области (далее Организация) в области обработки их ПД. 1.2. Данные Правила вводятся в действие и изменяются приказом начальника биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»


Чтобы посмотреть этот PDF файл с форматированием и разметкой, скачайте файл и откройте на своем компьютере.
Правила обработки персональных данных 2013 г. УТВЕРЖДАЮ Начальник управления энергетики и тарифов Липецкой области (наименование организации) __________________________ ____________ В.И. Чунихин (подпись) (ФИО) « 28 » августа 20 13 г. 2 Оглавление 1. Назначение ................................ ................................ ................................ ................................ .............................. 3 2. Термины, определения и сокращени я ................................ ................................ ................................ .................. 3 3. Общие положения ................................ ................................ ................................ ................................ .................. 4 4 . Перечень участников процесса, их ответственность и функции ................................ ................................ ....... 6 5. Основные положения ................................ ................................ ................................ ................................ ............. 7 6. Обработка персональных данных ................................ ................................ ................................ ......................... 7 7. Перечень ИСПДн Организации и обрабатываемых персональных данных ................................ ..................... 8 8. Получение Персональных данных ................................ ................................ ................................ ........................ 9 9. Хранение и уничтожение персональных данных. ................................ ................................ ............................... 9 10. Использование Персональных данных Субъекта ................................ ................................ ............................ 11 11. Передача Персональных данных Субъекта третьим лицам ................................ ................................ ........... 11 12. Поручение обработки Персональных данных Субъекта третьим лицам ................................ ...................... 12 13. Защита персональных данных ................................ ................................ ................................ ........................... 12 14. Требования по соблюдению безопасности ПДн при их обработке в ИСПДн ................................ .............. 13 15. Права и обязанности субъектов персональных данных ................................ ................................ ................. 16 16. Ответственность ................................ ................................ ................................ ................................ ................. 16 17. Актуализация ................................ ................................ ................................ ................................ ...................... 17 Приложе ние 1 ................................ ................................ ................................ ................................ ........................... 18 Приложен ие 2 ................................ ................................ ................................ ................................ ........................... 19 Приложение 3 ................................ ................................ ................................ ................................ ........................... 20 Приложение 4 ................................ ................................ ................................ ................................ ........................... 21 Приложение 5 ................................ ................................ ................................ ................................ ........................... 2 2 Приложение 6 ................................ ................................ ................................ ................................ ........................... 2 4 Приложение 7 ................................ ................................ ................................ ................................ ........................... 2 6 3 1. Назначение 1.1. Настоящие Правила обработки персональных данных (далее – Правила) имеют своей целью закрепление механизмов обеспечения пра в субъекта на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах его жизни, определяют основные требования к порядку сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, распространения ( в том числе передачи), блокирования уничтожения (далее – обработки) персональных данных (далее – ПД), а также права и обязанности работников управления энергетики и тарифов Липецкой области (далее Организация) в области обработки их ПД. 1.2. Данные Правила ввод ятся в действие и изменяются приказом начальник а Организации. 2. Термины, определения и сокращения Для целей настоящих Правил используются следующие термины: Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятел ьно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональным и данными. В рамках настоящих Правил оператором является – Организация. Персональные данные - любая информация, относящаяся к определенному или определяемому физическому лицу (субъекту персональных данных). Субъект персональных данных - физическое лицо, ко торое прямо или косвенно определено или определяемо с помощью персональных дан ных . Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, нако пление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу(распространение, предоставление, доступ ), обезличивание, блокирование , удаление, уничтожение персональных данных. Автоматизированная обработка персональных данных – об работка персональных данных с помощью средств вычислительной техники. Конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным Субъектов, требование не допускать их расп ространения без согласия Субъекта или иного законного основания. 4 Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Предоставление персональных данных – действия, направленные на раскрыт ие персональных данных определенному лицу или определенному кругу лиц. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. Обезл ичивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Информационная система персональных дан ных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государс тва органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. 3. Общие положения 3.1. Цели Целями данных Правил являются: - определение порядка обработки ПД с целью осуществления основной деятельности Организации, п редусмотренной Положением Организации и действующим законодательством Российской Федерации;  обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;  установление ответственности работников, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту ПД;  приведение деятельности по обработке ПД в соответствие с требованиями законодательства по за щите ПД. 5 3.2. Принципы обработки ПД:  Обработка персональных данных должна осуществляться на законном и справедливом основании.  Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускаетс я обработка персональных данных, несовместимая с целями сбора персональных данных.  Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.  Обработке подлежат только персона льные данные, которые отвечают целям их обработки.  Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обр аботки.  При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обес печивать их принятие по удалению или уточнению неполных или неточных данных.  Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, е сли срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению по достиже нии целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. 3.3. Нормативные ссылки Данные Правила разработаны с учетом требований следующих законодательных и нормативных актов:  Федеральны й закон от 27.07.2006 № 152 - ФЗ «О персональных данных»;  Федеральный закон от 27.07.2006 № 149 - ФЗ «Об информации, информационных технологиях и о защите информации»;  Федеральный закон от 19.12.2005 №160 - ФЗ «О ратификации Конвенции Совета Европы о защите физи ческих лиц при автоматизированной Обработке персональных данных»;  Трудовой Кодекс Российской Федерации от 30.12. 2001 № 197 - ФЗ; 6  Приказ ФСТЭК от 18 .02. 2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасност и персональных данных при их обработке в информационных системах персональных данных»;  Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях Обработки персональных данных, осуществляемой без использо вания средств автоматизации»;  Постановление Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;  Пост ановление Правительства РФ от 21 .03. 2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, опе раторами, являющимися государственными или муниципальными органами»;  Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;  Информационное сообщение об особенностях защиты персональных данных при их обработке в информационных системах персональных данных и сертификации средств защиты информации, предназначенных для з ащиты персональных данных от 20.11. 2012 № 240/24/4669. 4. Перечень участнико в процесса, их ответственность и функции Участник процесса Ответственность Функции Сотрудники, ответственные за ведение кадрового учета Сохранение конфиденциальности ПД Работника и физических лиц, намеревающихся вступить в трудовые отношения с Организаци ей. Получение согласия Субъекта ПД на обработку своих ПД. Обработка ПД Работника и физических лиц, намеревающихся вступить в трудовые отношения с Организацией. Работник, ответственный за обработку ПДн граждан, не являющихся работниками Организации Сохране ние конфиденциальности ПД. Получение согласия Субъекта ПД на обработку своих ПД. Обработка ПД граждан, не являющихся работниками Организации. Передача ПД по запросу уполномоченным лицам. Работник Своевременность и правильность предоставления своих ПД. П редоставление своих ПД ответственному работнику. Уведомление ответственного работника об изменении своих ПД. Отдел информационных Обеспечение безопасности ПД Проведение мероприятий, 7 Участник процесса Ответственность Функции технологий, владельцы информационных систем при их обработке в информационных системах ПД. Учет лиц, допущенных к работе с ПД. направленных на предотвращение НСД к ПД. Обеспечение возможности восстановления ПД при их несанкционированной модификации или уничтожении. Учет и плановая ревизия Перечня лиц, допущенных к работе с ПД. Работник, ответственный за защиту ПД Организация, координация и контроль деятельности по обеспечению защиты ПД. Оказание структурным подразделениям методической помощи по вопросам защиты ПД. Подготовка и проведение комплекса мероприятий по защите ПД. Ра зработка методических материалов и инструкций по обработке и защите ПД. Пользователь ИСПДн Соблюдение требований по режиму обработки ПД. Соблюдение требований по режиму обработки ПД, учету, хранению и пересылке носителей информации, обеспечению безопаснос ти ПД: соблюдение требований по режиму обработки ПД, учету, хранению и пересылке носителей информации, обеспечению безопасности ПД; соблюдений требований парольной политики; соблюдения правил по работе в сетях общего доступа. 5. Основные положения 5.1. В состав ПД, обрабатываемых в Организации, входят ПД Субъектов, полученные от самих Субъектов или третьих лиц. 5.2. Персональные данные граждан, подлежащие обработке в информационных системах Организации – это информация о физическом лице, необходимая Орган изации для осуществления деятельности, предусмотренной Положением . 5.3. Персональные данные работника – это информация, необходимая Организации для исполнения требований трудового законодательства и выполнения условий трудового договора с работником. ПД ра ботника содержатся в основных документах персонального учёта работников, хранящихся в личном деле работника, в информационных системах Организации в других документах. 5.4. Правовое основание обработки персональных данных: – Конституция Российской Федераци и; 8 – Трудовой Кодекс Российской Федерации от 30.12.2001 № 197 - ФЗ ;  Федеральный закон от 27.07.2006 № 152 - ФЗ «О персональных данных»; – Положение об управлении энергетики и тарифов Липецкой области, утвержденно е распоряжени ем администрации области от 27.07. 2010 года №280 - р ; – должностной реглам ент государственного служащего. 6. Обработка персональных данных 6.1. Обработка ПД Субъекта – получение, хранение, комбинирование, передача или любое другое использование ПД физического лица. Обработка ПД Субъекта осу ществляется для обеспечения соблюдения законов и иных нормативных правовых актов, предусмотренных законодательством РФ, а также осуществления основной деятельности Организации. 6.2. Обработка ПД осуществляется смешанным способом (как автоматизированная, та к и неавтоматизированная обработка) путем сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, распространения (в том числе передачи), блокирования, уничтожения, а также осуществления иных действий с учетом требова ний действующего законодательства Российской Федерации. Полученная в ходе обработки ПД информация может передаваться на бумажных носителях, электронных носителях, а также по внутренней сети Организации, а также с использованием сети Интернет по защищенным каналам связи и доступна лишь строго определенному кругу лиц. 7. Перечень ИСПДн Организации обрабатываемых персональных данных 7.1. Ниже перечислены все ИСПДн, функционирующие в Организации : В ИСПДн « Сотрудники » обрабатываются иные категории персональных данных , менее чем 100 0 00 субъектов персональных данных, являющихся сотрудниками оператора. Для данной ИСПДн актуальны угрозы 3 - го типа, на основании чего устанавливается 4 - ый уровень защищенности ПДн. ИСПДн «Сотрудники» включает следующие ПДн работников О рганизации:  ФИО;  дата рождения;  место рождения;  пол;  гражданство;  семейное положение;  паспортные данные;  стаж работы; 9  данные свидетельств о регистрации брака и рождении детей;  ИНН;  СНИЛС. 7.2. Организация не имеет права получать и обрабатывать ПД Субъекта, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных федеральным законом. В случаях, непосредственно связанных с вопросам и трудовых или иных договорных отношений с Субъектом, Организация имеет право выполнять обработку перечисленных выше категорий ПД только с письменного согласия Субъекта. 8. Получение Персональных данных 8.1. Все персональные данные следует получать непоср едственно от субъекта персональных данных или от третьих лиц в рамках исполнения договоров. Субъект самостоятельно принимает решение о предоставление своих персональных данных и дает письменное согласие на их обработку оператором ( П риложение № 1) . 8.2. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных. 8.3. В случае смерти субъекта персональных данных согласие на обработку его персональных данных даю т наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни. 8.4. Письменное согласие не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон к оторого является субъект персональных данных. 8.5. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. Согласие может быть отозвано также законным представителем субъекта персональных данных. Форма отзыва согласия н а обработку персональных данных представлена в Приложении № 2 к настоящим Правилам. 8.6. Запрещается получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни. 8.7. Запрещается получать и обрабат ывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами. 9. Хранение и уничтожение персональных данных. 9.1. Хранение ПД Субъектов осущес твляется следующими способами: 10  в бумажном виде;  на электронных носителях автоматизированных рабочих мест, в том числе мобильных носителей;  в информационных системах. 9.2. Персональные данные Субъекта, представленные в бумажном виде, хранятся в подразделени ях Организации, которые отвечают за взаимодействие с этим Субъектом или в организации, с которой Организация заключила договор о поручении обработки персональных данных. При фиксации ПД на материальных носителях не допускается фиксация на одном материально м носителе ПД, цели обработки которых заведомо не совместимы. Материальные носители ПД, представленные в бумажном виде, должны храниться в сейфе, в запираемом металлическом шкафу или другим способом, исключающим несанкционированный доступ. 9.3. Персональны е данные Субъекта, хранимые на электронных носителях, находятся в ведении подразделений Организации, осуществляющих эксплуатацию данных автоматизированных рабочих мест или мобильных носителей. Электронные носители должны быть учтены и храниться с исключени ем несанкционированного доступа к ним. 9.4. Для обеспечения незамедлительного восстановления ПД, хранимых на электронных носителях и в информационных системах, в случае несанкционированной модификации или уничтожения, необходимо выполнять процедуры регуляр ного резервного копирования на учтенные носители, которые должны храниться с исключением несанкционированного доступа к ним. По завершении эксплуатации, электронные носители должны сниматься с учета, и очищаться с использованием средств или методов гаранти рованного уничтожения информации. 9.5. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. 9.6. Документы, содерж ащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации. 9.7. Срок хранения персональных данных определяется в соответствии с приказом Министерства культуры РФ от 25.08.2010 № 5 58 «Об утверждении перечня типовых управленческих документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления, организаций с указанием сроков хранения», сроком исковой давности, а также иными требованиями законод ательства. Срок хранения различных категорий персональных данных приведен в Прилож ении № 4 к настоящим Правилам. 11 10. Использование Персональных данных Субъекта 10.1 Допуск к ПД Субъекта имеют работники Организации, которым ПД необходимы в связи с исполнен ием ими трудовых обязанностей. Ответственные лица по работе с ПД утверждены приказом по Организации. 10.2. Допуск работника к обработке ПД должен осуществляться только после ознакомления с внутренними нормативными актами Организации, определяющими порядок обработки и защиты ПД с использованием и без использования средств автоматизации, а также с правилами использования средств защиты информации. 10.3. Все сотрудники, имеющие доступ к персональным данным субъектов, обязаны подписать соглашение о неразглашени и персональных данных. Форма соглашения о неразглашении персональных данных представлена в Приложении № 5 настоящих Правил. 11. Передача Персональных данных Субъекта третьим лицам 11.1. Передача ПД Субъекта третьим лицам осуществляется только с письменног о согласия Субъекта. 11.2. Согласия Субъекта на передачу его ПД третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта; когда согласие Субъекта на передачу его ПД третьим лицам получено от него в письменном виде при заключении договора с Организацией; когда третьи лица оказывают услуги Организации на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящими Правилами. 11.3. Передача Персональных данных Субъе ктов, осуществляется при наличии у лица, уполномоченного на их получение:  договора на оказание услуг;  соглашения о неразглашении конфиденциальности информации либо наличие в договоре с третьим лицом пунктов о неразглашении конфиденциальности информации, в том числе, предусматривающих защиту ПД Субъекта. 11.4. Персональные данные Субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого Субъекта, за исключением случаев, когда передача ПД Субъекта без его согл асия допускается действующим законодательством РФ. 11.5. Предоставление ПД Субъекта государственным органам производится в соответствии с требованиями действующего законодательства. 11.5.1. В соответствии с постановлением Правительства Российской Федерации № 228 от 16 марта 2009 года, уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых 12 коммуникаций (Роскомнадзор), а именно одно из ее управлений – Управ ление по защите прав субъектов персональных данных. 11.5.2. При поступлении запроса из Уполномоченного органа запрос регистрируется в Журнале регистрации входящей корреспонденции Организации. 11.5.3. Зарегистрированный запрос Уполномоченного органа передае тся лицу, ответственному за обработку ПД. Ответственное лицо обязано: - Осуществлять подготовку документов в соответствии с перечнем и в сроки, указанные в запросе уполномоченного органа. - В случае затребования оригиналов документов организовать подготовк у описи передачи документов. - При дополнительных запросах требующихся документов, предоставить их в указанные сроки. 12. Поручение обработки Персональных данных Субъекта третьим лицам 12.1. Обработка ПД Субъекта третьими лицами осуществляется только с пи сьменного согласия Субъекта. 12.2. Передача на обработку Персональных данных Субъекта, осуществляется при наличии у лица, уполномоченного на их обработку:  договора на оказание услуг;  соглашения о неразглашении конфиденциальности информации либо н аличие в договоре с третьим лицом пунктов о неразглашении конфиденциальности информации, в том числе, предусматривающих защиту ПД Субъекта. 13. Защита персональных данных 13.1.Организация обеспечивает защиту ПД Субъектов от неправомерного их использования или утраты с помощью комплекса организационных и технических мер. 13.2. Целями защиты ПД являются:  предотвращение несанкционированного доступа к обрабатываемым ПД;  предотвращение несанкционированных действий по модификации, искажению, распространению, бло кированию, уничтожению обрабатываемых ПД;  защита конституционных прав граждан на сохранение личной тайны и конфиденциальности ПД, обрабатываемых;  сохранение конфиденциальности обрабатываемых ПД. 13.3. Защите подлежит:  информация о ПД Субъекта; 13  документы, с одержащие ПД Субъекта;  ПД, содержащиеся на электронных и иных материальных носителях;  ПД, передаваемые по сетям связи. 13.4. Защита ПД, хранящихся в информационных системах Организации, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается комплексом организационных и технических мер подразделениями владельцами информационных систем. Данные подразделения обеспечивают также учет лиц, имеющих допуск к персональным данным. 14. Требования по соб людению безопасности ПДн при их обработке в ИСПДн 14.1. В целях обеспечения прав и свобод человека и гражданина Организация при обработке персональных данных обязано соблюдать следующие требования: 14.1.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законных и иных нормативных правовых актов. 14.1.2. Использование персональных данных возможно только в соответствии с целями, определившими их получение. 14.1.3. Персональные данные не могут быть использованы в целях причинения имущественн ого и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о состоянии здоровья, о расовой, националь ной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством. 14.1.4. При определении объема и содержания обрабатываемых персональных данных руководствоваться Конституцией Российской Федерации, ФЗ «О персональных да нных» от 27 июля 2006 №152 - ФЗ, ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 №149 - ФЗ, Приказом Федеральной службы по техническому и экспертному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспе чение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», Постановлением Правительства РФ № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». 14 14.1.5. Обработка персональных данных может осуществляться с согласия субъектов персональных данных, за исключением слу чаев, предусмотренных законом. 14.1.6. Получение персональных данных может осуществляться как путем представления их самим субъектом персональных данных, так и путем получения их из иных источников на основаниях, определяемых законом. 14.1.7. Передача персональных данных третьей стороне возможна только с письменного согласия субъекта персональных данных или в случаях, прямо предусмотренных законодательством. 14.1.8. Допуск лиц к обработке персональных данных в информационной системе осуществляется на основании соответствующих раз решительных документов и ключей (паролей) доступа. 14.1.9. Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных. 14.1.10. Лица, осуществляющие обработку персональных данных, должны б ыть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки. 14.1.11. Все меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации. 14.1.12. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование. 14.1.13. При хранении материальных носителей должн ы соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. 14.1.14. Запрещается оставлять материальные носители с персональными данными без присмотра в незапертом помещении. 14.1.15. Защита персональных данных от неправомерного их использования или утраты должна быть обеспечена за счет средств Оператора в порядке, установленном федеральным законом. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты пе рсональных данных, включающей организационные меры и средства защиты информации, а также используемые в информационной системе информационные технологии. 14.1.16. Запрещается передача персональных данных по телефону, факсу, электронной почте за исключением случаев, установленных законодательством и действующими инструкциями по работе со служебными документами и обращениями граждан. Ответы на запросы граждан и 15 организаций даются в том объеме, который позволяет не разглашать в ответах конфиденциальные данные, за исклю чением данных, содержащихся в материалах заявителя или опубликованных в общедоступных источниках. 14.1.17. Пересылка персональных данных без использования специальных средств защиты по общедоступным сетям связи, в том числе Интернет, запрещается. 14.1.18. Технические и про граммные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходя т процедуру оценки соответствия. 14.1.19. Регламентация доступа персонала к персональным данным, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и спе циалистами организации. 14.1.20. Для обеспечения внутренней защиты персональных данных необходимо соблюдать ряд мер:  ограничение и регламентация состава работников, функциональные обязанности которых требуют доступ к персональным данным;  строгое избирательное и обо снованное распределение документов и информации, содержащей персональные данные, между работниками;  рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемых персональных данных;  знание работником т ребований нормативно - методических документов по защите персональных данных и сохранении их конфиденциальности;  наличие необходимых условий в помещении для работы с документами и базами данных, содержащих персональные данные;  определение и регламентация сос тава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника, обрабатывающая персональные данные;  организация порядка уничтожения персональных данных;  своевременное выявление нарушения требований разрешительной сис темы доступа работниками;  воспитательная и разъяснительная работа с сотрудниками по предупреждению утраты сведений конфиденциального характера. 14.1.21. Для защиты персональных данных создаются целенаправленные неблагоприятные условия и труднопреодолимые препятстви я для лиц, пытающихся совершить 16 несанкционированный доступ и овладеть данной информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение , уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др. 14.1.22. Для обеспечения внешней защиты персональных данных необходимо соблюдать ряд мер:  порядок приема, учета и контроля деятельности посетителей;  соблюдать пропускной ре жим;  обесп ечить охрану здания и помещений. 15. Права и обязанности субъектов персональных данных 15.1. В целях обеспечения защиты персональных данных субъекты имеют право:  получать полную информацию о своих персональных данных и Обработке этих данных (в том числе автоматизированной);  осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;  требоват ь исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства;  при отказе оператора или уполномоченного им лица исключить или исправить персональные данные субъекта - заявить в письменной форме о своем несогласии, представив соответствующее обоснование;  потребовать от оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них измен ениях или исключениях из них;  обжаловать в суд любые неправомерные действия или бездействие оператора или уполномоченного им лица при обработке и защите персональных данных субъекта. 15.2. Субъект персональных данных или его законный представитель обязует ся предоставлять персональные данные, соответствующие действительности. 16. Ответственность 16.1. Руководитель, разрешающий доступ сотрудника к документу, содержащему персональные данные, несет персональную ответственность за данное разрешение. 16.2. Лиц а, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в 17 порядке, установленном Трудовым Кодексом Российской Федерации и иными федеральными законами, а такж е привлекаются к гражданско - правовой, административной и уголовной ответственности в порядке, установленном федеральными законами. 17. Актуализация 17.1. Решение об изменении документа принимает начальник организационно - финансового отдела на основании пре дложений других подразделений, результатов применения документа в Организации, анализа зарегистрированных и устраненных несоответствий, а также рекомендаций внутренних или внешних аудитов. 17.2 . Актуальные версии утвержденного документа размещаются на офиц иальном сайте Организации . 18 Приложение 1 Согласие на обработку персональных данных Я, _________________________ _____________________________________________________________________________, (Фамилия, Имя, Отчество полностью) ____________________________ серия ________№___________ выдан____________________________________________________ вид документа, удостоверяющий личность _______________________________________________________________________________________________________________, (кем и когда) пр оживающий(ая) по адресу __________________________________________________________________________________ в соответствии с Федеральным законом от 27.07.2006 № 152 - ФЗ «О персональных данных» даю свое согласие ______________________________________________ ___________________________ , находящемуся по адресу: (наименование организации) ________________________________________________________________, на обработку моих персональных данных. Согласие дается мною для целей заключения с _______________________ ___ _____________________________ ( наименование организации ) любых договоров и их дальнейшего исполнения, принятия решений или совершения иных действий, порождающих юридические последствия в отношении меня или других лиц, предоставления мне информации об оказы ваемых услугах и распространяется на следующую информацию: мои фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, и любая иная информация, относящаяся к моей личн ости, доступная либо известная в любой конкретный момент времени __________________________________________________, (наименование организации) (далее - «Персональные данные»). Настоящее Согласие дается до истечения сроков хранения соответствующей информа ции или документов, содержащих вышеуказанную информацию, определяемых в соответствии с законодательством Российской Федерации, после чего может быть отозвано путем направления мною соответствующего письменного уведомления ___________________________________ ___________, не менее чем за 3 (три) месяца до момента отзыва согласия. ( наименование организации ) Настоящее Согласие предоставляется на осуществление любых действий в отношении моих персональных данных, которые необходимы или желаемы для достижения указанн ых выше целей, включая, без ограничения: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, трансграничную передачу п ерсональных да нных, а также осуществление любых иных действий с моими п ерсональными данными с учетом действующего законодательства. Обработка п ерсональных данных осуществляется __________________________________________, (наименование организации) с применением следующ их основных способов (но, не ограничиваясь ими): хранение, запись на электронные носители и их хранение, составление перечней, маркировка. Настоящим я признаю и подтверждаю, что в случае необходимости предоставления п ерсональных данных для достижения указ анных выше целей третьему лицу, а равно как при привлечении третьих лиц к ок азанию услуг в указанных целях _________________________________________________, вправе ( наименование организации ) в необходимом объеме раскрывать для совершения вышеуказанных дей ствий информацию обо мне лично (включая мои п ерсональные данные) таким третьим лицам, их агентам и иным уполномоченным ими лицам, а также предоставлять таким лицам соответствующие документы, содержащие такую информацию. Также настоящим признаю и подтвержда ю, что настоящее Согласие считается данным мною любым третьим лицам, указанным выше, с учетом соответствующих изменений, и любые такие третьи лица имеют право на о бработку Персональных данных на основании настоящего Согласия. _____________ _______________ ____ / ___________________ (дата) (подпи с ь) (ФИО) 19 Приложение 2 Заявление о прекращении обработки и уничтожении персональных данных Я, ___________________________________________________________________________________ __________________________, (Фамилия, Имя, Отчество полностью) ____________________________ серия ________№___________ выдан____________________________________________________ вид документа, удостоверяющий личность ______________________________________ __________________________________________________________________________, (кем и когда) проживающий(ая) по адресу ________________________________________________________________________________ прошу ___________________________________________________ ______________________ , расположенное по адресу: (наименование организации) ______________________________________________________________________, прекратить обработку и уничтожить (юридический адрес) мои персональные данные, обрабатываемые в инфо рмационн ых системах организации , в связи с ________________________________________________________. причина уничтожения Уведомление о прекращении обработки и уничтожении моих персональных данных прошу выслать мне на адрес / SMS / E - mail: ________________________ ________________________________________________________________ ____________ ___________________ / ___________________ (дата) (подпись) (ФИО) 20 Приложение 3 Заявление об изменении персональных данных Я, ___________ __________________________________________________________________________________________________, (Фамилия, Имя, Отчество полностью) ____________________________ серия ________№___________ выдан____________________________________________________ вид д окумента, удостоверяющий личность ________________________________________________________________________________________________________________, (кем и когда) проживающий(ая) по адресу ___________________________________________________________________ ____________________, прошу _________________________________________________________________________ , расположенное по адресу: (наименование организации) ______________________________________________________________________, изменить/уточнить/исключить мои (юридический адрес) персональные данные в связи с ___________________________________________________________. причина изменения Изменению подлежат следующие персональные данные: ________________________________________________________________________ ________________ тип персональных данных, старое значение, новое значение ________________________________________________________________________________________ тип персональных данных, старое значение, новое значение Уведомление об изменении моих персон альных данных прошу выслать мне на адрес /SMS/E - mail: ________________________________________________________________________________________ ____________ ___________________ / ___________________ (дата) (подпись) (ФИ О) 21 Приложение 4 Перечень документов, содержащих персональные данные и сроки их хранения Индекс дела Заголовок дела (тома, частей) Срок хранения Примечания 22 Приложение 5 ОБЯЗАТЕЛЬСТВО о не разглашении персональных данных Я,___________________________________________________________________________________ (ФИО исполняющ его должностные обязанности по занимаемой должности) _____________________________________________________________________ ________________ _____________________________________________________________________________________ (должность, наименование структурного подразделения) предупрежден (а), что на период исполнения должностных обязанностей в соответствии с должностным ре гламентом, мне будет предоставлен допуск к персональным данным. Настоящим добровольно принимаю на себя обязательства: 1. Не разглашать третьим лицам персональные данные, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей. 2. Не передавать и не раскрывать третьим лицам персональные данные, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей. 3. В случае попытки третьих лиц получить от меня персональн ые данные, сообщать непосредственному начальнику. 4. Не использовать персональные данные с целью получения выгоды. 5. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты персональных данных. 6. В течение года после прекращения права на допуск к персональным данным не разглашать и не передавать третьим лицам известные мне персональные данные. Я подтверждаю, что не имею права разглашать сведения, предоставленные субъектом персональных данных, в частности:  фамилия, имя, отчество;  место ро ждения;  дата рождения;  адрес регистрации и проживания;  семейное положение;  имущественное положение;  сведения об имуществе;  образование;  профессия;  доходы;  гражданство;  ИНН;  номер страхового свидетельства государственного пенсионного страхования (СНИЛС) ;  по л;  паспортные данные;  стаж работы; 23  номер телефона;  сведения о воинском учете;  социальные льготы;  состав семьи;  данные свидетельств о регистрации брака и рож дении детей. Я предупрежден (а), что в случае нарушения данного обязательства буду привлечен (а) к дисциплинарной ответственности и/или иной ответственности в соответствии с законодательством Российской Федерации. _______________________ ______________ ____________________________ (должность) (подпись) (расшифровка подписи) "___" _________ ___ ___ 201_ г. 24 Приложение 6 Разрешаю уничтожить _________________________ _ ________________________ _________________________ _________________________ «___» _______________201_ г. АКТ об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения целей обработки) Комиссия в составе : Председатель коми ссии: ________ _ _ _______________________________ _________ (Должность, ФИО) Члены комиссии: __________________________________________________ (Должность, ФИО) __________________________________________________ (Должность, ФИО) _____________________________ _____________________ (Должность, ФИО) __________________________________________________ (Должность, ФИО) провела отбор носителей персональных данных и установила, что в соответствии с требованиями руководящих документов по защите информации, персональн ые данные, записанные на них в процессе эксплуатации, подлежат уничтожению : № п/п Дата Тип носителя Регистрационный № носителя ПДн Примечание Всего подлежит уничтожению носителей ____________________________________ ________________ (цифрами и прописью) После утверждения акта перечисленные носители сверены с записями в акте и на указанных носит елях персональные данные уничтожены путем ____________________________________________________________________________________________ ____________________________________________________________________________________________ (стирания на устройстве, гар антированного уничтожения информации и т.п.) После утверждения акта перечисленные носители сверены с записями в акте и уничтожены путем _____________________________________________________________________________________ _________________________________ ___________________________________________________________ 25 ____________________________________________________________________________________________ (разрезания, сжигания, механического уничтожения, сдачи предприятию по утилизации вторичного сырья и т. п.) Уничтоженные носители с книг и журналов учета списаны. Председатель комиссии: __________________________________________________ (Должность, ФИО) Члены комиссии: __________________________________________________ (Должность, ФИО) _______________ ___________________________________ (Должность, ФИО) __________________________________________________ (Должность, ФИО) __________________________________________________ (Должность, ФИО) 26 Приложение 7 Лист ознакомления № п/п Ф.И.О. Роспись 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20.

Приложенные файлы

  • pdf 4508358
    Размер файла: 423 kB Загрузок: 0

Добавить комментарий