Приказ №21 от 08 июля 2014
Приказ комитета по строительству, архитектуре и развитию города от 08.07.2014 №21 "Об утверждении Политики в отношении обработки и защиты персональных данных"
Российская Федерация
Администрация города Барнаула
КОМИТЕТ ПО СТРОИТЕЛЬСТВУ, АРХИТЕКТУРЕ И РАЗВИТИЮ ГОРОДА БАРНАУЛА
ПРИКАЗ
Администрация города Барнаула
КОМИТЕТ ПО СТРОИТЕЛЬСТВУ, АРХИТЕКТУРЕ И РАЗВИТИЮ ГОРОДА БАРНАУЛА
ПРИКАЗ
от 08. 07.2014 № 21
Об утверждении Политики в отношении обработки и защиты персональных данных
В соответствии с Постановлением Правительства Российской Федерации от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами»
ПРИКАЗЫВАЮ:
1. Утвердить Политику в отношении обработки и защиты персональных данных.
2. Главному специалисту отдела дежурных планов и информационного обеспечения Соцкому А.В. разместить приказ на странице комитета на официальном Интернет-сайте города Барнаула.
3. Контроль за исполнением приказа оставляю за собой.
Председатель комитета А.А.Воробьев
Приложение к приказу
от 08.07.2014 № 21
от 08.07.2014 № 21
ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
Настоящая политика комитета по строительству, архитектуре и развитию города Барнаула в отношении обработки персональных данных (далее – Политика) разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных.
1.2. Политика раскрывает категории персональных данных, обрабатываемых комитетом по строительству, архитектуре и развитию города Барнаула (далее – Оператор), цели, способы и принципы обработки персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке.
1.3. Настоящая Политика является документом, декларирующим основы деятельности Оператора при обработке персональных данных.
1.4. Настоящая Политика вступает в силу с момента ее утверждения приказом председателя комитета и действует бессрочно до замены ее новой политикой или до наступления иных случаев, предусмотренных законодательством в области обработки персональных данных.
1.5. Настоящая политика обязательна для соблюдения и подледит доведению до всех сотрудников Оператора, осуществляющих обработку персональных данных.
1.6. В настоящей Политике используются слудующие понятия, термины и сокращения:
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2. Информация об операторе
Наименование: Комитет по строительству, архитектуре и развитию города Барнаула.
ИНН:2221023289
Адрес местонахождения: Алтайский край, г.Барнаул,
пр-кт.Строителей,8.
Почтовый адрес: Алтайский край, г.Барнаул, пр-кт.Строителей,8.
Тел.:(3852) 61-84-12, факс: (3852) 61-84-21).
E-mail: archbarnaul@barnaul-adm.ru/
Регистрационный номер в реестре операторов персональных данных: 10-0079391.
3. Правовые основания обработки персональных данных
3.1. Обработка персональных данных осуществляется Оператором в соответствии со следующими законодательными и нормативными правовыми актами Российской Федерации:
- Конституцией Российской Федерации;
- Гражданским кодексом Российской Федерации;
- Трудовым кодексом Российской Федерации;
- Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;
- Федеральным законом от 02.03.2007 №25-ФЗ «О муниципальной службе в Российской Федерации»;
- Федеральным законом от 02.05.2006 №-59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
- Указом Президента РФ от 30.05.2005 №609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела».
3.2. Во исполнение настоящей Политики разработаны и утверждены следующие документы:
1. Положение о персональных данных
2. Инструкция администратора информационной безопасности
3. Перечень ИСПДн
4. Список лиц, имеющих доступ к персональным данным
5. Список лиц, допущенных к обработке персональных данных в
информационных системах персональных данных
6. Список лиц, допущенных к неавтоматизированной обработке персональных данных
7. Перечень помещений, в которых осуществляется обработка персональных данных
8. Список мест хранения материальных носителей персональных данных
9. Состав комиссии по классификации информационных систем персональных данных, установлению уровней защищенности информационных систем персональных данных и классификации автоматизированных систем Политика информационной безопасности
10. Инструкция о порядке удаления (изменения) персонифицированных записей
11. Инструкция о порядке технического обслуживания
12. Инструкция по передаче персональных данных
13. Регламент резервного копирования
14. Журнал учета средств защиты информации
15. Инструкция по заполнению журнала средств защиты информации
16. Журнал регистрации запросов субъектов персональных данных на предоставление доступа к своим персональным данным
17. Журнал учета выдачи электронных идентификаторов
18. Журнал учета организационно-распорядительных документов
19. Согласие на обработку персональных данных работников
20. Регламент обеспечения защиты информационных ресурсов АП при подключении к Сети и при удаленном доступе к АП через Сеть
21. Журнал проверки исправности и технического обслуживания
22. План размещения АРМ с персональными данными
23. Положение о разрешительной системе допуска
24. Список постоянных пользователей автоматизированной системы, информационных систем персональных данных и установленные им права к информационным и техническим ресурсам.
25. Матрица разграничения доступа к автоматизированной системе, информационным системам персональных данных
26. План обучения правилам защиты информации
27. Форма Журнала проведения инструктажа по информационной безопасности
28. Инструкция по заполнению журнала проведения инструктажа по информационной безопасности
29. План размещения основных и вспомогательных технических средств и систем на объекте информатизации
30. План контролируемой зоны
31. Перечень разрешенного к использованию программного обеспечения на объекте информатизации
32. Перечень защищаемых ресурсов объекта информатизации
33. Описание технологического процесса обработки информации на объекте информатизации
34. Инструкция по работе пользователей в АС комитета, в том числе информационных системах персональных данных
35. Инструкция по организации парольной защиты в АС комитета, в том числе информационных системах персональных данных
36. Перечень сведений конфиденциального характера
37. Инструкция по организации работы с материальными носителями конфиденциальной информации и персональных данных в комитете
38. Инструкция по организации работы с электронными носителями конфиденциальной информации и персональных данных
39. Форма Обязательства о неразглашении сведений конфиденциального характера и персональных данных
40. Форма Журнала учета паролей
41. Инструкция по проведению антивирусного контроля
42. Список лиц, ответственных за организацию защиты конфиденциальной информации и за разработку, проведение мероприятий, направленных на выполнение требований законодательства и других нормативных документов в области персональных данных
43. Правила рассмотрения запросов субъектов персональных данных или их представителей
44. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора
45. Правила работы с обезличенными данными
46. Перечень должностей служащих государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным
47. Типовое обязательство служащего государственного или муниципального органа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей
48. Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные
49. Форма журнала учета мероприятий по контролю за исполнением правил обработки персональных данных
50. Программа подготовки к самостоятельной работе со средствами криптографической защиты информации
51. Состав комиссии по допуску к самостоятельной работе со средствами криптографической защиты информации
52. Инструкция по размещению специального оборудования, охраны и организации режима в выделенных (режимных) помещениях
53. Список лиц, допущенных к работе со средствами криптографической защиты информации
54. Список помещений, выделенных для установки средств криптографической защиты информации и хранения ключевых документов к ним помещениях
55. Форма журнала поэкземплярного учета средств криптографической защиты информации, эксплуатационной и технической документации к ним, ключевых документов
56. Форма журнала учета и уничтожения носителей с ключевой информацией
57. Форма журнала выдачи носителей с ключевой информацией
58. Форма журнала учета хранилищ
59. Форма журнала регистрации выдачи сдачи ключей от хранилищ
60. Форма лицевых счетов пользователей средств криптографической защиты информации
61. Акты классификации информационных систем персональных данных
62. Акты определения уровня защищенности персональных данных при их обработке в информационных системах персональных данных
63. Модели угроз безопасности персональных данных в информационных системах комитета.
4. Цели обработки персональных данных.
4.1. Оператор обрабатывает персональные данные исключительно в следующих целях:
- выполнение требований трудового законодательства Российской
федерации, законодательства о муниципальной службе Российской Федерации.
- рассмотрение обращений граждан.
5. Категории субъектов обрабатываемых персональных данных.
5.1. В информационных системах персональных данных Оператора обрабатываются персональные данные следующих категорий субъектов:
- муниципальные служащие Оператора;
- работники Оператора, замещающие должности, не отнесенные к должностям муниципальной службы;
- руководители подведомственных учреждений, не входящие в штатное расписание Оператора;
- граждане, включенные в кадровый резерв Оператора;
- граждане, представленные к награждению наградами Оператора;
- граждане, персональные данные которых необходимы для рассмотрения обращений.
6. Основные принципы обработки персональных данных.
6.1. Оператор в своей деятельности по обработке руководствуется следующими принципами:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию до достижения целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом «О персональных данных».
6.2. Оператор не осуществляет обработку биометрических персональных данных.
6.3. Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
6.4. Оператор не осуществляет трансграничную передачу персональных данных.
7. Меры по обеспечению защиты персональных данных
Оператор при обработке персональных данных предпринимает необходимые правовые, организационные и технические меры по защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
- назначением ответственного за организацию обработки персональных данных;
- изданием Оператором локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятием в соответствии с ним нормативным правовым актам¸ требованиям к защите персональных данных;
- ознакомлением сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными актами по вопросам обработки персональных данных, и обучением указанных сотрудников;
- выполнением требований, установленных постановлением Правительства Российской федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» при обработке персональных данных, осуществляемой без использования средств автоматизации;
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контролем над принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
8. Права субъектов персональных данных
8.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных.
8.2. Субъект персональных данных вправе требовать от Оператора уточнения обрабатываемых Оператором персональных данных субъекта персональных данных. Их блокирования или уничтожения в случае. Если персональные данные являются неполными, устаревшими, неточными незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч.8 ст.14 Федерального закона «О персональных данных».
8.4. Для реализации своих прав (см.п.п. 8.1 - 8.3) и защиты законных интересов, субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
8.5. Субъект персональных данных вправе обжаловать действия или бездействие ,Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
8.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
9. Контактная информация
9.1. Ответственным за организацию обработки и обеспечение безопасности персональных данных назначен заместитель председателя – начальник отдела дежурных планов и информационного обеспечения Стецов Петр Яковлевич.
Председатель комитета А.А.Воробьев
Дата публикации: 16.07.2014
← К списку документов