Приложение к Приказу от 28.02.2013 г № 208 Положение
Положение об обработке персональных данных в министерстве социальной защиты нижегородской области 1. общие положения
1.1.Положение об обработке персональных данных в министерстве социальной политики Нижегородской области (далее - Положение) разработано в соответствии с Конституцией Российской Федерации, Перечнем сведений конфиденциального характера, утвержденным Указом Президента Российской Федерации от 06.03.1997 N 188 (ред. от 23.09.2005), Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным Постановлением Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
1.2.Настоящее Положение регламентирует порядок обработки персональных данных в министерстве социальной политики Нижегородской области (далее - Министерство) и подведомственных Министерству государственных учреждениях (далее - Учреждения) за исключением персональных данных государственных гражданских служащих, работников Министерства и директоров Учреждений с использованием средств автоматизации. Действие данного Положения не распространяются на отношения, возникающие при организации работы с персональными данными, отнесенными в установленном порядке к сведениям, составляющим государственную тайну.
1.3.Настоящее Положение обязательно для исполнения всеми сотрудниками Министерства (Учреждения), чьи должностные обязанности предусматривают выполнение функций по обработке персональных данных.
1.4.Порядок обработки персональных данных сотрудников Министерства (Учреждения) определяется Положением об обработке персональных данных в министерстве социальной политики Нижегородской области, утверждаемым приказом Министерства (директора Учреждения).
1.5.Ответственность за организацию выполнения требований законодательства Российской Федерации при работе с персональными данными возлагается на министра социальной политики Нижегородской области.
1.6.Ответственность за организацию выполнения требований настоящего Положения возлагается на руководителей структурных подразделений Министерства, сотрудников Учреждений.
1.7.Ответственность за выполнение требований настоящего Положения возлагается на сотрудников Министерства (Учреждения), чьи должностные обязанности предусматривают выполнение функций по обработке персональных данных, руководителей соответствующих структурных подразделений Министерства, директоров Учреждений.
1.8.Контроль выполнения организационных и технических мероприятий при обработке персональных данных, в том числе связанных с обеспечением безопасности персональных данных, осуществляют руководители структурных подразделений Министерства (Учреждений), ответственный за информационную безопасность (в том числе за защиту персональных данных, за исключением сведений, составляющих государственную тайну) в Министерстве и Учреждениях (далее - Ответственный за ИБ) и уполномоченные сотрудники подразделения, обеспечивающего информационную безопасность (в том числе защиту персональных данных) в Министерстве и Учреждениях (далее - Подразделение ЗИ).
1.9.Целью настоящего Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.10.Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания, если иное не определено законом.
2.ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ
В настоящем Положении используются следующие понятия и определения:
- персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
- оператор - государственный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
- обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
- распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
- использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в автоматизированной информационной системе или в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных - (далее - ИСПДн) информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
- конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
- общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
- доступ к информации - возможность получения информации и ее использования;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных;
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- персональные данные гражданского служащего - сведения о фактах, событиях и обстоятельствах жизни гражданского служащего Российской Федерации, позволяющие идентифицировать его личность и содержащиеся в личном деле гражданского служащего, либо подлежащие включение в его личное дело;
- безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных, при их обработке в ИСПДн;
- уполномоченное должностное лицо - сотрудник Министерства (Учреждения), который приказом министра (руководителя Учреждения) допущен к обработке персональных данных.
3.ОПЕРАТОР ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1.В соответствии со ст. 3 п. 2 Федерального Закона N 152-ФЗ установлено, что Министерство как оператор, осуществляющий обработку персональных данных, содержащихся в ИСПДн Министерства обеспечивает организацию и ведение данной информационной системы, в том числе с использованием автоматизированных программных средств, по категориям лиц в соответствии с действующим законодательством Российской Федерации, а также осуществляет контроль за деятельностью Учреждений по обработке персональных данных, содержащихся в ИСПДн Министерства.
3.2.Учреждения и их структурные подразделения операторами персональных данных не являются, т.к. они не определяют цели и содержание обработки персональных данных и осуществляют обработку персональных данных в рамках функций и задач, определенных им Министерством.
4.ЦЕЛИ И ЗАДАЧИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1.Обработка персональных данных в Министерстве (Учреждениях) осуществляется с целью исполнения положений Федеральных законов Российской Федерации от 10 декабря 1995 г. N 195-ФЗ "Об основах социального обслуживания населения в Российской Федерации", от 17 июля 1999 г. N 178-ФЗ "О государственной социальной помощи", Закона Нижегородской области от 05 мая 2005 г. N 40-З "О государственном социальном обслуживании населения" и других нормативных актов в сфере социальной поддержки, социального обслуживания, трудовых отношений и занятости населения, организации альтернативной гражданской службы, а также повышения уровня и качества жизни граждан Нижегородской области.
4.2.При обработке персональных данных в Министерстве (Учреждениях) достигается решение следующих задач:
- защита конституционных прав граждан Нижегородской области в сфере социальной поддержки, социального обслуживания, жилищных отношений, трудовых отношений и занятости.
- участие в осуществлении нормативного правового регулирования в сферах демографии и миграции, социальной поддержки, социального обслуживания, жилищных отношений, социально-трудовых отношений и занятости.
- реализация и совершенствование мер социальной поддержки семьи, материнства, отцовства и детства, пожилых граждан, ветеранов, участников боевых действий, инвалидов, включая создание условий, обеспечивающих повышение уровня жизни населения, адресную социальную помощь гражданам, находящимся в трудной жизненной ситуации, в том числе посредством разработки и реализации областных (региональных) программ.
- формирование и развитие оптимальной сети государственных учреждений всех типов, подведомственных Министерству Учреждений, повышение эффективности их работы, координация и методическое обеспечение их деятельности, развитие новых форм и видов социального обслуживания граждан.
- совершенствование существующих и разработка новых систем оплаты труда работников Учреждений в целях повышения результативности деятельности Учреждений, расширения объема и повышения качества предоставления государственных услуг.
- профилактика социального сиротства, безнадзорности и правонарушений несовершеннолетних, обеспечение условий для социальной реабилитации детей, находящихся в трудной жизненной ситуации и социально опасном положении.
- формирование и реализация государственной региональной политики в отношении семьи и детей в целях создания условий для реализации семьей ее функций, улучшения качества жизни семей с детьми, обеспечения прав и законных интересов несовершеннолетних.
- участие в организации альтернативной гражданской службы в организациях и Учреждениях, подведомственных органам исполнительной власти Нижегородской области, в пределах компетенции Министерства.
- развитие социального жилищного строительства на территории Нижегородской области.
- выполнение государственных обязательств по обеспечению жильем отдельных категорий граждан.
- осуществление мероприятий по переселению граждан, жилые помещения которых признаны в установленном действующим законодательством порядке непригодными для проживания и ремонту и реконструкции не подлежат.
- осуществление в рамках своих полномочий контроля за соблюдением законодательства Российской Федерации и Нижегородской области при использовании средств федерального и областного бюджетов, а также материальных ценностей, находящихся в государственной собственности Нижегородской области.
- заключение и выполнение обязательств по трудовым договорам, договорам гражданско-правового характера и договорам с контрагентами.
- осуществление пропускного режима.
5.КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ,
ИСТОЧНИКИ ИХ ПОЛУЧЕНИЯ, СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ
В информационных системах персональных данных Министерства обрабатываются следующие категории персональных данных:
5.1.Персональные данные сотрудников. Источники получения: субъекты персональных данных Министерства.
5.2.Получатели мер социальной поддержки, государственных пособий и компенсаций, государственной адресной социальной помощи и члены их семей. Источники получения: граждане, обратившиеся в органы социальной защиты населения Нижегородской области.
5.3.Государственные органы, владеющие соответствующей информацией о субъектах персональных данных (органы записи актов гражданского состояния, органы занятости населения и др.) и наделенные полномочиями по их обработке;
Сроки обработки и хранения персональных данных определены в Перечне обрабатываемых персональных данных Министерства.
6.ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1.Сбор, обработка, хранение персональных данных в Министерстве (Учреждениях) осуществляется в соответствии с требованиями действующего законодательства Российской Федерации.
6.2.Обработка персональных данных в Министерстве (Учреждениях) осуществляется на основе следующих принципов:
- законности целей и способов обработки персональных данных и добросовестности;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
6.3.Министерство (Учреждения) в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
6.4.Министерство (Учреждения) не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
6.5.Министерство (Учреждения) не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
6.6.Министерство (Учреждения) не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
6.7.Министерство (Учреждения) производит передачу персональных данных третьим лицам на основании соответствующего соглашения и только с согласия субъектов персональных данных или в соответствии с действующим законодательством.
6.8.Министерством (Учреждениями) созданы общедоступные источники персональных данных (справочники, адресные книги). Персональные данные, сообщаемые субъектом (фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и др.), включаются в такие источники только с письменного согласия субъекта персональных данных.
6.9.Хранение персональных данных в Министерстве (Учреждениях) осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
6.10.Принятие решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, осуществляется при непосредственном участии сотрудников соответствующих структурных подразделений Министерства (Учреждения).
7.УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1.Обработка персональных данных в Министерстве (Учреждениях) осуществляется в соответствии с действующим законодательством Российской Федерации.
7.2.В случае если обработка персональных данных законодательно предусматривает поручение обработки персональных данных другому оператору (юридическому лицу), то с данным оператором заключается договор (соглашение), существенным условием которого является обязанность обеспечения указанным оператором конфиденциальности и безопасности персональных данных при их обработке.
7.3.Обработка персональных данных в Министерстве (Учреждениях) осуществляется:
- с согласия субъекта персональных данных, выраженного в письменной форме в соответствии со ст. 9 Федерального закона от 27 июля 2006 N 152-ФЗ "О персональных данных", рекомендуемая форма которого утверждена приказом Министерства;
- на основании федеральных законов и нормативных актов, устанавливающих цель обработки персональных данных, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке.
7.4.При обработке персональных данных обеспечивается соблюдение конфиденциальности персональных данных и обеспечение необходимого уровня защиты информации. Данное требование обязательно для всех сотрудников и руководителей структурных подразделений Министерства (Учреждений), руководителей Министерства (Учреждений), осуществляющих обработку персональных данных.
8.КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1.В Министерстве (Учреждениях) обрабатываются следующие категории персональных данных:
- сведения персонифицированного учета социально-незащищенных граждан Нижегородской области в автоматизированной информационной системе "Получатели мер социальной поддержки в Нижегородской области "Соцпомощь";
- сведения базы данных автоматизированной информационной системы "Пенсии за выслугу лет лицам, замещавшим государственные и муниципальные должности Нижегородской области";
- сведения базы данных автоматизированной информационной системы "Обеспечение организации контроля и надзора в сфере альтернативной гражданской службы и взаимодействие федеральных органов исполнительной власти субъектов Российской Федерации и подведомственных организаций, участвующих в организации альтернативной гражданской службы";
- сведения базы данных "Единовременная денежная компенсация";
- сведения базы данных "Информации о мерах социальной поддержки для пенсионеров, имеющих право на установление федеральной социальной доплаты к пенсии";
- сведения базы данных "Федерального регистр лиц, которым предоставлены меры социальной поддержки по оплате ЖКУ";
- сведения базы данных "Общегосударственной базы данных о социальном положении Ветеранов Великой Отечественной войны и боевых действий";
- сведения базы данных "Пенсии" ПФ РФ;
- сведения других баз данных, содержащих персональные данные.
8.2.Перечень персональных данных, обрабатываемых в Министерстве (Учреждениях), включается в Перечень сведений ограниченного доступа, не составляющих государственную тайну, который утверждается приказом министра социальной политики Нижегородской области. Обработка персональных данных, включенных в указанный Перечень, соответствует целям сбора и использования этих данных в соответствии с разделом 4 настоящего Положения.
9.КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ ПРАВА
9.1.Субъектами персональных данных, обрабатываемых в Министерстве (Учреждениях) являются:
- субъекты персональных данных Министерства.
- граждане, обратившиеся в Учреждения социальной защиты населения Нижегородской области.
- застрахованные лица;
- получатели пособий и компенсационных выплат;
- лица, имеющие право на дополнительные меры социальной поддержки.
9.2.Субъект персональных данных имеет право:
- самостоятельно принимать решение о предоставлении своих персональных данных и давать согласие на их обработку. При этом согласие на обработку персональных данных оформляется в письменном виде по рекомендуемой форме, утвержденной приказом министерства социальной политики Нижегородской области;
- отозвать согласие на обработку персональных данных путем направления письменного заявления на имя министра социальной политики Нижегородской области (директора Учреждения);
- на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными;
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- на получение доступа к своим персональным данным лично или через законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть представлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
- обратиться с жалобой в уполномоченный федеральный орган исполнительной власти по защите прав субъектов персональных данных или в суд в том случае, если полагает, что обработка его персональных данных осуществляется с нарушением требований законодательства или иным образом нарушает его права и свободы.
10.ОБЯЗАННОСТИ МИНИСТЕРСТВА (УЧРЕЖДЕНИЯ)
ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1.При обработке персональных данных Министерство (Учреждение) обязано выполнять требования ст. 18, 19, 20 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" в том числе:
- безвозмездно предоставлять субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что обрабатываемые персональные данные, которые относятся к соответствующему субъекту, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Министерство (Учреждение) обязано уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы;
- в случае выявления неправомерных действий с персональными данными Министерство (Учреждение) в срок, не превышающий трех рабочих дней с даты такого выявления, обязано устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Министерство (Учреждение) в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязано уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Министерство (Учреждение) обязано уведомить субъекта персональных данных или его законного представителя;
- в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Министерство (Учреждение) обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва. Об уничтожении персональных данных Министерство (Учреждение) обязано уведомить субъекта персональных данных;
- обеспечивать конфиденциальность персональных данных, а именно:
о определить перечень персональных данных; о определить перечень ответственных лиц; о определить места хранения персональных данных;
о разработать систему нормативных документов, регламентирующих обработку персональных данных (в том числе с применением средств защиты информации); о довести требования нормативных документов, регламентирующих обработку персональных данных, до сотрудников, обеспечивающих их обработку; о закрепить ответственность сотрудников, обеспечивающих обработку персональных данных, по выполнению требований нормативных документов в их должностных инструкциях.
10.2.Обеспечивать конфиденциальность персональных данных не требуется:
- в случае обезличивания персональных данных;
- в отношении общедоступных персональных данных.
11.ОБЯЗАННОСТИ СОТРУДНИКОВ МИНИСТЕРСТВА (УЧРЕЖДЕНИЯ)
ПРИ РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И ПРИ ОБЕСПЕЧЕНИИ
КОНФИДЕНЦИАЛЬНОСТИ И БЕЗОПАСНОСТИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1.Персональные данные являются одной из категорий Перечня сведений ограниченного доступа, не содержащих государственной тайны, и подлежат защите в рамках функционирующей в Министерстве (Учреждениях) системы защиты информации.
11.2.Сотрудники Министерства (Учреждений) при работе с персональными данными, при обеспечении их конфиденциальности и безопасности обработки обязаны выполнять весь комплекс мероприятий, установленный нормативными документами по обеспечению защиты информации, которые определяют правила работы:
- в системе защиты от несанкционированного доступа;
- при обеспечении антивирусной защиты;
- в системе криптографической защиты.
11.3.Общие правила:
- не сообщать персональные данные устно или письменно (по телефону, факсу, электронной почте, в письме или иным способом) кому бы то ни было, если это не установлено законодательством и действующими инструкциями по работе со служебными документами и обращениями граждан;
- использовать учтенные (должным образом зарегистрированные) носители информации;
- не оставлять носители информации с персональными данными без присмотра или передавать на хранение другим лицам, не имеющим на это полномочий;
- выносить съемные носители информации, средства вычислительной техники с размещенными на них персональными данными из служебных помещений для работы с ними на дому, в гостиницах и т.д.
12.ПРЕДОСТАВЛЕНИЕ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ
12.1.К работе с персональными данными допускаются сотрудники Министерства (Учреждений), должностные инструкции которых предусматривают выполнение обязанностей по обработке персональных данных. Список лиц, имеющих доступ к персональным данным, утверждается министром (руководителем Учреждения).
12.2.Предоставление сотруднику доступа к информационному ресурсу, содержащему персональные данные, осуществляется на основании приказа по Министерству (Учреждениям) об утверждении списка лиц, осуществляющих обработку персональных данных по заявке (установленной формы) руководителя структурного подразделения Министерства (Учреждений) на имя министра социальной политики Нижегородской области (руководителя Учреждения), с обоснованием необходимости работы с информационным ресурсом, режима работы в рамках функционирующей системы разграничения доступа.
12.3.Руководитель структурного подразделения Министерства (Учреждений) при организации доступа сотрудника к персональным данным, обязан ознакомить его с настоящим Положением, с требованиями нормативных документов по установлению особенностей и правил осуществления обработки персональных данных, обеспечению безопасности персональных данных под роспись (постановления Правительства от 01.11.2012 N 1119 и от 15.09.2008 N 687 в части касающейся, комплекс нормативных документов по защите информации, разработанных в Министерстве).
12.4.Каждый пользователь имеет индивидуальные код (идентификатор) и пароль для доступа к информационному ресурсу. Пользователь не имеет права передавать свои учетные данные другому пользователю и несет персональную ответственность за конфиденциальность данных собственной учетной записи.
13.СБОР, ОБРАБОТКА, ХРАНЕНИЕ И УНИЧТОЖЕНИЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
13.1.Сбор персональных данных в Министерстве (Учреждениях) осуществляется в соответствии с п. 5.1 настоящего Положения.
13.2.Обработка персональных данных осуществляется в Министерстве (Учреждениях) на основании действующего законодательства Российской Федерации, в соответствии с утвержденными инструкциями по обеспечению выполнения того или иного процесса в зависимости от цели обработки персональных данных (персонифицированный учет, предоставление мер социальной поддержки и т.д).
13.3.Хранение персональных данных осуществляется на машинных носителях информации, на средствах вычислительной техники (серверах) с использованием специализированного программного обеспечения, отвечающего требованиям информационной безопасности, и регламентируется инструкциями по обеспечению выполнения того или иного процесса в зависимости от цели обработки персональных данных.
13.4.Создание, использование и хранение резервных копий баз данных, содержащих сведения ограниченного доступа, в том числе персональные данные, допускается и осуществляется только в целях обеспечения производственного процесса и регламентируется для каждого информационного ресурса частной технологической инструкцией.
13.5.Хранение резервных копий баз данных, содержащих персональные данные, осуществляется на основании приказа, утверждаемый министром социальной политики Нижегородской области (руководителем Учреждений), на средствах вычислительной техники (серверах) или на машинных носителях информации, доступ к которым ограничен.
13.6.Вынос носителей с резервными копиями баз данных, содержащих персональные данные, из здания Министерства (Учреждений) запрещен.
14.ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
14.1.Обработка персональных данных осуществляется с обеспечением необходимого уровня защиты информации, предусматривающего принятие организационных и технических мер, в том числе использование шифровальных (криптографических) средств, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
14.2.Обеспечение защиты персональных данных в Министерстве (Учреждениях) является одним из аспектов обеспечения защиты сведений ограниченного доступа, не составляющих государственную тайну, и осуществляется в рамках реализации комплексной системы защиты информации.
14.3.При обработке персональных данных в Министерстве (Учреждениях) организационные мероприятия выполняются в рамках реализации комплексной системы защиты информации и предусматривают:
- определение ответственных за обработку персональных данных и закрепление обязанностей и ответственности (издание приказа об утверждении списка сотрудников Министерства (Учреждений), ответственных за обработку персональных данных, с возложением на них персональной ответственности за защиту персональных данных);
- информирование сотрудников, осуществляющих обработку персональных данных, о факте обработки ими персональных данных, категориях обрабатываемых персональных данных;
- ознакомление сотрудников, ответственных за обработку персональных, данных, с требованиями нормативных документов по установлению особенностей и правил осуществления обработки персональных данных, обеспечению безопасности персональных данных под роспись (постановления Правительства от 01.11.2012 N 1119 и от 15.09.2008 N 687 в части касающейся, комплекса нормативных документов по защите информации, разработанных в Министерстве);
- организация допуска и разграничение прав доступа к информационным ресурсам, содержащим персональные данные, в рамках установленной системы разграничения доступа (подготовка разрешительных документов - таблиц разграничения доступа, заявок на допуск к информационному ресурсу). Работа с персональными данными лиц, не включенных в разрешительные документы, не допускается;
- внесение изменений в должностные инструкции сотрудников, имеющих отношение к обработке персональных данных, в части дополнения положениями о необходимости и обязанности соблюдения Положения об обработке персональных данных, а также требований по их защите;
- внесение изменений в должностные инструкции руководителей структурных подразделений Министерства (Учреждений) в части дополнения положениями о необходимости и обязанности осуществления контроля за соблюдением сотрудниками структурного подразделения правил обработки персональных данных, а также требований по их защите;
- определение перечня помещений, в которых осуществляется обработка информации, содержащей сведения ограниченного доступа, в т.ч. персональные данные;
- учет и контроль перемещения носителей информации, содержащих сведения ограниченного доступа, в т.ч. персональные данные.
14.4.При обработке персональных данных в Министерстве (Учреждениях) технические мероприятия выполняются в рамках реализации комплексной системы защиты информации и предусматривают:
- использование защищенной корпоративной информационно-телекоммуникационной
сети;
- применение электронной цифровой подписи и шифрования данных при передаче;
- аутентификация пользователей вычислительных средств и информационных ресурсов;
- резервное копирование данных;
- авторизация доступа к информации;
- применение сертифицированных межсетевых защитных (фильтрующих) экранов;
- использование протоколов, обеспечивающих маршрутизацию сообщений;
- применение антивирусного мониторинга и детектирования;
- мониторинг процессов и действий пользователей аппаратных и информационных ресурсов;
- оборудование зданий и помещений системами пожарной и охранной сигнализации;
- применение для хранения парольной и ключевой информации электронных носителей (индивидуальных аутентификаторов, электронных ключей);
- применение в архитектуре вычислительных систем технологий и средств повышения надежности их функционирования и обеспечения безопасности информации;
- своевременное применение критических обновлений общесистемного и прикладного программного обеспечения;
- оптимальная настройка операционной системы и прикладного программного обеспечения (техническая и эксплуатационная документация на ППО).
14.5.В целях регистрации действий сотрудников при работе с персональными данными ведется Журнал обращений по ознакомлению с персональными данными в электронном виде средствами прикладного программного обеспечения, установленного на СВТ, где размещены персональные данные, в форме, позволяющей идентифицировать пользователя, принадлежность персональных данных, дату, время.
Хранение журналов исключает несанкционированный доступ к ним.
15.ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
15.1.Передача персональных данных между структурными подразделениями Министерства (Учреждений) регламентируется инструкциями, определяющими порядок работы при организации соответствующего процесса.
15.2.Решение о передаче персональных данных сторонним организациям принимается только министром социальной политики Нижегородской области (директором Учреждения) на основании норм законодательства Российской Федерации.
15.3.Передача персональных данных сторонним организациям осуществляется:
- на основании заключенных соглашений;
- по письменным мотивированным запросам по вопросам, касающимся социальной защиты, на основании решения министра социальной политики Нижегородской области (директора Учреждения).
15.4.Исключается передача обрабатываемых персональных данных без письменного согласия субъекта персональных данных третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации.
16.ВЗАИМОДЕЙСТВИЕ С УПОЛНОМОЧЕННЫМ ОРГАНОМ
ПО ЗАЩИТЕ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
16.1.Уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации, является РосКомНадзор - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.
16.2.Уполномоченный орган по защите прав субъектов персональных данных имеет право на совершение действий в соответствии с п. 3 ст. 23 Федерального Закона от 27.07.2006 N 152-ФЗ, в том числе:
- запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
- требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;
- привлекать к административной ответственности лиц, виновных в нарушении настоящего федерального закона от 27.07.2006 N 152-ФЗ.
16.3.Взаимодействие с уполномоченным органом по защите прав субъектов персональных данных осуществляет:
- По вопросам, касающимся организации выполнения требований по обеспечению безопасности персональных данных:
о Подразделение ЗИ;
о руководители структурных подразделений Министерства.
- По вопросам, касающимся обработки и выполнения требований по обеспечению безопасности персональных данных:
о в Министерстве - Подразделение ЗИ;
о в Учреждениях - администратор информационной безопасности Учреждения.
17.ВЗАИМОДЕЙСТВИЕ С ОРГАНАМИ, ОСУЩЕСТВЛЯЮЩИМИ КОНТРОЛЬ
И НАДЗОР ЗА ВЫПОЛНЕНИЕМ ТРЕБОВАНИЙ ПО ОБЕСПЕЧЕНИЮ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
17.1.Контроль и надзор за выполнением требований по обеспечению безопасности персональных данных осуществляются в пределах своих полномочий:
- федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации - федеральной службой по техническому и экспортному контролю (ФСТЭК России);
- федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности - Федеральной службой безопасности РФ (ФСБ России).
17.2.Контроль и надзор за выполнением требований по обеспечению безопасности персональных данных осуществляются без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
17.3.Взаимодействие с федеральными органами, осуществляющими контроль и надзор за выполнением требований по обеспечению безопасности персональных данных, осуществляет:
- По вопросам, касающимся организации выполнения требований по обеспечению безопасности персональных данных:
о Подразделение ЗИ;
о руководителями структурных подразделений Министерства.
- По вопросам, касающимся обработки и выполнения требований по обеспечению безопасности персональных данных:
о в Министерстве - Подразделение ЗИ;
о в Учреждениях - администратор информационной безопасности Учреждения.
18.ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Нарушение требований обработки персональных данных, устанавливаемых законодательством Российской Федерации, нормативных документов по обеспечению безопасности сведений ограниченного доступа, не содержащих государственную тайну, и настоящим Положением, может повлечь гражданско-правовую, уголовную (в том числе по статьям Уголовного Кодекса Российской Федерации 137, 140, 272), административную (в том числе по статьям Кодекса об Административных Правонарушениях Российской Федерации 5.39, 13.11, 13.14), дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.