, администрация города Пятигорска в срок, не превышающий 3 (трех) рабочих дней с даты такого выявления, обязана устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений, администрация города Пятигорска в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерности действий с ПДн, обязана уничтожить ПДн. Об устранении допущенных нарушений или об уничтожении ПДн, администрация города Пятигорска обязана уведомить субъекта ПДн или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов ПДн.

5.10. В случае достижения цели обработки ПДн администрация города Пятигорска обязана незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в срок, не превышающий 30 (тридцати) рабочих дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом ПДн, либо если оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных федеральным законодательством.

5.11. В случае отзыва субъектом согласия на обработку своих ПДн администрация города Пятигорска обязана прекратить обработку ПДн и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн в срок, не превышающий 30 (тридцати) рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением сторон и (или) федеральным законодательством. Об уничтожении ПДн оператор обязан уведомить субъекта ПДн.

5.12. Руководители отраслевых (функциональных) органов (структурных подразделений) администрации города Пятигорска (в том числе аппарата администрации города Пятигорска и структурных подразделений администрации города Пятигорска, обладающих правами юридического лица) (далее - структурных подразделений), работники структурных подразделений администрации города Пятигорска, осуществляющие обработку ПДн, обязаны контролировать и выполнять предусмотренные в администрации города Пятигорска меры по защите информации, содержащей ПДн.

5.13. Руководители структурных подразделений администрации города Пятигорска обязаны:

- вести перечень ПДн, обрабатываемых в соответствующих структурных подразделениях;

- утверждать списки должностных лиц структурного подразделения, которых по своим должностным обязанностям необходимо допустить к работе с ПДн в информационной системе администрации города Пятигорска.

- контролировать целевое использование должностными лицами структурного подразделения ресурсов информационно-телекоммуникационной сети "Интернет";

- контролировать выполнение пользователями общих правил работы на рабочей станции, в локальной вычислительной сети администрации города Пятигорска (далее - ЛВС), в информационных системах администрации города Пятигорска;

- контролировать выборочно характер исходящей информации, направляемой пользователями по электронной почте другим адресатам, и принимать оперативные меры к соблюдению ими установленных требований по защите ПДн;

- обеспечивать условия для работы ответственного за организацию обработки ПДн при проверке в структурных подразделениях эффективности предусмотренных мер защиты информации;

- определять порядок передачи информации, содержащей ПДн, другим структурным подразделениям, сторонним организациям и иным органам;

- при обнаружении нарушений установленных требований по защите ПДн, в результате которых вскрыты факты их разглашения, прекратить работы на рабочем месте, где обнаружены нарушения, доложить своему руководителю и поставить в известность лицо, ответственное за обеспечение безопасности ПДн в администрации города Пятигорска.

5.14. Должностное лицо структурного подразделения администрации города Пятигорска обязано:

- знать правила работы в ЛВС, информационных системах администрации города Пятигорска и принятые меры по защите их ресурсов (в части, его касающейся);

- выполнять только служебные задания, при работе на своей рабочей станции (ПЭВМ) (далее - ПЭВМ), в ЛВС и информационных системах администрации города Пятигорска;

- проверить перед началом работы на ПЭВМ свои рабочие папки на жестком диске, съемные носители информации на отсутствие вирусов с помощью штатных средств антивирусной защиты, убедиться в исправности своей рабочей станции;

- прекратить работу при сообщениях тестовых программ о появлении вирусов, доложить администратору по обеспечению безопасности информационных систем в администрации города Пятигорска;

- провести проверку носителей, при необходимости их использования, поступивших из других структурных подразделений, на отсутствие вирусов;

- хранить втайне свой индивидуальный пароль для входа на ПЭВМ и информационную систему, в которой производится обработка ПДн, периодически, но не реже чем один раз в полгода изменять данный индивидуальный пароль для входа на ПЭВМ и не сообщать его другим лицам;

- вводить пароль для входа на ПЭВМ и в информационные системы, в которых производится обработка ПДн, и другие учетные данные, убедившись, что клавиатура находится вне поля зрения других лиц;

- учет, размножение, обращение печатных материалов, содержащих ПДн, проводить в соответствии с Инструкцией по делопроизводству в администрации города Пятигорска;

- при обнаружении различных неисправностей в работе компьютерной техники или ЛВС, недокументированных свойств в программном обеспечении, нарушений целостности пломб (наклеек, печатей), несоответствии номеров на аппаратных средствах сообщить об этом ответственному за обработку ПДн в администрации города Пятигорска и поставить в известность руководителя структурного подразделения.

5.15. При работе на ПЭВМ запрещается:

- устанавливать постороннее программное обеспечение на локальный диск ПЭВМ без уведомления ответственного за обработку ПДн в администрации города Пятигорска;

- перенастраивать программное обеспечение ПЭВМ;

- самостоятельно вскрывать комплектующие на ПЭВМ;

- запускать на ПЭВМ или другой рабочей станции сети любые системные или прикладные программы, кроме установленных ответственным за обработку ПДн в администрации города Пятигорска;

- изменять или копировать файл, принадлежащий другому пользователю, не получив предварительно разрешения владельца файла;

- оставлять включенной без присмотра ПЭВМ, не активизировав средства защиты от несанкционированного доступа (временную блокировку экрана и клавиатуры);

- оставлять без личного присмотра свое персональное устройство идентификации (при наличии), электронные носители и документы, содержащие ПДн;

- допускать к подключенной в сеть ПЭВМ посторонних лиц;

- производить копирование для временного хранения информации, содержащей ПДн, на неучтенные носители;

- работать на ПЭВМ в сети с информацией, содержащей ПДн, при обнаружении неисправностей ПЭВМ, влияющих на защиту информации;

- умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты информации, которые могут привести к утечке, блокированию, искажению или утере информации, содержащей ПДн;

- отсылать по электронной почте информацию для решения личных проблем, а также информацию по просьбе третьих лиц без согласования с руководителем структурного подразделения;

- запрашивать и получать из информационно-телекоммуникационной сети "Интернет" материалы развлекательного характера.

6. Доступ к персональным данным субъекта, правила рассмотрения запросов субъектов ПДн

6.1. Внутренний доступ к ПДн субъектов имеют муниципальные служащие, которым эти данные необходимы для выполнения должностных обязанностей. Перечень указанных лиц определяется муниципальным правовым актом администрации города Пятигорска.

Допуск должностных лиц администрации города Пятигорска к работе с ПДн производится после их ознакомления под роспись с настоящим Положением.

6.2. Контрольно-надзорные органы имеют доступ к информации исключительно в сфере своей компетенции. Администрация города Пятигорска обязана сообщать ПДн субъекта по надлежаще оформленным запросам судебных органов, прокуратуры, правоохранительных органов.

6.3. Внешний доступ со стороны третьих лиц к ПДн субъекта осуществляется с его письменного согласия, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта или других лиц, и иных случаев, установленных законодательством Российской Федерации.

6.4. ПДн субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта ПДн.

6.5. При передаче ПДн администрация города Пятигорска должна соблюдать следующие требования:

- не сообщать ПДн субъекта третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта ПДн, а также в случаях, установленных федеральным законодательством;

- предупреждать лиц, получающих ПДн субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено, за исключением случаев, когда обмен ПДн осуществляется в порядке, установленном федеральным законодательством;

- разрешать доступ к ПДн, исключительно специально уполномоченным лицам (при этом указанные лица должны иметь право получать лишь те ПДн, которые необходимы для выполнения конкретных функций);

- в должностных инструкциях уполномоченных лиц должны быть прописаны обязательства по неразглашению и выполнению требований нормативных документов по обработке и обеспечению безопасности ПДн.

6.6. Не допускается передача ПДн по открытым каналам связи, в том числе по телефону.

6.7. Сведения, передаваемые в письменной форме, должны иметь пометку о конфиденциальности. В сопроводительном письме к таким документам указывается, что в прилагаемых документах содержатся ПДн субъектов.

7. Защита ПДн

7.1. Комплекс мер по защите ПДн направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности ПДн и обеспечивает безопасность информации в процессе деятельности администрации города Пятигорска.

7.2. Администрация города Пятигорска обязана при обработке ПДн принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий, в соответствии с требованиями к обеспечению безопасности ПДн при их обработке в информационных системах.

7.3. Для защиты ПДн в администрации города Пятигорска применяются следующие принципы и правила:

- ограничение и регламентация состава должностных лиц, функциональные обязанности которых требуют доступа к информации, содержащей ПДн;

- строгое избирательное и обоснованное распределение документов и информации между должностными лицами;

- рациональное размещение рабочих мест должностных лиц, при котором исключается бесконтрольное использование защищаемой информации;

- знание должностными лицами требований нормативно-методических документов по защите ПДн;

- распределение персональной ответственности между должностными лицами, участвующими в обработке ПДн, за выполнение требований по обеспечению безопасности ПДн;

- установление режима конфиденциальности в соответствии с требованиями по обеспечению безопасности ПДн при работе с конфиденциальными документами и базами данных;

- исключение бесконтрольного пребывания посторонних лиц в помещениях, в которых ведется обработка ПДн и находится соответствующая вычислительная техника;

- организация порядка уничтожения ПДн;

- своевременное выявление нарушений требований разрешительной системы доступа;

- разъяснительная работа с муниципальными служащими администрации города Пятигорска и структурных подразделений администрации города Пятигорска по работе с ПДн, в том числе по вопросам, связанным с обеспечением безопасности ПДн;

- ограничение доступа к техническим средствам и системам обработки информации, на которых содержатся ПДн;

- создание целенаправленных неблагоприятных условий и труднопреодолимых препятствий для лица, пытающегося совершить несанкционированный доступ и овладение информацией;

- резервирование защищаемых данных (создание резервных копий).

7.4. В целях защиты ПДн может проводиться их резервирование.

Резервирование ПДн должно обеспечить возможность восстановления информации при нарушении целостности основных хранилищ данных.

Резервированию должна подвергаться информация на серверах ИСПДн.

Резервирование должно осуществляться на носители информации с соответствующим уровнем надежности и долговечности.

Хранение резервных копий должно осуществляться в сейфах (запираемых шкафах, ящиках). Хранение (по возможности) должно осуществляться в месте, территориально удаленном от основного хранилища информации.

Доступ к резервным копиям должен быть строго регламентирован.

8. Обучение должностных лиц, участвующих в обработке ПДн

8.1. В администрации города Пятигорска проводится регулярное обучение должностных лиц, работающих с ПДн. При этом для различных категорий должностных лиц форматы обучения должны отличаться.

Определены следующие форматы обучения:

- полные курсы (длительностью от 5 дней);

- кратковременные курсы (длительностью от 1 до 3 дней);

- внешние и внутренние семинары;

- конференции;

- инструктажи.

8.2. Полные и кратковременные курсы, конференции, внешние семинары проводятся во внешних специализированных организациях для следующих категорий сотрудников:

- ответственный за обеспечение безопасности и обработки ПДн;

- администратор информационной безопасности информационных систем ПДн.

8.3. Для обучения остальных категорий персонала, участвующих в процессах обработки ПДн, проводятся:

- внутренние семинары;

- инструктажи.

Внутренние семинары проводятся ответственным за обеспечение безопасности и обработки ПДн, администратором информационной безопасности, а также могут проводиться приглашенными специалистами или другими подготовленными лицами.

8.4. Обучение каждой категории должно проводиться не реже одного раза в год.

Инструктажи проводятся в отношении отдельных лиц, по мере необходимости лицом ответственным за обеспечение безопасности и обработки ПДн.

Проведение инструктажей должно фиксироваться в "Журнале учета проведения инструктажей по вопросам защиты информации".

9. Обезличивание ПДн

9.1. Под обезличиванием ПДн в настоящем Положении понимаются действия, в результате которых невозможно определить принадлежность ПДн конкретному субъекту ПДн.

Обезличивание ПДн может быть проведено в целях уменьшения ущерба от разглашения ПДн, снижения класса информационных систем ПДн администрации города Пятигорска, по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.

9.2. В администрации города Пятигорска обезличивание ПДн при условии их дальнейшей обработки осуществляется следующими способами:

- сокращение перечня обрабатываемых ПДн;

- замена части сведений идентификаторами;

- понижение точности некоторых сведений в зависимости от цели обработки ПДн;

- обработка разных ПДн в разных информационных системах ПДн администрации города Пятигорска.

9.3. Ответственность за обезличивание ПДн несут уполномоченные должностные лица администрации города Пятигорска, ответственные за проведение мероприятий по обезличиванию обрабатываемых ПДн.

Перечень указанных лиц утверждается муниципальным правовым актом администрации города Пятигорска. Также, может быть образована комиссия по обезличиванию ПДн в администрации города Пятигорска.

Руководители структурных подразделений, в которых осуществляется обработка ПДн, вносят лицу, ответственному за организацию обработки ПДн в аппарате администрации города Пятигорска, предложения по обезличиванию ПДн с указанием обоснования обезличивания ПДн и способа их обезличивания.

9.4. Уполномоченные лица в случае согласования лица, ответственного за организацию обработки ПДн в администрации города Пятигорска, с обезличиванием ПДн, осуществляют его разрешенным способом.

9.5. Обезличенные ПДн конфиденциальны и не подлежат разглашению.

Обезличенные ПДн могут обрабатываться с использованием и без использования средств автоматизации.

При обработке обезличенных ПДн с использованием средств автоматизации, уполномоченные лица обязаны соблюдать парольную и антивирусную политику, а также правила работы со съемными носителями (если он используется), правила резервного копирования, порядок доступа в помещения, в которых ведется обработка ПДн.

При обработке обезличенных ПДн без использования средств автоматизации уполномоченные лица обязаны соблюдать правила хранения бумажных носителей и порядок доступа в помещения, в которых ведется обработка ПДн.

10. Уничтожение ПДн

10.1. В соответствии с нормативными актами Российской Федерации ПДн должны быть уничтожены в следующих случаях:

- по требованию субъекта ПДн, в определенных законодательством Российской Федерации;

- по истечению срока хранения ПДн;

- в случае выявления неправомерных действий с ПДн и невозможности устранения допущенных нарушений;

- в случае достижения цели обработки ПДн;

- в случае утраты необходимости достижения цели обработки.

Контроль сроков хранения, достижения целей обработки ПДн производится на основании допустимых сроков хранения и допустимых целей.

10.2. Решение об уничтожении ПДн, принимают и осуществляют уполномоченные должностные лица администрации города Пятигорска.

Уничтожение обработанных ПДн производится путем сожжения, расплавления, дробления, растворения, химического разложения или превращения в мягкую бесформенную массу или порошок. Допускается уничтожение бумажных носителей путем измельчения в бумажную сечку. Электронные носители уничтожаются путем сожжения, дробления, расплавления и другими способами, исключающими возможность их восстановления.

Уничтожение бумажных и электронных носителей, содержащих ПДн, осуществляется комиссией и оформляется актом об уничтожении.

Состав комиссии утверждается муниципальным правовым актом администрации города Пятигорска.

Уничтожение бумажных и электронных носителей, содержащих ПДн, без оформления акта об уничтожении запрещается.

10.3. В случае отсутствия возможности уничтожения ПДн в течение установленных сроков хранения, администрация города Пятигорска осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению администрации города Пятигорска) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральным законодательством.

10.4. Уничтожение или обезличивание части ПДн, если это допускается бумажным или электронным носителем, производится способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на данном носителе.

11. Ответственность за разглашение конфиденциальной информации, связанной с ПДн.

11.1. Персональная ответственность является одним из главных требований к организации функционирования системы защиты ПДн и обязательным условием обеспечения эффективности функционирования данной системы.

11.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн субъекта, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральным законодательством.

11.3. Каждое должностное лицо администрации города Пятигорска, получающее информацию для работы с ПДн, несет персональную ответственность за сохранность носителя и конфиденциальность полученной информации.

11.4. Должностные лица, в обязанность которых входит обработка ПДн, обязаны обеспечить каждому субъекту ПДн, возможность ознакомления с документами и материалами, если иное не предусмотрено действующим законодательством Российской Федерации.

12. Обработка ПДн без использования средств автоматизации

12.1. При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн, а также, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе ПДн и информации, не являющейся персональными данными, должны быть приняты меры по обеспечению раздельной обработки ПДн, в частности:

- при необходимости использования или распространения определенных ПДн отдельно от находящихся на том же материальном носителе других ПДн осуществляется копирование ПДн, подлежащих распространению или использованию, способом, исключающим одновременное копирование ПДн, не подлежащих распространению и использованию, и используется (распространяется) копия ПДн;

- при необходимости уничтожения или блокирования части ПДн, уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию.

12.2. Уничтожение или обезличивание части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.

12.3. Уточнение ПДн при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными ПДн.

12.4. При составлении типовых форм необходимо, чтобы каждый субъект ПДн, чьи ПДн указаны в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных лиц.

13. Порядок осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн

13.1. В администрации города Пятигорска внутренний контроль соответствия обработки ПДн установленным требованиям осуществляется путем проведения плановых и внеплановых проверок условий обработки ПДн (далее - проверка) на основании плана осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн, определяющего цель и срок проведения проверки.

13.2. Проверка осуществляется ответственным за организацию обработки ПДн в администрации города Пятигорска.

В проведении проверки не может участвовать сотрудник администрации города Пятигорска, прямо или косвенно заинтересованный в ее результатах.

Плановые проверки проводятся не чаще чем один раз в год.

В случае поступившего в администрацию города Пятигорска письменного заявления субъекта ПДн о нарушениях правил обработки ПДн проводится внеплановая проверка. Проведение внеплановой проверки организуется в течение 3 рабочих дней с момента поступления соответствующего заявления.

13.3. При проведении проверки соответствия обработки ПДн установленным требованиям к защите ПДн должны быть полностью, объективно и всесторонне установлены:

- порядок и условия применения организационных и технических мер по обеспечению безопасности ПДн, при их обработке необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные уровни защищенности ПДн;

- порядок и условия применения средств защиты информации;

- эффективность принимаемых мер по обеспечению безопасности ПДн;

- состояние учета машинных носителей ПДн;

- соблюдение правил доступа к ПДн;

- наличие (отсутствие) фактов несанкционированного доступа к ПДн и принятие необходимых мер;

- мероприятия, по восстановлению ПДн, которые уничтожены, вследствие несанкционированного доступа к ним;

- осуществление мероприятий по обеспечению целостности ПДн.

13.4. Лицо, ответственное за организацию обработки ПДн в администрации города Пятигорска, вправе:

- запрашивать у должностных лиц администрации города Пятигорска информацию, необходимую для реализации полномочий;

- вносить Главе города Пятигорска следующие предложения:

- по приостановлению или прекращению обработки ПДн, осуществляемой с нарушением требований законодательства Российской Федерации;

- о совершенствовании правового, технического и организационного регулирования обеспечения безопасности ПДн при их обработке;

- о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки ПДн.

13.5. Проверка должна быть завершена не позднее чем через 20 календарных дней со дня принятия решения о ее проведении.

13.6. По результатам проверки, лицом, ответственным за организацию обработки ПДн в администрации города Пятигорска, непосредственно после ее завершения составляется и подписывается акт. Лицо, ответственное за организацию обработки ПДн в администрации города Пятигорска, по результатам проверки представляет Главе города Пятигорска письменное заключение о результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений.