Информация о работе с персональными данными

 Перечень организационно - распорядительной документации необходимой для обеспечения выполнения оператором обязанностей предусмотренных Федеральным законодательством и принятыми в соответствии с ним нормативными правовыми актами

 

1. Приказ о назначении лица, ответственного за организацию обработки персональных данных (ПДн).

2. Должностная инструкция ответственного за организацию обработки ПДн в организации МБО ДО ДЮСШ г. Задонска.

3. Правила обработки ПДн.

4. Правила рассмотрения запросов субъектов ПДн или их представителей.

5. Правила осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн, политике оператора в отношении обработки ПДн (с приложением Акта проведения внутренней проверки).

6. Правила работы с обезличенными ПДн.

7. Приказ организации об утверждении (с обязательным приложением этих форм):

- Типовой формы согласия на обработку ПДн служащих (сотрудников) МБО ДО ДЮСШ г. Задонска, иных субъектов персональных данных;

- Типовой формы разъяснения субъекту юридических последствий отказа предоставить свои ПДн.

8. Приказ организации об утверждении (с обязательным приложением этих перечней):

- Перечня информационных систем персональных данных;

- Перечня персональных данных, обрабатываемых МБО ДО ДЮСШ г. Задонска в связи с реализацией трудовых отношений, а также в связи с оказанием услуг.

9. Приказ организации об утверждении (с обязательным приложением Перечня, Порядка и Правил):

- Перечня ответственных за помещения, в которых обрабатываются ПДн и где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ;

- Порядка доступа служащих (сотрудников) МБО ДО ДЮСШ г. Задонска в помещения, в которых ведется обработка ПДн или где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ, в рабочее и нерабочее время, а также в нештатных ситуациях;

-  Правил организации режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.

10. Приказ по организации о назначении ответственного за организацию работ по криптографической защите и утверждении:

- Перечня должностей, замещение которых предусматривает использование средств криптографической защиты информации;

- Формы Акта об уничтожении криптографических ключей, содержащихся на ключевых носителях,  и ключевых документов;

- Инструкции по обращению со средствами криптографической защиты информации;

- Инструкции ответственного за организацию работ по криптографической защите информации

11. Приказ организации об утверждении (с обязательным приложением Перечня и Форм):

- Перечня мест хранения материальных носителей персональных данных и назначение ответственных за хранение и учет материальных носителей персональных данных;

- Формы Журнала учета материальных носителей информации;

- Формы Акта об уничтожении материальных носителей персональных данных.

12. Приказ организации об утверждении (с обязательным приложением Перечней и Типового обязательства):

- Перечня должностей служащих МБО ДО ДЮСШ г. Задонска осуществление обработки ПДн либо осуществление доступа к ПДн;

- Перечня должностей служащих МБО ДО ДЮСШ г. Задонска, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн;

- Перечня должностей служащих МБО ДО ДЮСШ г. Задонска, замещение которых предусматривает осуществление доступа к содержанию электронного журнала сообщений (для 1 и 2-го уровня защищенности);

- Типового обязательства служащего МБО ДО ДЮСШ г. Задонска, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного или муниципального контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей

13. Инструкция пользователя информационной системе персональных данных (не обязательные требования).

14. Приказ о назначении должностного лица, ответственного за обеспечение безопасности ПДн в информационной системе персональных данных (п.14, ПП №1119 – для 1, 2 и 3-го уровня защищенности).

15. Должностная инструкция ответственного за обеспечение безопасности ПДн в информационной системе персональных данных (с приложением формы Журнала учета СЗИ и формы Журнала учета СКЗИ).

16. Правила доступа к персональным данным, обрабатываемым в информационной системе (с приложением таблицы разграничения доступа к ПДн).

17. Должностная инструкция системного администратора информационной системы персональных данных (не обязательные требования).

18. Приказ на создание комиссии для определения уровня защищенности ПДн при их обработке в информационной системе персональных данных.

19. Акт установки средств защиты персональных данных в информационной системе персональных данных.

20. Приказ оператора о вводе в эксплуатацию ИСПДн с созданной системой защиты ПДн.

УТВЕРЖДАЮ

Директор

МБО ДО ДЮСШ г. Задонска

____________ С.А. Целых

«22» августа 2018 г.

 

План мероприятий

по обеспечению выполнения МБО ДО ДЮСШ г. Задонска (оператором) обязанностей, предусмотренных

федеральным законодательством и принятыми в соответствии с ним нормативными правовыми актами

 

№ п/п	Наименование мероприятия	Ответственный исполнитель	Срок исполнения	Отметка о выполнении
1.	Издание приказа о назначении лица, ответственного за организацию обработки конфиденциальной информации, в том числе персональных данных (далее - ПДн) (п.1 ч.1 ст.18.1 №152-ФЗ)	Директор МБО ДО ДЮСШ г. Задонска
2.	Разработка и утверждение должностной инструкции ответственного за организацию обработки конфиденциальной информации, в том числе ПДн, в организации	Ответственный за организацию обработки ПДн
Документы, определяющие политику оператора в отношении обработки конфиденциальной информации, в том числе ПДн, локальные акты по вопросам обработки конфиденциальной информации, в том числе ПДн (п.2, п.4, п.6 ч.1 ст.18.1 № 152-ФЗ;  ПП № 1119; Приказ ФСБ № 378)
3.	Разработка и утверждение Правил обработки конфиденциальной информации, в том числе ПДн	Ответственный за организацию обработки ПДн; директор МБО ДО ДЮСШ г. Задонска
4.	Разработка и утверждение Правил рассмотрения запросов субъектов ПДн или их представителей
5.	Разработка и утверждение Правил осуществления внутреннего контроля соответствия обработки конфиденциальной информации, в том числе ПДн, требованиям к защите ПДн, политике оператора в отношении обработки ПДн (с приложением Акта внутренней проверки) (п.2 ч.1 ст.18.1 № 152-ФЗ;  п. 17 ПП №  1119)
6.	Разработка и утверждение приказом организации: - Типовой формы согласия на обработку ПДн служащих (сотрудников) МБО ДО ДЮСШ г. Задонска, иных субъектов ПДн; - Типовой формы разъяснения субъекту юридических последствий отказа предоставить свои ПДн
Мероприятия для выполнения требований к защите конфиденциальной информации, в том числе ПДн, и реализации организационных и технических мер по обеспечению безопасности конфиденциальной информации, в том числе ПДн
7.	Разработка и утверждение приказом организации: -  Перечня информационных систем (далее – ИС); - Перечня конфиденциальной информации, в том числе ПДн, обрабатываемых в МБО ДО ДЮСШ г. Задонска, в связи с реализацией трудовых отношений, а также в связи с оказанием услуг	Ответственный за организацию обработки ПДн; директор МБО ДО ДЮСШ г. Задонска
8.	Разработка и утверждение приказом организации (п.13 а) ПП № 1119; п. 6-8 Приказа ФСБ № 378): - Перечня ответственных за помещения, в которых обрабатывается конфиденциальная информация, в том числе ПДн, или где размещены используемые средства криптографической защиты информации (далее – СКЗИ), хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ; - Порядка доступа служащих (сотрудников) МБО ДО ДЮСШ г. Задонска в помещения, в которых ведется обработка конфиденциальной информации, в том числе ПДн, или где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ, в рабочее и нерабочее время, а также в нештатных ситуациях; - Правил организации режима обеспечения безопасности помещений, в которых размещена ИС, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения
9.	Назначить ответственного за организацию работ по криптографической защите (п. 6-7 Приказа ФСБ № 378)	Директор МБО ДО ДЮСШ г. Задонска
10.	Разработка и утверждение приказом организации (п. 6-7 Приказа ФСБ № 378): - Перечня должностей, замещение которых предусматривает использование СКЗИ; - Формы Акта об уничтожении криптографических ключей, содержащихся на ключевых носителях,  и ключевых документов; - Инструкции по обращению с СКЗИ; - Инструкции ответственного за организацию работ по криптографической защите конфиденциальной информации, в том числе ПДн	Ответственный за организацию работ по криптографической защите
11.	Разработка и утверждение приказом организации (п.13 б) ПП № 1119; п. 6 Приказа ФСБ № 378): - перечня мест хранения материальных носителей конфиденциальной информации, в том числе ПДн, и назначение ответственных за хранение и учет материальных носителей конфиденциальной информации, в том числе ПДн; - формы Журнала учета материальных носителей конфиденциальной информации, в том числе ПДн; - формы Акта об уничтожении материальных носителей конфиденциальной информации, в том числе ПДн	Ответственный за организацию обработки ПДн; Директор МБО ДО ДЮСШ г. Задонска
12.	Разработка и утверждение приказом организации (п.2 ст.18.1 № 152-ФЗ): - Перечня должностей служащих МБО ДО ДЮСШ г. Задонска, замещение которых предусматривает осуществление обработки конфиденциальной информации, в том числе ПДн, либо осуществление доступа к ней; - Типового обязательства служащего МБО ДО ДЮСШ г. Задонска, непосредственно осуществляющего обработку конфиденциальной информации, в том числе ПДн, в случае расторжения с ним государственного или муниципального контракта прекратить обработку конфиденциальной информации, в том числе ПДн, ставших известными ему в связи с исполнением должностных обязанностей	Ответственный за организацию обработки ПДн; Директор МБО ДО ДЮСШ г. Задонска
13.	Разработка и утверждение Инструкции пользователя ИС	Ответственный за организацию обработки ПДн
14.	Издание приказа о назначении должностного лица, ответственного за обеспечение безопасности конфиденциальной информации, в том числе ПДн, в ИС.
15.	Разработка и утверждение инструкции должностного лица, ответственного за обеспечение безопасности конфиденциальной информации, в том числе ПДн, в ИС (с приложением формы Журнала учета средств защиты информации (далее – СЗИ) и формы Журнала учета СКЗИ)	Ответственный за обеспечение безопасности ПДн
16.	Разработка и утверждение Правил доступа к конфиденциальной информации, в том числе ПДн, обрабатываемой в ИС (п.8 ч.2 ст.19 № 152-ФЗ)
17.	Разработка и утверждение должностной инструкции системного администратора ИС	Ответственный за обеспечение безопасности ПДн
18.	Издание приказа на создание комиссии для определения уровня защищенности ПДн при их обработке в ИС.	Ответственный за организацию обработки ПДн;

Ответственный за организацию обработки ПДн _____________________ С. А. Целых

УТВЕРЖДАЮ

Директор

МБО ДО ДЮСШ г. Задонска

____________ С.А. Целых

«22» августа 2017 г.

Должностная инструкция

ответственного за организацию обработки конфиденциальной информации, в том числе персональных данных

1. Общие положения

1.1. Настоящая Инструкция определяет основные обязанности, права и ответственность лица, ответственного за организацию обработки конфиденциальной информации, в том числе персональных данных, МБО ДО ДЮСШ г. Задонска (далее – Организация).

1.2. Лицо, ответственное за организацию обработки конфиденциальной информации, в том числе персональных данных, в своей работе должен руководствоваться настоящей инструкцией и следующими основными законодательными и нормативными правовыми актами Российской Федерации:

- Трудовой кодекс Российской Федерации (ст. 65, ст.85-90);

- Гражданский кодекс Российской Федерации, Часть 1 (ст. ст. 150, 152, 152.1) от 30.11.1994 №51-ФЗ;

- Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации»;

- Федеральный закон Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ);

- Постановление Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правыми актами, операторами, являющимися государственными или муниципальными органами»;

- Постановление Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- Постановление Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

- Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;

- Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;

- локальные акты Организации.

1.3 Основные понятия и термины, используемые в настоящей Инструкции, применяются в значениях, определенных статьей 3 Федерального закона № 152-ФЗ.

1.4. Лицо, ответственное за организацию обработки конфиденциальной информации, в том числе персональных данных, получает указания непосредственно от учредителя отдела образования Задонского муниципального района и подотчетно ему (часть 2, ст. 22.1 Федерального Закона №152-ФЗ).

1.5. Лицо, ответственное за организацию обработки конфиденциальной информации, в том числе персональных данных, назначает Организация (часть 1, ст. 22.1 Федерального Закона №152-ФЗ).

2. Основные обязанности лица, ответственного за организацию обработки конфиденциальной информации, в том числе персональных данных:

- осуществлять внутренний контроль за соблюдением Организации и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите конфиденциальной информации, в том числе персональных данных;

- доводить до сведения работников Организации положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки и требований к защите конфиденциальной информации, в том числе персональных данных;

- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов;

- незамедлительно докладывать руководителю Организации для принятия необходимых мер в случае угрозы безопасности конфиденциальной информации, в том числе персональным данным, а также докладывать о фактах нарушения сотрудниками обрабатывающими конфиденциальную информацию требований законодательных, нормативных правовых актов Российской Федерации, локальных актов Организации при обработке конфиденциальной информации, в том числе персональных данных.

3. Права лица, ответственного за организацию обработки конфиденциальной информации, в том числе персональных данных:

- запрашивать и получать документы и сведения необходимых для организации и проведения работ в соответствии с его должностными обязанностями, в частности сведения, указанные в части 3 статьи 22 Федерального закона № 152-ФЗ;

- требовать от сотрудников Организации выполнения законодательных, нормативных правовых актов Российской Федерации, а также локальных актов Организации в части обработки и защиты конфиденциальной информации, в том числе персональных данных.

4. Ответственность лица, ответственного за организацию обработки конфиденциальной информации, в том числе персональных данных

Лицо, ответственное за организацию обработки конфиденциальной информации, в том числе персональных данных, несет ответственность за ненадлежащее исполнение или неисполнение своих обязанностей, предусмотренных настоящей Инструкцией, в пределах, определенных действующим законодательством Российской Федерации.

С инструкцией ознакомлен:

_______________ (подпись)

_____________________ (фамилия и инициалы)

УТВЕРЖДАЮ

Директор

МБО ДО ДЮСШ г. Задонска

____________ С.А. Целых

«22» августа 2017г.

 

 

ПРАВИЛА

обработки конфиденциальной информации, в том числе персональных данных

1. Общие положения

1.1. Настоящие правила обработки конфиденциальной информации, в том числе персональных данных (далее – КИ), устанавливают единый порядок обработки КИ в МБО ДО ДЮСШ г. Задонска.

1.2. Настоящие правила разработаны на основании и в соответствии с требованиями следующих законодательных и нормативных правовых актов Российской Федерации:

- Трудовой кодекс Российской Федерации (ст. 65, ст.85-90);

- Гражданский кодекс Российской Федерации, Часть 1 (ст. ст. 150, 152, 152.1) от 30.11.1994 №51-ФЗ;

- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации»;

- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ);

- Постановление Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правыми актами, операторами, являющимися государственными или муниципальными органами;

- Постановление Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

- Постановление Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;

- Приказ ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

1.3. Настоящие правила устанавливают и определяют:

1) процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки и защиты КИ;

2) цели обработки КИ;

3) содержание обрабатываемой КИ для каждой цели обработки КИ;

4) категории субъектов, персональные данные (далее – ПДн) которых обрабатываются;

5) сроки обработки и хранения обрабатываемой КИ;

6) порядок уничтожения обработанной КИ при достижении целей обработки или при наступлении иных законных оснований.

1.4. Основные понятия и термины, используемые в настоящих Правилах, применяются в значениях, определенных Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» и Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

1.5. МБО ДО ДЮСШ г. Задонска (далее – Организация) является оператором персональных данных, осуществляющим обработку ПДн сотрудников и граждан.

1.6. Доступ к Правилам неограничен, так как Правила являются документом, определяющим политику Оператора в отношении обработки конфиденциальной информации, в том числе ПДн.

1.7. Правила являются обязательными для исполнения всеми сотрудниками Организации, имеющими доступ к КИ.

1.8.  Правила вступает в силу с момента их утверждения и действуют до замены их новыми Правилами.

2.  Процедуры, направленные на выявление и предотвращение нарушений, предусмотренных законодательством Российской Федерации в сфере конфиденциальной информации, в том числе персональных данных

2.1. Оператор при обработке КИ должен руководствоваться принципами и условиями определенными нормами главы 2 Федерального закона №152-ФЗ.

2.2.  Права субъектов ПДн определены в главе 3 Федерального закона №152-ФЗ.

2.3.  При определении обязанностей Оператора при сборе КИ и при обращении к нему субъектов ПДн Оператор должен руководствоваться главой 4 Федерального закона №152-ФЗ.

2.4. Оператор должен принимать меры направленные на обеспечение выполнения обязанностей предусмотренных Федерального закона №152-ФЗ, в частности:

- назначить ответственного за организацию обработки КИ в Организации;

- издать:

· документы, определяющие политику Оператора в отношении обработки КИ;

· локальные акты по вопросам обработки КИ;

· локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

- применять правовые, организационные и технические меры по обеспечению безопасности КИ, в соответствии со статьей 19 Федерального закона №152-ФЗ «О персональных данных» и Приказом ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;

- осуществлять внутренний контроль и (или) аудит соответствия обработки ПДн Федеральному закону №152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите КИ, политике оператора в отношении обработки КИ, локальным актам оператора;

- оценивать вред, который может быть причинён субъектам ПДн в случае нарушения законодательства Российской Федерации и настоящих Правил;

- ознакомить работников, непосредственно осуществляющих обработку КИ, с положениями законодательства Российской Федерации о ПДн, требованиями к защите КИ и настоящими Правилами;

- запрещать обработку КИ лицами, не допущенными к их обработке.

2.5.  Обработка КИ должна осуществляется после получения согласия субъекта ПДн (за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона №152-ФЗ «О персональных данных»), при условии выполнения требований к защите КИ.

2.6. Безопасность КИ, при её обработке в информационных системах (далее – ИС), обеспечивает Оператор.

2.7. При обработке КИ необходимо соблюдать следующие требования:

-  к работе с КИ допускаются только лица, назначенные соответствующим распоряжением руководителя Организации.

- в целях обеспечения сохранности документов, содержащих КИ, все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться сотрудниками Организации, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных регламентах (инструкциях);

-  на период обработки защищаемой информации в помещении могут находиться только лица, допущенные в установленном порядке к обрабатываемой информации.

2.8. Особенности обработки КИ с использованием средств автоматизации

2.8.1. Обработка КИ с использованием средств автоматизации осуществляется в ИС, состав которых должен быть определен в Перечне информационных систем.

2.8.2. Машинные носители КИ должны подлежать обязательной регистрации и учету, в соответствии с Приказом Организации, регламентирующим порядок учета и хранения носителей.

2.8.3. Обработка КИ должна осуществляться при условии выполнения требований к защите ПДн, утвержденных постановлением Правительства от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и Приказом ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

2.8.4. Оператор при обработке КИ обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты КИ от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения КИ, а также от иных неправомерных действий в отношении КИ. Состав и содержание таких мер утвержден приказом ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

2.9. Особенности обработки ПДн без использования средств автоматизации

2.9.1. Особенности обработки ПДн, осуществляемой без использования средств автоматизации, изложены в постановлении Правительства Российской Федерации от 15.09.2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

2.9.2. Особенности организации обработки ПДн, осуществляемой без использования средств автоматизации:

- ПДн при их обработке должны обособляться от иной информации, в частности, путем фиксации их на отдельных носителях;

- при фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе ПДн, цели обработки которых заведомо несовместимы;

- для обработки различных категорий ПДн для каждой категории ПДн должен использоваться отдельный материальный носитель;

- лица, осуществляющие обработку ПДн, должны быть проинформированы о факте обработки ими ПДн, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации;

- требования к типовым формам документов, характер информации в которых предполагает или допускает включение в них ПДн, изложены в п. 7 «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденного постановлением Правительства от 15.09.2008 года № 687;

- уточнение ПДн производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными ПДн.

2.9.3. Меры по обеспечению безопасности ПДн при их обработке, осуществляемой без использования средств автоматизации:

- обработка ПДн должна осуществляться таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ;

- необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях;

- при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ.

 

3.  Цели обработки конфиденциальной информации, в том числе персональных данных

3.1. Цель обработки КИ определяется целями создания и видами деятельности Предприятия, а именно:

- обеспечение соблюдения законов и иных нормативных правовых актов в связи с оказанием муниципальных услуг и муниципальных функций;

- соблюдение порядка и правил приема на работу и исполнение условий трудового договора, установленных трудовым законодательством Российской Федерации;

- заполнение и использование базы данных автоматизированной информационной системы бухгалтерского учета, персонифицированного учета, налогового учета, в целях повышения эффективности, быстрого поиска, формирования отчётов.

3.2 . Субъектами, персональные данные которых обрабатываются для указанных целей, являются муниципальные служащие, принимаемые в Организацию по трудовому договору, а так же лица, обратившиеся за предоставлением муниципальной услуги.

4. Содержание обрабатываемой конфиденциальной информации, в том числе персональных данных

4.1. Содержание обрабатываемой КИ должно определяться целью обработки КИ и утверждаться локальным актом Оператора (Перечень конфиденциальной информации, в том числе персональных данных, обрабатываемой в организации в связи с реализацией трудовых отношений, а также в связи с оказанием услуг).

4.2. Содержание обрабатываемых персональных данных определяется для каждой цели обработки персональных данных.

5.  Категории субъектов, персональные данные которых обрабатываются:

1)  сотрудники Оператора, состоящие с ним в трудовых отношениях.

2) не сотрудники Оператора, обратившиеся в Организацию по вопросам, касающимся установленной сферы ее деятельности.

6 . Сроки обработки и хранения обрабатываемых персональных данных

6.1. Хранение КИ должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки КИ, если срок хранения КИ не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

6.2. Обрабатываемые КИ подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

6.3. Основания для прекращения обработки КИ и сроки их уничтожения определены в частях 3, 4, 5 статьи 21 Федерального закона №152-ФЗ.

6.4. Основанием (условием) прекращения обработки КИ также является ликвидация Организации.

6.5. В случае отсутствия возможности уничтожения КИ в течение срока, указанного в частях 3, 4, 5 статьи 21 Федерального закона №152-ФЗ, Оператор осуществляет блокирование таких КИ или обеспечивает их блокирование (если обработка КИ осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение КИ в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

7. Порядок уничтожения обработанных конфиденциальной информации, в том числе персональных данных, при достижении целей обработки или при наступлении иных законных оснований

7.1. При уничтожении материальных носителей содержащих КИ должно быть исключено ознакомление с ними посторонних лиц, неполное или случайное их уничтожение.

7.2. При необходимости уничтожения части КИ уничтожается материальный носитель с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование КИ, подлежащих уничтожению или блокированию.

7.3. Уничтожение части КИ, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этой КИ с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

7.4. Для уничтожения КИ Оператор создает комиссию. В состав комиссии включается ответственный за организацию обработки КИ. Уничтожение КИ производится в присутствии всех членов комиссии.

7.5. После уничтожения материальных носителей членами комиссии  подписывается Акт об уничтожении КИ и в Журнале учета материальных носителей, а также в номенклатурах и описях дел проставляется отметка «Уничтожено, Акт №__ «___» _________ 201__ г.».

8. Ответственность за нарушение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

8.1. Лица, виновные в нарушении требований Федерального закона №152-ФЗ, несут предусмотренную законодательством Российской Федерации ответственность.

8.2.  Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки КИ, установленных Федеральным законом №152-ФЗ, а также требований к защите КИ, установленных в соответствии с Федеральным законом №152-ФЗ, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПДн убытков.

9. Заключительные положения

9.1. Сотрудники, определенные приказом по Организации, как пользователи, участвующие в обработке КИ, должны ознакомиться с настоящими правилами обработки КИ.

9.2. Обязанность доводить до сведения работников Оператора положения законодательства Российской Федерации о КИ, локальных актов по вопросам обработки КИ, требований к защите КИ лежит на лице, ответственном за организацию обработки КИ (п. 2, часть 4, статья 22.1 Федерального закона №152-ФЗ).

Директор МБО ДО ДЮСШ г. Задонска _____________ С.А. Целых.

Лицо, ответственное за организацию

обработки конфиденциальной информации,

в том числе персональных данных _____________ С.А. Целых.

 

Лист ознакомлений

с правилами обработки персональных данных

 

№ п/п	Фамилия, имя, отчество	Наименование подразделения, отдела	Дата ознакомления	Роспись

УТВЕРЖДАЮ

Директор

МБО ДО ДЮСШ г. Задонска

____________ С.А. Целых

«22» августа_ 2017 г.

ПРАВИЛА

рассмотрения запросов субъектов персональных данных или их представителей

1. Настоящие Правила определяются порядок учета (регистрации), рассмотрения запросов субъектов персональных данных (далее – ПДн) или их представителей в МБО ДО ДЮСШ г. Задонска.

2. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Федеральный закон №152-ФЗ), Федеральным законом от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных», и принятыми в соответствии с ним нормативными правыми актами, операторами, являющимися государственными или муниципальными органами», приказом ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», приказом ФСБ России от 10 июля 2014 г. N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

3. Основные понятия и термины, используемые в настоящих Правилах, применяются в значениях, определенных статьей 3 Федерального закона № 152-ФЗ.

4. Субъект ПДн имеет право на получение информации, в МБО ДО ДЮСШ г. Задонска (далее – Организация или Оператор) касающейся обработки его ПДн (часть 7 статьи 14 Федерального закона №152-ФЗ), в том числе содержащей:

1) подтверждение факта обработки ПДн оператором;

2) правовые основания и цели обработки ПДн;

3) цели и применяемые оператором способы обработки ПДн;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;

5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки ПДн, в том числе сроки их хранения;

7) порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом № 152-ФЗ;

8) информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.

5. Сведения, указанные в п. 4, должны предоставляться субъекту ПДн или его представителю оператором при обращении либо при получении запроса субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн оператором, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

6. Сведения, указанные в п. 4, должны быть предоставлены субъекту ПДн оператором в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.

7.  Субъект ПДн вправе требовать от оператора уточнения его ПДн их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.  Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона №152-ФЗ.

9. Запросы, поступающие в Организацию, должны обрабатываться в соответствии с требованиями Федерального закона от 02 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» и локальными актами Организации в части обработки ПДн и организации делопроизводства.

10. Все поступившие запросы регистрируются в день их поступления. На запросе указывается входящий номер и дата регистрации.

11.  Рассмотрение запросов и подготовка ответов осуществляется по поручению руководителя Организации или его заместителя.

12. Организация приема и обработки обращений и запросов субъектов ПДн или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов возлагается на лицо, ответственное за организацию обработки ПДн в Организации (п. 3, часть 4, статья 22.1 Федерального закона №152-ФЗ).

13. Рассмотрение запросов и подготовку ответов могут осуществлять сотрудники Организации, обрабатывающие ПДн, в соответствии с их должностным регламентом (инструкцией).

14. Ответы на запросы печатаются на фирменном бланке Организации, согласовываются с ответственным за организацию обработки конфиденциальной информации, в том числе ПДн, подписываются руководителем или его заместителем и регистрируются.

Директор МБО ДО ДЮСШ г. Задонска _____________ С.А. Целых

Лицо, ответственное за организацию

обработки персональных данных _____________ С.А. Целых

УТВЕРЖДАЮ

Директор

МБО ДО ДЮСШ г. Задонска

____________ С. А. Целых

«22» августа 2017 г.

 

ПРАВИЛА

осуществления внутреннего контроля соответствия обработки

конфиденциальной информации, в том числе персональных данных, требованиям к защите конфиденциальной информации, в том числе персональных данных, политике оператора в отношении обработки конфиденциальной информации, в том числе персональных данных

1. Настоящие правила определяют основания, форму и порядок осуществления в МБО ДО ДЮСШ г. Задонска. внутреннего контроля соответствия обработки конфиденциальной информации, в том числе персональных данных (далее – КИ), требованиям к защите КИ и политике оператора в отношении обработки КИ, установленным Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и принятыми в соответствии с ними нормативными правовыми актами.

2. Настоящие правила разработаны в соответствии с Федеральным законом Российской Федерации от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ), Федеральным законом Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации» (далее – Федеральный закон № 149-ФЗ), постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – постановление Правительства № 1119), Приказом ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (далее - Приказ ФСТЭК России № 17).

3. Основные понятия и термины, используемые в настоящих правилах, применяются в значениях, определенных статьей 3 Федерального закона № 152-ФЗ.

4. Основанием для проведения внутреннего контроля являются требования Федерального закона № 152-ФЗ, постановления Правительства № 1119 и Приказа ФСТЭК России № 17.

5. Внутренний контроль осуществляется путем проведения проверок не реже 1 раза в год.

6. Проверку проводит Комиссия, назначенная приказом (распоряжением) МБО ДО ДЮСШ г. Задонска (далее – Организация или Оператор) или на договорной основе юридическое лицо (индивидуальный предприниматель), имеющее лицензию на осуществление деятельности по технической защите конфиденциальной информации.

7. Состав Комиссии не менее 3-х человек, включая лицо, ответственное за организацию обработки КИ. Все члены комиссии при принятии решения обладают равными правами.

8.  Комиссия при проведении проверки обязана:

- провести анализ реализации мер, направленных на обеспечение выполнения оператором обязанностей предусмотренных Федеральным законом № 152-ФЗ (статья 18.1, статья 19) и принятыми в соответствии с ним локальными актами оператора определяющих его политику в отношении обработки персональных данных (далее – ПДн);

- провести анализ выполнения оператором требований по определению и обеспечению уровня защищенности ПДн, утвержденных постановлением Правительства № 1119;

- провести анализ реализации оператором организационных и технических мер по обеспечению безопасности КИ, утвержденных Приказом ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите инфо