|
|
УТВЕРЖДАЮ
|
|
|
Заведующий ОСЗН Администрации Верхнедонского района Ростовской области
|
|
|
_______________ / В.К. Разогреев/
|
|
|
«___» __________ 2013 г.
|
|
|
М.П.
|
Политика обработки персональных данных
отдела социальной защиты населения Администрации Верхнедонского района Ростовской области
ст. Казанская
2013 г.
1.Общие положения
1.1. Настоящая Политика об обработке персональных данных (далее – Политика):
является основополагающим внутренним документом отдела социальной защиты населения Администрации Верхнедонского района Ростовской области (далее – Отдел), регулирующим вопросы обработки персональных данных;
разработана в целях обеспечения соответствия с законодательством Российской Федерации обработки, хранения и защиты ПДн сотрудников, граждан;
раскрывает основные категории персональных данных, обрабатываемых Отделом, цели, способы и принципы обработки Отдела, права и обязанности Отдела при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых Отделом в целях обеспечения безопасности персональных данных при их обработке;
предназначена для сотрудников Отдела, осуществляющих обработку персональных данных в целях непосредственной реализации ими закрепленных в Политике принципов, а также является информационным ресурсом для субъектов персональных данных, позволяющим определить концептуальные основы деятельности Отдела при обработке персональных данных.
2.Источники нормативного правового регулирования вопросов обработки персональных данных
2.1.Политика Отдела в области обработки персональных данных определяется на основании следующих нормативных правовых актов РФ:
Федеральный закон от 27.07.2006 г. № 152ФЗ «О персональных данных»;
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 27.07.2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации»;
Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства Российской Федерации от 15 сентября 2008 г № 687;
Указ Президента Российской Федерации от 30.05.2005 г. № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»;
Постановление Правительства Российской Федерации от 6.06.2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства Российской Федерации от 1 ноября 2012 г. №1119;
Указ Президента РФ от 06.03.1997 №188 «Об утверждении перечня сведений конфиденциального характера»;
Конституция Российской Федерации;
Трудовой кодекс Российской Федерации;
Гражданский кодекс Российской Федерации;
Налоговый кодекс Российской Федерации;
Уголовный кодекс Российской Федерации;
нормативные и методические документы ФСБ России, ФСТЭК России, Роскомнадзора.
2.2.Воисполнение настоящей Политики в Отделе приказами утверждаются следующие локальные нормативные правовые акты:
Инструкция администратора информационной безопасности информационных систем персональных данных;
Инструкция администратора информационных систем персональных данных;
Инструкция по действиям пользователей информационных систем персональных данных в нештатных ситуациях;
Инструкция по организации антивирусной защиты информационных систем персональных данных;
Инструкция по порядку проведения проверок состояния защиты персональных данных;
План внутренних проверок состояния защиты персональных данных;
Инструкция Пользователя информационных систем персональных данных;
Перечень персональных данных, обрабатываемых в Отделе;
План мероприятий по защите персональных данных;
Положение о порядке организации и проведению работ по обработке и защите персональных данных, обрабатываемых в информационных системах персональных данных Отдела;
Акт классификации информационных систем персональных данных Отдела;
-
Модель угроз и нарушителя безопасности персональных данных информационных систем персональных данных Отдела;
и иные локальные документы Отдела, принимаемые во исполнение требований действующих нормативных правовых актов РФ в области обработки персональных данных.
3.Основные термины и понятия , используемые в локальных документах Отдела, принимаемых по вопросу обработки персональных данных
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации, Перечнем ПДн, обрабатываемых в Отделе локальными актами Отдела.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Распространение персональных данных – действия, направленные на раскрытие ПДн неопределенному кругу, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом.
Предоставление персональных данных – действия, направленные на раскрытие ПДн определенному кругу.
Использование персональных данных – действия (операции) с ПДн, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПДн или других лиц либо иным образом затрагивающих права и свободы субъекта ПДн или других лиц.
Блокирование персональных данных – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители ПДн.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
Информационная система персональных данных – информационная система, представляющая собой совокупность содержащихся в базе данных ПДн и их обработку, информационных технологий и технических средств.
Конфиденциальная информация – информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.
Общедоступные персональные данные – ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Трансграничная передача персональных данных – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
4.Общие условия обработки персональных данных
Обработка ПДн в Отделе осуществляется на основе следующих принципов:
Законности и справедливости обработки ПДн.
Законности целей и способов обработки ПДн и добросовестности.
Соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям Отдела.
Соответствия содержания и объема обрабатываемых ПДн целям обработки ПДн.
Достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн.
Недопустимости объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Субъект ПДн является собственником своих ПДн и самостоятельно решает вопрос передачи Отделу своих ПДн.
Держателем ПДн является Отдел , которому субъект ПДн передает во владение свои ПДн. Отдел выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.
Комплекс мер по защите ПДн направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности ПДн и обеспечивает безопасность информации в процессе деятельности Отдела.
Отдел при обработке ПДн обязано принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий, в соответствии с требованиями к обеспечению безопасности ПДн при их обработке в ИСПДн.
Мероприятия по защите ПДн определяются Положением, приказами, инструкциями и другими внутренними документами Отдела.
Для защиты ПДн в Отделе применяются следующие принципы и правила:
Ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей ПДн.
Строгое избирательное и обоснованное распределение документов и информации между сотрудниками.
Рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации.
Знание сотрудниками требований нормативно-методических документов по защите ПДн.
Распределение персональной ответственности между сотрудниками, участвующими в обработке ПДн, за выполнение требований по обеспечению безопасности ПДн.
Установление режима конфиденциальности в соответствии с требованиями по обеспечению безопасности ПДн при работе с конфиденциальными документами и базами данных.
Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Исключение бесконтрольного пребывания посторонних лиц в помещениях, в которых ведется обработка ПДн и находится соответствующая вычислительная техника.
Организация порядка уничтожения персональных данных.
Своевременное выявление нарушений требований разрешительной системы доступа.
Воспитательная и разъяснительная работа с сотрудниками отделов по предупреждению утраты ценных сведений при работе с конфиденциальными документами.
Регулярное обучение работников по вопросам, связанным с обеспечением безопасности ПДн.
Ограничение доступа к техническим средствам и системам обработки информации, на которых содержатся ПДн.
Создание целенаправленных неблагоприятных условий и труднопреодолимых препятствий для лица, пытающегося совершить несанкционированный доступ и овладение информацией.
Резервирование защищаемых данных (создание резервных копий).
Цели обработки персональных данных:
Ведение кадрового и бухгалтерского учета сотрудников Отдела.
Отправка отчетности по кадровому и бухгалтерскому учету сотрудников.
Правовое основание обработки персональных данных:
Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных».
Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Федеральный закон Российской Федерации от 27.07.2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации».
Указ Президента Российской Федерации от 30.05.2005 г. № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела».
Указ Президента РФ от 06.03.1997 №188 «Об утверждении перечня сведений конфиденциального характера».
Конституция Российской Федерации.
Трудовой кодекс Российской Федерации.
Гражданский кодекс Российской Федерации.
Налоговый кодекс Российской Федерации.
Уголовный кодекс Российской Федерации.
|
