УТВЕРЖДЕНО
Распоряжением главы
города Снежинска
От 16.10.2014 г. № 101-р
ПОЛОЖЕНИЕ ПО ОРГАНИЗАЦИИ И ПРОВЕДЕНИЮ РАБОТ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
СОБРАНИЯ ДЕПУТАТОВ ГОРОДА СНЕЖИНСКА
1. Общие положения
1.1. Настоящее Положение (далее – Положение) регулирует отношения, связанные с охраной и использованием персональных данных (далее – ПДн), обрабатываемых в информационных системах персональных данных Собрания депутатов города Снежинска (далее – ИСПДн) и разработано в соответствии со следующими законодательными актами и нормативными документами:
- Гражданским кодексом Российской Федерации,
- Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ,
- Федеральным законом «Об информации, информационных технологиях и защите информации» №149 от 27.07.2006г.,
- Постановлением Правительства РФ от 21.03.2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»,
- иными федеральными законами и нормативными правовыми актами Российской Федерации в области обработки персональных данных.
1.2. Положение определяет содержание и порядок осуществления мероприятий по защите ПДн Собрания депутатов города Снежинска (далее – Собрание депутатов). Положение утверждается главой города Снежинска. Требования Положения являются обязательными для исполнения всеми должностными лицами и сотрудниками Собрания депутатов при обработке ПДн.
1.3. Мероприятия по технической защите ПДн являются составной частью управленческой и иной служебной деятельности и осуществляются во взаимосвязи с мерами по обеспечению установленной конфиденциальности проводимых работ.
1.4. Режим защиты ПДн устанавливается уполномоченным лицом в соответствии с законодательством.
1.5. Информация, содержащая ПДн, должна обрабатываться (передаваться) с использованием защищенных систем и средств информатизации и связи или с использованием технических, программных, криптографических средств защиты, сертифицируемых в установленном порядке.
1.6. Уровень технической защиты ПДн, а также перечень необходимых мер защиты определяется дифференцированно по результатам обследования объекта информатизации, с учетом соотношения затрат на организацию технической защиты ПДн и величины ущерба, который может быть нанесен субъекту ПДн при их разглашении, утрате, уничтожении и искажении.
1.7. Системы и средства информатизации и связи, предназначенные для обработки (передачи) ПДн, должны быть аттестованы в реальных условиях эксплуатации на предмет соответствия принимаемых мер и средств защиты требуемому уровню безопасности информации.
1.8. Проведение любых мероприятий и работ с ПДн без принятия необходимых мер технической защиты информации не допускается.
1.9. Сведения, содержащие ПДн, определяются перечнем сведений, содержащих персональные данные, а также перечнем документов, содержащих персональные данные, которые утверждается распоряжением главы города Снежинска.
Категории субъектов персональных данных:
– выборные должностные лица Собрания депутатов, депутаты, в том числе осуществляющие свои полномочия на постоянной основе;
– должностные лица органов местного самоуправления города Снежинска, в отношении которых глава города Снежинска исполняет функции работодателя;
– граждане Российской Федерации, изъявившие желание принять участие в конкурсе на замещение вакантной должности, в том числе должности муниципальной службы, в аппарате Собрания депутатов (при проведении такового);
– муниципальные служащие Собрания депутатов, иные сотрудники аппарата Собрания депутатов;
– граждане, награжденные Почетной грамотой Снежинского городского округа или главы города Снежинска, поощренные Благодарностью главы города Снежинска или Собрания депутатов, а также выдвинутые для участия в мероприятиях по присуждению премий, стипендий, почетных званий и т.д., проводимых (учрежденных) Собранием депутатов;
– граждане и юридические лица, обратившиеся с заявлением (жалобой) в Собрание депутатов либо главе города Снежинска.
1.10. Ответственность за выполнение требований настоящего Положения возлагается на заместителя главы городского округа.
1.11. Финансирование мероприятий по технической защите ПДн предусматривается в смете расходов на обеспечение безопасности ПДн.
2. Обработка персональных данных
2.1. Обработка персональных данных включает любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.2. Принципы обработки персональных данных:
– осуществление на законной и справедливой основе;
– ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;
– соответствие целей сбора персональных данных целям их обработки;
– недопустимость объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях несовместимых между собой;
– соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки;
– обеспечение точности, достаточности и актуальности персональных данных по отношению к целям их обработки;
– хранение персональных данных не дольше, чем этого требуют цели обработки персональных данных.
2.3. Целью обработки персональных данных является выполнение возложенных на главу города Снежинска и Собрание депутатов, полномочий и обязанностей, в том числе исполнение законодательства о муниципальной службе в РФ и трудового законодательства РФ.
Ответственные за организацию обработки персональных данных осуществляют в пределах своих полномочий непосредственный контроль за исполнением в Собрании депутатов мероприятий по технической защите ПДн.
3. Обязанности, права и ответственность должностных лиц
3.1. Ответственные за организацию обработки персональных данных осуществляют в пределах своих полномочий непосредственный контроль за исполнением в Собрании депутатов мероприятий по технической защите ПДн.
3.2. Пользователи ИСПДн обязаны вносить предложения о приостановке работ с использованием сведений, содержащих ПДн, в случае обнаружения утечки (или предпосылок к утечке) этих сведений. Предложения докладываются ответственным лицам за организацию обработки персональных данных.
3.3. Сотрудники Учреждения обрабатывают персональные данные в соответствии с закрепленными за ними должностными обязанностями.
3.4 Уполномоченные должностные лица, виновные в нарушении требований законодательства о защите персональных данных, в том числе допустившие разглашение персональных данных, несут персональную гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством ответственность.
4. Мероприятия по технической защите ПДн и контрол за их выполнением по защите информации
4.1. В Собрании депутатов должны проводиться мероприятия по технической защите ПДн и контроль за их выполнением.
4.2. К мероприятиям по технической защите ПДн и контролю за за их исполнением включаются:
- мероприятия по выполнению распоряжений главы города Снежинска и его заместителей;
- подготовка проектов распорядительных документов по вопросам организации технической защиты информации, инструкций, рекомендаций и других документов по обеспечению безопасности ПДн при использовании конкретных технических средств обработки и передачи информации, на автоматизированных рабочих местах;
- аттестация вводимых в эксплуатацию основных технических средств и систем и защищаемых помещений, а также периодическая переаттестация находящихся в эксплуатации основных технических средств и систем и защищаемых помещений на соответствие требованиям по технической защите ПДн;
- проведение периодического контроля состояния технической защиты информации;
- мероприятия по устранению нарушений и выявленных недостатков по результатам контроля;
- мероприятия по совершенствованию технической защиты информации.
4.3. Контроль выполнения мероприятий по ним возлагается на заместителя главы городского округа.