Приложение 16. Инструкция ответственного за организацию обработки персональных данных в департаменте по регулированию контрактной системы Краснодарского края. Приказ департамента по регулированию контрактной системы Краснодарского края от 13.05.2020 N 41 "Об организационных мероприятиях по обеспечению безопасности персональных данных, обрабатываемых в департаменте по регулированию контрактной системы Краснодарского края" (с изменениями и дополнениями)

Приложение 16

Утверждена
приказом департамента по
регулированию контрактной системы
Краснодарского края
от 13.05.2020 N 41

Инструкция
ответственного за организацию обработки персональных данных в департаменте по регулированию контрактной системы Краснодарского края

1. Общие положения

1.1. Ответственный за организацию обработки персональных данных является сотрудником департамента по регулированию контрактной системы Краснодарского края (далее - департамент).

1.2. Ответственный за организацию обработки персональных данных назначается приказом руководителя департамента.

1.3. Ответственный за организацию обработки персональных данных подчиняется непосредственно руководителю департамента и контролирует проведение мероприятий по защите персональных данных в интересах департамента.

1.4. На время отсутствия ответственного за организацию обработки персональных данных его обязанности исполняет лицо, назначенное приказом департамента. Данное ответственное лицо наделяется правами и несёт ответственность за надлежащее исполнение возложенных на него обязанностей.

1.5. Ответственный за организацию обработки персональных данных в своей работе руководствуется следующими нормативно-правовыми и организационно-распорядительными документами в области обработки и защиты персональных данных:

Федеральным законом от 27 июля 2008 г. N 152 "О персональных данных";

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату названного Федерального закона следует читать как "от 27 июля 2006 г. N 152-ФЗ"

Постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

приказом Федеральной службы по техническому и экспортному контролю Российской Федерации (далее - ФСТЭК России) от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

приказом ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

настоящей инструкцией ответственного за организацию обработки персональных данных в департаменте по регулированию контрактной системы Краснодарского края (далее - Инструкция);

руководящими и нормативными документами регуляторов Российской Федерации в области обработки и обеспечения безопасности информации (в том числе персональных данных).

1.6. Иные должностные лица Департамента по мере необходимости могут быть ознакомлены с основными положениями настоящей Инструкции.

2. Задачи ответственного за организацию обработки персональных данных в департаменте

На ответственного за организацию обработки персональных данных возложены следующие задачи:

2.1. организация внутреннего контроля за соблюдением сотрудниками департамента норм законодательства Российской Федерации по обработке персональных данных, в том числе требований, предъявляемых к защите персональных данных;

2.2. организация внутреннего контроля за разработкой, внедрением и актуализацией локальных актов по вопросам обработки персональных данных;

2.3. контроль за доведением до сведения сотрудников департамента, непосредственно осуществляющих обработку персональных данных, положений законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных, и проведение обучения указанных сотрудников;

2.4. контроль за организацией комплексной защиты объектов информатизации департамента, а именно:

1) информационных ресурсов, представленных в виде документированной информации на магнитных, оптических носителях, информативных физических полей, информационных массивов и баз данных, содержащих персональные данные субъектов департамента;

2) средств и систем информатизации (средств вычислительной техники, информационно-вычислительных комплексов, локальных вычислительных сетей и корпоративных информационных систем), программных средств (операционных систем, систем управления базами данных, другого общесистемного и прикладного программного обеспечения), автоматизированных систем управления информационными, управленческими и технологическими процессами, систем связи и передачи данных, технических средств приёма, передачи и обработки информации (звукозаписи, звукоусиления, звуковоспроизведения, переговорных устройств и других технических средств обработки графической и буквенно-цифровой информации), используемых для реализации процессов ведения деятельности, обработки информации, содержащей персональные данные субъектов департамента;

2.5. организация защиты персональных данных субъектов информатизации департамента;

2.6. разработка и проведение организационных мероприятий, обеспечивающих безопасность объектов информатизации, своевременное выявление и устранение возможных каналов утечки информации;

2.7. организация проведения работ по технической защите информации на объектах информатизации, в информационно-вычислительных сетях, системах и средствах связи и телекоммуникаций департамента;

2.8. реализация технических мер, обеспечивающих своевременное выявление возможных технических каналов утечки информации;

2.9. организация контроля состояния и проведение оценки эффективности системы обеспечения информационной безопасности персональных данных, а также реализация мер по её совершенствованию;

2.10. внедрение в информационную инфраструктуру департамента современных методов и средств обеспечения информационной безопасности.

3. Функции ответственного за организацию обработки персональных данных в департаменте

Для решения поставленных задач ответственный за организацию обработки персональных данных осуществляет следующие функции:

3.1. участие в разработке и внедрении правовых, организационных и технических мер по комплексному обеспечению безопасности персональных данных;

3.2. контроль обеспечения соблюдения режима конфиденциальности при обработке персональных данных и внесение предложений по соблюдению такого режима;

3.3. разработка планов по защите персональных данных на объектах департамента;

3.4. контроль выполнения мер по защите персональных данных, анализ материалов контроля, выявление недостатков и нарушений. Разработка и реализация мер по их устранению;

3.5. контроль выполнения плановых заданий, договорных обязательств, а также сроков, полноты и качества работ по защите персональных данных, выполняемых учреждениями и организациями, имеющим лицензию на соответствующий вид деятельности;

3.6. разработка и внесение предложений по обеспечению финансирования работ по защите персональных данных, в том числе выполняемых по договорам;

3.7. участие в проведении работ по технической защите информации на объектах информатизации департамента. Оценка эффективности принятых мер по технической защите информации;

3.8. внесение предложений по обеспечению выбора, установке, настройке и эксплуатации средств защиты информации в соответствии с организационно-распорядительной и эксплуатационной документацией;

3.9. участие в организации доступа сотрудников департамента к персональным данным в соответствии с возложенными на них должностными обязанностями и подготовка предложений по организации такого доступа;

3.10. разработка и внедрение локальных актов, определяющих перечень сотрудников департамента, имеющих доступ к персональным данным;

3.11. контроль размещения устройств ввода (отображения) информации, исключающего её несанкционированный просмотр;

3.12. участие в разработке и реализации политики по работе с инцидентами информационной безопасности, в части обработки персональных данных;

3.13. внесение предложений по актуализации внутренней организационно-распорядительной документации по защите персональных данных при изменении существующих и выходе новых нормативных правовых документов по вопросам обработки персональных данных и подготовка соответствующих необходимых проектов документов.

4. Права ответственного за организацию обработки персональных данных в департаменте

Ответственный за организацию обработки персональных данных имеет право:

4.1. осуществлять контроль за деятельностью структурных подразделений департамента по выполнению ими требований по защите персональных данных;

4.2. составлять акты, докладные записки, отчёты для рассмотрения руководителем департамента, при выявлении нарушений порядка обработки персональных данных;

4.3. принимать необходимые меры при обнаружении несанкционированного доступа к персональным данным как сотрудниками департамента, так и третьими лицами и докладывать о принятых мерах руководителю департамента с предоставлением информации о субъектах информатизации, нарушивших режим доступа;

4.4. вносить на рассмотрение руководителю департамента предложения, акты, заключения о приостановлении работ автоматизированных рабочих станций в случае обнаружения каналов утечки (или предпосылок к утечке) информации ограниченного доступа;

4.5. давать структурным подразделениям департамента, а также отдельным специалистам обязательные для исполнения указания по вопросам, входящим в компетенцию ответственного за организацию обработки персональных данных;

4.6. запрашивать и получать от всех структурных подразделений департамента сведения, справочные и другие материалы, необходимые для осуществления деятельности ответственного за организацию обработки персональных данных;

4.7. составлять акты и другую техническую документацию о степени защищённости объектов информатизации;

4.8. готовить и вносить предложения на проведение работ по защите персональных данных, о привлечении к проведению работ по оценке эффективности защиты персональных данных на объектах департамента (на договорной основе) учреждений и организаций, имеющих лицензию на соответствующий вид деятельности, о закупке необходимых технических средств защиты и другой спецтехники, имеющих в обязательном порядке сертификат соответствия;

4.9. осуществлять визирование договоров с учреждениями и организациям, имеющих лицензию на соответствующий вид деятельности с целью правового обеспечения передачи им персональных данных субъектов департамента в ходе выполнения работ по этим договорам;

4.10. представлять интересы департамента при осуществлении государственного контроля и надзора за обработкой персональных данных уполномоченным органом по защите прав субъектов персональных данных.

5. Взаимоотношения (служебные связи)

Ответственный за организацию обработки персональных данных выполняет свои задачи осуществляя взаимодействие со всеми структурными подразделениями департамента.

Для выполнения своих функций и реализации предоставленных прав ответственный взаимодействует с территориальными и региональными подразделениями Федеральной службы по техническому и экспортному контролю, Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, Федеральной службы безопасности Российской Федерации, Министерства внутренних дел Российской Федерации и другими представителями исполнительной власти и организациями, предоставляющими услуги и выполняющими работы в области защиты персональных данных на законном основании.

6. Ответственность

Ответственный за организацию обработки персональных данных несёт ответственность за надлежащее и своевременное выполнение возложенных задач и функций по организации обработки персональных данных в департаменте в соответствии с положениями законодательства Российской Федерации в области персональных данных.

Заместитель начальника информационно-аналитического сопровождения

И.М. Мусин