| |
Региональное законодательство / Забайкальский край
Постановление Администрации городского округа "Город Чита" от 09.02.2012 № 77
"Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных администрации городского округа "Город Чита"
Официальная публикация в СМИ:
"Читинское обозрение", № 7, 15.02.2012
АДМИНИСТРАЦИЯ ГОРОДСКОГО ОКРУГА "ГОРОД ЧИТА"
ПОСТАНОВЛЕНИЕ
от 9 февраля 2012 г. № 77
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ
СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ АДМИНИСТРАЦИИ ГОРОДСКОГО
ОКРУГА "ГОРОД ЧИТА"
В целях исполнения Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" в администрации городского округа "Город Чита", постановляю:
1. Утвердить прилагаемое Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных администрации городского округа "Город Чита".
2. Ответственность за выполнение требований настоящего Положения возложить на руководителей отраслевых (функциональных) и территориальных органов администрации городского округа "Город Чита".
3. Опубликовать настоящее постановление в газете "Читинское обозрение" и разместить на официальном сайте администрации городского округа "Город Чита", расположенном по адресу www.admin.chita.ru.
Мэр города Читы
А.Д.МИХАЛЁВ
Приложение
к Постановлению
Администрации городского округа "Город Чита"
от 9 февраля 2012 г. № 77
ПОЛОЖЕНИЕ
ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ
ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
АДМИНИСТРАЦИИ ГОРОДСКОГО ОКРУГА "ГОРОД ЧИТА"
Раздел 1. Общие положения
1.1. Настоящее Положение о защите персональных данных (далее - Положение), обрабатываемых в информационных системах персональных данных (далее - ИСПД), разработано в соответствии со статьями 23, 24 Конституции Российской Федерации, главы 14 Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
1.2. Настоящее Положение разработано в целях соблюдения законодательства Российской Федерации в части обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Настоящее Положение определяет состав и порядок обработки персональных данных (далее - ПД) субъектов ПД (далее Субъектов) в ИСПД администрации городского округа "Город Чита" и органах администрации городского округа "Город Чита" (далее - Оператор), организацию работы по обеспечению защиты ПД, закрепляет права и обязанности должностных лиц администрации и Субъектов, возникающие в связи с обработкой ПД.
Раздел 2. Понятие и состав ПД
2.1. Для целей настоящего Положения ПД признается любая информация, относящаяся к определенному или определяемому на основании такой информации Субъекту, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, фотография, индивидуальный номер налогоплательщика, номер страхового свидетельства обязательного пенсионного страхования, данные квалификационного аттестата, другая информация.
2.2. Субъектами ПД в ИСПД администрации являются:
муниципальные служащие;
граждане, исполняющие обязанности по техническому обеспечению деятельности администрации;
граждане, выполняющие работы и оказывающие услуги в администрации по гражданско-правовым договорам;
граждане, обратившиеся в администрацию в соответствии с Федеральным законом от 02.05.2006 № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации".
2.3. Документами, содержащими ПД, являются:
а) паспорт или иной документ, удостоверяющий личность;
б) трудовая книжка;
в) страховое свидетельство государственного пенсионного страхования;
г) свидетельство о постановке на учет в налоговый орган и присвоения ИНН;
д) документы воинского учета;
е) документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;
ж) карточка Т-2;
з) автобиография;
и) квалификационный аттестат;
к) страховой медицинский полис;
л) другие документы, содержащие данные, идентифицирующие Субъекта.
2.4. Документы, содержащие ПД, создаются путем:
а) копирования подлинников (например, копии документов об образовании, свидетельство ИНН, пенсионное свидетельство Субъектов);
б) заполнения анкетных данных (на бумажных и электронных носителях);
в) предоставления подлинников документов (трудовая книжка, личный листок по учету кадров, автобиография Субъектов);
г) внесения информации о Субъекте ПД в ИСПД (на бумажные и электронные носители);
Раздел 3. Порядок обработки персональных данных субъектов
3.1. Обработка ПД Субъектов осуществляется в следующих целях:
соблюдения законов и иных нормативных правовых актов, в том числе в целях реализации прав Субъекта ПД;
содействия Субъекту ПД в трудоустройстве, обучении и повышении в должности;
обеспечения личной безопасности Субъекта ПД;
обеспечения сохранности имущества Субъекта ПД;
в иных целях, предусмотренных действующим законодательством.
3.2. Обработка ПД Субъектов должна осуществляться на основе принципов:
- законности целей и способов обработки ПД и добросовестности;
- соответствия целей обработки ПД целям, заранее определенным и заявленным при сборе ПД, а также полномочиям Оператора;
- достоверности ПД, их достаточности для целей обработки, недопустимости обработки ПД, избыточных по отношению к целям, заявленным при сборе ПД;
- недопустимости объединения созданных для несовместимых между собой целей баз данных ИСПД;
- соответствия объема и характера обрабатываемых ПД, способов обработки ПД целям обработки ПД.
При определении объема и содержания обрабатываемых ПД Субъекта, Оператор ПД должен руководствоваться Конституцией Российской Федерации и федеральными законами.
3.3. Оператор при обработке ПД Субъекта обязан соблюдать следующие требования:
3.3.1. все ПД Субъекта следует получать у него самого. В случае возникновения необходимости получения ПД Субъекта у третьей стороны Оператор обязан известить об этом Субъекта ПД, получить его письменное согласие и сообщить Субъекту о целях, предполагаемых источниках и способах получения ПД, а также о характере подлежащих получению ПД и последствиях отказа Субъекта дать письменное согласие на их получение;
3.3.2. обеспечения конфиденциальности ПД не требуется:
- в случае обезличивания ПД Субъекта;
- в отношении общедоступных ПД Субъекта, которые создаются в целях информационного обеспечения деятельности администрации (в том числе справочники, адресные книги). В общедоступные источники ПД Субъекта с письменного согласия Субъекта могут включаться его фамилия, имя, отчество, год и место рождения, адрес и иные ПД, предоставленные Субъектом;
- сведения о Субъекте могут быть в любое время исключены из общедоступных источников ПД по требованию Субъекта, либо по решению суда или иных уполномоченных государственных органов;
3.3.3. за исключением случаев, предусмотренных федеральными законами, Оператор не имеет права обрабатывать следующие ПД Субъекта:
- о политических, религиозных, философских и иных убеждениях и частной жизни;
- о расовой и национальной принадлежности;
- о членстве в общественных объединениях или профсоюзной деятельности;
- о состоянии здоровья;
- об иных ПД, предусмотренных федеральными законами;
- оператор не вправе запрашивать информацию о состоянии здоровья Субъекта, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
3.3.4. оператор осуществляет обработку ПД Субъекта как в автоматизированной, так и в неавтоматизированной форме. Особенности способов обработки ПД (автоматизированная/ неавтоматизированная) и защиты ПД устанавливаются муниципальными правовыми актами Оператора в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных";
3.3.5. при передаче ПД Оператор не вправе:
- сообщать ПД Субъекта третьей стороне без письменного согласия Субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в других случаях, предусмотренных федеральными законами;
- сообщать ПД Субъекта в коммерческих целях без его письменного согласия;
3.3.6. при передаче ПД Оператор обязан:
предупредить лиц, получающих ПД Субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПД Субъекта, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными Субъектов в порядке, установленном федеральными законами;
- за счет средств бюджета городского округа "Город Чита" обеспечить защиту ПД Субъекта от неправомерного их использования или утраты в порядке, установленном федеральным законом;
- ознакомить Субъектов, являющихся работниками Оператора, и их представителей под подпись с документами Оператора, устанавливающими порядок обработки ПД Субъектов, а также об их правах и обязанностях в этой области;
- разъяснить Субъекту, являющемуся работником Оператора (лицом, принимаемым на работу) юридические последствия отказа предоставить ПД (например - невозможность осуществления работодателем своих функций, указать нормы законодательства, требующие предоставления ПД);
- разрешать доступ к персональным данным Субъекта только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД Субъекта, которые необходимы для выполнения конкретных функций;
- выполнять иные обязанности, предусмотренные федеральными законами и настоящим Положением;
- ПД Субъекта могут быть переданы представителю Субъекта в порядке, установленном Трудовым Кодексом Российской Федерации и иными федеральными законами, в том объеме, в каком это необходимо для выполнения указанными представителями их функций;
3.3.7. предоставление сведений о ПД Субъекта без соответствующего его согласия возможно только в случаях, предусмотренных федеральными законами;
3.3.8. трансграничная передача ПД осуществляется в порядке, предусмотренном действующим законодательством Российской Федерации;
3.3.9. в случае достижения цели обработки ПД Субъектов Оператор обязан незамедлительно прекратить обработку ПД Субъекта и уничтожить соответствующие ПД в срок, не превышающий трех рабочих дней с даты достижения цели обработки ПД, если иное не предусмотрено федеральными законами и уведомить об этом Субъекта или его законного представителя.
Порядок хранения ПД Субъектов, являющихся работниками Оператора, устанавливается Оператором с соблюдением требований законодательства Российской Федерации.
3.4. Иные требования к обработке ПД Субъекта определяются действующим трудовым законодательством и законодательством о защите персональных данных.
Раздел 4. Ответственность должностных лиц администрации по
обеспечению защиты персональных данных субъектов
4.1. Руководители отраслевых (функциональных) и территориальных органов администрации городского округа "Город Чита" отвечают за:
обеспечение защиты ПД Субъекта в соответствии с настоящим положением и иными нормативными правовыми актами по защите ПД;
контроль за подчиненными в части выполнения требований нормативных правовых актов по вопросам защиты ПД.
4.2. Ответственный за эксплуатацию объекта информатизации, содержащего ИСПД, назначается правовым актом руководителя соответствующего органа администрации и отвечает за:
- разработку и согласование проектов методической документации по защите ПД Субъектов в ИСПД администрации;
- качественное и своевременное выполнение должностными лицами установленных требований по защите ПД Субъектов;
- своевременную разработку и реализацию мер по защите ПД Субъектов;
- организацию и проведение контроля состояния защиты ПД Субъектов в ИСПД администрации;
- определение степени опасности технических каналов утечки информации, различных способов несанкционированного доступа (далее НСД) к ПД Субъектов, их разрушения (уничтожения) или искажения;
- организацию проведения расследований по фактам нарушений в области защиты ПД Субъектов и разработку предложений по устранению недостатков и предупреждению подобного рода нарушений;
- анализ состояния работ по защите ПД Субъектов и разработку предложений по совершенствованию системы защиты ПД в ИСПД администрации;
- организацию и проведение занятий с руководящим составом и сотрудниками администрации по вопросам защиты ПД Субъектов;
- планирование и организацию защиты ПД Субъектов в ИСПД;
- выполнение требований действующих нормативных документов и защиты сведений, отнесенных к конфиденциальной информации, при проведении работ в ИСПД;
- определение необходимых мер по защите ПД Субъектов, организацию их разработки и реализации;
- обеспечение бесперебойного функционирования программных и аппаратных средств в ИСПД администрации;
- ознакомление сотрудников администрации, которые допускаются к обработке ПД, с настоящим Положением;
- ознакомление сотрудников, которые участвуют в обработке ПД, с должностными инструкциями по работе и обеспечению режима информационной безопасности в ИСПД;
- соблюдение пользователями ИСПД установленных правил и параметров печати, регистрации и учета документов, а также регистрации и учета бумажных и машинных носителей информации;
- проведение анализа возможности решения определенных задач на ИСПД и уточнение содержания необходимых для этого изменений в конфигурации аппаратных и программных средств;
- взаимодействие с администратором безопасности ИСПД по вопросам обеспечения правильного использования пользователями средствами защиты информации (далее СЗИ) от НСД и контроля доступа этих пользователей к работе в ИСПД;
- ведение и хранение документации на ИСПД;
- организацию технического обслуживания (ремонта, модернизации) персонального компьютера (далее ПК) и других технических средств ИСПД.
4.3. Администратор безопасности ИСПД назначается правовым актом руководителя соответствующего органа администрации и отвечает за:
- установку (развертывание, обновление версий) программных средств, необходимых для решения в ИСПД администрации конкретных задач;
- удаление программных средств, необходимость в использовании которых отпала;
- установку (развертывание) новых ИСПД или подключение дополнительных устройств (узлов, блоков), необходимых для решения конкретных задач (по согласованию с руководителем Оператора);
- установку, подключение и настройку технических средств в ИСПД администрации в соответствии с документацией к ним и планами организации и оснащения ИСПД по согласованию с руководителем структурного подразделения, к которому имеет отношение ИСПД;
- контроль за обеспечением защиты ПД Субъектов в ИСПД администрации;
- своевременное обнаружение фактов несанкционированного доступа к ПД Субъектов;
- проводит работы по разработке, внедрению, совершенствованию и эксплуатации системы защиты ПД Субъектов в ИСПД администрации;
- организацию (при необходимости) контрольных проверок ИСПД;
- установку и ввод в эксплуатацию средств защиты ПД Субъектов в соответствии с эксплуатационной и технической документацией к ним;
- организацию в установленном порядке расследования причин и условий появления нарушений по вопросам технической защиты ПД Субъектов, разработку предложений по устранению недостатков и предупреждению подобного рода нарушений;
- проведение анализа возможности решения (а также совмещения) указанных задач в конкретных ИСПД (с точки зрения обеспечения безопасности) и принятие решения об отнесении их к той или иной группе по степени защищенности;
проведение необходимых дополнительных специальных мероприятий по обеспечению безопасности ПД;
внедрение средств контроля эффективности противодействия попыткам НСД к информации и незаконного вмешательства в процесс функционирования ИСПД.
Раздел 5. Права субъектов в целях обеспечения защиты
персональных данных, обрабатываемых в администрации
5.1. Обработка персональных данных осуществляется с согласия Субъекта персональных данных на обработку его персональных данных.
5.2. Оператор, Субъекты или их представители совместно вырабатывают меры защиты ПД Субъектов.
5.3. В целях обеспечения защиты ПД, обрабатываемых в администрации, Субъекты, являющиеся работниками Оператора, имеют право на:
- полную информацию об их персональных данных и обработке этих данных;
- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей ПД Субъекта, за исключением случаев, предусмотренных федеральным законом;
- определение своих Представителей для защиты своих ПД;
- доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
- требование об исключении или исправлении неверных или неполных ПД, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации или иного федерального закона;
Субъекты пользуются и иными правами, предусмотренными действующим законодательством в области ПД.
5.4. При отказе Оператора исключить или исправить ПД Субъекта, являющегося работником Оператора, он имеет право:
- заявить в письменной форме Оператору о своем несогласии с соответствующим обоснованием такого несогласия или обратиться в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций;
- требовать об извещении Оператором всех лиц, которым ранее были сообщены неверные или неполные ПД Субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях. (составляется в произвольной форме со ссылкой на требование об исключении или исправлении ПД Субъекта);
- обжаловать в суде любые неправомерные действия или бездействия Оператора при обработке и защите его ПД в ИСПД.
5.5. Субъекты, не являющиеся работниками Оператора, пользуются правами в целях обеспечения защиты их персональных данных, обрабатываемых в администрации, предусмотренными действующим законодательством.
Раздел 6. Доступ к персональным данным субъекта
6.1. Доступ к ПД Субъекта ограничивается в соответствии с федеральными законами и настоящим Положением.
6.2. Доступ в администрации (внутренний доступ):
6.2.1 доступ к ПД Субъектов имеют только сотрудники администрации, перечисленные в "Разрешительной системе допуска", утверждаемой руководителем органа администрации для каждой из ИСПД, в соответствии с "Матрицей разграничения доступа к защищаемым ресурсам";
6.2.2 разрешительная система допуска лиц (должностей), в обязанности которых входит обработка ПД или которые по должности имеют доступ к персональным данным с правом просмотра, разрабатывается ответственным за эксплуатацию объекта информатизации, содержащего ИСПД;
6.2.3. представители Оператора имеют право получать только те ПД Субъекта, которые необходимы для выполнения конкретных функций в соответствии с должностной инструкцией указанных лиц и утвержденной "Разрешительной системой допуска". Все остальные работники Оператора, являющиеся Субъектами ПД, имеют право на полную информацию только о своих ПД.
6.3. Внешний доступ (лиц, не являющимися представителями Оператора и Субъектами ПД):
6.3.1. получение сведений о ПД Субъектов третьей стороной разрешается только при наличии заявления с указанием конкретных ПД, целей, для которых они будут использованы, способов обработки, иных сведений, установленных действующим законодательством, а также письменного согласия Субъекта, ПД которого затребованы в порядке, предусмотренном Трудовым кодексом Российской Федерации и Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных".
Раздел 7. Меры по защите персональных данных субъекта
7.1. Документы, содержащие ПД Субъекта, должны передаваться между подразделениями администрации и на доклад руководителю в запечатанном конверте с пометкой "ПЕРСОНАЛЬНЫЕ ДАННЫЕ".
7.2. Оператор определяет перечень своих представителей, имеющих право доступа и обработки информации о ПД, и соответствующие уровни доступа к этой информации.
7.3. Оператор утверждает формы ведения учета выданных ПД (если соответствующие формы не определены действующим законодательством) и уполномочивает своих представителей на их ведение.
7.4. При автоматизированной обработке ПД Оператор использует специальное программное обеспечение и аппаратные средства, соответствующее предусмотренным действующим законодательством требованиям.
7.5. Оператор в предусмотренном Трудовым кодексом Российской Федерации порядке проводит ознакомление Субъектов, являющихся работниками Оператора, с нормативными правовыми актами и муниципальными правовыми актами администрации в области защиты ПД, в том числе в случае их изменения, разъясняет права, обязанности и ответственность Субъектов за нарушение норм в данной области.
7.6. Оператор устанавливает особый режим хранения для документов, содержащих ПД Субъектов. ПД Субъектов, содержащиеся на бумажных носителях, должны храниться в запираемом шкафу или в сейфе.
7.7. Доступ к персональным данным Субъекта, содержащимся в ИСПД, ограничивается определенными Оператором сотрудниками.
7.8. Сроки хранения документов устанавливаются Оператором соответствующим правовым актом в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных".
Раздел 8. Ответственность за разглашение конфиденциальной
информации, содержащей персональные данные субъектов
Лица, виновные в нарушении действующего законодательства, муниципальных правовых актов, регулирующих обработку и защиту ПД Субъекта, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
------------------------------------------------------------------
--------------------
| | |
|