Интервал между буквами и строками: Стандартный Средний Большой

Свернуть настройки Шрифт: Arial Times New Roman

17 января 2011

ВВЕДЕНИЕ

 Настоящий документ «Политика в отношении обработки персональных данных» (далее ? Политика) определяет высокоуровневую политику в отношении обработки Управлением ЗАГС Тюменской области (далее ? Управление) персональных данных субъектов и содержит сведения о реализуемых требованиях к защите персональных данных в Управлении.

 Настоящая Политика разработана на основе действующих правовых и нормативных документов по защите конфиденциальной информации и персональных данных.

 Под персональными данными в настоящем документе понимается любая информация, относящаяся к прямо или косвенно, определенному или определяемому физическому лицу (субъекту персональных данных).

 Настоящая Политика утверждается приказом начальника Управления и подлежит пересмотру по мере необходимости.

  1. Общие положения

Согласно Статье 18.1, п.2 Федерального закона от 25.07.2006 г. № 152?ФЗ «О персональных данных» Управление, как оператор персональных данных, обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

Управление в рамках выполнения своей деятельности осуществляет обработку персональных данных и, в соответствии с действующим законодательством Российской Федерации, является оператором персональных данных с соответствующими правами и обязанностями, определенными Федеральным законом № 152 от 27.07.2006 г. «О персональных данных» и иными нормативными правовыми актами Российской Федерации (далее - РФ). Состав обрабатываемых данных, категории субъектов, чьи персональные данные обрабатываются Управлением, цели и правовые основания их обработки закреплены для каждой информационной системы Управления «Перечнем персональных данных, обрабатываемых в ИСПДН».

  1. Принципы, правила и цели обработки персональных данных

Обработка персональных данных осуществляется Управлением с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 г. № 152?ФЗ «О персональных данных»:

? обработка персональных данных осуществляется на законной и справедливой основе.

? обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.

? не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

? не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

? обработке подлежат только персональные данные, которые отвечают целям их обработки.

? содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки.

? обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки.

- Управление принимает все необходимые меры по предотвращению разглашения и нарушения конфиденциальности персональных данных.

? при обработке персональных данных обеспечивает точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

? Управление принимает необходимые меры по удалению или уточнению неполных или неточных данных.

? хранение персональных данных в Управлении осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, к примеру Федеральный Закон от 22.10.2004 г. №125-ФЗ «Об архивном деле в Российской Федерации» или договором, стороной которого является субъект персональных данных.

? обрабатываемые персональные данные уничтожаются или обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.

Обработка персональных данных осуществляется Управлением только в случаях:

? наличия согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством РФ;

- наличия заключенного договора, по которому Управление обязуется осуществлять обработку персональных данных субъектов по поручению оператора;

? необходимости достижения целей, предусмотренных нормативно-правовыми актами Российской Федерации и трудовым законодательством, для осуществления и выполнения возложенных законодательством РФ на Управление функций, полномочий и обязанностей;

? необходимости осуществления прав и законных интересов Управления или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

? когда персональные данные открыты для неограниченного круга лиц, доступ к которым предоставлен субъектом персональных данных либо по его просьбе;

? обязательного раскрытия и подлежащих к опубликованию персональных данных в соответствии с законодательством РФ;

- организации пропускного режима на территории Управления.

Согласно требованиям Федерального закона № 152 от 27.07.2006 г. «О персональных данных», Управление в установленном порядке прошло регистрацию как оператор персональных данных. В открытом и общедоступном реестре операторов персональных данных, размещенном на официальном сайте Роскомнадзора как уполномоченного лица по защите прав и свобод субъектов персональных данных, содержится следующая актуальная информация:

? адрес Управления;

? цели обработки персональных данных;

? категории персональных данных;

? категории субъектов, персональные данные которых обрабатываются;

? правовое основание обработки персональных данных;

? перечень действий с персональными данными, общее описание используемых Управлением способов обработки персональных данных;

? фамилия, имя, отчество физического лица, ответственного в Управлении за организацию обработки персональных данных, и номера его контактных телефонов, почтовые адреса и адреса электронной почты;

? описание мер, которые Управление обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке

? дата начала обработки персональных данных;

? срок или условие прекращения обработки персональных данных;

? сведения о наличии трансграничной передачи персональных данных в процессе их обработки.

Управление обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ и договором с субъектом.

Управление не обрабатывает биометричесике персональные данные, категории персональных данных, касающихся расовой принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведения, характеризующие биологические и физические особенности человека.

Управление не осуществляет трансграничную передачу персональных данных субъектов персональных данных.

Управление не принимает решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных.

  1. Меры, направленные на обеспечение выполнения управлением обязанностей, предусмотренных законодательством РФ

Управление осуществляет следующие организационно-технические меры для защиты персональных данных:

? назначение Управлением лица, ответственного за организацию обработки персональных данных;

? издание документов, определяющих политику Управления в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;

? применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона № 152 «О персональных данных», включая:

? определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Управления;

? применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Управления, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;

? применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

? оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных Управления;

? учет машинных носителей персональных данных;

? обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

? восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

? установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных Управления, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных Управления;

? контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных Управления.

? осуществление внутреннего контроля соответствия обработки персональных данных законодательству РФ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Управления в отношении обработки персональных данных, локальным актам Управления;

? оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства РФ, соотношение указанного вреда и принимаемых Управлением мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством РФ;

? ознакомление сотрудников Управления, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Управления в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников.

- доступ к содержанию электронного журнала сообщений возможен исключительно для администратора безопасности, или структурного подразделения, ответственного за обеспечение безопасности персональных дынных в информационных системах Управления.

  1. Право субъекта персональных данных на доступ к его персональным данным

4.1. Субъект персональных данных имеет право на получение сведений, указанных в части 6 настоящего раздела, за исключением случаев, предусмотренных законодательством РФ. Субъект персональных данных вправе требовать от законных представителей Управления уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.2. Сведения, указанные в части 6 настоящего раздела, предоставляются законными представителями Управления субъекту персональных данных в доступной форме.

4.3. Сведения, указанные в части 6 настоящего раздела, предоставляются субъекту персональных данных или его представителю законными представителями Управления при получении запроса субъекта персональных данных или его представителя в письменной форме.

4.4. В случае, если сведения, указанные в части 6 настоящего раздела, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к законным представителям Управления или направить Управлению повторный запрос в письменной форме в целях получения сведений, указанных в части 6 настоящего раздела, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса.

4.5. Субъект персональных данных вправе обратиться повторно к законному представителю Управления или направить повторный письменный запрос в Управление в целях получения сведений, указанных в части 6 настоящего раздела, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящего раздела, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.

4.6. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных Управлением;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые Управлением способы обработки персональных данных;

4) наименование и место нахождения Управления, сведения о лицах (за исключением сотрудников Управления), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Управлением или на основании законодательства РФ;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством РФ;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Управления, если обработка поручена или будет поручена такому лицу.

  1. Правила работы с обезличенными персональными данными В Управлении

ОБЩИЕ ПОЛОЖЕНИЯ

  1. Настоящие Правила работы с обезличенными персональными данными в Управлении разработаны с учетом Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и постановления Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.

  2. Настоящие Правила определяют порядок работы с обезличенными данными в Управлении.

  3. Настоящие Правила утверждаются ответственным за организацию обработки персональных данных в Управлении и действует постоянно.

УСЛОВИЯ ОБЕЗЛИЧИВАНИЯ

  1. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных Управления и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

  2. Способы обезличивания при условии дальнейшей обработки персональных данных:

    1. уменьшение перечня обрабатываемых сведений;

    2. замена части сведений идентификаторами;

    3. обобщение – понижение точности некоторых сведений;

    4. понижение точности некоторых сведений (например, «Место жительства» может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);

    5. деление сведений на части и обработка в разных информационных системах;

    6. иные способы обезличивания, предусматривающие возможность дальнейшей обработки данных;

  3. способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных;

  4. для обезличивания персональных данных годятся любые способы явно не запрещенные законодательно;

  5. перечень должностей государственных гражданских служащих Управления, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, приведен в разделе 4 настоящих Правил;

    1. решение о необходимости обезличивания персональных данных принимает ответственный за организацию обработки персональных данных в Управлении;

    2. ответственные за эксплуатацию ИСПДн, готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания, если это необходимо;

    3. сотрудники структурных подразделений, обслуживающих базы данных с персональными данными, совместно с ответственным за эксплуатацию ИСПДн, осуществляют непосредственное обезличивание выбранным способом.

ПОРЯДОК РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ПЕРСОНАЛЬНЫМИ ДАННЫМИ

  1. Обезличенные персональные данные могут обрабатываться с использования и без использования средств автоматизации.

  2. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:

    1. парольной политики;

    2. антивирусной политики;

    3. правил работы со съемными носителями (если они используется);

    4. правил резервного копирования;

    5. правил доступа в помещения, где расположены элементы информационных систем;

    6. иных предусмотренных законодательством РФ законов и правовых актов.

  3. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:

    1. правил хранения бумажных носителей;

    2. правил доступа к ним и в помещения, где они хранятся;

    3. иных предусмотренных законодательством РФ законов и правовых актов.

ПЕРЕЧЕНЬ ДОЛЖНОСТЕЙ УПРАВЛЕНИЯ, ОТВЕТСТВЕННЫХ ЗА ПРОВЕДЕНИЕ МЕРОПРИЯТИЙ ПО ОБЕЗЛИЧИВАНИЮ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Начальник Управления ЗАГС Тюменской области.

  2. Начальник отдела технического и программного обеспечения (ответственный за организацию обработки персональных данных).

  3. Начальник отдела координации и контроля деятельности органов ЗАГС.

  4. Начальник отдела информационного обеспечения.

  5. Начальник финансового отдела.

ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ

1. Порядок обработки ПДн, осуществляемой без использования средств автоматизации, определяется Постановлением Правительства РФ № 687.

2. Обработка ПДн без использования средств автоматизации осуществляется на материальных носителях информации (далее – материальные носители).

3. В случае, если обработка ПДн осуществляется без использования средств автоматизации, ПДн обособляются от иной информации путем фиксации их на отдельных мат ериальных носителях.

4. Запрещается оставлять материальные носители без присмотра или передавать на хранение другим лицам, не допущенным к обработке ПДн.

5. Учет машинных съемных носителей информации осуществляется путем ведения журнала учета.

6. При проставлении заявителями подписи в журналах учета выдачи документов, сотрудник Управления ЗАГС путем наложения листа бумаги на заполненную часть журнала, если такая имеется, дает заявителю возможность проставить подпись в журнале, тем самым препятствуя ознакомление заявителя с персональными данными других субъектов персональных данных.

Политика в области обработки и обеспечения безопасности персональных данных в информационных системах персональных данных управления ЗАГС Тюменской области