Положение об обеспечении безопасности персональных данных
ПОЛОЖЕНИЕ ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
ОГЛАВЛЕНИЕ
ОБЩИЕ ПОЛОЖЕНИЯ
СУБЪЕКТЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ОРГАНИЗАЦИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Назначение ответственных лиц
Допуск работников к обработке персональных данных
Получение персональных данных
Систематизация, накопление, уточнение и использование персональных данных
Передача персональных данных
Хранение персональных данных
Уведомление об обработке персональных данных
ОСОБЕННОСТИ ОРГАНИЗАЦИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ
ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПОРЯДОК ОБРАБОТКИ ОБРАЩЕНИЙ СУБЪЕКТОВ ПО ВОПРОСАМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
ОБЩИЕ ПОЛОЖЕНИЯ
Положение об обработке персональных данных в ИП Дорожкин Д.В. (далее – Положение) разработано в соответствии с Федеральным законом от 27.07.2006 № 152 ФЗ «О персональных данных» (далее – ФЗ 152), Трудовым кодексом Российской Федерации (далее – ТК РФ), а также «Перечнем сведений конфиденциального характера», утвержденным Указом Президента Российской Федерации от 06.03.1997 № 188.
Настоящее Положение определяет порядок обработки персональных данных и устанавливает общие требования к обеспечению безопасности персональных данных, обрабатываемых в ИП Дорожкин Д.В. (далее – Оператор) как с использованием средств автоматизации, так и без использования таких средств.
В Положении используются следующие основные понятия:
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Действие Положения распространяется на все структурные подразделения Оператора.
Настоящее Положение должно быть доведено до каждого работника Оператора, осуществляющего обработку ПДн, под роспись.
СУБЪЕКТЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Цели обработки ПДн, основания для их обработки, возможные действия (операции), совершаемые с ПДн, сроки обработки и состав обрабатываемых ПДн категорий субъектов ПДн, обрабатываемых у Оператора, указаны в Перечне обрабатываемых ПДн.
ОРГАНИЗАЦИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Назначение ответственных лиц
Для организации обработки ПДн у Оператора назначается ответственное лицо.
Для определения уровня защищенности ИСПДн, проверки готовности средств защиты информации к использованию, а также уничтожения ПДн приказом руководителя Оператора назначается Комиссия по приведению в соответствие с требованиями законодательства Российской Федерации в области ПДн (далее – Комиссия).
В своей работе Комиссия руководствуется Положением о комиссии по приведению деятельности в соответствие требованиям законодательства Российской Федерации в области ПДн, утвержденным приказом руководителя Оператора.
Допуск работников к обработке персональных данных
Допуск работников Оператора к обработке ПДн осуществляется на основании приказа о назначении на должность в соответствии с Перечнем должностей и третьих лиц, имеющих доступ к ПДн.
Работники Оператора получают доступ к обработке ПДн для выполнения ими служебных (трудовых) обязанностей, после выполнения следующих мероприятий:
- ознакомления под роспись с руководящими документами Оператора и нормативными актами Российской Федерации по обработке и обеспечению безопасности ПДн;
- оформления письменного обязательства о неразглашении ПДн, форма которого утверждена приказом руководителя Оператора.
Работники Оператора, имеющие допуск к ПДн, имеют право получать только те ПДн, которые необходимы им для выполнения служебных (трудовых) обязанностей.
Получение персональных данных
ПДн субъекта получаются от него самого или от его законного представителя. В случае, если ПДн получены не от субъекта ПДн, Оператор до начала обработки таких ПДн обязан уведомить субъекта о получении его ПДн.
Систематизация, накопление, уточнение и использование персональных данных
Систематизация, накопление, уточнение и использование персональных данных осуществляется путем оформления и ведения документов учета и баз данных субъектов персональных данных.
Работники Оператора, имеющие доступ к ПДн, должны обеспечить их обработку, исключающую несанкционированный доступ к ним третьих лиц.
Передача персональных данных
Передача персональных данных субъектов третьим лицам может осуществляться только при наличии письменного согласия субъекта, если иное не предусмотрено федеральным законодательством.
При передаче ПДн субъектов третьим лицам, с третьим лицом должно быть подписано Соглашение об обеспечении безопасности ПДн, переданных на обработку, форма которого утверждена приказом руководителя Оператора.
Передача ПДн субъектов между подразделениями Оператора должна осуществляться только между работниками, допущенными к обработке ПДн.
Хранение персональных данных
Хранение ПДн субъектов осуществляется на бумажных и машинных носителях информации в специально выделенных хранилищах подразделений Оператора, а также в ИСПДн Оператора, обеспечивающих сохранность ПДн и их защиту от несанкционированного доступа.
Уничтожение ПДн в ИСПДн, на машинных и бумажных носителях информации должно производиться в течение тридцати дней с даты достижения цели обработки (предельного срока хранения) ПДн. При невозможности уничтожения ПДн в течение тридцати дней с даты достижения цели обработки ПДн, обеспечивается их блокирование и уничтожение в срок, не превышающий шести месяцев.
Порядок и правила учета, хранения и уничтожения ПДн описаны в Регламенте учета, хранения и уничтожения носителей ПДн.
Уведомление об обработке персональных данных
Согласно ст. 22 ФЗ 152 Оператор уведомляет Уполномоченный орган по защите прав субъектов ПДн об обработке ПДн.
В случае изменения сведений, указанных в уведомлении, а также в случае прекращения обработки ПДн Оператор также уведомляет об этом Уполномоченный орган.
ОСОБЕННОСТИ ОРГАНИЗАЦИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ
ПДн при их обработке без использования средств автоматизации обособляются от иной информации путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков).
При фиксации ПДн на материальных носителях не допускается запись на одном материальном носителе ПДн, цели обработки которых заведомо несовместимы. При обработке различных категорий ПДн без использования средств автоматизации для каждой категории ПДн должен использоваться отдельный материальный носитель.
При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн, должны соблюдаться следующие условия:
- типовая форма должна содержать сведения о цели обработки ПДн, наименование и адрес Оператора, фамилию, имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн;
- типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн – при необходимости получения письменного согласия на обработку ПДн;
- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;
- типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.
При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн, должны быть приняты меры по обеспечению раздельной обработки ПДн.
Необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.
Уничтожение или обезличивание части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
Уточнение ПДн при их обработке без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными ПДн.
Лица, осуществляющие обработку ПДн без использования средств автоматизации, должны быть проинформированы:
- о факте обработки ими ПДн, обработка которых осуществляется без использования средств автоматизации;
- о категориях обрабатываемых ПДн;
- об особенностях и правилах осуществления такой обработки.
Форма Листа уведомления о категориях ПДн, обрабатываемых без использования средств автоматизации, приведена в Приложении №1 настоящего Положения.
ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПДн обрабатываются у Оператора как с использованием средств автоматизации, так и без использования таких средств.
Порядок обработки и защиты ПДн в ИСПДн Оператора определяется Положением об обеспечении безопасности ПДн.
Защита ПДн от неправомерного их использования или утраты обеспечивается Оператором за счет собственных средств.
Работники Оператора, которые в рамках исполнения должностных обязанностей имеют доступ к ПДн, обязаны соблюдать режим конфиденциальности ПДн на всех этапах их обработки.
В отсутствие работника на его рабочем месте не должно быть документов и машинных носителей информации, содержащих ПДн.
Доступ работников Оператора и иных лиц в помещения, в которых осуществляется обработка и хранение ПДн, ограничивается организационными мерами и применением системы контроля и управления доступом.
Учитывая массовость и единые места обработки и хранения, гриф «конфиденциально» на документах, содержащих ПДн, не ставится.
Организацию обработки ПДн субъектов, контроль соблюдения мер их защиты в структурных подразделениях Оператора, работники которых имеют доступ к ПДн, осуществляют их непосредственные руководители.
Мероприятия по защите ПДн осуществляются в соответствии с Планом мероприятий по приведению деятельности в соответствие требованиям законодательства Российской Федерации в области ПДн, утверждаемых руководителем Оператора.
Разработка и осуществление мероприятий по обеспечению безопасности ПДн, обрабатываемых в ИСПДн, может осуществляться сторонними организациями на договорной основе, имеющими лицензии на право проведения соответствующих работ.
ПОРЯДОК ОБРАБОТКИ ОБРАЩЕНИЙ СУБЪЕКТОВ ПО ВОПРОСАМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Порядок обработки запросов субъектов ПДн описан в Регламенте реагирования на запросы субъектов ПДн.
Порядок обработки запросов уполномоченных органов в области ПДн осуществляется в соответствии с Федеральным законом "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" от 26.12.2008 N 294-ФЗ и административными регламентами уполномоченных органов в области ПДн.
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Иные права и обязанности работников, в функции которых входит обработка ПДн, определяются Инструкцией пользователя ИСПДн.
Лица, виновные в нарушении норм, регулирующих обработку и защиту ПДн, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
Разглашение ПДн, их публичное раскрытие, утрата документов и иных носителей, содержащих ПДн, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, другими локальными нормативными актами (приказами, распоряжениями) Оператора, влечет наложение на работника, имеющего доступ к ПДн, дисциплинарного взыскания – замечания, выговора, увольнения.
Работник, имеющий доступ к ПДн и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба работодателю (п. 7 ст. 243 ТК РФ).
Работники Оператора, имеющие доступ к ПДн, виновные в их незаконном разглашении или использовании без согласия субъектов ПДн из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут уголовную ответственность в соответствии со ст. 183 Уголовного кодекса Российской Федерации.
Обновление и актуализация настоящего положения осуществляются в соответствии с Регламентом проведения контрольных мероприятий и реагирования на инциденты информационной безопасности.