Политика Администрации городского округа Спасск-Дальний в отношении обработки персональных данных
1. Назначение и правовая основа документа
Политика Администрации городского округа Спасск-Дальний в отношении обработки персональных данных (далее - Политика) разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных, направленного на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности, в целях защиты от несанкционированного доступа и неправомерного распространения персональных данных, обрабатываемых в Администрации городского округа Спасск-Дальний (далее – Администрация).
Политика предназначена для работников Администрации, осуществляющих обработку персональных данных, в целях непосредственной реализации ими закрепленных в Политике принципов, а также является информационным ресурсом для субъектов персональных данных, позволяющим определить концептуальные основы деятельности Администрации при обработке персональных данных.
При разработке Политики учитывались основные принципы создания комплексных систем обеспечения безопасности информации, характеристики и возможности организационно-технических методов и современных аппаратно-программных средств защиты и противодействия угрозам безопасности информации.
2. Цель обработки персональных данных
Обработка персональных данных в Администрации осуществляется в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием муниципальных услуг и осуществлением муниципальных функций.
Цели обработки персональных данных определяют:
• содержание и объем обрабатываемых персональных данных;
• категории субъектов, персональные данные которых обрабатываются;
• перечень действий с персональными данными;
• сроки их обработки и хранения;
• порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
3. Обязанности лиц, допущенных к обработке персональных данных
Персональные данные, обладая свойством конфиденциальности, относятся к категории конфиденциальной информации. Должностные лица Администрации, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами. Запрещается использовать сведения из документов, содержащих конфиденциальную информацию, для открытых выступлений или опубликования в открытой печати. Сотрудникам, имеющим доступ к персональным данным, обрабатываемым в Администрации, необходимо соблюдать требования нормативных актов, регулирующих обработку персональных данных в Администрации. О фактах нарушения конфиденциальности персональных данных (хищение документов, взлом замков на дверях в помещение, допуск посторонних лиц к информационным системам и т.д.) необходимо незамедлительно сообщать ответственному, за информационную безопасность в структурном подразделении, начальнику структурного подразделения, заместителям главы, курирующим деятельность структурного подразделения, главе Администрации.
Должностные лица, допущенные к обработке персональных данных, подписывают обязательство о неразглашении информации, содержащей персональные данные.
4. Права субъектов персональных данных
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
• подтверждение факта обработки персональных данных Администрацией;
• правовые основания и цели обработки персональных данных;
• цели и применяемые оператором способы обработки персональных данных;
• наименование и место нахождения Администрации, сведения о лицах (за исключением работников Администрации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от от 27 июля 2006 года № 152-ФЗ
«О персональных данных»;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Администрации, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные федеральными законами.
5. Объекты защиты
Основными объектами системы безопасности персональных данных в Администрации являются:
• информационные ресурсы с ограниченным доступом, содержащие персональные данные;
• процессы обработки персональных данных в информационных системах персональных данных Администрации, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации;
• информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых расположены технические средства обработки персональных данных.
6. Меры обеспечения информационной безопасности
• приняты локальные акты по вопросам обработки персональных данных;
• используется разрешительная система допуска;
• реализован ограниченный доступ пользователей и обслуживающего персонала к помещениям, в которых размещены персональные данные, информационные ресурсы, обрабатывающие персональные данные, а также хранятся носители информации;
• ведется учет и хранение съемных носителей информации, исключающее хищение, подмену и несанкционированное уничтожение;
• производится резервное копирование баз данных, содержащих персональные данные;
• используются сертифицированные средства защиты информации;
• используется межсетевое экранирование;
• используются средства антивирусной защиты;
• для анализа защищенности информационных систем используется сканер безопасности.
7. Контроль эффективности системы защиты
В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Администрации организуется проведение периодических проверок условий обработки персональных данных.
Проверки осуществляются должностным лицом, ответственным за организацию обработки персональных данных в Администрации, на основании утвержденного Плана внутренних проверок условий обработки персональных данных в Администрации.
При осуществлении внутреннего контроля соответствия обработки персональных данных установленным требованиям в Администрации производится проверка:
• соблюдения принципов обработки персональных данных;
• соответствия нормативных правовых актов Администрации в области персональных данных действующему законодательству Российской Федерации;
• выполнения сотрудниками Администрации требований и правил обработки персональных данных в Администрации;
• перечней персональных данных, используемых для решения задач и функций Администрации;
• актуальности информации о законности целей обработки персональных данных и оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных;
• правильности осуществления сбора, систематизации, записи, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения персональных данных в Администрации;
• актуальности перечня должностей сотрудников Администрации, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
• соблюдения прав субъектов персональных данных, чьи персональные данные обрабатываются в информационных системах персональных данных Администрации;
• соблюдения обязанностей Администрации, предусмотренных действующим законодательством в области персональных данных;
• порядка взаимодействия с субъектами персональных данных, чьи персональные данные обрабатываются в Администрации, в том числе соблюдения сроков, предусмотренных действующим законодательством в области персональных данных, соблюдения требований по уведомлениям, порядка разъяснения субъектам персональных данных необходимой информации, порядка реагирования на обращения субъектов персональных данных, порядка действий при достижении целей обработки персональных данных и отзыве согласий субъектами персональных данных;
• наличия необходимых согласий субъектов персональных данных, чьи персональные данные обрабатываются в Администрации;
• актуальности сведений, содержащихся в уведомлении Администрации об обработке персональных данных;
• актуальности перечня информационных систем персональных данных в Администрации;
• знаний и соблюдения сотрудниками Администрации положений действующего законодательства Российской Федерации, нормативных правовых актов Администрации в области обработки и обеспечения безопасности персональных данных;
• знаний и соблюдения сотрудниками Администрации инструкций, руководств и иных эксплуатационных документов на применяемые средства автоматизации, в том числе программное обеспечение, и средства защиты информации;
• соблюдения сотрудниками Администрации конфиденциальности персональных данных;
• актуальности нормативных правовых актов Администрации в области обеспечения безопасности персональных данных;
• соблюдения сотрудниками Администрации требований по обеспечению безопасности персональных данных;
• наличия нормативных правовых актов Администрации, технической и эксплуатационной документации технических и программных средств информационных систем персональных данных Администрации;
• иных вопросов.
О результатах проведенной проверки и мерах, принимаемых для устранения выявленных нарушений, ответственный за организацию обработки персональных данных в Администрации докладывает главе Администрации.
8. Ответственность
Должностные лица, допущенные к работе или имеющие допуск к персональным данным, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.
Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
1. Назначение и правовая основа документа
Политика Администрации городского округа Спасск-Дальний в отношении обработки персональных данных (далее - Политика) разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных, направленного на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности, в целях защиты от несанкционированного доступа и неправомерного распространения персональных данных, обрабатываемых в Администрации городского округа Спасск-Дальний (далее – Администрация).
Политика предназначена для работников Администрации, осуществляющих обработку персональных данных, в целях непосредственной реализации ими закрепленных в Политике принципов, а также является информационным ресурсом для субъектов персональных данных, позволяющим определить концептуальные основы деятельности Администрации при обработке персональных данных.
При разработке Политики учитывались основные принципы создания комплексных систем обеспечения безопасности информации, характеристики и возможности организационно-технических методов и современных аппаратно-программных средств защиты и противодействия угрозам безопасности информации.
2. Цель обработки персональных данных
Обработка персональных данных в Администрации осуществляется в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием муниципальных услуг и осуществлением муниципальных функций.
Цели обработки персональных данных определяют:
• содержание и объем обрабатываемых персональных данных;
• категории субъектов, персональные данные которых обрабатываются;
• перечень действий с персональными данными;
• сроки их обработки и хранения;
• порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
3. Обязанности лиц, допущенных к обработке персональных данных
Персональные данные, обладая свойством конфиденциальности, относятся к категории конфиденциальной информации. Должностные лица Администрации, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами. Запрещается использовать сведения из документов, содержащих конфиденциальную информацию, для открытых выступлений или опубликования в открытой печати. Сотрудникам, имеющим доступ к персональным данным, обрабатываемым в Администрации, необходимо соблюдать требования нормативных актов, регулирующих обработку персональных данных в Администрации. О фактах нарушения конфиденциальности персональных данных (хищение документов, взлом замков на дверях в помещение, допуск посторонних лиц к информационным системам и т.д.) необходимо незамедлительно сообщать ответственному, за информационную безопасность в структурном подразделении, начальнику структурного подразделения, заместителям главы, курирующим деятельность структурного подразделения, главе Администрации.
Должностные лица, допущенные к обработке персональных данных, подписывают обязательство о неразглашении информации, содержащей персональные данные.
4. Права субъектов персональных данных
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
• подтверждение факта обработки персональных данных Администрацией;
• правовые основания и цели обработки персональных данных;
• цели и применяемые оператором способы обработки персональных данных;
• наименование и место нахождения Администрации, сведения о лицах (за исключением работников Администрации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от от 27 июля 2006 года № 152-ФЗ
«О персональных данных»;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Администрации, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные федеральными законами.
5. Объекты защиты
Основными объектами системы безопасности персональных данных в Администрации являются:
• информационные ресурсы с ограниченным доступом, содержащие персональные данные;
• процессы обработки персональных данных в информационных системах персональных данных Администрации, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации;
• информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых расположены технические средства обработки персональных данных.
6. Меры обеспечения информационной безопасности
• приняты локальные акты по вопросам обработки персональных данных;
• используется разрешительная система допуска;
• реализован ограниченный доступ пользователей и обслуживающего персонала к помещениям, в которых размещены персональные данные, информационные ресурсы, обрабатывающие персональные данные, а также хранятся носители информации;
• ведется учет и хранение съемных носителей информации, исключающее хищение, подмену и несанкционированное уничтожение;
• производится резервное копирование баз данных, содержащих персональные данные;
• используются сертифицированные средства защиты информации;
• используется межсетевое экранирование;
• используются средства антивирусной защиты;
• для анализа защищенности информационных систем используется сканер безопасности.
7. Контроль эффективности системы защиты
В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Администрации организуется проведение периодических проверок условий обработки персональных данных.
Проверки осуществляются должностным лицом, ответственным за организацию обработки персональных данных в Администрации, на основании утвержденного Плана внутренних проверок условий обработки персональных данных в Администрации.
При осуществлении внутреннего контроля соответствия обработки персональных данных установленным требованиям в Администрации производится проверка:
• соблюдения принципов обработки персональных данных;
• соответствия нормативных правовых актов Администрации в области персональных данных действующему законодательству Российской Федерации;
• выполнения сотрудниками Администрации требований и правил обработки персональных данных в Администрации;
• перечней персональных данных, используемых для решения задач и функций Администрации;
• актуальности информации о законности целей обработки персональных данных и оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных;
• правильности осуществления сбора, систематизации, записи, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения персональных данных в Администрации;
• актуальности перечня должностей сотрудников Администрации, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
• соблюдения прав субъектов персональных данных, чьи персональные данные обрабатываются в информационных системах персональных данных Администрации;
• соблюдения обязанностей Администрации, предусмотренных действующим законодательством в области персональных данных;
• порядка взаимодействия с субъектами персональных данных, чьи персональные данные обрабатываются в Администрации, в том числе соблюдения сроков, предусмотренных действующим законодательством в области персональных данных, соблюдения требований по уведомлениям, порядка разъяснения субъектам персональных данных необходимой информации, порядка реагирования на обращения субъектов персональных данных, порядка действий при достижении целей обработки персональных данных и отзыве согласий субъектами персональных данных;
• наличия необходимых согласий субъектов персональных данных, чьи персональные данные обрабатываются в Администрации;
• актуальности сведений, содержащихся в уведомлении Администрации об обработке персональных данных;
• актуальности перечня информационных систем персональных данных в Администрации;
• знаний и соблюдения сотрудниками Администрации положений действующего законодательства Российской Федерации, нормативных правовых актов Администрации в области обработки и обеспечения безопасности персональных данных;
• знаний и соблюдения сотрудниками Администрации инструкций, руководств и иных эксплуатационных документов на применяемые средства автоматизации, в том числе программное обеспечение, и средства защиты информации;
• соблюдения сотрудниками Администрации конфиденциальности персональных данных;
• актуальности нормативных правовых актов Администрации в области обеспечения безопасности персональных данных;
• соблюдения сотрудниками Администрации требований по обеспечению безопасности персональных данных;
• наличия нормативных правовых актов Администрации, технической и эксплуатационной документации технических и программных средств информационных систем персональных данных Администрации;
• иных вопросов.
О результатах проведенной проверки и мерах, принимаемых для устранения выявленных нарушений, ответственный за организацию обработки персональных данных в Администрации докладывает главе Администрации.
8. Ответственность
Должностные лица, допущенные к работе или имеющие допуск к персональным данным, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.
Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.