Приказ Управления по регулированию контрактной системы и закупкам Пензенской обл. от 27.08.2015 N 36 "Об утверждении Положения об обработке и защите персональных данных в Управлении по регулированию контрактной системы и закупкам Пензенской области"
УПРАВЛЕНИЕ ПО РЕГУЛИРОВАНИЮ КОНТРАКТНОЙ СИСТЕМЫ
И ЗАКУПКАМ ПЕНЗЕНСКОЙ ОБЛАСТИ
ПРИКАЗ
от 27 августа 2015 г. № 36
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ В УПРАВЛЕНИИ ПО РЕГУЛИРОВАНИЮ КОНТРАКТНОЙ СИСТЕМЫ
И ЗАКУПКАМ ПЕНЗЕНСКОЙ ОБЛАСТИ
В соответствии с Федеральными законами от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями) и № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с последующими изменениями) приказываю:
1. Утвердить Положение об обработке и защите персональных данных в Управлении по регулированию контрактной системы и закупкам Пензенской области.
2. Признать утратившим силу приказ Управления "Об утверждении Положения об обработке и защите персональных данных в Управлении по размещению государственного заказа Пензенской области" от 18 марта 2011 года № 19.
3. Настоящий приказ опубликовать в подразделе "Защита персональных данных" официального сайта Управления по регулированию контрактной системы и закупкам Пензенской области в информационно-телекоммуникационной сети "Интернет", а также в справочных правовых системах.
4. Контроль за исполнением настоящего приказа оставляю за собой.
Врио начальника Управления
С.В.МОКРОУСОВ
Утверждено
приказом
Управления по регулированию
контрактной системы и закупкам
Пензенской области
от 27 августа 2015 г. № 36
ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В УПРАВЛЕНИИ
ПО РЕГУЛИРОВАНИЮ КОНТРАКТНОЙ СИСТЕМЫ И ЗАКУПКАМ
ПЕНЗЕНСКОЙ ОБЛАСТИ
1. Термины и определения
1.1. В настоящем Положении об обработке и защите персональных данных в Управлении по регулированию контрактной системы и закупкам Пензенской области используются основные понятия и термины, определенные федеральными законами от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями) и от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с последующими изменениями).
2. Общие положения
2.1. Целью Положения об обработке и защите персональных данных в Управлении по регулированию контрактной системы и закупкам Пензенской области (далее - Положение) является обеспечение защиты персональных данных в Управлении по регулированию контрактной системы и закупкам Пензенской области (далее - Управление) от несанкционированного доступа, неправомерного их использования или утраты.
2.2. Настоящее Положение определяет политику Управления в отношении обработки персональных данных и устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
2.3. Настоящее Положение разработано в соответствии с:
- Конституцией Российской Федерации;
- Трудовым кодексом Российской Федерации;
- Кодексом об административных правонарушениях Российской Федерации;
- Гражданским кодексом Российской Федерации;
- Уголовным кодексом Российской Федерации;
- Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями);
- Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с последующими изменениями);
- постановлением Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
- постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (с последующими изменениями);
- специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Гостехкомиссии России от 30.08.2002 № 282 (с последующими изменениями).
2.4. Обработка персональных данных в Управлении должна осуществляться на основе принципов, определенных в статье 5 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями).
2.5. Лица, ответственные за организацию обработки персональных данных в Управлении, определяется приказом Управления.
2.6. Настоящее Положение является обязательным для исполнения всеми государственными гражданскими служащими в Управлении, имеющими доступ к персональным данным.
3. Условия сбора и обработки персональных данных
3.1. Сбор персональных данных может осуществляться как путем представления их самим субъектом персональных данных, так и путем получения их от иных источников при условии реализации части 8 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями). Если персональные данные субъекта персональных данных получены не от субъекта персональных данных, то до начала их обработки необходимо предоставить субъекту информацию, определенную частью 3 статьи 18 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями), за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями).
3.2. Персональные данные о частной жизни субъекта персональных данных (информация о жизнедеятельности в сфере семейных, бытовых, личных отношений) в Управлении могут быть получены и обработаны государственными гражданскими служащими Пензенской области, замещающими должности государственной гражданской службы в Управлении (далее - гражданские служащие), допущенными к обработке персональных данных, только с письменного согласия субъекта персональных данных на бумажном носителе или в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
3.3. Управление не имеет право получать и обрабатывать персональные данные субъекта персональных данных о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
3.4. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта персональных данных распространяются как на бумажные, так и на электронные носители информации.
3.5. Гражданские служащие, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают типовое обязательство государственного гражданского служащего непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей.
4. Хранение и использование персональных данных
4.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели их обработки, со сроком хранения, определенным частью 7 статьи 5 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями).
4.2. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
4.3. Перечень должностных лиц Управления, допущенных к пользованию личными делами, которые ведутся в Управлении, определен приказом Управления от 27.08.2015 № 30 "О назначении ответственных лиц в Управлении по регулированию контрактной системы и закупкам Пензенской области за обработку персональных данных".
5. Передача персональных данных
5.1. Передача персональных данных субъекта персональных данных возможна только с согласия субъекта персональных данных или в случаях, предусмотренных законодательством. Если передача персональных данных субъекта персональных данных не предусмотрена законодательством, то с субъекта персональных данных в обязательном порядке берется письменное согласие на бумажном носителе или в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
5.2. При передаче персональных данных субъекта персональных данных уполномоченные Управлением гражданские служащие должны соблюдать следующие требования:
- не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
- предупреждать лиц, получающих персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта персональных данных, обязаны соблюдать режим защиты персональных данных;
- передавать персональные данные субъекта персональных данных представителям субъектов персональных данных в порядке, установленном федеральными законами, и ограничивать эту информацию только теми персональными данными субъекта персональных данных, которые необходимы для выполнения указанными представителями их функций.
5.3. Передача персональных данных от Управления или его представителей иному оператору персональных данных может допускаться в минимальных объемах, в целях выполнения задач, соответствующих объективной причине сбора этих данных, и только после заключения с этим оператором договора о соблюдении конфиденциальности.
5.4. Не допускается отвечать на вопросы, связанные с передачей персональных данных по телефону или факсу.
6. Права субъектов персональных данных по обеспечению
защиты персональных данных, хранящихся в Управлении
6.1. В целях защиты персональных данных, хранящихся в Управлении, субъект персональных данных имеет право:
- на полную информацию о своих персональных данных и обработку этих данных;
- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований федеральных законов;
- дополнять персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
- определять своих представителей для защиты своих персональных данных;
- на сохранение и защиту своей личной и семейной тайны;
- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законодательством;
- требовать об извещении всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- на обжалование в суде любых неправомерных действий или бездействия при обработке и защите его персональных данных.
7. Требования к обработке и защите персональных данных
в информационных системах Управления без использования
средств автоматизации
7.1. Обработка персональных данных в информационных системах персональных данных Управления организуется на основании постановления Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
7.2. Защита персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных были выполнены следующие требования:
- определены места хранения персональных данных (материальных носителей),
- обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
- соблюдены условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
7.3. Применяемые меры по защите персональных данных должны быть направлены на:
- ограничение доступа персонала и посторонних лиц в помещения, где размещены информационные системы персональных данных и хранятся материальные носители персональных данных;
- организацию учета и надежного хранения материальных носителей персональных данных, их обращения, исключающее хищение, подмену и уничтожение.
8. Требования к обработке и защите персональных данных
в информационных системах Правительства Пензенской области
с использованием средств автоматизации
8.1. Обработка и защита персональных данных в информационных системах персональных данных с использованием средств автоматизации в структурных подразделениях Управления, указанных в пункте 2.7 раздела 2 настоящего Положения, осуществляется в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 01.11.2012 № 1119, нормативными и руководящими документами уполномоченных федеральных органов исполнительной власти.
8.2. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
8.3. Безопасность персональных данных при их обработке в информационных системах Управления обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
8.4. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах Управления области включают в себя:
а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) учет лиц, допущенных к работе с персональными данными в информационной системе;
з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
к) описание системы защиты персональных данных.
8.5. Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений.
8.6. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии:
- утвержденных организационно-технических документов о порядке эксплуатации информационных систем персональных данных, включающих акт классификации информационных систем персональных данных, инструкции пользователя, администратора по организации антивирусной защиты, парольной защиты автоматизированных систем, и других нормативных и методических документов;
- настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств, в соответствии с требованиями безопасности информации;
- охраны и организации режима допуска в помещения, предназначенные для обработки персональных данных;
- документа, подтверждающего эффективность применяемых мер и средств защиты по нейтрализации актуальных угроз безопасности, определенных в частной модели угроз безопасности персональных данных в конкретных информационных системах персональных данных.
9. Ответственность за нарушение норм, регулирующих
получение, обработку и защиту персональных данных
9.1. Персональная ответственность - одно из главных требований к организации функционирования в Управлении системы защиты персональных данных и обязательное условие обеспечения эффективности этой системы.
9.2. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено в соответствии с законодательством.
9.3. Должностные лица Управления, виновные в нарушении норм и требований действующего законодательства, регулирующих обработку и защиту персональных данных, несут ответственность в соответствии с законодательством Российской Федерации.
------------------------------------------------------------------
УПРАВЛЕНИЕ ПО РЕГУЛИРОВАНИЮ КОНТРАКТНОЙ СИСТЕМЫ
И ЗАКУПКАМ ПЕНЗЕНСКОЙ ОБЛАСТИ
ПРИКАЗ
от 27 августа 2015 г. № 36
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ В УПРАВЛЕНИИ ПО РЕГУЛИРОВАНИЮ КОНТРАКТНОЙ СИСТЕМЫ
И ЗАКУПКАМ ПЕНЗЕНСКОЙ ОБЛАСТИ
В соответствии с Федеральными законами от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями) и № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с последующими изменениями) приказываю:
1. Утвердить Положение об обработке и защите персональных данных в Управлении по регулированию контрактной системы и закупкам Пензенской области.
2. Признать утратившим силу приказ Управления "Об утверждении Положения об обработке и защите персональных данных в Управлении по размещению государственного заказа Пензенской области" от 18 марта 2011 года № 19.
3. Настоящий приказ опубликовать в подразделе "Защита персональных данных" официального сайта Управления по регулированию контрактной системы и закупкам Пензенской области в информационно-телекоммуникационной сети "Интернет", а также в справочных правовых системах.
4. Контроль за исполнением настоящего приказа оставляю за собой.
Врио начальника Управления
С.В.МОКРОУСОВ
Утверждено
приказом
Управления по регулированию
контрактной системы и закупкам
Пензенской области
от 27 августа 2015 г. № 36
ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В УПРАВЛЕНИИ
ПО РЕГУЛИРОВАНИЮ КОНТРАКТНОЙ СИСТЕМЫ И ЗАКУПКАМ
ПЕНЗЕНСКОЙ ОБЛАСТИ
1. Термины и определения
1.1. В настоящем Положении об обработке и защите персональных данных в Управлении по регулированию контрактной системы и закупкам Пензенской области используются основные понятия и термины, определенные федеральными законами от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями) и от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с последующими изменениями).
2. Общие положения
2.1. Целью Положения об обработке и защите персональных данных в Управлении по регулированию контрактной системы и закупкам Пензенской области (далее - Положение) является обеспечение защиты персональных данных в Управлении по регулированию контрактной системы и закупкам Пензенской области (далее - Управление) от несанкционированного доступа, неправомерного их использования или утраты.
2.2. Настоящее Положение определяет политику Управления в отношении обработки персональных данных и устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
2.3. Настоящее Положение разработано в соответствии с:
- Конституцией Российской Федерации;
- Трудовым кодексом Российской Федерации;
- Кодексом об административных правонарушениях Российской Федерации;
- Гражданским кодексом Российской Федерации;
- Уголовным кодексом Российской Федерации;
- Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями);
- Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (с последующими изменениями);
- постановлением Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
- постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (с последующими изменениями);
- специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Гостехкомиссии России от 30.08.2002 № 282 (с последующими изменениями).
2.4. Обработка персональных данных в Управлении должна осуществляться на основе принципов, определенных в статье 5 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями).
2.5. Лица, ответственные за организацию обработки персональных данных в Управлении, определяется приказом Управления.
2.6. Настоящее Положение является обязательным для исполнения всеми государственными гражданскими служащими в Управлении, имеющими доступ к персональным данным.
3. Условия сбора и обработки персональных данных
3.1. Сбор персональных данных может осуществляться как путем представления их самим субъектом персональных данных, так и путем получения их от иных источников при условии реализации части 8 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями). Если персональные данные субъекта персональных данных получены не от субъекта персональных данных, то до начала их обработки необходимо предоставить субъекту информацию, определенную частью 3 статьи 18 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями), за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями).
3.2. Персональные данные о частной жизни субъекта персональных данных (информация о жизнедеятельности в сфере семейных, бытовых, личных отношений) в Управлении могут быть получены и обработаны государственными гражданскими служащими Пензенской области, замещающими должности государственной гражданской службы в Управлении (далее - гражданские служащие), допущенными к обработке персональных данных, только с письменного согласия субъекта персональных данных на бумажном носителе или в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
3.3. Управление не имеет право получать и обрабатывать персональные данные субъекта персональных данных о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
3.4. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта персональных данных распространяются как на бумажные, так и на электронные носители информации.
3.5. Гражданские служащие, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают типовое обязательство государственного гражданского служащего непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей.
4. Хранение и использование персональных данных
4.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели их обработки, со сроком хранения, определенным частью 7 статьи 5 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями).
4.2. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
4.3. Перечень должностных лиц Управления, допущенных к пользованию личными делами, которые ведутся в Управлении, определен приказом Управления от 27.08.2015 № 30 "О назначении ответственных лиц в Управлении по регулированию контрактной системы и закупкам Пензенской области за обработку персональных данных".
5. Передача персональных данных
5.1. Передача персональных данных субъекта персональных данных возможна только с согласия субъекта персональных данных или в случаях, предусмотренных законодательством. Если передача персональных данных субъекта персональных данных не предусмотрена законодательством, то с субъекта персональных данных в обязательном порядке берется письменное согласие на бумажном носителе или в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
5.2. При передаче персональных данных субъекта персональных данных уполномоченные Управлением гражданские служащие должны соблюдать следующие требования:
- не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
- предупреждать лиц, получающих персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта персональных данных, обязаны соблюдать режим защиты персональных данных;
- передавать персональные данные субъекта персональных данных представителям субъектов персональных данных в порядке, установленном федеральными законами, и ограничивать эту информацию только теми персональными данными субъекта персональных данных, которые необходимы для выполнения указанными представителями их функций.
5.3. Передача персональных данных от Управления или его представителей иному оператору персональных данных может допускаться в минимальных объемах, в целях выполнения задач, соответствующих объективной причине сбора этих данных, и только после заключения с этим оператором договора о соблюдении конфиденциальности.
5.4. Не допускается отвечать на вопросы, связанные с передачей персональных данных по телефону или факсу.
6. Права субъектов персональных данных по обеспечению
защиты персональных данных, хранящихся в Управлении
6.1. В целях защиты персональных данных, хранящихся в Управлении, субъект персональных данных имеет право:
- на полную информацию о своих персональных данных и обработку этих данных;
- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований федеральных законов;
- дополнять персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
- определять своих представителей для защиты своих персональных данных;
- на сохранение и защиту своей личной и семейной тайны;
- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законодательством;
- требовать об извещении всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- на обжалование в суде любых неправомерных действий или бездействия при обработке и защите его персональных данных.
7. Требования к обработке и защите персональных данных
в информационных системах Управления без использования
средств автоматизации
7.1. Обработка персональных данных в информационных системах персональных данных Управления организуется на основании постановления Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
7.2. Защита персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных были выполнены следующие требования:
- определены места хранения персональных данных (материальных носителей),
- обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
- соблюдены условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
7.3. Применяемые меры по защите персональных данных должны быть направлены на:
- ограничение доступа персонала и посторонних лиц в помещения, где размещены информационные системы персональных данных и хранятся материальные носители персональных данных;
- организацию учета и надежного хранения материальных носителей персональных данных, их обращения, исключающее хищение, подмену и уничтожение.
8. Требования к обработке и защите персональных данных
в информационных системах Правительства Пензенской области
с использованием средств автоматизации
8.1. Обработка и защита персональных данных в информационных системах персональных данных с использованием средств автоматизации в структурных подразделениях Управления, указанных в пункте 2.7 раздела 2 настоящего Положения, осуществляется в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 01.11.2012 № 1119, нормативными и руководящими документами уполномоченных федеральных органов исполнительной власти.
8.2. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
8.3. Безопасность персональных данных при их обработке в информационных системах Управления обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
8.4. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах Управления области включают в себя:
а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) учет лиц, допущенных к работе с персональными данными в информационной системе;
з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
к) описание системы защиты персональных данных.
8.5. Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений.
8.6. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии:
- утвержденных организационно-технических документов о порядке эксплуатации информационных систем персональных данных, включающих акт классификации информационных систем персональных данных, инструкции пользователя, администратора по организации антивирусной защиты, парольной защиты автоматизированных систем, и других нормативных и методических документов;
- настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств, в соответствии с требованиями безопасности информации;
- охраны и организации режима допуска в помещения, предназначенные для обработки персональных данных;
- документа, подтверждающего эффективность применяемых мер и средств защиты по нейтрализации актуальных угроз безопасности, определенных в частной модели угроз безопасности персональных данных в конкретных информационных системах персональных данных.
9. Ответственность за нарушение норм, регулирующих
получение, обработку и защиту персональных данных
9.1. Персональная ответственность - одно из главных требований к организации функционирования в Управлении системы защиты персональных данных и обязательное условие обеспечения эффективности этой системы.
9.2. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено в соответствии с законодательством.
9.3. Должностные лица Управления, виновные в нарушении норм и требований действующего законодательства, регулирующих обработку и защиту персональных данных, несут ответственность в соответствии с законодательством Российской Федерации.
------------------------------------------------------------------