ПОЛОЖЕНИЕ

о хранении, использовании и обработки персональных данных работников и заявителей государственного казенного учреждения Астраханской области

«Центр социальной поддержки населения Ленинского района города Астрахани»

 

1. 1. Общее положения

1.1. Настоящее Положение о хранении, использовании и обработки персональных данных в государственном казенном учреждении Астраханской области «Центр социальной поддержки населения Ленинского района города Астрахани» (далее - Положение) разработано в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон), постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», устанавливает и определяет цели сбора, правовые основания, условия и способы, а также единый порядок хранения, и обработку персональных данных, объем и категории обрабатываемых персональных данных и меры их защиты в государственном казенном учреждении Астраханской области «Центр социальной поддержки населения Ленинского района города Астрахани» (далее – учреждение).

Настоящее Положение применяется также ко всей информации, которую учреждение может получить о посетителях веб – сайта https://lensoc.ru/.

1.2. В целях настоящего Положения используются следующие термины и понятия:

- персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативными правовыми актами Российской Федерации в области защиты информации, трудовых отношений и социальной защиты, нормативными и распорядительными документами Астраханской области.

• обработка персональных данных– действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
• субъект персональных данных – сотрудники (работники) учреждения, обратившиеся граждане (законные представители), лица, состоящие в договорных и (или) иных гражданско-правовых отношениях с учреждением, лица, являющиеся участниками мероприятий различного уровня (конкурсы, конференции и т.д.), пользователи веб- сайта, то есть, любые посетители веб - сайта https://lensoc.ru/.
• информационная система персональных данных– информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
• обработка персональных данных без использования средств автоматизации (неавтоматизированная) – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлечённых из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
• веб – сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу: https://lensoc.ru/.

1.3. Задачей учреждения в области защиты персональных данных является обеспечение в соответствии с законодательством Российской Федерации обработки, хранения и защиты персональных данных работников и заявителей учреждения, а также персональных данных, содержащихся в документах, полученных из других организаций, в обращениях граждан и иных субъектов персональных данных. Режим конфиденциальности в отношении персональных данных снимается:

• в случае их обезличивания;
• по истечению 75 лет срока хранения;
• в других случаях, предусмотренных нормативной правовой документацией Российской Федерации.

1.4. Оператором персональных данных (далее - оператор) является учреждение.

1.5. Инструкции по обработке и защите персональных данных, разрабатываемые в соответствии с настоящим Положением, утверждаются Учреждением.

2. Порядок получения и обработки персональных данных

2.1. Получение персональных данных осуществляется в соответствии с нормативными правовыми актами Российской Федерации в области трудовых отношений и социальной защиты, нормативными и распорядительными документами Астраханской области, настоящим Положением. Обработка персональных данных осуществляется: после получения согласия субъекта персональных данных, согласно его заявлению (приложение № 1), за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона.

2.2. Без согласия субъектов осуществляется обработка общедоступных персональных данных или содержащих только фамилии, имена и отчества, обращений и запросов организаций и физических лиц, регистрация и отправка корреспонденции почтовой связью, оформление разовых пропусков, обработка персональных данных для исполнения трудовых договоров или без использования средств автоматизации и в иных случаях, предусмотренных законодательством Российской Федерации.

2.3. Обработка и использование персональных данных осуществляется в целях, указанных в соглашениях с субъектами персональных данных, а также в случаях, предусмотренных нормативными правовыми актами Российской Федерации и настоящим Положением. Не допускается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

2.4. В случае увольнения субъекта персональных данных и иного достижения целей обработки персональных данных, зафиксированных в письменном соглашении, Оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено законодательством и настоящим Положением.

2.5. Правила обработки и использования персональных данных, включая сроки хранения содержащих персональные данные оригиналов документов или копий документов на записываемых оптических носителях, предназначенных для архивного хранения, устанавливаются приказами. Правила обработки и использования электронных копий персональных данных на иных носителях, включая сроки их хранения, могут конкретизироваться в приказах, регулирующих использование соответствующих информационных систем.

2.6. Персональные данные защищаются от несанкционированного доступа в соответствии с нормативно-правовыми актами Российской Федерации, нормативно-распорядительными актами и рекомендациями регулирующих органов в области защиты информации, а также утвержденными приказами Оператора.

3. 3. Порядок обработки персональных данных без использования средств автоматизации

3.1.Обработка персональных данных без использования средств автоматизации (далее – неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации. 

3.2. При неавтоматизированной обработке различной категории персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.

3.3.  При неавтоматизированной обработке персональных данных на бумажных носителях:

• не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы;
• персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
• документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
• дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.

 

3.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовые формы). Должны соблюдаться следующие условия:

- Типовая форма или связанные с ней документы (инструкция по её заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных: фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

- Типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, - при необходимости получения письменного согласия на обработку персональных данных;

3.5. Неавтоматизированная обработка персональных данных в электронном виде осуществляется на внешних электронных носителях информации.

          3.6. При отсутствии технологической возможности осуществления неавтоматизированной обработки персональных данных в электронном виде на внешних носителях информации необходимо принимать организационные (охрана помещений) и технические меры (установка сертифицированных средств защиты информации), исключающие возможность несанкционированного доступа к персональным данным лиц, не допущенных к

4. Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации

4.1. Обработка персональных данных в системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке и информационных системах персональных данных», нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.

          4.2. Оператором осуществляется классификация информационных систем персональных данных в соответствии с Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» в зависимости от категории обрабатываемых данных и их количества.

          4.3. Мероприятия по обеспечению безопасности персональных данных на стадии проектирования и ввода в эксплуатацию объектов информатизации проводятся в соответствии с приказом ФСТЭК России от 05.02.2010 г. № 58 «О методах и способах защиты информации в информационных системах персональных данных».

          4.4. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии:

- утвержденных организационно-технических документов о порядке эксплуатации информационных систем персональных данных, включающих инструкции пользователя, администратора по организации антивирусной защиты, и других нормативных и методических документов;

- настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств соответствия с требованиями безопасной информации;

- охраны и организации режима доступа в помещения, предназначенные для обработки персональных данных.

5. Права, обязанности и ответственность субъекта персональных данных и Оператора при обработке персональных данных

5.1. В целях обеспечения защиты своих персональных данных субъект персональных данных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», за исключением случаев, предусмотренных данным Федеральным законом, имеет право:

- на получение сведений об Операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными;

- требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

- на получение при обращении или при направлении запроса информации, касающейся обработки его персональных данных;

- на обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

5.2. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

5.3. В случае выявления неправомерных действий с персональными данными Оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его законного представителя.

5.4. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством Российской Федерации, договором или соглашением между Оператором и субъектом персональных данных. Об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных.

5.5. Оператор не вправе без письменного согласия субъекта персональных данных передавать обрабатываемые персональные данные третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации. Оператор, а также должностные лица, виновные в нарушении требований Федерального закона, несут ответственность, предусмотренную законодательством Российской Федерации. Ответственность за соблюдение требований законодательства Российской Федерации при обработке и использовании персональных данных возлагается на начальников структурных подразделений и конкретных должностных лиц Оператора, обрабатывающих персональные данные.

6. Методы и способы защиты информации от несанкционированного доступа

6.1. К методам и способам защиты информации от несанкционированного, в том числе случайного доступа к персональным данным  результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий (далее - методы и способы защиты информации от несанкционированного доступа) относятся методы и способы защиты речевой информации, а также информации, представленной в виде информативных электрических сигналов, физических полей.

6.2. Методами и способами защиты информации от несанкционированного доступа являются:

- проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

- своевременное обнаружение фактов несанкционированного доступа к персональным данным;

- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

- возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- постоянный контроль за обеспечением уровня защищенности персональных данных;

- раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;

- при хранении материальных носителей содержащих персональные данные должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним;

- в отношении каждой категории персональных данных должны быть определены места хранения (материальных носителей);

- исключение доступа к материальным носителям персональных данных лиц, не имеющих доступа к работе с указанными персональными данными;

- реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;

- ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;

- разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;

- регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;

учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;

- резервирование технических средств, дублирование массивов и носителей информации;

- использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

- использование защищенных каналов связи;

размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;

 организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных, в том числе запирающиеся шкафы, сейфы, опечатанное помещение;

предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок;

обязательство должностных лиц о неразглашении персональных данных, ставших известными им в процессе исполнения должностных обязанностей.

6.3.. В информационных системах, имеющих подключение к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, используются средства антивирусной защиты.

6.4. При взаимодействии информационных систем с информационно­телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования) основными методами и способами защиты информации от несанкционированного доступа являются:

- межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;

- обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;

- анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);

- защита информации при ее передаче по каналам связи; использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;

использование средств антивирусной защиты;

централизованное управление системой защиты персональных данных информационной системы.

6.5. Подключение информационных систем, обрабатывающих государственные информационные ресурсы, к информационно-­телекоммуникационным сетям международного информационного обмена осуществляется в соответствии с Указом Президента Российской Федерации от 17.03.2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно- телекоммуникационных сетей международного информационного обмена».

6.6. В зависимости от особенностей обработки персональных данных и структуры информационных систем могут разрабатываться и применяться другие методы защиты информации от несанкционированного доступа, обеспечивающие нейтрализацию угроз безопасности персональных данных.

7. Ответственность должностных лиц

7.1. Работники учреждения, допущенные к персональным данным, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.

 

 

 

Посмотреть онлайн файл: Согласие на обработку персональных данных