Положение об обработке персональных данных

ПОЛОЖЕНИЕ

об обработке персональных данных в

ГКУ РС(Я) «Агентство субсидий»

 

 

 1. Общие положения

 

1.1.  Настоящее Положение об обработке персональных данных (далее – Положение) определяет порядок получения, хранения, обработки, комбинирования, передачи и любого другого использования персональных данных, обрабатываемых в информационных системах персональных данных (далее — ИСПДН) ГКУ РС(Я) «Агентство субсидий» в соответствии с законодательством Российской Федерации.

1.2Настоящее Положение разработано в соответствии с:

 Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

 Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

1.3Для целей настоящего Положения используются следующие основные понятия:

 персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);

 обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

 распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

 использование персональных данных – действия с персональными данными, совершаемые работниками ГКУ РС(Я) «Агентство субсидий» в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

 автоматизированная обработка – обработка данных, выполняемая средствами вычислительной техники;

 блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

 уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

 обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

 информационная система персональных данных – система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

 защита персональных данных – деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации о конкретном субъекте персональных данных.

1.4.  Персональные данные, обрабатываемые в ГКУ РС(Я) «Агентство субсидий», относятся к конфиденциальной информации, порядок работы с которыми регламентирован Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», настоящим Положением и другими локальными нормативными документами.

 

2. Получение, обработка и защита персональных данных

 

2.1. Порядок получения персональных данных.

        Все персональные данные следует получать лично у субъекта ПДн. Если персональные данные возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. ГКУ РС(Я) «Агентство субсидий» должно сообщить субъекту ПДн о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных и последствиях отказа субъекта ПДн дать письменное согласие на их получение.

ГКУ РС(Я) «Агентство субсидий» вправе обрабатывать персональные данные субъектов ПДн только с их письменного разрешения.

Письменное согласие субъекта ПДн на обработку своих персональных данных должно включать в себя персональные данные, указанные в перечне ПДн, подлежащих защите в ИСПДН  ГКУ РС(Я) «Агентство субсидий»(Приложение №1 к Положению).

Сотрудники ГКУ РС(Я) «Агентство субсидий» имеют право получать только те ПДн, которые необходимы им для выполнения своих служебных обязанностей.

        Сотрудники ГКУ РС(Я) «Агентство субсидий», получающие персональные данные субъекта ПДн, обязаны соблюдать режим конфиденциальности.

2.2. Порядок обработки персональных данных.

2.2.1Обработка персональных данных может осуществляться только в целях ведения кадрового учета и предоставления государственной услуги «прием заявлений и организация предоставления гражданам субсидий на оплату жилого помещения и коммунальных услуг».

2.2.2При определении объема и содержания, обрабатываемых персональных данных, ГКУ РС(Я) «Агентство субсидий» должно руководствоваться Конституцией Российской Федерации, Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и иными федеральными законами в области защиты персональных данных.

2.3Порядок защиты персональных данных.

        Защита персональных данных субъекта ПДн от неправомерного их использования или утраты должна быть обеспечена ГКУ РС(Я) «Агентство субсидий» за счет его средств в порядке, установленном федеральными законами Российской Федерации в области защиты персональных данных.

        ГКУ РС(Я) «Агентство субсидий» обязано при обработке персональных данных субъектов персональных данных принимать необходимые организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

        Все сотрудники ГКУ РС(Я) «Агентство субсидий», допущенные к обработке ПДн, обязаны соблюдать порядок получения, учета и хранения персональных данных субъектов ПДн.

        ГКУ РС(Я) «Агентство субсидий» обязано применять технические средства охраны и сигнализации.

        Ответственный за организацию обработки ПДн в Учреждении обязан взять со всех сотрудников, связанных с получением, обработкой и защитой персональных данных субъектов ПДн, Обязательство о неразглашении персональных данных(Приложение №2 к Положению).

        Все сотрудники , виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта ПДн, привлекаются к дисциплинарной ответственности.

        Сотрудникам ГКУ РС(Я) «Агентство субсидий», не включенным в Перечень лиц, допущенных к обработке персональных данных, обрабатываемых в ИСПДН ГКУ РС(Я) «Агентство субсидий», запрещен допуск к персональным данным субъектов ПДн

        Защита доступа к электронной базе данных, содержащей персональные данные субъектов ПДн, должна обеспечиваться путем использования программных и программно-аппаратных средств защиты информации, предотвращающих несанкционированный доступ третьих лиц к персональным данным субъектов ПДн.

        Копировать и делать выписки персональных данных субъектов ПДн разрешается исключительно в служебных целях.

    Субъекты ПДн не должны отказываться от прав на сохранение и защиту своих персональных данных.

 

3. Хранение персональных данных

 

3.1Сведения о субъектах ПДн в ГКУ РС(Я) «Агентство субсидий» на бумажных носителях должны храниться в специально оборудованных шкафах и сейфах, которые запираются и опечатываются. Ключи от шкафов и сейфов, в которых хранятся сведения о субъектах ПДн, находятся у ответственных сотрудников.

3.2Обязанности по хранению сведений о субъектах ПДн, заполнению, хранению и выдаче документов, содержащих персональные данные, в ИСПДН возлагаются на Ответственного за организацию обработки персональных данных.

3.3Съемные электронные носители, на которых хранятся резервные копии персональных данных субъектов ПДн, должны быть промаркированы и учтены в журнале регистрации, учета и выдачи внешних носителей для хранения резервных копий ПДн.

3.4В процессе хранения персональных данных субъектов ПДн необходимо обеспечивать контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.

 

4. Передача персональных данных

 

        Передача персональных данных субъекта ПДн представителю субъекта ПДн в осуществляется в порядке, установленном федеральными законами Российской Федерации.

 

 

5Уничтожение персональных данных

 

5.1. При необходимости уничтожения персональных данных ГКУ РС(Я) «Агентство субсидий» должно руководствоваться следующими требованиями:

        Уничтожение персональных данных в ИСПДН осуществляется комиссией по защите персональных данных.

        Бумажные носители персональных данных должны уничтожаться при помощи специального оборудования (измельчителя бумаги) или путем сжигания.

        Персональные данные, представленные в электронном виде, должны уничтожаться специализированным программным обеспечением, гарантирующим предотвращение восстановления удаленных данных.

        После окончания процедуры удаления персональных данных комиссией по защите персональных данных должен быть составлен акт уничтожения персональных данных.

 

6. Внутренние проверки состояния защищенности информационной системы персональных данных

 

6.1. Проверка состояния защищенности ИСПДН осуществляется комиссией по проведению мероприятий по защите персональных данных.

6.2. Проверка состояния защищенности ИСПДН осуществляется с целью определения соответствия нормативных, организационных, практических и технических мероприятий, реализуемых ГКУ РС(Я) «Агентство субсидий», требованиям законов и иных нормативных правовых актов Российской Федерации в области информационной безопасности и защиты персональных данных.

6.3.  Проверка состояния защищенности ИСПДН включает в себя:

        Определение характера циркулирующих персональных данных и установленных в ИСПДН режимов их обработки.

        Определение актуальности организационно-распорядительной документации, учитывающей конкретные условия функционирования средств вычислительной техники различного уровня и назначения (рабочие станции пользователей, серверное и периферийное оборудование, технические средства защиты информации, в том числе средства криптографической защиты информации), порядок работы сотрудников организации при эксплуатации средств вычислительной техники.

        Анализ принятых мер (программных, технических, организационных), обеспечивающих защиту средств вычислительной техники, информационной системы и баз данных от несанкционированного доступа, оценка продуктивности организационного процесса защиты информации. Достаточность технических средств обработки и защиты информации, наличие подтверждений соответствия по требованиям информационной безопасности (сертификатов соответствия).

        Проверка наличия лицензионных средств защиты от вредоносных программ и вирусов или сертифицированных свободно распространяемых антивирусных средств защиты.

        Проверка состояния защищенности информационных ресурсов от сбоев в системе электропитания (система резервирования и автоматического ввода резерва).

        Проверка состояния линейно-кабельного оборудования локально-вычислительных сетей (наличие запирающих и опечатывающих устройств, оборудования распределительных шкафов).

6.4.  Внутренняя проверка Комиссии по проведению мероприятий по защите персональных данных завершается подведением итогов (обобщением) результатов проверки и составлением акта о результате проверки состояния защищенности ИСПДН.

6.5.  Акт должен содержать:

        Дата, время и место составления акта.

        Дата и место проведения проверки.

        Сведения о результатах проверки, в том числе о выявленных нарушениях и их характере.

        Достоверное и обоснованное изложение состояния защищенности информационной системы и ресурсов, выявленных недостатков и нарушений со ссылками на соответствующие документы и факты, выводы и предложения по их устранению с указанием конкретных сроков.

 

7. Обязанности субъекта персональных данных и Оператора

 

7.1.  В целях обеспечения достоверности персональных данных субъект ПДн обязан:

        Предоставлять ГКУ РС(Я) «Агентство субсидий» полные и достоверные данные о себе.

        В случае изменения своих персональных данных сообщать данную информацию ГКУ РС(Я) «Агентство субсидий»

7.2.  ГКУ РС(Я) «Агентство субсидий» обязано:

        Осуществлять защиту персональных данных субъекта ПДн.

        Вести Журнал учета обращений субъектов персональных данных по вопросам обработки их ПДн в ИСПДН ГКУ РС(Я) «Агентство субсидий» (Приложение №3 к Положению)..

        Обеспечивать хранение документации, содержащей персональные данные субъектов ПДн, при этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.

 

8. Права субъекта ПДн в целях защиты персональных данных

 

8.1Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.2Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

                   подтверждение факта обработки персональных данных Оператором;

                   правовые основания и цели обработки персональных данных;

                   цели и применяемые Оператором способы обработки персональных данных;

                   сроки обработки персональных данных, в том числе сроки их хранения(Приложение №4 к Положению).

8.3Субъект персональных данных имеет право на определение представителей для защиты своих персональных данных.

8.4Субъект персональных данных имеет право требовать исключить или исправить неверные или неполные персональные данные, а также данные, обрабатываемые с нарушением требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

8.5Субъект персональных данных имеет право требовать об извещении ГКУ РС(Я) «Агентство субсидий» всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях.

8.6Субъект персональных данных имеет право на обжалование в судебном порядке любых неправомерных действий или бездействии ГКУ РС(Я) «Агентство субсидий» при обработке и защите его персональных данных.

 

9. Реагирование на запросы субъектов ПДн и их законных представителей

 

9.1При рассмотрении запросов, поступающих от субъектов ПДн и их законных представителей, ГКУ РС(Я) «Агентство субсидий» руководствуется Правилами рассмотрения запросов. (Приложение №5 к Положению).

9.2Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган(Приложение №6 и №7 к Положению).

 

10. Ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных субъекта ПДн

 

10.1Лица, виновные в нарушении требований федеральных законов РФ, несут предусмотренную законодательством РФ ответственность.

10.2Материальный ущерб, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных федеральными законами, а также нарушения требований к защите персональных данных подлежит возмещению в соответствии с законодательством Российской Федерации.