Распоряжение администрации Татищевского муниципального района от 05.08.2014 N 110 "Об утверждении Положения об обработке персональных данных в администрации Татищевского муниципального района Саратовской области"
АДМИНИСТРАЦИЯ
ТАТИЩЕВСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
САРАТОВСКОЙ ОБЛАСТИ
РАСПОРЯЖЕНИЕ
от 5 августа 2014 г. № 110
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОБРАБОТКЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ ТАТИЩЕВСКОГО
МУНИЦИПАЛЬНОГО РАЙОНА САРАТОВСКОЙ ОБЛАСТИ
В соответствии с Федеральным законом от 06.10.2003 № 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации", Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", на основании Устава Татищевского муниципального района Саратовской области:
1. Утвердить Положение об обработке персональных данных в администрации Татищевского муниципального района Саратовской области.
2. Кадровой службе отдела делопроизводства и кадров управления организации деятельности органов местного самоуправления администрации Татищевского муниципального района Саратовской области ознакомить с Положением об обработке персональных данных в администрации Татищевского муниципального района Саратовской области работников администрации Татищевского муниципального района Саратовской области.
2. Контроль за исполнением настоящего распоряжения возложить на руководителя аппарата администрации Татищевского муниципального района Саратовской области Сафонова П.Г.
Временно исполняющий полномочия
главы администрации муниципального района
Н.А.БАКЕЕВА
Приложение
к распоряжению
администрации Татищевского муниципального района
Саратовской области
от 5 августа 2014 г. № 110
ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ
ТАТИЩЕВСКОГО МУНИЦИПАЛЬНОГО РАЙОНА САРАТОВСКОЙ ОБЛАСТИ
1. Общие положения
1.1. Положение об обработке персональных данных в администрации Татищевского муниципального района Саратовской области (далее по тексту - Положение) определяет порядок и условия обработки персональных данных в администрации Татищевского муниципального района Саратовской области с использованием средств автоматизации и без использования таких средств.
1.2. Положением устанавливаются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных в администрации Татищевского муниципального района Саратовской области, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов персональных данных, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
1.3. Положение предназначено для работников администрации Татищевского муниципального района Саратовской области (далее по тексту - работники администрации), осуществляющих обработку персональных данных в целях непосредственной реализации ими функций и полномочий по обработке персональных данных, а также является информационным ресурсом для субъектов персональных данных, позволяющим определить концептуальные основы деятельности администрации Татищевского муниципального района Саратовской области при обработке персональных данных.
2. Правовое основание обработки персональных данных
Правовым основанием обработки персональных данных работников администрации и других лиц являются требования:
Конституции Российской Федерации;
Трудового кодекса Российской Федерации;
Гражданского кодекса Российской Федерации;
Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных";
Федерального закона от 02.03.2007 № 25-ФЗ "О муниципальной службе в Российской Федерации";
Федерального закона от 26.12.2008 № 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора) и муниципального контроля";
Федерального закона от 02.05.2006 № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";
других нормативных правовых актов Российской Федерации, муниципальных правовых актов Татищевского муниципального района Саратовской области в области обработки персональных данных.
3. Основные термины и понятия
Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
Информация - сведения (сообщения, данные) независимо от формы их представления.
Неавтоматизированная обработка персональных данных - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Оператор (персональных данных) - государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Субъект персональных данных - физическое лицо, к которому относятся определенные персональные данные, либо которое может быть определено на основании определенных персональных данных.
Трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.
4. Порядок обработки персональных данных
работников администрации района и иных лиц
4.1. Субъектами персональных данных в администрации Татищевского муниципального района Саратовской области (далее по тексту - администрация района, Оператор) являются работники администрации Татищевского муниципального района Саратовской области, а также иные лица, передающие свои персональные данные на обработку с целью получения муниципальных услуг либо занесения в кадровый резерв.
4.2. Оператор совершает следующие операции с персональными данными субъектов ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
4.3. Оператором используются следующие способы обработки персональных данных:
с использованием средств вычислительной техники (автоматизированная обработка);
обработка без использования средств вычислительной техники (неавтоматизированная обработка).
4.4. Создание персональных данных.
4.4.1. Документы, в том числе и в электронном виде, содержащие ПДн, создаются путем:
получения оригиналов необходимых документов;
копирования оригиналов документов;
внесения сведений в учетные формы (на бумажных и электронных носителях).
Оператор получает персональные данные субъектов ПДн:
непосредственно от самих субъектов ПДн;
от третьих лиц (например, федеральных органов исполнительной власти, муниципальных органов, судов общей юрисдикции; органов, осуществляющих контрольные функции по взысканию денежных средств; органов уголовно-исполнительной системы).
4.4.3. При сборе персональных данных Оператор предоставляет субъекту ПДн по его просьбе следующую информацию:
подтверждение факта обработки ПДн;
правовые основания и цели обработки ПДн;
цели и применяемые способы обработки ПДн;
наименование и место нахождения Оператора (за исключением работников), которые имеют доступ к персональным данным, или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки ПДн, в том числе сроки их хранения;
порядок осуществления субъектом ПДн прав, предусмотренных настоящим Федеральным законом;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные федеральными законами РФ.
4.4.4. Оператор вправе ограничить право субъекта ПДн на доступ к его персональным данным в соответствии с федеральными законами, в том числе, если доступ субъекта ПДн к его персональным данным нарушает права и законные интересы третьих лиц.
4.4.5. Если персональные данные получены не от субъекта ПДн, Оператор до начала обработки таких персональных данных предоставляет субъекту ПДн следующую информацию:
наименование либо фамилия, имя, отчество и адрес Оператора или его представителя;
цель обработки ПДн и ее правовое основание;
предполагаемые пользователи ПДн;
права субъекта ПДн;
источник получения ПДн.
4.4.6. Оператор освобождается от обязанности предоставить субъекту ПДн указанные сведения в случаях, если:
субъект ПДн уведомлен об осуществлении обработки его персональных данных Оператором;
персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн;
персональные данные сделаны общедоступными субъектом ПДн или получены из общедоступного источника;
оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта ПДн;
предоставление субъекту ПДн сведений нарушает права и законные интересы третьих лиц;
оператор предоставляет ПДн субъектов ПДн непосредственно самим субъектам ПДн.
4.5. Трансграничная передача персональных данных.
Трансграничная передача обрабатываемых персональных данных работников Оператора не осуществляется.
4.6. Сроки обработки персональных данных.
4.6.1. Общий срок обработки ПДн определяется периодом времени, в течение которого Оператор осуществляет действия (операции) в отношении ПДн, обусловленные заявленными целями их обработки, в том числе хранение ПДн.
4.6.2. Обработка ПДн начинается с момента их получения Оператором и заканчивается:
по достижении конкретных, заранее определенных и законных целей;
по факту утраты необходимости в достижении заранее заявленных целей обработки.
4.6.3. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн.
Сроки хранения ПДн определяются в соответствии с Приказом Минкультуры РФ от 25.08.2010 № 558 "Об утверждении "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения", сроком исковой давности, требований действующих нормативных и правовых актов Российской Федерации и локальных документов Оператора.
4.7. Согласие субъекта ПДн на обработку его ПДн.
4.7.1. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие Оператору на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются Оператором.
4.7.2. Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн Оператор вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии соответствующих оснований, предусмотренных действующим законодательством в области ПДн.
4.7.3. Обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, предусмотренных действующим законодательством в области ПДн, возлагается на Оператора.
4.7.4. В случаях, предусмотренных федеральным законом, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта ПДн на обработку его ПДн должно включать в себя, в частности:
фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);
наименование и адрес Оператора, получающего согласие субъекта ПДн;
цель обработки ПДн;
перечень ПДн, на обработку которых дается согласие субъекта ПДн;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка будет поручена такому лицу;
перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки ПДн;
срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва;
подпись субъекта ПДн.
4.7.5. В случае недееспособности субъекта ПДн согласие на обработку его ПДн дает законный представитель субъекта ПДн.
4.7.6. В случае смерти субъекта ПДн согласие на обработку его ПДн дают наследники субъекта ПДн, если такое согласие не было дано субъектом ПДн при его жизни.
4.7.7. ПДн могут быть получены Оператором от лица, не являющегося субъектом ПДн, при условии предоставления оператору подтверждения наличия соответствующих оснований, предусмотренных действующим законодательством в области ПДн.
4.8. Доступ к персональным данным.
4.8.1. Доступ к персональным данным работников Оператора имеют должностные лица Оператора, непосредственно использующие эти данные в рамках выполнения своих должностных обязанностей.
4.8.2. Доступ к персональным данным других лиц имеют должностные лица Оператора, непосредственно использующие их в рамках выполнения своих должностных обязанностей.
4.8.3. Доступ к персональным данным других лиц и третьих лиц разрешается только при наличии официального заявления запросившего их лица с указанием перечня необходимой информации, целей, для которых она будет использована, с согласия субъекта ПДн, ПДн которого затребованы.
4.8.4. Сообщение сведений о ПДн субъекта ПДн его родственникам, членам семьи, иным близким ему людям также производится Оператором только при наличии письменного согласия субъекта ПДн.
4.8.5. При передаче ПДн другим лицам, третьим лицам, в том числе представителям субъектов ПДн, в порядке, установленном нормативными правовыми актами РФ и настоящими Положением, передаваемая информация ограничивается только теми персональными данными, которые необходимы для выполнения другими лицами и третьими лицами их функций.
4.8.6. Субъект ПДн, о котором запрашиваются сведения, относящиеся к персональным данным, должен быть уведомлен о передаче его ПДн другим лицам и третьим лицам.
4.8.7. Запрещается передача ПДн, в том числе их распространение, предоставление и доступ к ним в коммерческих целях без согласия субъекта ПДн, а также иное использование ПДн в неслужебных целях.
4.9. Устранение Оператором нарушений законодательства, допущенных при обработке ПДн. Уточнение, блокирование и уничтожение ПДн.
4.9.1. В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн Оператор осуществляет блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки.
4.9.2. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Оператор осуществляет блокирование ПДн, относящихся к этому субъекту ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
4.9.3. В случае выявления неправомерной обработки ПДн, осуществляемой Оператором или лицом, действующим по поручению Оператора, в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку ПДн или обеспечивает прекращение неправомерной обработки ПДн лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки ПДн невозможно, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, уничтожает такие ПДн или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Оператор уведомляет субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.
4.9.4. В случае достижения цели обработки ПДн Оператор прекращает обработку ПДн или обеспечивает ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Операторами, субъектом ПДн, либо если Оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных действующим законодательством в области ПДн.
5. Работа с обращениями субъектов персональных данных
5.1. В случае обращения субъекта персональных данных либо при получении запроса субъекта ПДн или его представителя, а также уполномоченного органа по защите прав субъектов ПДн Оператор обязан:
сообщить субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также о возможности ознакомления с этими персональными данными при обращении субъекта ПДн или его представителя в течение 30 дней с даты получения запроса субъекта ПДн или его представителя;
в случае отказа в предоставлении информации о наличии ПДн о соответствующем субъекте ПДн дать в письменной форме мотивированный ответ, содержащий ссылку на норму Федерального закона № 152-ФЗ, являющуюся основанием для такого отказа, в срок, не превышающий 30 дней со дня обращения субъекта ПДн или его представителя, либо с даты получения запроса субъекта ПДн или его представителя;
предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту ПДн;
в срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, внести в них необходимые изменения;
в срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уничтожить такие ПДн;
уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.
5.2. В случае получения запроса уполномоченного органа по защите прав субъектов ПДн оператор обязан направить необходимую информацию в течение 30 дней с даты получения такого запроса.
5.3. Право субъекта персональных данных на доступ к его персональным данным.
5.3.1. Субъект ПДн имеет право на получение следующих сведений:
подтверждение факта обработки ПДн оператором;
правовые основания и цели обработки ПДн;
цели и применяемые оператором способы обработки ПДн;
наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным, или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;
обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки ПДн, в том числе сроки их хранения;
порядок осуществления субъектом ПДн прав, предусмотренных настоящим Федеральным законом;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу.
5.3.2. Субъект ПДн вправе требовать от оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.3.3. Сведения о ПДн должны быть предоставлены субъекту ПДн оператором в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.
5.3.4. ПДн предоставляются субъекту ПДн или его представителю оператором при обращении либо при получении запроса субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн оператором, подпись субъекта ПДн или его представителя.
5.3.5. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
5.3.6. В случае если ПДн, а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения ПДн и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.
5.3.7. Субъект ПДн вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.
5.3.8. Оператор вправе отказать субъекту ПДн в выполнении повторного запроса, не соответствующего вышеуказанным условиям. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
5.4. Ограничения на право субъекта персональных данных на доступ к его персональным данным.
Право субъекта ПДн на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
обработка ПДн, включая ПДн, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
доступ субъекта ПДн к его персональным данным нарушает права и законные интересы третьих лиц;
обработка ПДн осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
6. Обезличивание персональных данных
6.1. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых ПДн, снижения класса информационных систем персональных данных и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6.2. Способы обезличивания при условии дальнейшей обработки ПДн:
уменьшение перечня обрабатываемых сведений;
замена части сведений идентификаторами;
обобщение - понижение точности некоторых сведений;
понижение точности некоторых сведений (например, "Место жительства" может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);
деление сведений на части и обработка в разных информационных системах;
другие способы.
6.3. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня ПДн.
6.4. Для обезличивания ПДн годятся любые способы, явно не запрещенные законодательно.
6.5. Перечень должностей муниципальных служащих, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн, принимается распоряжением администрации Татищевского муниципального района Саратовской области.
6.6. Руководители органов администрации района, непосредственно осуществляющие обработку ПДн, готовят предложения по обезличиванию ПДн, обоснование такой необходимости и способ обезличивания.
6.7. Работники органов администрации района, обслуживающие базы данных с персональными данными, совместно с ответственным за организацию обработки ПДн, осуществляют непосредственное обезличивание выбранным способом.
6.8. Порядок работы с обезличенными персональными данными.
6.8.1. Обезличенные ПДн не подлежат разглашению и нарушению конфиденциальности.
6.8.2. Обезличенные ПДн могут обрабатываться с использованием и без использования средств автоматизации.
6.8.3. При обработке обезличенных ПДн с использованием средств автоматизации необходимо соблюдение:
парольной политики;
антивирусной политики;
правил работы со съемными носителями (если они используются);
правил резервного копирования;
правил доступа в помещения, где расположены элементы информационных систем.
6.8.4. При обработке обезличенных ПДн без использования средств автоматизации необходимо соблюдение:
правил хранения бумажных носителей;
правил доступа к ним и в помещения, где они хранятся.
7. Осуществление внутреннего контроля соответствия
обработки персональных данных
7.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям Оператор организует проведение периодических проверок условий обработки ПДн. Проверки осуществляются ответственным за организацию обработки ПДн (далее по тексту - Ответственный) либо комиссией по защите информации и персональных данных администрации района (далее по тексту - комиссией).
7.2. Внутренние проверки проводятся по необходимости в соответствии с поручением руководителя учреждения.
7.3. Проверки осуществляются Ответственным либо комиссией непосредственно на месте обработки ПДн путем опроса либо, при необходимости, путем осмотра рабочих мест сотрудников, участвующих в процессе обработки ПДн.
7.4. Для каждой проверки составляется Протокол проведения внутренней проверки.
7.5. При выявлении в ходе проверки нарушений Ответственным либо Председателем комиссии в Протоколе делается запись о мероприятиях по устранению нарушений и сроках исполнения.
7.6. Протоколы хранятся у Ответственного либо у Председателя комиссии в течение текущего года. Уничтожение Протоколов проводится Ответственным либо комиссией самостоятельно в январе следующего за проверочным годом.
7.7. О результатах проверки и мерах, необходимых для устранения нарушений, руководителю учреждения докладывает Ответственный либо Председатель комиссии.
8. Тематика внутреннего контроля
8.1. Тематика проверок обработки ПДн с использованием средств автоматизации:
соответствие полномочий пользователя матрице доступа;
соблюдение пользователями информационных систем персональных данных парольной политики;
соблюдение пользователями информационных систем персональных данных антивирусной политики;
соблюдение пользователями информационных систем персональных данных правил работы со съемными носителями ПДн;
соблюдение порядка доступа в помещения, где расположены элементы информационных систем персональных данных;
соблюдение порядка резервирования баз данных и хранения резервных копий;
соблюдение порядка работы со средствами защиты информации;
знание пользователей информационных систем персональных данных о своих действиях во внештатных ситуациях.
8.2. Тематика проверок обработки ПДн без использования средств автоматизации:
хранение бумажных носителей с персональными данными;
доступ к бумажным носителям с персональными данными;
доступ в помещения, где обрабатываются и хранятся бумажные носители с персональными данными.
------------------------------------------------------------------
Введите даты для поиска: