Департамент потребительского рынка Ростовской области

О персональных данных

 

Приложение № 1

к приказу департамента

потребительского рынка

Ростовской области

№ 78 от 28 октября 2020 г.

 

Положение

об обработке персональных данных

в департаменте потребительского рынка Ростовской области

 

1.                Общие положения

 

1.1. Настоящее положение разработано в целях реализации требований законодательства в области обработки и защиты персональных данных (далее – ПДн) и направлено на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн в департаменте потребительского рынка Ростовской области (далее- департамент), в том числе для защиты ПДн при их обработке от несанкционированного доступа, их неправомерного использования или утраты.

1.2. Действие положения распространяется на отношения по обработке и защите ПДн, полученных департаментом как до, так и после утверждения положения, за исключением случаев, когда по причинам правового, организационного и иного характера действие положения не может быть распространено на отношения по обработке и защите ПДн, полученных до его утверждения.

1.3. ПДн относятся к категории конфиденциальной информации. Режим конфиденциальности ПДн снимается в случаях обезличивания или по истечении срока хранения, определенного действующим законодательством и правовыми актами департамента, если иное не определено законом.

1.4. Настоящее положение утверждается и вводится в действие приказом департамента и является обязательным для исполнения всеми должностными лицами департамента, имеющими доступ к ПДн.

1.5. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). Под информацией понимаются сведения о фактах, событиях и обстоятельствах жизни субъекта персональных данных, позволяющие идентифицировать его личность.

 

2. Основания обработки и состав персональных данных,

обрабатываемых в департаменте

 

2.1. Обработка ПДн в департаменте осуществляется в связи с выполнением законодательно возложенных на департамент функций, определяемых:

1) Федеральным законом от 22.11.1995 № 171-ФЗ “О государственном регулировании производства и оборота этилового спирта, алкогольной и спиртосодержащей продукции и об ограничении потребления (распития) алкогольной продукции”;

2) Федеральным законом № 294-ФЗ от 26.12.2008 “О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля”;

3) Кодексом Российской Федерации об административных правонарушениях;

4) Постановлением Правительства Российской Федерации от 09.08.2012 № 815 “О представлении деклараций об объёме производства, оборота и (или) использования этилового спирта, алкогольной и спиртосодержащей продукции, об использовании производственных мощностей”;

5) Областным законом Ростовской области 28.12.2005 № 441-ЗС “О государственном регулировании производства и оборота этилового спирта, алкогольной и спиртосодержащей продукции на территории Ростовской области”;

6) иными нормативными правовыми актами Российской Федерации и Ростовской области.

Кроме того, обработка ПДн в департаменте осуществляется в ходе служебных и иных непосредственно связанных с ними отношений, в которых департамент выступает в качестве представителя нанимателя (гл. 7 Федерального закона от 27.07.2004 № 79-ФЗ “О государственной гражданской службе Российской Федерации”), в связи с реализацией департаментом своих прав и обязанностей как юридического лица.

2.2. В рамках осуществления функций департаментом ПДн обрабатываются:

2.1. В связи с трудовыми и иными непосредственно связанными с ними отношениями, в которых департамент выступает в качестве работодателя, обрабатываются ПДн лиц, претендующих на трудоустройство в департамент, должностных лиц департамента и бывших работников департамента (анкетные и биографические данные, наименование структурного подразделения, занимаемая должность, сведения о заработной плате, паспортные данные, адрес регистрации, ИНН, номер страхового свидетельства, данные об образовании, данные о детях, данные о семейном положении, содержание трудового договора, содержание декларации, подаваемой в налоговую инспекцию, личные дела и трудовые книжки сотрудников).

2.2. В связи с реализацией своих прав и обязанностей как юридического лица, департаментом обрабатываются ПДн физических лиц, являющихся контрагентами (возможными контрагентами) департамента по государственным контрактам, ПДн руководителей, представителей юридических лиц, ПДн иных физических лиц, представленные участниками закупки, физических лиц, ПДн которых используются для осуществления пропускного режима в занимаемых департаментом помещениях, а также граждан, письменно обращающихся в департамент по вопросам его деятельности.

2.3. В связи с реализаций полномочий, возложенных на департамент законодательными актами Российской Федерации, сведения о субъектах персональных данных, не являющихся работниками оператора персональных данных (паспортные данные, адрес регистрации, ИНН).

2.4. ПДн получаются и обрабатываются департаментом на основании федеральных законов и иных нормативных правовых актов Российской Федерации, а в необходимых случаях - при наличии письменного согласия субъекта ПДн.

2.5. В целях исполнения возложенных функций департамент в установленном порядке вправе поручить обработку ПДн третьим лицам.

В служебные контракты с лицами, которым департамент поручает обработку ПДн, включаются условия, обязывающие таких лиц соблюдать предусмотренные законодательством требования к обработке и защите ПДн.

2.6. Департамент предоставляет обрабатываемые им ПДн государственным органам и организациям, имеющим, в соответствии с федеральным законом, право на получение соответствующих ПДн.

2.7. В департаменте не производится обработка ПДн, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки ПДн в департаменте, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся департаментом ПНд уничтожатся или обезличиваются.

2.8. При обработке ПДн обеспечиваются их точность, достаточность, а при необходимости - и актуальность по отношению к целям обработки. Департамент принимает необходимые меры по удалению или уточнению неполных или неточных ПДн.

 

3. Принципы обеспечения безопасности персональных данных

 

3.1. Основной задачей обеспечения безопасности ПДн при их обработке в департаменте является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПДн, разрушения (уничтожения) или искажения их в процессе обработки.

3.2. Для обеспечения безопасности ПДн департамент руководствуется следующими принципами:

1) законность: защита ПДн основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПДн;

2) системность: обработка ПДн в департаменте осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн;

3) комплексность: защита ПДн строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах департамента (далее - ИС) и других имеющихся в департаменте систем и средств защиты;

4) непрерывность: защита ПДн обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки ПДн, в том числе при проведении ремонтных и регламентных работ;

5) своевременность: меры, обеспечивающие надлежащий уровень безопасности ПДн, принимаются до начала их обработки;

6) преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты ПДн осуществляется на основании результатов анализа практики обработки ПДн в департаменте с учетом выявления новых способов и средств реализации угроз безопасности ПДн, отечественного и зарубежного опыта в сфере защиты информации;

7) персональная ответственность: ответственность за обеспечение безопасности ПДн возлагается на должностных лиц департамента в пределах их обязанностей, связанных с обработкой и защитой ПДн;

8) минимизация прав доступа: доступ к ПДн предоставляется должностным лицам департамента только в объеме, необходимом для выполнения их должностных обязанностей;

9) гибкость: обеспечение выполнения функций защиты ПДн при изменении характеристик функционирования информационных систем персональных данных департамента (далее - ИСПДн), а также объема и состава обрабатываемых ПДн;

10) открытость алгоритмов и механизмов защиты: структура, технологии и алгоритмы функционирования системы защиты ПДн департамента (далее - СЗПДн) не дают возможности преодоления имеющихся в департаменте систем защиты возможными нарушителями безопасности ПДн;

11) научная обоснованность и техническая реализуемость: уровень мер по защите ПДн определяется современным уровнем развития информационных технологий и средств защиты информации;

12) специализация и профессионализм: реализация мер по обеспечению безопасности ПДн и эксплуатация СЗПДн осуществляются должностными лицами департамента, имеющими необходимые для этого квалификацию и опыт;

13) эффективность процедур отбора кадров и выбора контрагентов: кадровая политика департамента предусматривает тщательный подбор персонала и мотивацию должностных лиц департамента, позволяющую исключить или минимизировать возможность нарушения ими безопасности ПДн; минимизация вероятности возникновения угрозы безопасности ПДн, источники которых связаны с человеческим фактором, обеспечивается получением наиболее полной информации о контрагентах департамента до заключения договоров;

14) наблюдаемость и прозрачность: меры по обеспечению безопасности ПДн должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;

15) непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты ПДн, а результаты контроля регулярно анализируются.

 

4. Обработка персональных данных

 

4.1. Под обработкой ПДн понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных.

4.2. В целях обеспечения прав и свобод человека и гражданина оператор персональных данных и его представители при обработке ПДн обязаны соблюдать следующие общие требования:

4.2.1. Обработка ПДн может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия субъектам ПДн, являющихся работниками оператора ПДн в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

4.2.2. При определении объема и содержания обрабатываемых ПДн субъекта персональных данных, оператор должен руководствоваться действующими нормативными правовыми актами Российской Федерации.

4.2.3. Получение ПДн может осуществляться как путем представления их самим субъектом персональных данных, так и путем получения их из иных источников.

4.2.4. Если ПДн возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Оператор персональных данных должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа лица дать письменное согласие на их получение. Согласие субъекта персональных данных не требуется в случае, если обработка ПДн ведется для осуществления и выполнения, возложенных законодательством Российской Федерации на департамент функций, полномочий и обязанностей, не предусматривающих получение согласия субъекта на обработку ПДн.

4.2.5. Оператор персональных данных не имеет права получать и обрабатывать ПДн субъектов о политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, данные о частной жизни (информация о жизнедеятельности в сфере семейных, бытовых, личных отношений) могут быть получены и обработаны оператором персональных данных только с письменного согласия субъекта персональных данных;

4.2.6. Оператор персональных данных не имеет право получать и обрабатывать ПДн субъекта персональных данных о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

4.3. Использование ПДн возможно только в соответствии с целями, определившими их получение. ПДн не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и преследуется в соответствии с законодательством.

4.4. Передача ПДн возможна только с согласия субъекта персональных данных или в случаях, прямо предусмотренных законодательством. При передаче ПДн оператор персональных данных должен соблюдать следующие требования:

4.4.1. Не сообщать ПДн третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральным законом.

4.4.2. Не сообщать ПДн в коммерческих целях без письменного согласия субъекта персональных данных.

4.4.3. Предупредить лиц, получающих ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПДн, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен ПДн в порядке, установленном федеральными законами.

4.4.4. Разрешать доступ к ПДн только специально уполномоченным лицам, определенным приказом по организации, при этом указанные лица должны иметь право получать только те ПДн, которые необходимы для выполнения конкретных функций.

4.4.5. Не запрашивать информацию о состоянии здоровья субъекта ПДн, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

4.4.6. Передавать ПДн субъекта персональных данных, являющегося должностным лицом департамента, только специально уполномоченным лицам в порядке, установленном законодательством Российской Федерации, и ограничивать эту информацию только теми ПДн субъекта персональных данных, которые необходимы для выполнения указанными представителями конкретных функций.

4.4.7. Передача ПДн от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

4.4.8. При передаче ПДн потребителям (в том числе и в коммерческих целях) за пределы организации оператор персональных данных не должен сообщать эти данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью или в случаях, установленных федеральным законом.

4.5. Все меры конфиденциальности при сборе, обработке и хранении ПДн распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

4.7. Не допускается отвечать на вопросы, связанные с передачей ПДн по 6телефону или факсу.

4.7. Хранение ПДн должно происходить в порядке, исключающем их утрату или их неправомерное использование.

4.8. При принятии решений, затрагивающих интересы субъектов персональных данных, являющихся работниками оператора персональных данных, оператор не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Оператор персональных данных учитывает личные качества работника, его добросовестный и эффективный труд.

 

5. Доступ к персональным данным

 

5.1. Доступ к обрабатываемым в департаменте ПДн имеют лица, уполномоченные приказом департамента, лица, чьи ПДн подлежат обработке, а также иные государственные и негосударственные функциональные структуры, в пределах осуществления ими своих функций и полномочий.

5.2. В целях разграничения полномочий при обработке ПДн полномочия по реализации каждой определенной законодательством функции департамента закрепляются за соответствующими структурными подразделениями департамента.

Доступ к ПДн, обрабатываемым в ходе реализации полномочий, закрепленных за конкретным структурным подразделением департамента, могут иметь только должностные лица этого структурного подразделения. Должностные лица департамента допускаются к ПДн, связанным с деятельностью другого структурного подразделения, только для чтения и подготовки обобщенных материалов в части вопросов, касающихся структурного подразделения этих должностных лиц.

5.3. Доступ должностных лиц к обрабатываемым департаментом ПДн осуществляется в соответствии с их должностными обязанностями и требованиями правовых актов департамента.

Допущенные к обработке ПДн должностные лица департамента под роспись знакомятся с документами департамента, устанавливающими порядок обработки ПДн, включая документы, устанавливающие права и обязанности конкретных должностных лиц.

5.4. Порядок доступа субъекта ПДн к его ПДн, обрабатываемым департаментом, определяется в соответствии с законодательством и определяется правовыми актами департамента.

5.5. ПДн действующего (или уволенного) должностного лица департамента могут быть предоставлены другой организации только в соответствии с письменным запросом на бланке организации, в случаях предусмотренных действующим законодательством Российской Федерации.

5.6. ПДн должностного лица департамента могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника. В случае развода бывшая супруга (супруг) имеют право обратиться в департамент с письменным запросом о размере заработной платы сотрудника без его согласия.

 

6. Реализуемые требования к защите персональных данных

 

6.1. Департамент принимает правовые, организационные и технические меры (или обеспечивает их принятие), необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006        № 152-ФЗ “О персональных данных” и принятыми в соответствии с ним нормативными правовыми актами, для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

6.2. Состав указанных в пункте 6.1 положения мер, включая их содержание и выбор средств защиты ПДн, определяется, а правовые акты об обработке и защите ПДн утверждаются (издаются) департаментом, исходя из требований:

- Федерального закона от 27.0.7.2006 № 152-ФЗ “О персональных данных”;

- Главы 7 Федерального закона от 27.07.2004 № 79-ФЗ “О государственной гражданской службе Российской Федерации”;

- Постановления Правительства Российской Федерации от 01.11.2012 № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”;

- Постановления Правительства Российской Федерации от 15.09.2008 № 687 “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”;

- приказа ФСТЭК России от 18.02.2013 № 21 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн”;

- иных нормативных правовых актов Российской Федерации, регламентирующих обработку и защиту ПДн.

6.3. В предусмотренных законодательством случаях обработка ПДн осуществляется департаментом с согласия субъектов ПДн.

Департаментом производится устранение выявленных нарушений законодательства об обработке и защите ПДн.

6.4. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше чем этого требуют цели обработки ПДн, если срок хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

6.5. Департаментом осуществляется ознакомление должностных лиц департамента, непосредственно осуществляющих обработку ПДн, с положениями законодательства о ПДн, в том числе требованиями к защите ПДн и иными внутренними регулятивными документами по вопросам обработки ПДн, и (или) обучение указанных должностных лиц департамента по вопросам обработки и защиты ПДн.

6.6. При обработке ПДн с использованием средств автоматизации департаментом, в частности, применяются следующие меры:

6.6.1. Назначается ответственный за защиту персональных данных, а также администратор информационной безопасности, определяется их компетенция.

6.6.2. Утверждаются (издаются) правовые акты по вопросам обработки и защиты ПДн, в том числе устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений.

6.6.3. Осуществляется внутренний контроль и (или) аудит соответствия обработки ПДн законодательству о ПДн и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, положению и правовым актам департамента.

6.6.4. Проводится оценка вреда, который может быть причинен субъектам ПДн в случае нарушения законодательства о ПДн, определяется соотношение указанного вреда и принимаемых департаментом мер, направленных на обеспечение исполнения обязанностей, предусмотренных законодательством о ПДн.

6.7. Обеспечение безопасности ПДн в департаменте при их обработке в ИСПДн достигается, в частности, путем:

6.7.1. Определения угроз безопасности ПДн. Тип актуальных угроз безопасности ПДн и необходимый уровень защищенности ПДн определяются в соответствии с требованиями законодательства и с учетом проведения оценки возможного вреда.

6.7.2. Определения в установленном порядке состава и содержания мер по обеспечению безопасности ПДн, выбора средств защиты информации. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности ПДн, а также с учетом экономической целесообразности департаментом могут разрабатываться компенсирующие меры, направленные на нейтрализацию актуальных угроз безопасности ПДн. В этом случае в ходе разработки СЗПДн проводится обоснование применения компенсирующих мер для обеспечения безопасности ПДн.

6.7.3. Применения организационных и технических мер по обеспечению безопасности ПДн, необходимых для выполнения требований к защите ПДн, обеспечивающих определенные уровни защищенности ПДн, включая применение средств защиты информации, прошедших процедуру оценки соответствия, когда применение таких средств необходимо для нейтрализации актуальных угроз.

В департаменте, в том числе, осуществляются:

- оценка эффективности принимаемых и реализованных мер по обеспечению безопасности ПДн;

- учет машинных носителей ПДн, обеспечение их сохранности;

- обнаружение фактов несанкционированного доступа к ПДн и принятие соответствующих мер;

- восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установление правил доступа к обрабатываемым ПДн, а также обеспечение регистрации и учета действий, совершаемых с ПДн;

- организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

- контроль за принимаемыми мерами по обеспечению безопасности ПДн, уровня защищенности ИСПДн.

6.8. Обеспечение защиты ПДн в департаменте при их обработке, осуществляемой без использования средств автоматизации, достигается, в частности, путем:

6.8.1. Обособления ПДн от иной информации.

6.8.2. Недопущения фиксации на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы.

6.8.3. Использования отдельных материальных носителей для обработки каждой категории ПДн.

6.8.4. Принятия мер по обеспечению раздельной обработки ПДн при несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн;

6.8.5. Соблюдения требований:

- к раздельной обработке зафиксированных на одном материальном носителе ПДн и информации, не относящейся к ПДн;

- уточнению ПДн;

- уничтожению или обезличиванию части ПДн;

- использованию типовых форм документов, характер информации в которых предполагается или допускается включение в них ПДн;

- ведению журналов, содержащих ПДн, необходимых для выдачи однократных пропусков субъектам ПДн в занимаемые департаментом здания и помещения;

- хранению ПДн, в том числе к обеспечению раздельного хранения ПДн (материальных носителей), обработка которых осуществляется в различных целях, и установлению перечня лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.

 6.9. Под угрозой или опасностью утраты ПДн понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

6.10. Защита ПДн представляет собой жестко регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности ПДн и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности оператора персональных данных.

6.11. Защита ПДн от неправомерного их использования или утраты должна быть обеспечена оператором ПДн за счет его средств, в порядке, установленном федеральным законом.

6.12. «Внутренняя защита». Основным виновником несанкционированного доступа к ПДн являются, как правило, сотрудники, работающие с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена, для разграничения полномочий между руководителем и специалистами оператора ПДн.

Для обеспечения внутренней защиты ПДн должностных лиц департамента необходимо соблюдать ряд мер:

- ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний.

- строгое избирательное и обоснованное распределение документов и информации между работниками.

- рациональное размещение рабочих мест работников, при котором исключалось бы безконтрольное использование ПДн.

- соблюдение работниками требований законодательства, нормативных и методических документов по защите информации и сохранении ПДн.

-  наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных.

- определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника, обрабатывающая ПДн;

- организацию порядка уничтожения ПДн.

- своевременное выявление нарушения требований разрешительной системы доступа работниками подразделений.

- воспитательная и разъяснительная работа с сотрудниками подразделений по предупреждению утраты ценных сведений при работе с ПДн.

- не допускается выдача личных дел сотрудникам департамента на рабочие места. Личные дела могут выдаваться на рабочие места только директору департамента, главному специалисту, консультанту и начальнику отдела правовой и кадровой работы, руководителям отделов департамента (например, при подготовке материалов для аттестации работника).

6.13. «Внешняя защита». Для защиты ПДн создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и завладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности департамента, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе правовой и кадровой работы. Для обеспечения внешней защиты ПДн сотрудников необходимо соблюдение:

-                     порядка приема, учета и контроля деятельности посетителей;

-                     пропускного режима организации;

-                     порядка и учета выдачи служебных удостоверений;

-                     требований к техническим средствам охраны и сигнализации;

-                     порядка охраны территории, зданий, помещений, транспортных средств;

-                     требований к защите информации при интервьюировании и собеседованиях.

6.14. Все лица, связанные с получением, обработкой и защитой ПДн, обязаны подписать обязательство о неразглашении ПДн.

6.15. По возможности ПДн обезличиваются.

6.16. Кроме мер защиты персональных данных, установленных законодательством, работодатели, работники и их представители могут вырабатывать совместные меры защиты персональных данных работников.

 

7. Права и обязанности

 

7.1. Закрепление прав лица, регламентирующих защиту его ПДн, обеспечивает сохранность полной и точной информации о нем.

7.2. Работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки ПДн лиц, а также об их правах и обязанностях в этой области.

7.3. В целях защиты ПДн, хранящихся у работодателя, лицо имеет право:

7.3.1. Требовать исключения или исправления неверных или неполных ПДн.

7.3.2. На свободный бесплатный доступ к своим ПДн, включая право на получение копий любой записи, содержащей ПДн.

7.3.3. ПДн оценочного характера дополнить заявлением, выражающим его собственную точку зрения.

7.3.4. Определять своих представителей для защиты своих ПДн.

7.3.5. На сохранение и защиту своей личной и семейной тайны.

7.4. Работник обязан:

7.4.1. Передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ.

7.4.2. Своевременно сообщать работодателю об изменении своих ПДн.

7.5. Должностные лица департамента ставят работодателя в известность об изменении фамилии, имени, отчества, даты рождения, что получает отражение в трудовой книжке на основании представленных документов. При необходимости изменяются данные об образовании, профессии, специальности, присвоении нового разряда и пр.

 

8. Ответственность за разглашение конфиденциальной информации,

связанной с персональными данными

8.1. Персональная ответственность – одно из главных требований к организации функционирования системы защиты ПДн и обязательное условие обеспечения эффективности этой системы.

8.2. Юридические и физические лица, в соответствии со своими полномочиями владеющие ПДн граждан, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования ПДн.

8.3. Руководитель, разрешающий доступ сотрудника к ПДн, несет персональную ответственность за данное разрешение.

8.4. Каждое должностное лицо департамента, получающее для работы документ, содержащий ПДн, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

8.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

8.6. За неисполнение или ненадлежащее исполнение должностным лицом департамента по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями ПДн работодатель вправе применять предусмотренные законодательством Российской Федерации дисциплинарные взыскания.

8.7. Должностные лица департамента, в обязанность которых входит ведение ПДн, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации – влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом Российской Федерации об административных правонарушениях.

8.8. В соответствии с Гражданским кодексом Российской Федерации лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается также и на работников.

8.9. Уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконный сбор или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с Уголовным кодексом Российской Федерации.

8.10. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию ПДн может быть установлена в судебном порядке.

 

Дата создания: 17.03.2020 15:26:37
Дата последнего изменения: 30.11.2020 14:38:38
Количество просмотров: 211

  • Раздел находится в стадии наполнения

  • RSS лента

    Раздел находится в стадии наполнения

  • RSS лента

    Раздел находится в стадии наполнения

  • Проектов не найдено

  • Раздел находится в стадии наполнения

  • Раздел находится в стадии наполнения

  • Раздел находится в стадии наполнения

  • Раздел находится в стадии наполнения