Приложение N 2. Положение об обработке персональных данных и обеспечению соблюдения требований законодательства о персональных данных в администрации Ялуторовского района. Постановление Администрации Ялуторовского муниципального района Тюменской области от 13.03.2020 N 187-п "О реализации Федерального закона от 27.07.2006 г. N 152-ФЗ "О персональных данных"

Приложение N 2
к постановлению
Администрации
Ялуторовского района
N 187-п от 13 марта 2020 года

Положение
об обработке персональных данных и обеспечению соблюдения требований законодательства о персональных данных в администрации Ялуторовского района

1. Термины и определения

В настоящем Положении об обработке и обеспечению соблюдения требований законодательства о персональных данных в администрации Ялуторовского района используются основные понятия и термины, определенные Федеральными законами от 27.07.2006 г. N 152-ФЗ "О персональных данных", от 27.07.2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации".

2. Общие положения

2.1. Положение об обработке и защите персональных данных в администрации Ялуторовского района (далее - Положение) является локальным актом, регулирующим вопросы обработки персональных данных в администрации Ялуторовского района (далее - Администрация) и процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

2.2. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке государственными гражданскими служащими управления.

2.3. Настоящее Положение разработано в соответствии с:

- Конституцией Российской Федерации;

- Трудовым кодексом Российской Федерации;

- Кодексом об административных правонарушениях Российской Федерации;

- Гражданским кодексом Российской Федерации;

- Уголовным кодексом Российской Федерации;

- Федеральным законом от 27.07.2006 г. N 152-ФЗ "О персональных данных";

- Федеральным законом от 27.07.2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- постановлением Правительства РФ от 17.11.2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных",

- постановлением Правительства Российской Федерации от 15.09.2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации",

- постановлением Правительства РФ от 06.07.2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных"

2.4. Обработка персональных данных должна осуществляться на основе принципов, определенных в статье 5 Федерального закона от 27.07.2006 г. N 152-ФЗ "О персональных данных".

2.5. Основными методами и способами защиты информации от несанкционированного доступа являются:

- обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;

- анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);

- защита информации при ее передаче по каналам связи;

- использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;

- использование средств антивирусной защиты;

- централизованное управление системой защиты персональных данных информационной системы.

3. Порядок определения защищаемой информации

Порядок определения защищаемой информации в Администрации регламентируется Указом Президента Российской Федерации 06.03.1997 г. N 188 "Об утверждении перечня сведений конфиденциального характера", Федеральным законом от 27.07.2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", иными нормативными правовыми актами.

Перечень персональных данных, обрабатываемых и хранящихся в Администрации утверждается Главой Ялуторовского района.

4. Условия сбора и обработки персональных данных

4.1. Сбор персональных данных может осуществляться как путем представления их самим субъектом, так и путем получения из иных источников в соответствии с действующим законодательством.

4.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные носители информации.

4.3. Сотрудники, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации, содержащей персональные данные.

5. Хранение и использование персональных данных

5.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

5.2. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.

5.3. Право доступа к персональным данным субъекта внутри Администрации имеют сотрудники, перечень которых утверждается Главой Ялуторовского района, а также сам субъект персональных данных.

6. Передача персональных данных субъектов

6.1. Передача персональных данных субъекта возможна только с согласия субъекта или в случаях, предусмотренных законодательством.

6.2. При передаче персональных данных субъекта сотрудники Администрации должны соблюдать следующие требования:

- не сообщать персональные данные субъекта без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законом;

- предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Лица, получающие персональные данные субъекта, обязаны соблюдать режим защиты персональных данных;

- не допускать передачу персональных данных при ответе на вопрос, заданный по телефону;

- соблюдать иные требования законодательства о защите персональных данных.

7. Права субъектов по обеспечению защиты персональных данных, хранящихся в управлении

7.1. В целях защиты персональных данных, хранящихся в Администрации, субъект имеет право:

- на полную информацию о своих персональных данных и обработке этих данных;

- требовать исключения или исправления неверных или неполных персональных данных;

- определять своих представителей для защиты своих персональных данных;

- на сохранение и защиту своей личной и семейной тайны;

- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законодательством;

- на обжалование в суде любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных

- на совершение иных действий в соответствии с законодательством.

8. Требования к обработке и защите персональных данных в информационных системах

8.1. Обработка персональных данных в Администрации организуется на основании постановления Правительства Российской Федерации от 15.09.2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и приказа ФСТЭК РФ от 05.02.2010 г. N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных".

8.2. Защита персональных данных, осуществляемая в Администрации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных были выполнены следующие требования:

- определены места хранения персональных данных (материальных носителей),

- обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;

- соблюдены условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

8.3. Применяемые меры по защите персональных данных в Администрации должны быть направлены на:

- ограничение доступа персонала и посторонних лиц в помещения, где размещены информационные системы персональных данных и хранятся материальные носители персональных данных;

- организацию учета и надежного хранения материальных носителей персональных данных, их обращения, исключающее хищение, подмену и уничтожение;

- размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр.

8.4. Обработка персональных данных на базе автономных ЭВМ в Администрации должна быть основана на технологии обработки информации с использованием съемных накопителей информации большой емкости, которая предусматривает запись на съемный накопитель прикладного программного обеспечения (или его части) и обрабатываемых персональных данных. В качестве устройств для работы по этой технологии могут быть использованы как встроенные (съемные), так и выносные накопители на магнитных, магнитооптических дисках различной конструкции. Одновременно может быть установлено несколько съемных накопителей информации большой емкости.

8.5. Порядок защиты персональных данных на базе автономных ЭВМ в Администрации определен п. 5.5 "Специальных требований и рекомендаций по технической защите конфиденциальной информации", утвержденных приказом Гостехкомиссии России от 30.08.2002 г. N 282.

9. Ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных

9.1. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено в соответствии с законодательством.

9.2. Должностные лица Администрации, виновные в нарушении норм и требований действующего законодательства, регулирующих обработку и защиту персональных данных, несут ответственность в соответствии с действующим законодательством.