Добро пожаловать

Побробнее

Утверждаю

 Председатель Комитета

по обеспечению мероприятий

 гражданской защиты

Республики Коми

________________ Е.М. Перминова

«_____»_________________2012г.

 

 

 

 

ПОЛОЖЕНИЕ

о порядке обработки и обеспечении безопасности персональных данных в Комитет по обеспечению мероприятий гражданской защиты Республики Коми

 

1.      Общие положения

1.1.     Настоящее Положение о порядке обработки и обеспечении безопасности персональных данных работников и клиентов (далее – Положение) Комитет по обеспечению мероприятий гражданской защиты Республики Коми (далее – Комитет) разработано на основании Конституции Российской Федерации, Трудового кодекса Российской Федерации, Гражданского кодекса Российской Федерации, Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», Федерального Закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального Закона от 27 июля 2004 года №79-ФЗ «О государственной гражданской службе Российской Федерации», Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781, Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденное Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 и других действующих нормативно-правовых актов Российской Федерации.

1.2.     Положение устанавливает порядок получения, учета, обработки, накопления и хранения информации, содержащей сведения, составляющие персональные данные (далее - ПДн).

1.3.     ПДн относятся к категории конфиденциальной информации. Режим конфиденциальности ПДн снимается в случаях обезличивания или по истечении срока хранения, если иное не определено федеральным законодательством.

1.4.     Настоящее Положение является обязательным для исполнения всеми сотрудниками Комитета.

1.5.     Настоящее Положение вступает в силу с момента его утверждения Председателем Комитета.

1.6.     Настоящее Положение доводится до сведения всех сотрудников Комитета под роспись.

1.7.     Контроль за исполнением настоящего Положения осуществляется Председателем Комитета.

 

2.   Термины и определения

персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;

субъект ПДн – сотрудники Комитета, а также граждане, обращающиеся в Комитето по различным вопросам, относящимся к ведению Комитета.

обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;

автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники;

распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц;

предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;

блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);

уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн;

обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;

информационная система ПДн (ИСПДн) - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;

материальный носитель – материальный объект (бумажный документ, флеш-носитель, CD-DVD диски, жесткий магнитный диск и др.), используемый для закрепления и хранения на нем информации;

конфиденциальность ПДн - обязательное для соблюдения оператором или иным получившим доступ к ПДн лицом требование не допускать их распространение без согласия субъекта ПДн или наличия иного законного основания;

информация - сведения (сообщения, данные) независимо от формы их представления;

общедоступные ПДн - ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

 

3.  Права и обязанности оператора

3.1. При определении объема и содержания обрабатываемых ПДн субъекта оператор должен руководствоваться нормативными документами, указанными в пункте 1.1 настоящего Положения.

3.2. Оператор при обработке ПДн обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а так же от иных неправомерных действий в отношении ПДн.

3.3. Оператор должен сообщить субъекту ПДн о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа сотрудника Комитета  или клиента дать письменное согласие на их получение.

3.4. Оператор вправе поручать обработку ПДн третьим лицам на основании договора.

3.5. В поручении оператора должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Федерального закона Российской Федерации от 27 июля 2007г. №152 «О персональных данных»

3.6. Лица, допущенные к обработке ПДн, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации, содержащей ПДн, по форме согласно  Приложению №2 к настоящему Положению.

3.7. В случае непреднамеренного ознакомления со сведениями, составляющими ПДн, должностные лица, не имеющие допуск к указанным сведениям, обязаны не разглашать полученную случайным образом информацию.

3.8. При обращении либо при получении запроса субъекта ПДн или его представителя, а также уполномоченного органа по защите прав субъектов ПДн оператор обязан:

1)       в порядке, предусмотренном статьей 14 Федерального закона Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных», безвозмездно предоставить субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к субъекту ПДн, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие ПДн по предоставлении субъектом или его представителем сведений, подтверждающих, что ПДн, которые относятся к субъекту ПДн и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта ПДн или его представителя и третьих лиц, которым ПДн этого субъекта были переданы, в письменном виде в срок, не превышающий семи рабочих дней со дня получения запроса;

2)       оператор по запросу уполномоченного органа по защите прав субъектов ПДн обязан сообщить информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса;

3)       оператор обязан вести журнал учета обращений субъектов ПДн о выполнении их законных прав, при обработке ПДн в ИСПДн по форме, представленной в Приложении №6 к настоящему Положению.

 

4. Права и обязанности субъектов персональных данных.

4.1.  Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

1)   подтверждение факта обработки ПДн оператором;

2)   правовые основания и цели обработки ПДн;

3)   цели и применяемые оператором способы обработки ПДн;

4)   наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;

5)   обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6)   сроки обработки ПДн, в том числе сроки их хранения;

7)   порядок осуществления субъектом ПДн прав, предусмотренных настоящим Федеральным законом;

8)   наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;

9)   иные сведения, предусмотренные федеральными законами.

4.2.  Субъект ПДн вправе требовать от оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.3.  Субъект имеет право на свободный бесплатный доступ к своим ПДн, включая право на получение копий любой записи, содержащей его ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации.

4.4.  Сведения, указанные в п. 4.1. настоящего Положения, предоставляются субъекту ПДн или его представителю оператором при обращении либо при получении запроса субъекта ПДн или его представителя.

4.5.  Если субъект ПДн считает, что оператор осуществляет обработку его ПДн с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.

4.6.  Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

 

5.     Обработка ПДн

5.1.     Обработка ПДн субъекта осуществляется исключительно в целях обеспечения соблюдения законодательства, содействия в продвижении по службе, обеспечении личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

5.2.     ПДн следует получать лично у субъекта ПДн. В случае возникновения необходимости получения ПДн субъекта у третьей стороны, следует заранее получить его письменное согласие по форме, представленной в Приложении №3 к настоящему Положению и сообщить субъекту ПДн о целях, предполагаемых источниках и способах получения ПДн.

5.3.  Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

5.4.  Обработке подлежат только ПДн, которые отвечают целям их обработки.

5.5.  При обработке ПДн должны быть обеспечены точность ПДн, их достаточность и актуальность.

5.6.  Обработка ПДн допускается в следующих случаях:

1)    обработка ПДн необходима для достижения целей и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

2)    обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);

3)    обработка ПДн необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления такой услуги, для регистрации субъекта ПДн на едином портале государственных и муниципальных услуг;

4)    обработка ПДн необходима для исполнения договора, стороной которого является субъект ПДн;

5)    обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

6)    обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;

7)    обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн;

8)    доступ неограниченного круга лиц к ПДн предоставлен субъектом ПДн;

9)    ПДн, подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законодательством.

5.7.  Лицо, осуществляющее обработку ПДн по поручению оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом Российской Федерации от 27 июля 2007г. № 152 «О персональных данных».

5.8.  Лицо, осуществляющее обработку ПДн по поручению оператора, не обязано получать согласие субъекта ПДн на обработку его ПДн.

5.9.  В случае, если оператор поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет оператор. Лицо, осуществляющее обработку ПДн по поручению оператора, несет ответственность перед оператором.

5.10.         В целях информационного обеспечения могут создаваться общедоступные источники ПДн (в том числе справочники, адресные книги). В общедоступные источники ПДн с письменного согласия субъекта ПДн могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные ПДн, сообщаемые субъектом ПДн.

5.11.         Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников ПДн по требованию субъекта, согласно письменному заявлению субъекта ПДн по форме, представленной в Приложении №4 к настоящему Положению, либо по решению суда или иных уполномоченных государственных органов.

5.12.         Обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн.

5.13.         Согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

5.14. Обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн, возлагается на оператора.

5.15. Согласие в письменной форме субъекта ПДн на обработку его ПДн должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;

4) цель обработки ПДн;

5) перечень ПДн, на обработку которых дается согласие субъекта ПДн;

6) наименование и адрес организации, осуществляющей обработку ПДн по поручению оператора;

7) перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;

8) срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта ПДн.

5.16.         Порядок получения в форме электронного документа согласия субъекта ПДн на обработку его ПДн в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.

5.17.         В случае недееспособности субъекта ПДн согласие на обработку его ПДн дает законный представитель субъекта ПДн.

5.18.         В случае смерти субъекта ПДн согласие на обработку его ПДн дают наследники субъекта ПДн, если такое согласие не было дано субъектом ПДн при его жизни.

5.19. Согласие субъекта ПДн не требуется в следующих случаях:

1)   обработка ПДн осуществляется на основании федерального закона, устанавливающего ее цель, условия получения ПДн и круг субъектов, ПДн которых подлежат обработке, а также определенного полномочия работодателя;

2)   обработка ПДн в целях исполнения трудового договора;

3)   обработка ПДн осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПДн;

4)   обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.

5.20.         Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных ч.2 ст. 10 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».

 

6. Порядок обработки ПДн без использования средств автоматизации.

6.1.  ПДн при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн (далее - материальные носители), в специальных разделах или на полях форм (бланков).

6.2.  Не допускается фиксация на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн должен использоваться отдельный материальный носитель.

6.3.  При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее - типовая форма), должны соблюдаться следующие условия:

1) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн;

2) типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку ПДн;

3) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;

4) типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.

6.4.  При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, должны быть приняты меры по обеспечению раздельной обработки ПДн, в частности:

1)   при необходимости использования или распространения определенных ПДн отдельно от находящихся на том же материальном носителе других ПДн осуществляется копирование ПДн, способом, исключающим одновременное копирование ПДн, не подлежащих распространению и использованию, и используется (распространяется) копия ПДн;

2)   при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию.

6.5.  Уничтожение или обезличивание части ПДн, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.

6.6.  Уточнение ПДн при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными ПДн.

6.7.  Обработка ПДн, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.

6.8.  При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

 

7.   Порядок обработки ПДн в информационных системах персональных данных с использованием средств автоматизации

7.1.     Оператором осуществляется классификация ИСПДн в соответствии с Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" в зависимости от категории обрабатываемых данных и их количества.

7.2.     Мероприятия по обеспечению безопасности ПДн на стадиях проектирования и ввода в эксплуатацию объектов информатизации проводятся в соответствии с приказом ФСТЭК Росси от 05.02.2010 №58 «О методах и способах защиты информации в информационных системах персональных данных».

7.3.     Не допускается обработка ПДн в ИСПДн с использованием средств автоматизации при отсутствии:

1) утвержденных организационно-технических документов о порядке эксплуатации информационных систем персональных данных, включающих акт классификации ИСПДн, инструкции пользователя, администратора по организации антивирусной защиты, и других нормативных и методических документов;

2) настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств в соответствии с требованиями безопасности информации;

3) охраны и организации режима допуска в помещения, предназначенные для обработки персональных данных;

 

8. Передача ПДн

8.1. При передаче ПДн субъекта Оператор должен соблюдать следующие требования:

1)   не сообщать ПДн субъекта третьей стороне без письменного согласия субъекта ПДн, по форме, представленной в Приложении №5 к настоящему Положению, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта ПДн, а также в случаях, установленных федеральным законом;

2)   не сообщать ПДн субъекта ПДн в коммерческих целях без его письменного согласия;

3)   предупредить лиц, получивших ПДн субъекта ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие ПДн субъекта ПДн, обязаны соблюдать режим конфиденциальности. Настоящее Положение не распространяется на обмен ПДн субъектов ПДн в порядке, установленном федеральными законами;

4)   осуществлять передачу ПДн субъектов в пределах Комитета в соответствии с настоящим Положением;

5)   разрешать доступ к ПДн субъектов ПДн только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПДн, которые им необходимы для выполнения конкретной функции;

6)   не запрашивать информацию о состоянии здоровья субъектов ПДн, за исключением тех сведений, которые относятся к вопросу о возможности выполнения субъектом ПДн трудовой функции;

7)   передавать ПДн субъектов ПДн его представителям в порядке, установленном законодательством Российской Федерации, и ограничивать эту информацию только теми ПДн, которые необходимы для выполнения указанными представителями их функции.

 

9. Доступ к ПДн

9.1.  Доступ сотрудников Комитета к ПДн осуществляется на основе Перечня лиц имеющих право доступа к ПДн и на обработку ПДн.

9.2.     Доступ к своим ПДн предоставляется субъекту ПДн или его представителю оператором осуществляется при получении запроса субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с оператором (номер и дата заключения договора (служебного контракта, соглашения или иного документа), условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн оператором, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

9.3.     Если ПДн субъекта ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее и от него должно получено письменное согласие в форме, представленной в Приложении №3 к настоящему Положению за исключением случаев, предусмотренных статьей 6 Федерального закона Российской Федерации от 27 июля 2007г. №152 «О персональных данных».

9.4.  Право доступа сотрудников Комитета к ПДн:

1)    доступ к ПДн осуществляется в соответствии с перечнем сотрудников Комитета имеющих право доступа к ПДн для исполнения своих служебных обязанностей.

2)    доступ к ПДн сотрудников Комитета также имеют Министр, первый заместитель Министра, заместители Министра, начальник Управления контрольной и кадровой работы.

3)    в пределах, для исполнения своих служебных обязанностей, доступ к ПДн имеют начальники отделов.

9.5.  Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе если:

1)    обработка ПДн осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2)    обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

3)    доступ субъекта ПДн к его персональным данным нарушает права и законные интересы третьих лиц.

 

10.    Защита ПДн

10.1.         Оператор при обработке ПДн обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

10.2.         Оператор издает приказ о назначении лица, ответственного за соблюдение порядка работы с ПДн, на котором лежат все обязанности по обеспечению конфиденциальности полученных данных, а также организации работы с ними.

10.3.         Обеспечение безопасности ПДн достигается:

1)    определением угроз безопасности ПДн при их обработке в информационных системах ПДн;

2)    применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;

3)    применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4)    оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;

5)    учетом машинных носителей ПДн;

6)    обнаружением фактов несанкционированного доступа к ПДн и принятием мер;

7)    восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8)    установлением правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в информационной системе ПДн;

9)    контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн;

10)   другими методами.

10.4. Все полученные ПДн должны храниться в месте, исключающем несанкционированный доступ третьих лиц.

10.5 Помещения должны быть оборудованы запирающимися шкафами для хранения информации на бумажных носителях.

10.6. Оператор ведет журнал учета обращений субъектов ПДн.

10.7. Защита ПДн от неправомерного их использования или утраты обеспечивается оператором за счет собственных средств в порядке, установленном федеральным законодательством.

 

11.              Ответственность

11.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн субъекта ПДн, несут предусмотренную законодательством Российской Федерации ответственность.

 

Приложение №1

СОГЛАСИЕ

на обработку персональных данных

 

         Я, нижеподписавшийся ________________________________________,

                                                     (фамилия, имя, отчество)

 

далее – Субъект персональных данных, проживающий по адресу___________

__________________________________________________________________,

имеющий документ, удостоверяющий мою личность: паспорт, серия _______

номер____________ выдан ___________________________________________

дата выдачи ________________, в соответствии с Федеральными законами «О государственной гражданской службе Российской Федерации», «О противодействии коррупции», «О персональных данных», Указом Президента Российской Федерации» «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела», настоящим подтверждаю свое согласие на обработку Комитетом по обеспечению мероприятий гражданской защиты Республики Коми (далее – Оператор) моих персональных данных, включающих: фамилию, имя, отчество, пол, дату рождения, место рождения, адрес проживания, контактный телефон, других персональных данных, содержащихся в моем личном деле, в целях организации Оператором проверки достоверности и полноты представляемых мной оператору сведений о доходах, об имуществе и обязательствах имущественного характера, а также соблюдения мной ограничений, установленных Федеральным законом «О государственной гражданской службе Российской Федерации» и другими федеральными законами.

Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение, передачу третьей стороне. Оператор вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных, с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа.

В случае изменения моих персональных данных обязуюсь в 3-дневный срок сообщить об этом Оператору.

Настоящее согласие дано мной «____» ____________ 20___г. и действует в период моей работы в штате Оператора.

Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора.

Подпись субъекта персональных данных ___________________

 

Приложение №2
 

 

ОБЯЗАТЕЛЬСТВО

о неразглашении информации,

содержащей персональные данные

 

Я,___________________________________________________________,

(Ф.И.О.)

исполняющий (ая) должностные обязанности по замещаемой должности

_______________________________________________________________________________

_______________________________________________________________________________

                               (должность, наименование структурного подразделения )

предупрежден (а) о том, что на период исполнения должностных обязанностей в соответствии с должностным регламентом мне будет предоставлен допуск к информации, содержащей персональные данные. Настоящим добровольно принимаю на себя обязательства:

1. Не передавать и не разглашать третьим лицам информацию, содержащую персональные данные, которая мне доверена (будет доверена) или станет известной в связи с исполнением должностных обязанностей.

2. В случае попытки третьих лиц получить от меня информацию, содержащую персональные данные, сообщать непосредственному руководителю.

3. Не использовать информацию, содержащую персональные данные, с целью получения выгоды.

4. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты персональных данных.

5. После прекращения права на допуск к информации, содержащей персональные данные, не разглашать и не передавать третьим лицам известную мне информацию, содержащую персональные данные.

Я предупрежден (а) о том, что в случае нарушения данного обязательства буду привлечен (а) к дисциплинарной ответственности и/или иной ответственности в соответствии с законодательством Российской Федерации.

 

 

«_____»____________ 20____г.                          _______________________ 

                                                                                                                      (подпись)

 

 

Приложение №3

 

 

Согласие

на получение персональных данных от третьих лиц

 

         Я, нижеподписавшийся ________________________________________,

                                                     (фамилия, имя, отчество)

 

проживающий по адресу_____________________________________________

__________________________________________________________________,

имеющий документ, удостоверяющий мою личность: паспорт, серия _______

номер____________ выдан ___________________________________________

дата выдачи ________________, в соответствии с требованиями ст. 9 Федерального закона Российской Федерации от 27 июля 2006г. №152-ФЗ «О персональных данных», настоящим подтверждаю свое согласие на получение моих персональных данных, а именно:

___________________________________________________________________________________________________________________________________

(указать состав персональных данных (Ф.И.О, паспортные данные, адрес …)

 

Для обработки в целях _______________________________________________

___________________________________________________________________________________________________________________________________

(указать цели обработки)

 

У следующих лиц __________________________________________________

___________________________________________________________________________________________________________________________________

(указать Ф.И.О. физического лица или наименование организации, у которых получаются данные)

 

Я также утверждаю, что ознакомлен с возможными последствиями моего отказа дать письменное согласие на их получение.

 

 

 

 

 

«_____»____________ 20____г.                          _______________________ 

                                                                                                                      (подпись)

 

 

 

 

 

 

Приложение №4

 

ОТЗЫВ СОГЛАСИЯ

на обработку персональных данных

 

Я, нижеподписавшийся ________________________________________,

                                                     (фамилия, имя, отчество)

 

проживающий по адресу______________________________________________

__________________________________________________________________,

имеющий документ, удостоверяющий мою личность: паспорт, серия _______

номер____________ выдан ___________________________________________

дата выдачи ________________, в соответствии с требованиями ст. 9 Федерального закона Российской Федерации от 27 июля 2006г. №152-ФЗ «О персональных данных», прошу отозвать мое согласие на обработку персональных данных в связи с:

___________________________________________________________________________________________________________________________________

(указать причину)

Прошу прекратить обработку моих персональных данных в течение трех рабочих дней с момента поступления настоящего отзыва.

 

          

 

 

 

 

 

 

 

 

 

                                  

«_____»____________ 20____г.                          _______________________ 

                                                                                                                      (подпись)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение №5

 

СОГЛАСИЕ

на передачу персональных данных третьей стороне

 

Я, нижеподписавшийся ________________________________________,

                                                     (фамилия, имя, отчество)

 

проживающий по адресу______________________________________________

__________________________________________________________________,

имеющий документ, удостоверяющий мою личность: паспорт, серия _______

номер____________ выдан ___________________________________________

дата выдачи ________________, в соответствии с требованиями Федерального закона Российской Федерации от 27 июля 2006г. №152-ФЗ «О персональных данных», даю согласие Комитету по обеспечению мероприятий гражданской защиты Республики Коми, на предоставление моих персональных данных, а именно:

___________________________________________________________________________________________________________________________________

(указать состав персональных данных (Ф.И.О, паспортные данные, адрес …)

 

 

Для ________________________________________________________________

___________________________________________________________________________________________________________________________________

(указать цели передачи)

 

Следующим лицам __________________________________________________

___________________________________________________________________________________________________________________________________

(указать Ф.И.О. физического лица или наименование организации, которым передаются данные)

 

 

 

 

 

 

«_____»____________ 20____г.                          _______________________ 

 

Приложение №6
 

 

 

Журнал учета обращений субъектов персональных данных о выполнении их законных прав, при обработке персональных данных в информационных системах персональных данных

ФИО

Дата

Название ИСПДн

Цель обращения