Размер:
A A A
Цвет:
C C C C
Изображения Вкл Выкл.

Политика в отношении обработки персональных данных

Приказ Департамента промышленности Ханты-Мансийского автономного округа - Югры от 25 августа 2017 года № 38-п-139 "О защите информации"


Приложение 4
к приказу Департамента промышленности
Ханты-Мансийского автономного округа – Югры
от 25.08.2017 №38-П-139


ПРАВИЛА

обработки персональных данных

Общие положения

Правила обработки персональных данных в Департаменте промышленности Ханты-Мансийского автономного округа – Югры (далее – Правила) разработана в соответствии с Конституцией Российской Федерации, Федеральным законом Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных», Трудовым кодексом Российской Федерации.

Правила определяют порядок и условия обработки персональных данных в Департаменте с использованием средств автоматизации и без использования таких средств.

Обработка персональных данных осуществляется в целях предоставления государственных и муниципальных услуг в соответствии с административными регламентами предоставления указанных услуг на основании соглашений, заключенных федеральными органами исполнительной власти и органами государственных внебюджетных фондов с Департаментом, обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по Департаменте, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.


Основные понятия, используемые в настоящих Правилах

Информация - сведения (сообщения, данные) независимо от формы их представления.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Автоматизированное рабочее место (АРМ) – совокупность информационно-программно-технических ресурсов, обеспечивающая конечному пользователю обработку данных и автоматизацию управленческих функций в конкретной предметной области.


Принципы обработки персональных данных

Обработка персональных данных осуществляется на законной основе.

Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

Обработке подлежат только те персональные данные, которые отвечают целям их обработки.

Содержание и объем персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточным по отношению к заявленным целям обработки.

При обработке персональных данных обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Департаментом обеспечивается принятие необходимых мер по удалению или уточнению неполных или неточных данных.

Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Условия обработки персональных данных

Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом «О персональных данных». Обработка персональных данных допускается в следующих случаях:

Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом для осуществления и выполнения возложенных законодательством Российской Федерации на Департамент функций, полномочий и обязанностей;

Обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

Обработка персональных данных необходима для осуществления прав и законных интересов Департамента или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

В случае если Департамент поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Департамент. Лицо, осуществляющее обработку персональных данных по поручению Департамента, несет ответственность перед Департаментом.


Конфиденциальность персональных данных

Департамент и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.


Право субъекта персональных данных на доступ
к его персональным данным

Субъект персональных данных имеет право на получение сведений, указанных в п. 6.7 настоящих Правил, за исключением случаев, при которых доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц. Субъект персональных данных вправе требовать от Департамента уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Сведения, указанные в п. 6.7 настоящей Правил, должны быть предоставлены субъекту персональных данных Департаментом в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Сведения, указанные в п. 6.7 настоящих Правил, предоставляются субъекту персональных данных или его представителю Департаментом при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Департаментом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Департаментом, подпись субъекта персональных данных или его представителя Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

В случае если сведения, указанные в п. 6.7 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Департаменту или направить ему повторный запрос в целях получения сведений, указанных в п. 6.7 настоящего положения, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

Субъект персональных данных вправе обратиться повторно к Департаменту или направить ему запрос в целях получения сведений, указанных в п. 6.7 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 6.4 настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 6.3 настоящих Правил, должен содержать основание направления повторного запроса.

Департамент вправе отказать субъекту персональных данных в выполнении повторного запроса, несоответствующего условиям, предусмотренным п. 6.3 и п. 6.4. настоящих Правил. Такой отказ должен быть мотивированным. Обязанность предоставления доказательств обоснованности отказа в выполнении повторного запроса лежит на Департаменте.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

Подтверждение факта обработки персональных данных Департаментом;

Правовые основания и цели обработки персональных данных;

Цели и применяемые Департаментом способы обработки персональных данных;

Наименование и местонахождение Департамента, сведения о лицах (за исключением работников Департамента), которые имеют доступ к персональным данным или которые могут быть раскрыты персональные данные на основании договора с Департаментом или на основании федерального закона;

Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;

Сроки обработки персональных данных, в том числе сроки их хранения;

Порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

Информацию об осуществленной или о предполагаемой трансграничной передаче данных;

Наименование или имя, фамилию, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Департамента, если обработка поручена или будет поручена такому лицу.

Иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.


Право на обжалование действий или бездействий Департамента

Если субъект персональных данных считает, что Департамент осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействия Департамента в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.


Обязанности Департамента при сборе персональных данных

При сборе персональных данных Департамент обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 6.7 настоящих Правил.

Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Департамент обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

Если персональные данные получены не от субъекта персональных данных, Департамент, за исключением случаев, предусмотренных п. 8.4 настоящих Правил, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

Наименование либо фамилия, имя, отчество и адрес Департамента или его представителя;

Цель обработки персональных данных и ее правовое основание;

Предполагаемые пользователи персональных данных;

Установленные настоящим Федеральным законом права субъекта персональных данных;

Источник получения персональных данных.

Департамент освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные п. 8.3 настоящего Положения, в случаях, если:

Субъект персональных данных уведомлен об осуществлении обработки его персональных данных Департаментом;

Персональные данные получены Департаментом на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

Персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

Предоставление субъекту персональных данных сведений, предусмотренных частью 8.3 настоящих Правил, нарушает права и законные интересы третьих лиц.


Меры направленные на обеспечение выполнения Департаментом обязанностей, предусмотренных Федеральным законом «О персональных данных»


Назначен ответственный за организацию обработки персональных данных.

Изданы документы, определяющие правила обработки персональных данных, локальные акты по вопросам обработки персональных данных, локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

Утверждены правила проведения внутреннего контроля соответствия обработки персональных данных требованиям Федерального закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, настоящих Правил, локальным актам.

Проведена оценка вреда, который может быть причинен субъектам персональных данных, соотношение указанного вреда и применяемых Департаментом мер.

Проведено ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе документами, определяющими политику Департамента в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.

Меры по обеспечению безопасности персональных данных при их обработке

Определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.

Применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных.

Применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации.

Проведена оценка соответствия принимаемых мер по обеспечению безопасности персональных данных, получен аттестат соответствия требованиям по безопасности информации.

Ведется учет машинных носителей персональных данных.

Выполняются меры по обнаружению фактов несанкционированного доступа к персональным данным и принятию соответствующих мер.

Определен комплекс мер по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

Установлены правила доступа к персональным данным, обрабатываемым в информационных системах персональных данных, обеспечена регистрация и учет всех действий, совершаемых с персональными данными в информационных системах персональных данных.

Осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.


Порядок управления учетными записями

С целью соблюдения принципа персональной ответственности за свои действия каждому сотруднику, допущенному к работе на компьютерах конкретной ИСПДн, должно быть сопоставлено персональное уникальное имя (учетная запись пользователя), под которым он будет регистрироваться и работать на данном компьютере.

Использование несколькими сотрудниками при работе в ИСПДн одного и того же имени пользователя («группового имени») запрещено.

Процедура регистрации (создания учетной записи) пользователя и предоставления ему (или изменения его) прав доступа к ресурсам ИСПДн инициируется заявкой ответственного за эксплуатацию данной ИСПДн.

В заявке указывается:

содержание запрашиваемых изменений (регистрация нового пользователя ИСПДн, удаление учетной записи пользователя, расширение или сужение полномочий и прав доступа к ресурсам ИСПДн ранее зарегистрированного пользователя);

должность (с полным наименованием отдела), фамилия, имя и отчество сотрудника;

имя пользователя (учетной записи) данного сотрудника;

полномочия, которых необходимо лишить пользователя или которые необходимо добавить пользователю (путем указания решаемых пользователем задач в ИСПДн).

Заявку рассматривает руководитель или ответственный за организацию обработки персональных данных в Департаменте, визируя ее, утверждая тем самым производственную необходимость допуска (изменения прав доступа) данного сотрудника к необходимым для решения им указанных в заявке задач ресурсам ИСПДн, затем подписывает задание администратору защиты информации на внесение необходимых изменений в списки пользователей соответствующих подсистем ИСПДн.

На основании задания, в соответствии с документацией на средства защиты от несанкционированного доступа, администратор производит необходимые операции по созданию (удалению) учетной записи пользователя, присвоению ему начального значения пароля (возможно также регистрацию персонального идентификатора), заявленных прав доступа к ресурсам ИСПДн и другие необходимые действия, указанные в задании. Для всех пользователей должен быть установлен режим принудительного запроса смены пароля не реже одного раза в течение 90 дней.

После внесения изменений в списки пользователей администратор информационной безопасности должен обеспечить настройки средств защиты, соответствующие требованиям безопасности указанной ИСПДн. По окончании внесения изменений в списки пользователей в заявке делается отметка о выполнении задания за подписью исполнителя - администратора информационной безопасности.

Сотруднику, зарегистрированному в качестве нового пользователя ИСПДн, сообщается имя соответствующего ему пользователя и может выдаваться персональный идентификатор (для работы в режиме усиленной аутентификации) и начальное (-ые) значение (-ия) пароля (-ей), которое (-ые) он обязан сменить при первом же входе в систему.

Исполненные, подписанные заявка и задание находится на хранении у администратора информационной безопасности в течении 6месяцев после увольнения (блокировки) работника.

Они могут впоследствии использоваться:

для восстановления полномочий пользователей после аварий ИСПДн;

для контроля правомерности наличия у конкретного пользователя прав доступа к тем или иным ресурсам ИСПДн при разборе конфликтных ситуаций;

для проверки сотрудниками контролирующих органов правильности настройки средств разграничения доступа к ресурсам ИСПДн.

При наступлении момента прекращения срока действия полномочий пользователя (окончание договорных отношений, увольнение сотрудника) учетная запись должна немедленно блокироваться.

Блокирование сеанса доступа в ИСПДн, после 15 минут времени бездействия (неактивности) пользователя или по его запросу. Блокирование сеанса доступа пользователя в ИСПДн обеспечивает временное приостановление работы пользователя с СВТ, с которого осуществляется доступ к ИСПДн. Для заблокированного сеанса осуществляется блокирование любых действий по доступу к информации и устройствам отображения, кроме необходимых для разблокирования сеанса. Блокирование сеанса доступа пользователя в ИСПДн сохраняется до прохождения им повторной идентификации и аутентификации.

Запрет всех действий пользователей до прохождения процедур идентификации и аутентификации в ИСПДн (кроме необходимых для прохождения процедур идентификации и аутентификации). Администратору ИБ разрешаются действия в обход установленных процедур идентификации и аутентификации, необходимые только для восстановления функционирования ИСПДн в случае сбоев в работе или выходе из строя отдельных ТС (устройств).

Ответственный за хранение, выдачу, инициализацию, блокирование средств аутентификации и принятия мер в случае утраты и (или) компрометации средств аутентификации является администратор ИБ.

Таблица 1


1.Перечень программного обеспечения, разрешенного
к установке на рабочее место пользователя

№ п/п

Тип ПО

Наименование ПО

1

Операционная система

Microsoft Windows 7 Professional

Сертифицированная ФСТЭК России операционная система семейства Линукс (АСТРА Линукс, BaseAlt...)

2

Пакет офисных приложений

Microsoft Office 2007 и выше

Libreoffice 5.2 и выше

3

Почтовая программа

Mozilla Thunderbird версии 51 и выше

4

Браузер

Internet Explorer 9 и выше

Mozilla Firefox 51 и выше

5

Система электронного документооборота*

Клиентская часть «СЭД ДЕЛО»

6

Архиватор

7-Zip

7

Средство работы с PDF файлами

Acrobat Reader версии 9 и выше

Foxit reader версии 4.0 и выше

8

Антивирусное программное обеспечение

Dr.web версии 10.0 и выше

9

Географическая информационная система (ГИС), предназначена для сбора, хранения, отображения, редактирования и анализа пространственных данных

Мапинфо (Mapinfo) версии 12 и выше

10

Векторные программы

CorelDraw Graphics Suit версии 4 и выше

11

Программы распознавания текста

ABBYY FineReader версии 8.0 и выше

 Примечание *: использование ПО определяется необходимостью работы в информационной системе с использование толстого клиента.