Постановление Администрация Уссурийского городского округа от 17.12.2013 г № 4261
Об утверждении Положения по обеспечению безопасности персональных данных в администрации Уссурийского городского округа
В соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и в целях совершенствования работы по обеспечению защиты персональных данных в администрации Уссурийского городского округа постановляет:
1.Утвердить Положение по обеспечению безопасности персональных данных в администрации Уссурийского городского округа (прилагается).
2.Руководителям отраслевых (функциональных) органов администрации Уссурийского городского округа (без права юридического лица) принять настоящее постановление к руководству в работе.
3.Руководителям отраслевых (функциональных) органов администрации Уссурийского городского округа (с правом юридического лица) принять настоящее постановление как образец с целью разработки Положения по обеспечению безопасности персональных данных отраслевого (функционального) органа администрации Уссурийского городского округа.
4.Информационно-аналитическому управлению (Софиенко) опубликовать настоящее постановление на официальном сайте администрации Уссурийского городского округа.
Глава Уссурийского городского округа -
глава администрации Уссурийского
городского округа
С.П.РУДИЦА
ПОЛОЖЕНИЕ
ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В АДМИНИСТРАЦИИ УССУРИЙСКОГО ГОРОДСКОГО ОКРУГА
I.Общие положения
1.Положение по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в администрации Уссурийского городского округа (далее - Положение) разработано в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон), Постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
2.Настоящее Положение определяет:
а) правовое основание обработки персональных данных в администрации Уссурийского городского округа (далее - администрация);
б) принципы обработки персональных данных в администрации;
в) оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения федерального закона:
г) основные условия проведения обработки персональных данных;
д) правила рассмотрения запросов субъектов персональных данных или их представителей;
е) правила обработки и защиты персональных данных;
ж) правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным федеральным законом, принятыми в соответствии с федеральным законом нормативными правовыми актами администрации;
з) соотношение вреда, который может быть причинен субъектам персональных данных в случае нарушения федерального закона, и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом.
3.В настоящем Положении используются термины и определения в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных".
4.Субъектами персональных данных в администрации являются:
а) субъекты, состоящие с администрацией в отношениях, регулируемых трудовым законодательством;
б) субъекты, обращающиеся к администрации для получения муниципальных услуг;
в) субъекты, состоящие на учете в подразделении по делам несовершеннолетних.
Субъекты информационных отношений заинтересованы в обеспечении:
а) своевременного доступа к необходимым им персональным данным (их доступности);
б) достоверности (полноты, точности, адекватности, целостности) персональных данных;
в) конфиденциальности (сохранения в тайне) персональных данных;
г) защиты от навязывания им ложных (недостоверных, искаженных) персональных данных;
д) разграничения ответственности за нарушения их прав (интересов) и установленных правил обращения с персональными данными;
е) возможности осуществления непрерывного контроля и управления процессами обработки и передачи персональных данных;
ж) защиты персональных данных от незаконного распространения.
5.Объектами системы безопасности персональных данных в администрации являются:
а) информационные ресурсы с ограниченным доступом, содержащие персональные данные;
б) процессы обработки персональных данных в информационной системе персональных данных (далее - ИСПДн) администрации, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, персонал разработчиков и пользователей системы и ее обслуживающий персонал;
в) информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых расположены технические средства обработки персональных данных.
6.Отраслевые (функциональные) органы администрации (далее - органы администрации) создают в пределах своих полномочий, установленных в соответствии с нормативными правовыми актами, ИСПДн в целях обеспечения реализации прав объектов персональных данных.
7.На стадии проектирования каждой ИСПДн определяются цели и содержание обработки персональных данных, утверждается перечень обрабатываемых персональных данных.
II.Определение законности целей обработки персональных данных
8.Определение законностей целей обработки персональных данных в администрации является правовым основанием обработки персональных данных в администрации.
9.Обработка персональных данных в администрации осуществляется с целью создания и ведения муниципальных информационных систем, муниципальных информационных ресурсов для обеспечения органов администрации информацией, необходимой для обеспечения их деятельности.
10.Цели обработки персональных данных в администрации соответствуют:
а) федеральным законам, а также иным подзаконным актам и документам органов государственной власти, которые требуют обработку персональных данных или иным документам, являющимся такими основаниями;
б) перечням задач или функций органов администрации, указанным в положениях об органах администрации.
11.Цели обработки персональных данных определяют:
а) содержание и объем обрабатываемых персональных данных;
б) категории субъектов, персональные данные которых обрабатываются;
в) сроки их обработки и хранения;
г) порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
III.Принципы обработки персональных данных в администрации
12.Обработка персональных данных в администрации осуществляется на основе принципов:
а) обработка персональных данных должна осуществляться на законной и справедливой основе;
б) обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
в) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
г) обработке подлежат только персональные данные, которые отвечают целям их обработки;
д) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки;
е) при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
ж) хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
IV.Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения правил обработки и защиты персональных данных
13.Оценкой вреда, который может быть причинен субъектам персональных данных в случае нарушения правил обработки и защиты персональных данных, является определение юридических или иным образом затрагивающих права и законные интересы последствий в отношении субъекта персональных данных, которые могут возникнуть в случае нарушения правил обработки и защиты персональных данных.
14.К юридическим последствиям относятся случаи возникновения, изменения или прекращения личных либо имущественных прав граждан или иным образом затрагивающие его права, свободы и законные интересы.
15.При обработке персональных данных должны определяться и документально оформляться все возможные юридические или иным образом затрагивающие права и законные интересы последствия в отношении субъекта персональных данных, которые могут возникнуть в случае нарушения правил обработки и защиты персональных данных при выполнении заявленных в рамках перечня задач или функций органов администрации, указанных в положениях органов администрации с учетом особых правил и способов обработки персональных данных.
16.Определение юридических последствий необходимо для недопущения нарушения и обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также определения соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных и принимаемых мер.
V.Перечень действий (операций) совершаемых с персональными данными в администрации
17.Сбор персональных данных.
В администрации применяются следующие способы получения персональных данных субъектов персональных данных:
а) заполнение субъектом персональных данных соответствующих форм;
б) получение персональных данных от третьих лиц;
в) получение данных на основании запроса по форме согласно Приложению 6 к настоящему Положению;
г) сбор данных из общедоступных источников.
При сборе персональных данных администрация обязана предоставить субъекту персональных данных по его просьбе информацию, предусмотренную настоящим Положением.
Если предоставление персональных данных является обязательным в соответствии с федеральным законом, администрация обязана разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные по форме согласно Приложению 3 к настоящему Положению.
Если персональные данные получены не от субъекта персональных данных, администрация до начала обработки таких персональных данных обязана предоставить субъекту персональных данных уведомлении об обработке персональных данных по форме согласно Приложению 9 к настоящему Положению.
18.Систематизация, накопление, уточнение и использование персональных данных.
Систематизация, накопление, уточнение, использование персональных данных могут осуществляться любыми законными способами в соответствии с правилами, инструкциями, руководствами, регламентами и иными документами, определяющими технологический процесс обработки информации.
В администрации могут быть установлены особенности учета персональных данных в ИСПДн, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей ИСПДн, конкретному субъекту персональных данных.
Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в ИСПДн, конкретному субъекту персональных данных.
Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в ИСПДн, конкретному субъекту персональных данных.
Уточнение персональных данных должно производиться только на основании законно полученной в установленном порядке информации.
При необходимости, уведомить об уточнении персональных данных требуемых лиц в письменном виде по форме согласно Приложению 8 к настоящему Положению.
Использование персональных данных должно осуществляться исключительно в заявленных целях. Использование персональных данных в заранее не определенных и не оформленных установленным образом целях категорически не допускается.
19.Запись и извлечение персональных данных.
Запись персональных данных в ИСПДн администрации может осуществляться с любых носителей информации или из других ИСПДн.
Извлечение персональных данных из ИСПДн может осуществляться с целью:
а) вывода персональных данных на бумажный или иной носитель информации, не предназначенный для его обработки средствами вычислительной техники;
б) вывода персональных данных на носители информации, предназначенные для их обработки средствами вычислительной техники.
При извлечении персональных данных должен проводиться учет носителей информации.
При осуществлении записи и извлечения персональных данных должны соблюдаться условия обработки персональных данных, конфиденциальность персональных данных и иные требования, указанные в настоящем Положении.
20.Передача персональных данных.
Передача персональных данных в администрации должна осуществляться с соблюдением настоящего Положения и действующего законодательства Российской Федерации.
В администрации приняты следующие способы передачи персональных данных субъектов персональных данных:
а) передача персональных данных на электронных и бумажных носителях информации нарочным способом;
б) передача персональных данных на электронных и бумажных носителях посредством почтовой связи;
в) передача персональных данных по каналам связи.
Перед осуществлением передачи персональных данных проверяется основание на осуществление такой передачи и наличие согласия на передачу персональных данных в согласии субъекта персональных данных на обработку персональных данных или наличие иных законных оснований.
Передача персональных данных должна осуществляться на основании:
а) договора с третьей стороной, которой осуществляется передача персональных данных;
б) запроса, полученного от третьей стороны, которой осуществляется передача персональных данных;
в) исполнения возложенных законодательством Российской Федерации на администрацию функций, полномочий и обязанностей.
Передача персональных данных без согласия или иных законных оснований категорически запрещается.
21.Хранение персональных данных.
Хранение персональных данных в администрации допускается только в форме документов - зафиксированной на материальном носителе информации (содержащей персональные данные) с реквизитами, позволяющими ее идентифицировать и определить субъекта персональных данных. При этом предусматриваются следующие виды документов:
а) изобразительный документ - документ, содержащий информацию, выраженную посредством изображения какого-либо объекта;
б) фотодокумент - изобразительный документ, созданный фотографическим способом;
в) текстовой документ - документ, содержащий речевую информацию, зафиксированную любым типом письма или любой системой звукозаписи;
г) письменный документ - текстовой документ, информация которого зафиксирована любым типом письма;
д) рукописный документ - письменный документ, при создании которого знаки письма наносят от руки;
е) машинописный документ - письменный документ, при создании которого знаки письма наносят техническими средствами;
ж) документ на машинном носителе - документ, созданный с использованием носителей и способов записи, обеспечивающих обработку его информации электронно-вычислительной машиной.
Хранение персональных данных в ИСПДн и вне таких систем администрации осуществляется только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
Определение сроков хранения осуществляется в соответствии с требованиями архивного законодательства Российской Федерации, в том числе в соответствии с перечнями типовых архивных документов с указанием сроков их хранения.
При использовании документов, содержащих персональные данные, в различных целях определение сроков обработки, в том числе хранения, таких документов устанавливается по максимальному сроку.
Включение в состав Архивного фонда Российской Федерации документов, содержащих персональные данные, осуществляется на основании экспертизы ценности документов.
На документы, включенные в состав Архивного фонда Российской Федерации, действие настоящего Положения не распространяется.
Сроки временного хранения документов, включенных в состав Архивного фонда Российской Федерации, до их поступления в муниципальный архив, устанавливаются в соответствии с требованиями архивного законодательства Российской Федерации.
Документы Архивного фонда Российской Федерации, находящиеся в собственности администрации, по истечении сроков их временного хранения передаются на постоянное хранение в муниципальный архив.
22.Блокирование персональных данных.
Блокированием персональных данных называется временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Блокирование персональных данных конкретного субъекта персональных данных должно осуществляться во всех ИСПДн администрации, включая архивы баз данных, содержащих такие персональные данные.
Блокирование персональных данных в администрации осуществляется:
а) в случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя по форме согласно Приложению 12 к настоящему Положению, либо уполномоченного органа по защите прав субъектов персональных данных с момента такого обращения или получения указанного запроса на период проверки;
б) в случае отсутствия возможности уничтожения персональных данных в установленные сроки до их уничтожения.
При необходимости администрация направляет уведомление о блокировании персональных данных субъектам персональных данных в письменном виде по форме согласно Приложению 7 к настоящему Положению.
После устранения выявленной неправомерной обработки персональных данных администрация осуществляет снятие блокирования персональных данных. При необходимости администрация направляет уведомление об устранении допущенных нарушений в письменном виде по формам согласно Приложениям 5, 11 к настоящему Положению.
23.Обезличивание персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
Требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, установлены приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 года N 996.
Под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки.
Решение о необходимости проведения обезличивания персональных данных принимается руководителем органа администрации.
Сотрудники органов администрации, непосредственно осуществляющие обработку персональных данных, готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания, осуществляют обезличивание выбранным способом.
24.Уничтожение персональных данных.
Уничтожение персональных данных - это действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Уничтожение персональных данных в администрации производится только в следующих случаях:
а) персональные данные являются незаконно полученными, или не являются необходимыми для заявленной цели обработки;
б) в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
в) в случае отзыва субъектом персональных данных согласия на обработку его персональных данных по форме согласно Приложению 15 к настоящему Положению.
При уничтожении персональных данных необходимо:
а) убедиться в необходимости уничтожения персональных данных;
б) убедиться в том, что уничтожаются те персональные данные, которые предназначены для уничтожения;
в) уничтожить персональные данные подходящим способом, в соответствии с настоящим Положением или способом, указанным в соответствующем требовании или распорядительном документе;
г) проверить необходимость уведомления об уничтожении персональных данных;
д) при необходимости, уведомить об уничтожении персональных данных требуемых лиц в письменном виде по формам согласно Приложениям 4, 10 к настоящему Положению;
При уничтожении персональных данных применяются следующие способы:
а) измельчение в бумагорезательной (бумагоуничтожительной) машине - для документов, исполненных на бумаге;
б) стирание персональных данных - для сохранения возможности обработки иных данных, зафиксированных на материальном носителе, содержавшем персональные данные;
в) физическое уничтожение (разрушение) носителей информации - для носителей информации на оптических дисках;
г) физическое уничтожение частей носителей информации - разрушение или сильная деформация - для носителей информации на жестком магнитном диске (уничтожению подлежат. внутренние диски и микросхемы); SSD-дисках, USB- и Flash-носителях (уничтожению подлежат модули и микросхемы долговременной памяти);
д) стирание с помощью сертифицированных средств уничтожения информации - для записей в базах данных и отдельных документов на машинном носителе.
При уничтожении персональных данных необходимо учитывать их наличие в архивных базах данных и производить уничтожение во всех копиях базы данных, если иное не установлено действующим законодательством Российской Федерации.
При необходимости уничтожения части персональных данных допускается уничтожать материальный носитель одним из указанных в настоящем Положении способов, с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование персональных данных, подлежащих) уничтожению.
Уничтожение персональных данных производится только в присутствии лица, ответственного за организацию обработки персональных данных в администрации.
По факту уничтожения персональных данных составляется Акт уничтожения персональных данных, который подписывается лицами, производившими уничтожение.
Хранение актов уничтожения персональных данных осуществляется в течение срока исковой давности, если иное не установлено нормативными правовыми актами Российской Федерации.
VI.Права субъектов персональных данных
25.Круг субъектов, персональные данные которых подлежат обработке в ИСПДн администрации, определяется целью обработки персональных данных в каждой информационной системе персональных данных.
26.Субъект персональных данных имеет право на получение при обращении информации, касающейся обработки его персональных данных, по формам согласно Приложениям 13, 14, 16 к настоящему Положению, в том числе содержащей следующие сведения:
а) правовое основания и цель обработки персональных данных;
б) способы обработки персональных данных;
в) сведения о лицах (за исключением сотрудников администрации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с администрацией или на основании федерального закона;
г) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
д) сроки обработки персональных данных, в том числе сроки их хранения;
е) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
ж) информацию об осуществленной или о предполагаемой трансграничной передаче данных.
27.Право субъекта персональных данных на доступ к своим персональным данным может быть ограничено в соответствии с федеральным законом в случае, если:
а) обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
б) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
в) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
28.Если субъект персональных данных считает, что администрация осуществляет обработку его персональных данных с нарушением требований федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие администрации в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
29.Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
30.Администрация освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные пунктом 26, в случаях, если:
а) субъект персональных данных уведомлен об осуществлении обработки его персональных данных администрацией;
б) персональные данные получены администрацией на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
в) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
г) администрация осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
д) предоставление субъекту персональных данных сведений, нарушает права и законные интересы третьих лиц.
VII.Порядок работы с обращениями субъектов персональных данных
31.При поступлении обращения субъекта, орган администрации, в адрес которого поступило обращение, должен зарегистрировать его в Журнале учета обращений субъектов персональных данных по форме согласно Приложению 17 к настоящему Положению.
32.Орган администрации обязан сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя, либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его законного представителя.
33.В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а - также таких персональных данных орган администрации обязан дать в письменной форме мотивированный ответ в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его законного представителя, либо с даты получения запроса субъекта персональных данных или его законного представителя.
34.Орган администрации обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет орган администрации, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах орган администрации обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
35.Администрация обязана сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение тридцати дней с даты получения такого запроса.
VIII.Основные условия проведения обработки персональных данных
36.Обработка персональных данных осуществляется после получения согласия субъекта персональных данных, составленного по форме согласно Приложению 1 к настоящему Положению, за исключением случаев, предусмотренных федеральным законом.
37.Оператором ИСПДн органов администрации, организующим и осуществляющим обработку персональных данных, а также определяющим цели и содержание обработки персональных данных является администрация. Обязанности оператора возлагаются на органы администрации, осуществляющие деятельность по эксплуатации ИСПДн.
38.Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
39.Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в ИСПДн оператором назначается должностное лицо, ответственное за обеспечение безопасности персональных данных. Данные должностные лица взаимодействуют по вопросам организации защиты персональных данных в ИСПДн с отделом информатизации и информационной безопасности информационно-аналитического управления администрации (далее - отдел информатизации и информационной безопасности).
40.Руководители органов администрации, в чьем ведении находится ИСПДн, определяют должностных лиц, допущенных к обработке персональных данных, и представляют списки данных лиц в отдел информатизации и информационной безопасности.
41.Должностные лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации, содержащей персональные данные, по форме согласно Приложению 2 к настоящему Положению. Должностные инструкции лиц, допущенных к обработке персональных данных, должны содержать сведения о допуске к персональным данным и основание, которым данный допуск осуществлен (наименование, дата и номер соответствующего федерального закона).
42.Оператором и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных. Оператор или иное получившее доступ к персональным данным лицо обязано не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
43.В случае если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
IX.Способы обработки персональных данных в информационных системах персональных данных в зависимости от применения средств автоматизации
44.Способы обработки персональных данных в ИСПДн администрации:
а) обработка персональных данных с использованием средств автоматизации;
б) обработка персональных данных без использования средств автоматизации;
в) исключительно автоматизированная обработка персональных данных;
г) смешанная обработка персональных данных.
X.Правила обработки и защиты персональных данных в информационных системах с использованием средств автоматизации
45.Обработка персональных данных в ИСПДн с использованием средств автоматизации осуществляется в соответствии с требованиями, утвержденными Постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
46.Оператор ИСПДн определяет тип угроз безопасности персональных данных, актуальных для ИСПДн, с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 181 Федерального закона, и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона.
47.Под актуальными угрозам безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
48.Угрозы 1-го типа актуальны для информационной системы, если для нее, в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
49.Угрозы 2-го типа актуальны для информационной системы, если для нее, в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
50.Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
51.Оператор ИСПДн на основании типа угроз определяет уровень защищенности персональных данных в зависимости от категории обрабатываемых данных и их количества.
При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.
52.Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
53.Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;
г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более нем 100000 субъектов персональных данных, не являющихся сотрудниками оператора,
54.Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные;
д) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
55.Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные;
б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
56.Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
57.Не допускается обработка персональных данных в ИСПДн с использованием средств автоматизации при отсутствии:
а) утвержденных организационно-технических документов о порядке эксплуатации информационных систем персональных данных, включающих акт классификации ИСПДн, инструкции пользователя, администратора по организации антивирусной защиты, парольной защиты автоматизированных систем, и других нормативных и методических документов;
б) настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств в соответствии с требованиями безопасности информации;
в) охраны и организации режима допуска в помещения, предназначенные для обработки персональных данных.
XI.Правила обработки и защиты персональных данных в информационных системах без использования средств автоматизации
58.Обработка персональных данных без использования средств автоматизации (в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации) осуществляется в соответствии с Постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
59.Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных были:
а) определены места хранения персональных данных (материальных носителей) и установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
б) обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
в) соблюдены условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
60.При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, - при необходимости получения письменного согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
61.При использовании внешних электронных носителей информации с персональными данными данные электронные носители информации, учитываются в журнале учета, выдачи и уничтожения машинных носителей данных, предназначенных для обработки и хранения информации ограниченного доступа, не относящейся к государственной тайне, персональных данных в администрации.
62.Все документы, содержащие персональные данные, должны храниться в служебных помещениях в недоступных для посторонних лиц местах, надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы условия, обеспечивающие их сохранность.