Приложение. Положение об обработке и защите персональных данных работников администрации Абатского муниципального района. Распоряжение Администрации Абатского муниципального района Тюменской области от 17.07.2020 N 455 "Об утверждении Положения об обработке и защите персональных данных работников администрации Абатского муниципального района"

Приложение
к распоряжению
администрации
Абатского муниципального района
от 17.07.2020 г. N 455

Положение
об обработке и защите персональных данных работников администрации Абатского муниципального района

1. Общие положения

Настоящее Положение об обработке и защите персональных данных работников администрации Абатского муниципального района (далее - Положение) разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом Российской Федерации от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных", Указом Президента Российской Федерации от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера" и иными нормативными и правовыми актами, регулирующими процессы обработки персональных данных (далее - ПДн).

Настоящее Положение определяет порядок обработки и защиты персональных данных работников администрации Абатского муниципального района (далее - Администрация).

Персональные данные, обрабатываемые в Администрации, отнесены к сведениям конфиденциального характера.

Режим конфиденциальности ПДн в Администрации снимается в случаях их обезличивания.

Удаление ПДн из информационных систем и (или) уничтожение материальных носителей, содержащих ПДн, в случаях, когда их обезличивание нецелесообразно или невозможно реализовать для применяемой технологии хранения, без нарушения структуры носителя, осуществляются по истечению срока действия согласия об обработке ПДн или ином законном основании, не нарушающем права субъекта ПДн.

2. Состав, обрабатываемых ПДн

В ИСПДн Программный продукт "Парус", программа подготовки отчетных документов СБИС Уполномоченная бухгалтерия, АЦК "Финансы" обрабатываются ПДн работников администрации Абатского муниципального района:

- ФИО;

- дата рождения;

- место рождения;

- гражданство;

- пол;

- адрес прописки/места жительства;

- семейное положение;

- сведения об образовании;

- серия, номер, дата выдачи и орган, выдавший удостоверение личности;

- серия, номер, дата выдачи и орган, выдавший свидетельство о рождении;

- серия, номер, дата выдачи и орган, выдавший свидетельство о браке;

- ИНН;

- реквизиты счетов в банках;

- СНИЛС.

3. Принципы обработки ПДн

1. Обработка ПДн в Администрации осуществляется на основе следующих принципов:

- законности целей и способов обработки ПДн и добросовестности;

- соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям Администрации;

- соответствия объема и характера обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;

- достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;

- недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем ПДн.

2. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, но не дольше, чем этого требуют цели их обработки. ПДн подлежат уничтожению по достижению целей обработки или в случае утраты необходимости в их достижении.

3. Субъект ПДн является собственником своих ПДн и самостоятельно решает вопрос передачи Учреждению своих ПДн.

4. Держателем ПДн является сама Администрация, которому субъект ПДн добровольно передает во владение свои ПДн. Администрация выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.

5. Потребителями (пользователями) ПДн являются юридические и физические лица, обращающиеся к собственнику и (или) держателю ПДн за получением необходимых сведений и пользующиеся ими без права передачи, разглашения.

6. Получение, хранение, комбинирование, передача или любое другое использование ПДн субъекта ПДн может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников и контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

7. Обработка ПДн сотрудников осуществляется для обеспечения соблюдения законов и иных нормативных правовых актов, обучении, продвижении по службе, обеспечения личной безопасности работника, контроля качества и количества выполняемой работы и обеспечения сохранности имущества, оплаты труда, пользования льготами, предусмотренными законодательством Российской Федерации и актами работодателя.

4. Требования к обработке и защите ПДн, обрабатываемых без использования средств автоматизации

4.1. Требования к неавтоматизированной обработке ПДн

Обработка ПДн, содержащихся в информационной системе ПДн либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются при непосредственном участии человека.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн (далее - материальные носители), в специальных разделах или на полях форм (бланков).

При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн должен использоваться отдельный материальный носитель.

Лица, осуществляющие обработку ПДн без использования средств автоматизации, должны быть ознакомлены с данным Положением, и должны соблюдать правила неавтоматизированной обработки ПДн.

При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее - типовая форма), должны соблюдаться следующие условия:

- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации, имя (наименование) и адрес Администрации, фамилию, имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых Администрацией способов обработки ПДн;

- типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации (при необходимости получения письменного согласия на обработку ПДн);

- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;

- типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.

При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн, должны быть приняты меры по обеспечению раздельной обработки ПДн, в частности:

- при необходимости использования или распространения определенных ПДн отдельно от находящихся на том же материальном носителе других ПДн осуществляется копирование ПДн, подлежащих распространению или использованию, способом, исключающим одновременное копирование ПДн, не подлежащих распространению и использованию, и используется (распространяется) копия ПДн;

- при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию.

Уничтожение или обезличивание части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

Уточнение ПДн при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными ПДн.

4.2. Требования к защите ПДн, обрабатываемых без использования средств автоматизации

К обработке ПДн, осуществляемой без использования средств автоматизации, допускаются сотрудники Администрации по списку, утвержденному ответственным за организацию обработки персональных данных в администрации Абатского муниципального района.

Обработка ПДн, осуществляемая без использования средств автоматизации, может осуществляться только в помещениях, доступ к которым ограничен.

Для ПДн обработка которых, осуществляется без использования средств автоматизации, необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.

Материальные носители ПДн должны сохраняться в местах, где можно обеспечить сохранность ПДн и исключающие несанкционированный к ним доступ (сейфы, закрываемые шкафы, помещения, доступ к которым ограничен).

ГАРАНТ:

Нумерация разделов приводится в соответствии с источником

Требования к обработке и защите ПДн, обрабатываемых в информационных системах ПДн Администрации

Обработка ПДн - это получение, хранение, комбинирование, передача или любое другое использование ПДн.

Контроль выполнения требований по защите ПДн в Администрации возложен на ответственного за организацию обработки ПДн.

Передача ПДн может быть осуществлена в органы государственной власти Российской Федерации при условии наличия официального запроса, удостоверяющего цели и основные требования, какие ПДн необходимы, при наличии согласия субъекта ПДн на передачу своих ПДн или без такого согласия в случаях, установленных законодательством.

Передача ПДн при иных условиях в другие учреждения может быть осуществлена только при наличии правового или иного основания на передачу, не противоречащего законодательству Российской Федерации.

5.1. Обработка ПДн сотрудников Администрации

5.1.1. Основание для обработки ПДн

Обработка осуществляется на основании норм Трудового кодекса Российской Федерации.

5.1.2. Цели обработки ПДн

Обработка ПДн сотрудников осуществляется для обеспечения соблюдения законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, обучении, продвижении по службе, обеспечения личной безопасности работника, контроля качества и количества выполняемой работы и обеспечения сохранности имущества, оплаты труда, пользования льготами, предусмотренными законодательством Российской Федерации и актами работодателя.

5.1.3. Согласие на обработку ПДн

На основании норм Трудового кодекса Российской Федерации (ст. 86), а также исходя из положений п. 2 ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", обработка ПДн осуществляется работодателем без письменного согласия работника, за исключением случаев, предусмотренных федеральным законом.

5.1.4. Получение ПДн

Все ПДн о работнике работодатель может получить у него самого. Работник обязан предоставлять работодателю достоверные сведения о себе и своевременно сообщать ему об изменении своих ПДн. Работодатель имеет право проверять достоверность сведений, предоставленных работником, сверяя данные, предоставленные работником, с имеющимися у работника документами. В случаях, когда работодатель может получить необходимые ПДн работника только у третьего лица, работодатель должен уведомить об этом работника и получить от него письменное согласие.

5.1.5. Хранение ПДн

Персональные данные работника хранятся в отделе организационной, правовой и кадровой работы администрации Абатского муниципального района. Личные дела хранятся в бумажном виде в папках и располагаются в сейфе.

Персональные данные работника хранятся также в электронном виде в ИСПДН программный продукт "Парус", программа подготовки отчетных документов СБИС Уполномоченная бухгалтерия, АЦК "Финансы".

Доступ к электронным базам данных, содержащим ПДн работников, обеспечивается аутентификацией по логину/паролю пользователей ИСПДН программный продукт "Парус", программа подготовки отчетных документов СБИС Уполномоченная бухгалтерия, АЦК "Финансы".

Учетные записи доступа к ИСПДН программный продукт "Парус", программа подготовки отчетных документов СБИС Уполномоченная бухгалтерия, АЦК "Финансы" создаются администратором безопасности информации, пароли доступа к автоматизированной системе создаются пользователями этой системы индивидуально с учетом политики сложности паролей.

Хранение ПДн работников на материальных носителях и в иных автоматизированных системах может осуществляться только в соответствии с нормативно-правовыми актами администрации Абатского муниципального района в порядке исключающим к ним доступ третьих лиц.

Сотрудник работодателя, имеющий доступ к ПДн работников в связи с исполнением трудовых обязанностей обеспечивает хранение информации, содержащей ПДн работника, исключающее доступ к ним третьих лиц.

В отсутствие сотрудника, на его рабочем месте не должно быть документов, содержащих ПДн работников.

При уходе в отпуск, служебной командировке и иных случаях длительного отсутствия работника на своем рабочем месте, он обязан передать документы и иные носители, содержащие ПДн работников лицу, на которое распоряжением Администрации будет возложено исполнение его трудовых обязанностей.

При увольнении сотрудника, имеющего доступ к ПДн работников, документы и иные носители, содержащие ПДн работников, передаются другому сотруднику, имеющему доступ к ПДн работников по указанию руководителя структурного подразделения.

5.1.6. Места передачи ПДн

ПДн периодически передаются в:

- Военный комиссариат по городу Ишим, Ишимскому и Абатскому районам (в отношении сотрудников администрации Абатского муниципального района);

- Пенсионный фонд Российской Федерации (в отношении сотрудников администрации муниципального района и в рамках исполнения обязанностей отделом ЗАГС администрации Абатского муниципального района);

- Территориальный фонд обязательного медицинского страхования (в отношении сотрудников администрации Абатского муниципального района)

- негосударственным пенсионным фондам (в отношении сотрудников администрации Абатского муниципального района);

- Фонд социального страхования Российской Федерации (в отношении сотрудников администрации Абатского муниципального района и в рамках исполнения обязанностей отделом ЗАГС администрации Абатского муниципального района);

- ФНС России (в отношении сотрудников администрации Абатского муниципального района и в рамках исполнения обязанностей отделом ЗАГС администрации Абатского муниципального района);

- финансово-кредитным организациям (в отношении сотрудников администрации Абатского муниципального района при перечислении заработной платы);

- правоохранительным органам, прокуратуре и судебным органам (по официальному запросу);

- в рамках организации медицинской помощи в медицинские организации.

5.2. Доступ к ПДн

Доступ к ПДн имеют сотрудники Администрации, которым ПДн необходимы в связи с исполнением ими трудовых обязанностей согласно утвержденному списку лиц доступа к ПДн.

В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией Главы района, доступ к ПДн работника может быть предоставлен иному работнику, должность которого не включена в список лиц, имеющих доступ к ПДн работника Администрации, и которым они необходимы в связи с исполнением трудовых обязанностей.

В исключительных случаях, исходя из договорных отношений с контрагентом, допускается наличие в договорах пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту ПДн.

Сотрудники работодателя, имеющие доступ к ПДн, имеют право получать только те ПДн, которые необходимы им для выполнения конкретных трудовых функций.

Допуск к ПДн других сотрудников Администрации, не имеющих надлежащим образом оформленного доступа, запрещается.

Субъект имеет право на свободный доступ к своим ПДн, включая право на получение копии любой записи (за исключением случаев, предусмотренных федеральным законом), содержащей его ПДн. Субъект имеет право вносить предложения по внесению изменений в свои данные в случае обнаружения в них неточностей.

При передаче ПДн Субъекта, сотрудники Администрации предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и истребуют от этих лиц письменное обязательство.

Передача (обмен и т.д.) ПДн между подразделениями Администрации осуществляется только между сотрудниками, имеющими доступ к ПДн.

Передача ПДн третьим лицам осуществляется только с письменного согласия субъекта ПДн, которое оформляется по установленной форме.

Согласия субъекта ПДн на передачу его ПДн третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта ПДн, а также в случаях, установленных федеральным законом и настоящим Положением.

Не допускается передача ПДн субъекта ПДн в коммерческих целях без его письменного согласия.

Представителю субъекта ПДн (в том числе адвокату) ПДн передаются в порядке, установленном действующим законодательством и настоящим Положением.

Предоставление ПДн субъекта ПДн государственным органам производится в соответствии с требованиями действующего законодательства и настоящего Положения.

Персональные данные субъекта ПДн могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта ПДн, за исключением случаев, когда передача ПДн работника без его согласия допускается действующим законодательством Российской Федерации.

Документы, содержащие ПДн субъекта ПДн, могут быть отправлены через организацию федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие ПДн вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством предусмотрена ответственность. Далее, конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.

При организации доступа к ПДн лицам, не являющихся сотрудниками Администрации, необходимо выполнение всех требований по обеспечению безопасности, установленных для сотрудников Администрации.

5.3. Общий порядок организации работ по обеспечению безопасности ПДн при их обработке в ИСПДн

Обеспечением безопасности ПДн в Администрации занимаются ответственный за организацию обработки ПДн и администратор безопасности информации.

Все ПДн, обрабатываемые в Администрации, хранятся на материальных носителях. Хранение и передача ПДн на других носителях информации, может осуществляться только с разрешения руководства Администрации.

Каждый сотрудник Администрации перед обработкой ПДн должен ознакомиться с обязанностями о конфиденциальности ПДн, с которыми он будет работать.

Для обеспечения безопасности ПДн при их обработке в Администрации, каждый сотрудник обязан выполнять требования о конфиденциальности информации, и не использовать ПДн, к которым он получил доступ в процессе исполнения трудовых обязанностей для целей не связанных с исполнением его трудовых обязанностей.

Каждый сотрудник Администрации при передаче ПДн другим сотрудникам Администрации должен контролировать, наличие доступа у принимающего сотрудника на обработку ПДн.

При увольнении, сотрудники Администрации должны передавать все обрабатываемые ими ПДн, находящие на бумажных и электронных носителях информации, своим непосредственным начальникам.

5.4. Порядок обработки инцидентов нарушения безопасности ПДн

Под инцидентом информационной безопасности будем понимать событие, являющееся следствием одного или нескольких нежелательных или неожиданных событий ИБ, имеющих значительную вероятность компрометации ПДн одного или нескольких субъектов.

Каждый пользователь ИСПДн при обнаружении инцидента безопасности, относящегося к ПДн должен сообщить о данном факте ответственному за организацию обработки ПДн или руководству Администрации, и в дальнейшем содействовать информационным и иными способами успешному расследованию данного инцидента.

При обнаружении нарушения характеристик безопасности ИСПДн пользователи обязаны приостановить обработку ПДн до выявления причин нарушений и их устранения.

В Администрации для обработки инцидентов безопасности ПДн создана группа реагирования на инциденты безопасности ПДн, в состав которой входят:

- ответственный за организацию обработки ПДн;

- администратор безопасности информации в ИСПДн.

Общая схема обработки инцидентов выглядит следующим образом:

1. Пользователь ИСПДн обнаружил инцидент;

2. Пользователь оповещает группу реагирования на инциденты безопасности ПДн;

3. Сотрудник группы реагирования на инциденты на базе информации пользователя составляет отчет по факту заявки пользователя;

4. При подтверждении наличия инцидента безопасности ПДн сотрудник группы реагирования на инциденты производит детальный сбор информации и анализ результатов инцидента;

5. Далее вырабатывается план обработки инцидента безопасности;

6. После исполнения действий по плану обработки инцидента, специалист группы реагирования на инциденты выполняет анализ эффективности предпринятых действий, при необходимости повторяется действия с шага 4;

7. Специалист группы реагирования на инциденты составляет отчет об обработке инцидента безопасности ПДн.

Если в результате анализа инцидента определенно, что информация о субъектах ПДн не является точной и/или не доступна, то пользователи ИСПДн должны прекратить обработку ПДн этого субъекта до разрешения инцидента группой реагирования на инциденты безопасности ПДн, и при необходимости проинформировать субъекта ПДн о невозможности предоставления услуги обработки ПДн.

Инциденты безопасности ПДн обрабатываются по мере загруженности специалистов группы реагирования на инциденты, максимально в срок 5 рабочих дней.

6. Порядок обучения администраторов и пользователей ИСПДн

Все пользователи ИСПДн проходят ознакомление с правилами безопасной работы с ПДн перед началом обработки ПДн, указанные в данном Положении.

Пользователи ИСПДн проходят обучение по вопросам обеспечения защиты ПД каждые 2 года и проходят аттестацию на знание инструкций по обеспечению безопасности Пд каждый год.

Каждый пользователь ИСПДн обязан соблюдать требования по обеспечению безопасности ПДн указанные в регламентах и инструкциях, при невыполнении требований по защите ПДн, пользователь ИСПДн допустивший реализацию угрозы безопасности ПДн несет уголовную, административную и иные виды ответственностей в соответствии с действующим законодательством и ответственность, указанную в регламентах и требованиях по защите информации.

Администраторы информационной безопасности проходят обучение по вопросам обеспечения безопасности ПДн каждые 3 года или чаще. Каждый год администраторы ИБ проходят аттестации знаний по обеспечению безопасности информации. Администраторы ИБ в обязательном порядке до осуществления своих непосредственных обязанностей должны ознакомиться с инструкциями по работе с ИСПДн и со средствами защиты информации. Администраторы ИБ несут ответственность за не правильную настройку средств защиты информации, повлекшую в итоге реализацию одной или нескольких угроз безопасности информации.

Администраторы информационных систем и другие пользователи, имеющие доступ к ИСПДн, перед началом работы с ИСПДн должны ознакомиться и подписать инструкции и регламенты по обеспечению безопасности ПДн. При несоблюдении требований по обеспечению безопасности ПДн администраторы информационных систем и другие пользователи, имеющие доступ к ИСПДн, несут ответственность, указанную в регламентах и инструкциях, за не правильную настройку средств защиты информации (не соответствующую регламентам) повлекшую в итоге реализацию одной или нескольких угроз безопасности информации.

6.1. Порядок ведения и периодической проверки электронного журнала обращений пользователей информационной системы к ПДн

Список всех пользователей ИСПДн обрабатывающих ПДн должен быть закреплен документально и утвержден ответственным за организацию обработки персональных данных в администрации Абатского муниципального района.

Списки пользователей ИСПДн по мере изменения их содержания должны актуализироваться и также утверждаться ответственным за организацию обработки персональных данных в администрации Абатского муниципального района.

Матрица доступа пользователей ИСПДн к ПДн должна быть актуальной относительно наличия прав доступа пользователей к защищаемой информации. Каждые 6 месяцев должна проводиться проверка актуальности записей, указанных в матрице доступа реально назначенным разрешениям пользователей ИСПДн к ПДн.

6.2. Ответственность за нарушение норм, регулирующих обработку и защиту ПДн работника

Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, содержащему ПДн, несет персональную ответственность за данное разрешение.

Каждый сотрудник Администрации, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым Кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.