Официально / СибИнфо

Главная → Томская область → Официально → Распоряжение от 18.04.2011 N р 329

Официально

Распоряжение Томской области от 18.04.2011 N р 329

Об утверждении Положения о защите персональных данных, обрабатываемых в информационных системах персональных данных администрации Города Томска и органов администрации Города Томска

В целях соблюдения законодательства Российской Федерации в части обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных в информационных системах персональных данных администрации Города Томска и органов администрации Города Томска, руководствуясь Уставом Города Томска,

1.Утвердить Положение о защите персональных данных, обрабатываемых в информационных системах персональных данных администрации Города Томска и органов администрации Города Томска согласно приложению к настоящему распоряжению.

2.Руководителям органов и структурных подразделений администрации Города Томска организовать в соответствующих органах и структурных подразделениях работу с персональными данными граждан в соответствии с требованиями действующего законодательства и настоящего распоряжения.

3.Настоящее распоряжение вступает в законную силу на следующий день после дня его официального опубликования

4.Комитету по общим вопросам администрации Города Томска (О.Н.Берлина):

4.1.опубликовать настоящее распоряжение в Сборнике официальных материалов муниципального образования "Город Томск";

4.2.направить настоящее распоряжение в исполнительный орган государственной власти Томской области, уполномоченный Губернатором Томской области на организацию и ведение Регистра муниципальных нормативных актов в Томской области.

5.Контроль за исполнением настоящего распоряжения возложить на заместителя Мэра по безопасности и управлению делами администрации Города Томска А.А. Мельникова.

Мэр Города Томска

Н.А. Николайчук

Приложение

к распоряжению администрации

Города Томска

от 18 апреля 2011 г. N р 329

Положение о защите персональных данных, обрабатываемых в информационных системах персональных данных администрации Города Томска и органов администрации Города Томска

Список использованных понятий, терминов и сокращений

В настоящем Положении и для его целей используются следующие основные понятия, термины и сокращения:

ПДн - персональные данные.

ИСПДн - информационная система, представляющая собой совокупность ПДн, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации или без использования таких средств.

Оператор - администрация (орган администрации) Города Томска в лице своих Представителей, организующих и (или) осуществляющих обработку персональных данных, а также определяющих цели и содержание обработки персональных данных.

Цель обработки ПДн Субъекта - конкретный конечный результат действий, совершенных с персональными данными Субъекта, вытекающий из требований законодательства и направленный, в том числе на создание необходимых правовых условий для достижения оптимального согласования интересов сторон трудовых отношений.

Информация - сведения (сообщения, данные) независимо от формы их представления.

Блокирование ПДн - временное прекращение сбора, систематизации, накопления, использования, распространения ПДн, в том числе их передачи.

Обезличивание ПДн - действия, в результате которых невозможно определить принадлежность ПДн конкретному Субъекту персональных данных.

Представитель(и) оператора - лицо(а), которые в соответствии с договором, должностными обязанностями или внутренними документами администрации (органа администрации), уполномочены на доступ или обработку ПДн Субъектов.

Субъект ПДн - физическое лицо, персональные данные которого обрабатываются в ИСПДн.

Обработка ПДн - действия (операции) с персональными данными, включая сбор, просмотр, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение ПДн.

Использование ПДн - действия (операции) с персональными данными, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении Субъекта или других лиц либо иным образом затрагивающих права и свободы Субъекта или других лиц.

Уничтожение ПДн - действия, в результате которых невозможно восстановить содержание ПДн в ИСПДн или в результате которых уничтожаются материальные носители ПДн.

Распространение ПДн - действия, направленные на передачу ПДн определенному кругу лиц (передача ПДн) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Конфиденциальность ПДн - обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия Субъекта или наличия иного законного основания.

Общедоступные ПДн - ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия Субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Раздел 1. Общие положения

1.1. Настоящее Положение о защите персональных данных, обрабатываемых в ИСПДн (далее - Положение), разработано на основе и во исполнение статей 23, 24 Конституции Российской Федерации, главы 14 Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"., Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и других нормативных правовых актов в области защиты информации.

1.2. Настоящее Положение разработано в целях соблюдения законодательства Российской Федерации в части обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.3. Настоящее Положение определяет состав и порядок обработки ПДн Субъектов ПДн в ИСПДн администрации Города Томска и органов администрации Города Томска (далее - администрации), организацию работы по обеспечению защиты ПДн, закрепляет права и обязанности должностных лиц администрации и Субъектов, возникающие в связи с обработкой ПДн.

Раздел 2. Понятие и состав ПДн

2.1. Для целей настоящего Положения ПДн признается любая информация, относящаяся к определенному или определяемому на основании такой информации Субъекту, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, фотография, индивидуальный номер налогоплательщика, номер страхового свидетельства обязательного пенсионного страхования, данные квалификационного аттестата, другая информация.

2.2. Субъектами ПДн в ИСПДн администрации являются:

муниципальные служащие;

граждане, исполняющие обязанности по техническому обеспечению деятельности администрации;

граждане, выполняющие работы и оказывающие услуги в администрации по гражданско-правовым договорам;

граждане, обратившиеся в администрацию в соответствии с Федеральным законом от 02.05.2006 N59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

иные граждане в случаях, предусмотренных действующим законодательством.

2.3. Документами, содержащими ПДн, являются:

а) паспорт или иной документ, удостоверяющий личность;

б) трудовая книжка;

в) страховое свидетельство государственного пенсионного страхования;

г) свидетельство о постановке на учёт в налоговый орган и присвоения ИНН;

д) документы воинского учёта;

е) документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;

ж) карточка Т-2;

з) автобиография;

и) квалификационный аттестат;

к) другие документы, содержащие данные, идентифицирующие Субъекта.

2.4. Документы, содержащие ПДн, создаются путём:

а) копирования подлинников (например, копии документов об образовании, свидетельство ИНН, пенсионных свидетельств Субъектов);

б) заполнения анкетных данных (на бумажных и электронных носителях);

в) предоставления подлинников документов (трудовых книжек, личные листки по учёту кадров, автобиографии Субъектов);

г) внесения информации о Субъекте ПДн в ИСПДн (на бумажные и электронные носители);

д) иными способами.

Раздел 3. Порядок обработки персональных данных субъектов

3.1. Обработка ПДн Субъектов осуществляется в следующих целях:

соблюдения законов и иных нормативных правовых актов, в том числе в целях реализации прав Субъектов ПДн;

содействия Субъектам ПДн в трудоустройстве, обучении и повышении в должности;

обеспечения личной безопасности Субъектов ПДн;

обеспечения сохранности имущества Субъектов ПДн;

в иных целях, предусмотренных действующим законодательством.

3.2. Обработка ПДн Субъектов должна осуществляться на основе принципов:

законности целей и способов обработки ПДн и добросовестности;

соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям Оператора;

достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;

недопустимости объединения созданных для несовместимых между собой целей баз данных ИС ПДн;

соответствия объема и характера обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн.

При определении объема и содержания обрабатываемых ПДн Субъекта, Оператор ПДн должен руководствоваться Конституцией Российской Федерации и федеральными законами.

3.3. Оператор при обработке ПДн Субъекта обязан соблюдать следующие требования:

3.3.1. Все ПДн Субъекта следует получать у него самого. В случае возникновения необходимости получения ПДн Субъекта у третьей стороны Оператор обязан известить об этом Субъекта ПДн, получить его письменное согласие и сообщить Субъекту о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа Субъекта дать письменное согласие на их получение.

3.3.2. Обеспечения конфиденциальности ПДн не требуется:

в случае обезличивания ПДн Субъекта;

в отношении общедоступных ПДн Субъектов, которые создаются в целях информационного обеспечения деятельности администрации (в том числе справочники, адресные книги). В общедоступные источники ПДн Субъектов с письменного согласия Субъекта могут включаться его фамилия, имя, отчество, год и место рождения, адрес и иные ПДн, предоставленные Субъектом.

Сведения о Субъекте могут быть в любое время исключены из общедоступных источников ПДн по требованию Субъекта, либо по решению суда или иных уполномоченных государственных органов.

3.3.3. За исключением случаев, предусмотренных федеральными законами, Оператор не имеет права обрабатывать следующие ПДн Субъекта:

о политических, религиозныхфилософских и иных убеждениях и частной жизни;

о расовой и национальной принадлежности;

о членстве в общественных объединениях или профсоюзной деятельности;

о состоянии здоровья;

об иных ПДн, предусмотренных федеральными законами.

Оператор не вправе запрашивать информацию о состоянии здоровья Субъекта, за исключением тех сведений, которые относятся к вопросу о возможности выполнения Работником трудовой функции.

3.3.4. Оператор осуществляет обработку ПДн Субъекта как в автоматизированной, так и в неавтоматизированной форме. Особенности способов обработки ПДн (автоматизированная/ неавтоматизированная) и защиты ПДн может быть установлена муниципальными правовыми актами Оператора в соответствии с требованиями, предусмотренными действующим законодательством.

3.3.5. При передаче ПДн Оператор не вправе:

сообщать ПДн Субъекта третьей стороне без письменного согласия Субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в других случаях, предусмотренных федеральными законами.

сообщать ПДн Субъекта в коммерческих целях без его письменного согласия.

3.3.6. При передаче ПДн Оператор обязан:

предупредить лиц, получающих ПДн Субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПДн Субъекта, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными Субъектов в порядке, установленном федеральными законами;

за счет своих средств обеспечить защиту ПДн Субъекта от неправомерного их использования или утраты в порядке, установленном федеральным законом;

ознакомить Субъектов, являющихся работниками Оператора, и их представителей под роспись с документами администрации, устанавливающими порядок обработки ПДн Субъектов, а также об их правах и обязанностях в этой области;

разъяснить Субъекту, являющемуся работником (лицом, принимаемым на работу) юридические последствия отказа предоставить ПДн (например - невозможность осуществления работодателем своих функций, указать нормы законодательства, требующие предоставления ПДн);

разрешать доступ к персональным данным Субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПДн Субъекта, которые необходимы для выполнения конкретных функций;

выполнять иные обязанности. предусмотренные федеральными законами и настоящим Положением.

ПДн Субъекта могут быть переданы представителям Субъектов в порядке, установленном Трудовым Кодексом Российской Федерации и иными федеральными законами, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.

3.3.7. Предоставление сведений о ПДн Субъектов без соответствующего их согласия возможно только в случаях, предусмотренных федеральными законами.

3.3.8. Трансграничная передача ПДн осуществляется в порядке, предусмотренном действующим законодательством Российской Федерации.

3.3.9. В случае достижения цели обработки ПДн Субъектов Оператор обязан незамедлительно прекратить обработку ПДн Субъекта и уничтожить соответствующие ПДн в срок, не превышающий трех рабочих дней с даты достижения цели обработки ПДн, если иное не предусмотрено федеральными законами и уведомить об этом Субъекта или его законного представителя.

Достижением цели обработки ПДн Субъекта, как правило, является истечение сроков хранения документов.

Порядок хранения ПДн Субъектов, являющихся работниками Оператора, устанавливается Оператором с соблюдением требований законодательства Российской Федерации.

3.4. Иные требования к обработке ПДн Субъекта определяются действующим трудовым законодательством и законодательством о защите персональных данных.

Раздел 4. Ответственность должностных лиц администрации по обеспечению защиты персональных данных субъектов

4.1. Заместитель Мэра по безопасности и управлению делами администрации Города Томска отвечает за:

обеспечение защиты ПДн Субъектов в соответствии с настоящим положением и иными руководящими нормативными правовыми актами по защите ПДн;

контроль за подчиненными в части выполнения требований нормативных правовых актов по вопросам защиты ПДн.

4.2. Ответственный за эксплуатацию объекта информатизации, содержащего ИСПДн, назначается локальным правовым актом органа администрации и отвечает за:

разработку и согласование проектов методической документации по защите ПДн Субъектов в ИСПДн администрации;

качественное и своевременное выполнение должностными лицами установленных требований по защите ПДн Субъектов;

своевременную разработку и реализацию мер по защите ПДн Субъектов,

организацию и проведение контроля состояния защиты ПДн Субъектов в ИСПДн администрации;

определение степени опасности технических каналов утечки информации, различных способов НСД к ПДн Субъектов, их разрушения (уничтожения) или искажения;

организацию проведения расследований по фактам нарушений в области защиты ПДн Субъектов и разработку предложений по устранению недостатков и предупреждению подобного рода нарушений;

анализ состояния работ по защите ПДн Субъектов и разработку предложений по совершенствованию системы защиты ПДн в ИСПДн администрации;

организацию и проведение занятий с руководящим составом и сотрудниками администрации по вопросам защиты ПДн Субъектов;

планирование и организацию защиты ПДн Субъектов в ИСПДн;

выполнение требований действующих нормативных и руководящих документов и защиты сведений, отнесенных к конфиденциальной информации, при проведении работ в ИСПДн.

определение необходимых мер по защите ПДн Субъектов, организацию их разработки и реализации;

обеспечение бесперебойного функционирования программных и аппаратных средств в ИСПДн администрации;

ознакомление сотрудников администрации, которые допускаются к обработке ПДн, с настоящим Положением;

ознакомление сотрудников, которые участвуют в обработке ПДн, с должностными инструкциями по работе и обеспечению режима информационной безопасности в ИСПДн;

соблюдение пользователями ИСПДн установленных правил и параметров печати, регистрации и учета документов, а также регистрации и учета бумажных и машинных носителей информации;

проведение анализа возможности решения определенных задач на ИСПДн и уточнение содержания необходимых для этого изменений в конфигурации аппаратных и программных средств;

взаимодействие с администратором безопасности ИСПДн по вопросам обеспечения правильного использования пользователями СЗИ от НСД и контроля доступа этих пользователей к работе в ИСПДн;

ведение и хранение документации на ИСПДн;

организацию технического обслуживания (ремонта, модернизации) ПЭВМ и других технических средств ИСПДн.

4.3. Администратор безопасности ИСПДн назначается муниципальным правовым актом администрации или руководителя органа администрации и отвечает за:

установку (развертывание, обновление версий) программных средств, необходимых для решения в ИСПДн администрации конкретных задач;

удаление программных средств, необходимость в использовании которых отпала;

установку (развертывание) новых ИСПДн или подключение дополнительных устройств (узлов, блоков), необходимых для решения конкретных задач (по согласованию с заместителем главы администрации по безопасности);

установку, подключение и настройку технических средств в ИСПДн администрации в соответствии с документацией к ним и планами организации и оснащения ИСПДн по согласованию с руководителем структурного подразделения, к которому имеет отношение ИСПДн.;

контроль за обеспечением защиты ПДн Субъектов в ИСПДн администрации;

своевременное обнаружение фактов несанкционированного доступа к ПДн Субъектов;

проводит работы по разработке, внедрению, совершенствованию и эксплуатации системы защиты ПДн Субъектов в ИСПДн администрации;

организацию (при необходимости) контрольных проверок ИСПДн;

установку и ввод в эксплуатацию средств защиты ПДн Субъектов в соответствии с эксплуатационной и технической документацией к ним;

организацию в установленном порядке расследования причин и условий появления нарушений по вопросам технической защиты ПДн Субъектов, разработку предложений по устранению недостатков и предупреждению подобного рода нарушений;

проведение анализа возможности решения (а также совмещения) указанных задач в конкретных ИСПДн (с точки зрения обеспечения безопасности) и принятие решения об отнесении их к той или иной группе по степени защищенности;

проведение необходимых дополнительных специальных мероприятий по обеспечению безопасности ПДн;

внедрение средств контроля эффективности противодействия попыткам НСД к информации и незаконного вмешательства в процесс функционирования ИСПДн.

Раздел 5. Права субъектов в целях обеспечения защиты персональных данных, обрабатываемых в администрации

5.1. Субъекты не должны отказываться от своих прав на сохранение и защиту тайны (в том числе ПДн).

5.2. Оператор, Субъекты и их Представители совместно вырабатывают меры защиты ПДн Субъектов.

5.3. В целях обеспечения защиты ПДн, обрабатываемых в администрации, Субъекты, являющиеся работниками Оператора, имеют право на:

полную информацию об их персональных данных и обработке этих данных;

свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей ПДн Субъекта, за исключением случаев, предусмотренных федеральным законом;

определение своих Представителей для защиты своих ПДн;

доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

требование об исключении или исправлении неверных или неполных ПДн, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации или иного федерального закона;

Субъекты пользуются и иными правами, предусмотренными действующим законодательством в области ПДн.

5.4. При отказе администрации исключить или исправить ПДн Субъекта, являющегося работником Оператора, он имеет право:

заявить в письменной форме администрации о своем несогласии с соответствующим обоснованием такого несогласия и обратиться в уполномоченный орган по защите прав Субъектов ПДн.;

требовать об извещении администрацией всех лиц, которым ранее были сообщены неверные или неполные ПДн Субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях. (Составляется в произвольной форме со ссылкой на требование об исключении или исправлении ПДн Субъекта);

обжаловать в суде любые неправомерные действия или бездействия администрации при обработке и защите его ПДн в ИСПДн администрации;

пользоваться иными правами, предусмотренными действующим законодательством в области защиты ПДн.

5.5. Субъекты, не являющиеся работниками Оператора пользуются правами в целях обеспечения защиты их персональных данных, обрабатываемых в администрации, предусмотренными действующим законодательством.

Раздел 6. Доступ к персональным данным субъекта

6.1. Доступ к ПДн Субъекта ограничивается в соответствии с федеральными законами и настоящим Положением.

6.2. Доступ в администрации (внутренний доступ):

6.2.1 Доступ к ПДн Субъектов имеют только сотрудники администрации, перечисленные в "Разрешительной системе допуска", утверждаемой руководителем органа администрации для каждой из ИСПДн, в соответствии с "Матрицей разграничения доступа к защищаемым ресурсам".

6.2.2 Разрешительная система допуска лиц (должностей), в обязанности которых входит обработка ПДн или которые по должности имеют доступ к персональным данным с правом просмотра, разрабатывается ответственным за эксплуатацию объекта информатизации, содержащего ИСПДн.

6.2.3. Представители Оператора имеют право получать только те ПДн Субъекта, которые необходимы для выполнения конкретных функций в соответствии с должностной инструкцией указанных лиц и утвержденной "Разрешительной системой допуска". Все остальные работники Оператора, являющиеся Субъектами ПДн, имеют право на полную информацию только о своих ПДн.

6.3. Внешний доступ (доступ лицами, не являющимися представителями Оператора и Субъектами ПДн):

6.3.1. Получение сведений о ПДн Субъектов третьей стороной разрешается только при наличии заявления с указанием конкретных ПДн, целей, для которых они будут использованы, способов обработки, иных сведений, установленных действующим законодательством, а также письменного согласия Субъекта, ПДн которого затребованы в порядке, предусмотренном Трудовым кодексом Российской Федерации и Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".

Раздел 7. Меры по защите персональных данных субъекта

7.1. Документы, содержащие ПДн Субъекта, должны передаваться между подразделениями Администрации и на доклад руководителю в запечатанном конверте с пометкой "Персональные данные".

7.2. Оператор определяет перечень своих Представителей, имеющих право доступа и обработки информации о ПДн, и соответствующие уровни доступа к этой информации.

7.3. Оператор утверждает формы ведения учета выданных ПДн (если соответствующие формы не определены действующим законодательством) и уполномочивает своих Представителей на их ведение.

7.4. При автоматизированной обработке ПДн Оператор использует специальное программное обеспечение и аппаратные средства, соответствующее предусмотренным действующим законодательством требованиям.

7.5. Оператор в предусмотренном Трудовым кодексом Российской Федерации порядке проводит ознакомление Субъектов, являющихся работниками Оператора, с нормативными правовыми актами и муниципальными правовыми актами администрации в области защиты ПДн, в том числе в случае их изменения, разъясняет права, обязанности и ответственность Субъектов за нарушение норм в данной области.

7.6. Оператор устанавливает особый режим хранения для документов, содержащих ПДн Субъектов. ПДн Субъектов, содержащиеся на бумажных носителях, должны храниться в запираемом шкафу или в сейфе.

7.7. Ключи от кабинетов уполномоченных Представителей сдаются при выходе из здания под охрану.

Доступ к персональным данным Субъекта, содержащимся в ИСПДн, ограничивается определенными Оператором сотрудниками.

7.8. Сроки хранения документов устанавливаются Оператором соответствующим муниципальным правовым актом в соответствии с требованиями действующего законодательства.

Раздел 8. Ответственность за разглашение конфиденциальной информации, содержащей персональные данные субъектов

Лица, виновные в нарушении действующего законодательства, муниципальных правовых актов, регулирующих обработку и защиту ПДн Субъекта, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.