Подведомственное учреждение Министерства социальной политики Нижегородской области

 Версия для слабовидящих

Политика в отношении обработки персональных данных

ГлавнаяДокументы Политика в отношении обработки персональных данных
ГлавнаяДокументы Политика в отношении обработки персональных данных

Политика государственного бюджетного учреждения «Комплексный центр социального обслуживания населения Шатковского муниципального округа»
в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика государственного бюджетного учреждения «Комплексный центр социального обслуживания населения Шатковского района» в отношении обработки персональных данных (далее - Политика) разработана в соответствии с Конституцией Российской Федерации, Перечнем сведений конфиденциального характера, утвержденным Указом Президента Российской Федерации от 6 марта 1997 г. №188, Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» (далее – Федеральный закон №152-ФЗ), Федеральным законом от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации», Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства Российской Федерации от 1 ноября 2012 г. №1119, Постановлением Правительства Российской Федерации от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21 марта 2012 г. №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

1.2. Настоящая Политика регламентирует порядок обработки и защиты персональных данных в государственном бюджетном учреждении «Комплексный центр социального обслуживания населения Шатковского района» (далее по тексту –Учреждение). Действие данной политики не распространяется на обработку персональных данных, отнесённых в установленном порядке к сведениям, составляющим государственную тайну. 

1.3. Политика действует в отношении всех персональных данных, которые Учреждение обрабатывает и  может получить от субъекта персональных данных.

1.4. Персональные данные граждан относятся к категории конфиденциальной информации.

1.5. Настоящая политика обязательна для исполнения всеми сотрудниками Учреждения, чьи должностные обязанности предусматривают выполнение функций по обработке персональных данных, определённых настоящей Политикой.

1.6. Основные понятия, используемые в Политике:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор персональных данных (Оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.7. Оператор имеет право:

  • самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
  • поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;
  • в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

1.8. Оператор обязан:

  • организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
  • принимать меры необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами;
  • опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
  • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
  • устранять нарушения законодательства, допущенные при обработке персональных данных;
  • отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
  • сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса.

1.9. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных в Учреждении.

2. Оператор персональных данных

2.1. В рамках настоящей Политики Учреждение в соответствии с пунктом 2 статьи 3 Федерального закона №152-ФЗ  является оператором персональных данных, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.»

3. Цели и задачи обработки персональных данных

3.1. Обработка персональных данных в Учреждении в рамках настоящей Политики осуществляется в соответствии с Федеральным законом №152-ФЗ, постановлением Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 6 июля 2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», постановлением Правительства Российской Федерации от 15 сентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 21 марта 2012 г. №211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных», Федеральным законом от 28 декабря 2013 г. №442-ФЗ «Об основах социального обслуживания граждан в Российской Федерации», Федеральным законом от 17 июля 1999 г. №178-ФЗ «О государственной социальной помощи», Законом Нижегородской области от 5 ноября 2014 г. №146-З «О социальном обслуживании граждан в Нижегородской области» и другими нормативными актами в сфере социальной поддержки, социального обслуживания, занятости населения и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.»

3.2. Обработка Учреждением персональных данных осуществляется в следующих целях:

  • обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
  • осуществление своей деятельности в соответствии с уставом;
  • ведение кадрового делопроизводства;
  • организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
  • заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
  • осуществление гражданско-правовых отношений;
  • ведение бухгалтерского учета.

3.2. При обработке персональных данных в Учреждении достигается решение следующих задач:

  • защита конституционных прав граждан Нижегородской области в сфере социального обслуживания;
  • участие в осуществлении нормативного правового регулирования в сфере социального обслуживания;
  • реализация и совершенствование мер социальной поддержки семьи, материнства, отцовства и детства, пожилых граждан, ветеранов, участников боевых действий, инвалидов, включая создание условий, обеспечивающих повышение уровня жизни населения, адресную социальную помощь гражданам, находящимся в трудной жизненной ситуации, в том числе посредством разработки и реализации областных (региональных) программ;
  • формирование и развитие оптимальной сети государственных учреждений всех типов, подведомственных Министерству (далее - подведомственные учреждения), повышение эффективности их работы, координация и методическое обеспечение их деятельности, развитие новых форм и видов социального обслуживания граждан;
  • профилактика социального сиротства, безнадзорности и правонарушений несовершеннолетних, обеспечение условий для социальной реабилитации детей, находящихся в трудной жизненной ситуации и социально опасном положении;
  • формирование и реализация государственной региональной политики в отношении семьи и детей в целях создания условий для реализации семьей ее функций, улучшения качества жизни семей с детьми, обеспечения прав и законных интересов несовершеннолетних;
  • осуществление в рамках своих полномочий контроля за соблюдением законодательства Российской Федерации и Нижегородской области при использовании средств федерального и областного бюджетов, а также материальных ценностей, находящихся в государственной собственности Нижегородской области;
  • заключение и выполнение обязательств по договорам, договорам гражданско-правового характера и договорам с контрагентами.

4. Категории обрабатываемых персональных данных, категории субъектов персональных данных

4.1. В рамках целей и задач, определённых настоящей Политикой, Учреждением обрабатываются персональные данные следующих категорий субъектов персональных данных:

  • получатели социальных услуг - граждане, которые признаны нуждающимися в социальном обслуживании и которым предоставляются социальные услуга или социальные услуги;
  • работники, состоящие с Учреждением в трудовых отношениях;
  • граждане, реализующие право на обращение в государственный орган или должностному лицу в соответствии с Федеральным законом от 02 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
  • физические лица, состоящие с Учреждением в договорных или иных гражданско-правовых отношениях;
  • физические лица, входящие в органы управления Учреждения (Попечительский, Общественный советы);
  • соискатели на замещение вакантных должностей в Учреждении. 

Источники получения: граждане, обратившиеся в Учреждение, государственные органы, владеющие соответствующей информацией о субъектах персональных данных и наделенные полномочиями по их обработке.

4.2. Учреждение осуществляет обработку следующих категорий персональных данных: фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, телефон, семейное положение, социальное положение, доходы, номер страхового свидетельства государственного пенсионного страхования, сведения о документах, удостоверяющих личность, сведения о воинской обязанности, не содержащие сведений о национальной принадлежности субъекта персональных данных.

4.3 Перечень персональных данных, обрабатываемых в Учреждении, включается в Перечень сведений ограниченного доступа, не составляющих государственную тайну, который утверждается приказом директора Учреждения.

5. Принципы и условия обработки персональных данных

5.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

5.2. Обработка персональных данных должна осуществляется Учреждением в соответствии с требованиями законодательства Российской Федерации.

5.2. Обработка персональных данных должна ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

5.3. Не допускается объединение баз данных, содержащих  персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

5.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

5.5. Содержание и объём обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

5.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

5.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5.8. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, выраженного в письменной форме, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

5.9 Учреждение не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность);

5.10 Учреждение не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;

5.11. Учреждения не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных;

5.12. Учреждение производит передачу персональных данных третьим лицам на основании соответствующего соглашения и только с согласия субъектов персональных данных;

5.13. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

5.14. Обработка персональных данных осуществляется путем:

  • получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
  • получения персональных данных из общедоступных источников;
  • внесения персональных данных в журналы, реестры и информационные системы, используемые в Учреждении;
  • использования иных способов обработки персональных данных. 

5.15. К обработке персональных данных допускаются работники Учреждения, в должностные обязанности которых входит обработка персональных данных.

5.16. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

5.17. При обработке персональных данных обеспечивается соблюдение конфиденциальности персональных данных и обеспечение необходимого уровня защиты информации. Данное требование обязательно для всех сотрудников и руководителей структурных подразделений Учреждений, руководителей Учреждения, осуществляющих обработку персональных данных.

5.18.  Хранение персональных данных в Учреждении осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

6. Права субъекта персональных данных

6.1. Субъект персональных данных имеет право:

  • самостоятельно принимать решение о предоставлении своих персональных данных и давать согласие на их обработку. При этом согласие на обработку персональных данных оформляется в письменном виде по форме, утвержденной приказом директора Учреждения;
  • отозвать согласие на обработку персональных данных путем направления письменного заявления на имя оператора персональных данных;
  • на получение сведений об Учреждении, о месте его нахождения, о наличии в Учреждении персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными;
  • требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, если иное не определено действующим законодательством Российской Федерации;
  • на получение доступа к своим персональным данным лично или через законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть представлен в электронной форме и подписан электронной подписью в соответствии с действующим законодательством Российской Федерации;
  • на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
  • обратиться с жалобой в уполномоченный федеральный орган исполнительной власти по защите прав субъектов персональных данных или в суд в том случае, если полагает, что обработка его персональных данных осуществляется с нарушением требований законодательства или иным образом нарушает его права и свободы.

7. Обязанности Учреждения при обработке персональных данных

7.1. При обработке персональных данных Учреждение обязано выполнять требования статей 18, 19, 20 «Федерального закона от 27 июля 2006 г. №152-ФЗ» в том числе:

  • безвозмездно предоставлять субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что обрабатываемые персональные данные, которые относятся к соответствующему субъекту, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Учреждение обязано уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы;
  • в случае выявления неправомерных действий с персональными данными Учреждение в срок, не превышающий трех рабочих дней с даты такого выявления, обязано устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Учреждение в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязано уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Учреждение обязано уведомить субъекта персональных данных или его законного представителя;
  • в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Учреждение обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва. Об уничтожении персональных данных Учреждение обязано уведомить субъекта персональных данных;
  • обеспечивать конфиденциальность персональных данных;
  • определить перечень персональных данных, обрабатываемых Учреждением;
  • определить перечень лиц, ответственных за организацию обработки персональных данных и за обработку персональных данных;
  • определить места хранения материальных носителей;
  • разработать систему нормативных документов, регламентирующих обработку персональных данных (в том числе с применением средств защиты информации);
  • довести требования нормативных документов, регламентирующих обработку персональных данных, до сотрудников, осуществляющих их обработку;
  • закрепить ответственность сотрудников, обеспечивающих обработку персональных данных, за выполнение требований нормативных документов в их должностных инструкциях.

7.2. Обеспечивать конфиденциальность персональных данных не требуется:

  • в случае обезличивания персональных данных;
  • в отношении общедоступных персональных данных. 

8. Обязанности сотрудников Учреждения при работе с персональными данными и при обеспечении конфиденциальности и безопасности обработки персональных данных

8.1. Персональные данные являются одной из категорий Перечня сведений ограниченного доступа, не содержащих государственной тайны, и подлежат защите в рамках функционирующей в Учреждении системы защиты информации.

8.2. Сотрудники Учреждения при работе с персональными данными, при обеспечении их конфиденциальности и безопасности обработки обязаны выполнять весь комплекс мероприятий, установленный нормативными документами по порядку обработки и обеспечению защиты информации.

8.3. Общие правила для сотрудников Учреждения при работе с персональными данными:

  • не сообщать персональные данные устно или письменно (по телефону, факсу, электронной почте, в письме или иным способом) кому бы то ни было, если это не установлено законодательством и действующими инструкциями по работе со служебными документами и обращениями граждан;
  • использовать учтенные (должным образом зарегистрированные) носители информации;
  • не оставлять носители информации с персональными данными без присмотра и не передавать на хранение другим лицам, не имеющим на это полномочий;
  • не выносить съемные носители информации, средства вычислительной техники с размещенными на них персональными данными из служебных помещений для работы с ними на дому, улице и т. д.

9. Предоставление доступа к персональным данным

9.1. К работе с персональными данными допускаются сотрудники Учреждения, должностные инструкции которых предусматривают выполнение обязанностей по обработке персональных данных. Список лиц, имеющих доступ к персональным данным, утверждается директором Учреждения.

9.2. Предоставление сотруднику доступа к информационному ресурсу, содержащему персональные данные, осуществляется на основании приказа по Учреждению об утверждении списка лиц, осуществляющих обработку персональных данных по заявке (установленной формы) руководителя подразделения Учреждения на имя директора Учреждения, с обоснованием необходимости работы с информационным ресурсом, режима работы в рамках функционирующей системы разграничения доступа.

9.3. Руководитель подразделения Учреждения при организации доступа сотрудника к персональным данным, обязан ознакомить его с настоящей Политикой, с требованиями нормативных документов по установлению особенностей и правил осуществления обработки персональных данных, обеспечению безопасности персональных данных под роспись (постановления Правительства от от 01 ноября 2012 г. № 1119 и от от 15 сентября 2008 г. № 687 в части касающейся, комплекс нормативных документов по защите информации, разработанных в Министерстве).

9.4. Каждый пользователь информационного ресурса имеет индивидуальные код (идентификатор) и пароль для доступа к информационному ресурсу. Пользователь не имеет права передавать свои учётные данные другому пользователю и несет персональную ответственность за конфиденциальность данных собственной учетной записи.

10. Сбор, обработка, хранение и уничтожение персональных данных

10.1. Обработка персональных данных в Учреждении осуществляется в соответствии с п.5 настоящей Политики.

10.2. Обработка персональных данных осуществляется в Учреждении на основании действующего законодательства Российской Федерации, в соответствии с утвержденными инструкциями по обеспечению выполнения того или иного процесса в зависимости от цели обработки персональных данных.

10.3. Хранение персональных данных осуществляется на материальных носителях в местах, определенных Учреждением для хранения материальных носителей персональных данных.

10.4. Создание, использование и хранение резервных копий баз данных, содержащих сведения ограниченного доступа, в том числе персональные данные, допускается и осуществляется только в целях обеспечения производственного процесса и регламентируется для каждого информационного ресурса частной технологической инструкцией.

10.5. Хранение резервных копий баз данных, содержащих персональные данные, осуществляется на основании приказа директора Учреждения на материальных носителях информации, доступ к которым ограничен.

10.6. Вынос носителей с резервными копиями баз данных, содержащих персональные данные, а также материальных носителей персональных данных из здания Учреждения запрещен, если иное не предусмотрено законодательством.

10.7. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению.

11. Организация защиты персональных данных

11.1. Обработка персональных данных с использованием средств автоматизации осуществляется с обеспечением необходимого уровня защиты информации, предусматривающего принятие организационных и технических мер, в том числе использование шифровальных (криптографических) средств, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

11.2. Обеспечение защиты персональных данных в Учреждении является одним из аспектов обеспечения защиты сведений ограниченного доступа, не составляющих государственную тайну, и осуществляется в рамках реализации комплексной системы защиты информации.

11.3. При обработке персональных данных в Учреждении организационные мероприятия выполняются в рамках реализации комплексной системы защиты информации и предусматривают:

  • определение ответственных за обработку персональных данных и закрепление обязанностей и ответственности (издание приказа об утверждении списка сотрудников Учреждения, ответственных за обработку персональных данных, с возложением на них персональной ответственности за соблюдение порядка обработки и требований по защите персональных данных);
  • информирование сотрудников, осуществляющих обработку персональных данных, о факте обработки ими персональных данных, категориях обрабатываемых персональных данных;
  • ознакомление сотрудников, ответственных за обработку персональных данных, с требованиями нормативных документов по установлению особенностей и правил осуществления обработки персональных данных, обеспечению безопасности персональных данных под роспись (Постановления Правительства Российской Федерации от от 01 ноября 2012 г. № 1119 и от 15 сентября 2008 г.№687 в части касающейся и комплекса нормативных документов по защите информации, разработанных в Министерстве);
  • организация допуска и разграничение прав доступа к информационным ресурсам и материальным носителям, содержащим персональные данные, в рамках установленной системы разграничения доступа (подготовка разрешительных документов – таблиц разграничения доступа, заявок на допуск к информационному ресурсу). Работа с персональными данными лиц, не включенных в разрешительные документы, не допускается;
  • внесение изменений в должностные инструкции сотрудников, имеющих отношение к обработке персональных данных, в части дополнения положениями о необходимости и обязанности соблюдения настоящей Политики, а также требований по защите персональных данных;
  • внесение изменений в должностные инструкции руководителей подразделений Учреждения в части дополнения положениями о необходимости и обязанности осуществления контроля за соблюдением сотрудниками подразделения правил обработки персональных данных, а также требований по их защите;
  • определение перечня помещений, в которых осуществляется обработка информации, содержащей сведения ограниченного доступа, в т. ч. персональные данные;
  • учет и контроль перемещения носителей информации, содержащих сведения ограниченного доступа, в т. ч. персональные данные.

11.4. При обработке персональных данных с использованием средств автоматизации в Учреждении технические мероприятия выполняются в рамках реализации комплексной системы защиты информации и предусматривают:

  • использование защищенной корпоративной информационно-телекоммуникационной сети;
  • аутентификация пользователей вычислительных средств и информационных ресурсов;
  • резервное копирование данных;
  • авторизация доступа к информации;
  • применение сертифицированных межсетевых защитных (фильтрующих) экранов;
  • использование протоколов, обеспечивающих маршрутизацию сообщений;
  • применение антивирусного мониторинга и детектирования;
  • мониторинг процессов и действий пользователей аппаратных и информационных ресурсов;
  • оборудование зданий и помещений системами пожарной и охранной сигнализации;
  • применение для хранения парольной и ключевой информации электронных носителей (индивидуальных аутентификаторов, электронных ключей);
  • применение в вычислительных системах технологий и средств повышения надежности их функционирования и обеспечения безопасности информации;
  • своевременное применение критических обновлений общесистемного и прикладного программного обеспечения;
  • оптимальная настройка операционной системы и прикладного программного обеспечения (техническая и эксплуатационная документация на прикладного программного обеспечения).

11.5. В целях регистрации действий сотрудников при работе с персональными данными ведется Журнал обращений по ознакомлению с персональными данными, с использованием которого организован доступ к персональным данным, в форме, позволяющей идентифицировать пользователя, принадлежность персональных данных, дату, время доступа к персональным данным. Хранение журналов исключает несанкционированный доступ к ним.

11. Передача персональных данных

12.1. Передача персональных данных между подразделениями Учреждения регламентируется инструкциями, определяющими порядок работы при организации соответствующего процесса.

12.2. Решение о передаче персональных данных третьим лицам, принимается только директором Учреждения на основании действующего законодательства Российской Федерации.

12.3. Передача персональных данных третьим лицам осуществляется:

  • на основании заключенных соглашений, с указанием ответственности за конфиденциальность персональных данных;
  • по письменным мотивированным запросам по вопросам, касающимся целей обработки персональных данных, на основании решения директора Учреждения;
  • в иных случаях, предусмотренных законодательством.

12.4. Исключается передача обрабатываемых персональных данных без письменного согласия субъекта персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации.

13. Взаимодействие с уполномоченным органом по защите прав субъектов персональных данных и федеральными органами, осуществляющими контроль и надзор за выполнением требований по обеспечению безопасности персональных данных

13.1. Взаимодействие с уполномоченным органом по защите прав субъектов персональных данных в рамках, установленных настоящей Политикой, категорий субъектов персональных данных, а также целей и задач осуществляет:

  1. по вопросам выполнения требований по обеспечению безопасности персональных данных - администратор информационной безопасности Учреждения;
  2. по вопросам организации обработки персональных данных – ответственный за организацию обработки персональных данных в Учреждении.

13.2. Взаимодействие с федеральными органами, осуществляющими контроль и надзор за выполнением требований по обеспечению безопасности персональных данных в Учреждении осуществляет администратор информационной безопасности.

14. Ответственность за нарушение требований обработки персональных данных

14.1. Нарушение требований обработки персональных данных, устанавливаемых законодательством Российской Федерации, нормативных документов по обеспечению безопасности сведений ограниченного доступа, не содержащих государственную тайну, и настоящей Политикой, может повлечь предусмотренную действующим законодательством Российской Федерации ответственность.


Скачать политику в отношении обработки персональных данных

Изменения в политике в отношении обработки персональных данных от 24.12.2019 г.

Нажмите, чтобы прослушать выделенный текст