Об утверждении Политики Администрации МО СП "Гильбиринское" в отношении обработки персональных данных



АДМИНИСТРАЦИЯ

муниципального образования сельское поселение «Гильбиринское» Иволгинского района Республики Бурятия

Буряад Республикын Ивалгын аймагай «Гэльбэрын» хүдөөгэй hуурин газарай муниципальна байгууламжын ЗАХИРГААН

ПОСТАНОВЛЕНИЕ

« 01 » июня 2020 г.                                                                                                                № 4

Об утверждении Политики Администрации МО СП «Гильбиринское» в отношении обработки персональных данных

В соответствии с требованиями Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятых в соответствии с ним иных нормативных правовых актов, регулирующих вопросы обработки и защиты персональных данных Администрация МО СП «Гильбиринское» постановляет:

1. Утвердить Политику Администрации МО СП «Гильбиринское» в отношении обработки персональных данных (Приложение 1).

2. Утвердить перечень должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (Приложение 2).

3. Утвердить Положение о разрешительной системе доступа к персональным данным, обрабатываемым в информационных системах персональных данных Администрации МО СП «Гильбиринское» (Приложение 3).

4. Утвердить инструкцию лица, ответственного за организацию обработки персональных данных в Администрации МО СП «Гильбиринское» (Приложение 4).

5. Утвердить инструкцию пользователя информационной системы персональных данных Администрации МО СП «Гильбиринское» (Приложение 5).

6. Назначить лицом, ответственным за организацию обработки персональных данных в Администрации МО СП «Гильбиринское» главного специалиста Дабаеву Е.Г.

7. Контроль за исполнением настоящего постановления оставляю за собой.

8. Постановление вступает в силу с момента опубликования.

ВРИО Главы МО СП «Гильбиринское» З,Ч.Будожапова

Приложение 1

к постановлению Администрации

МО СП «Гильбиринское»

от ________2020 г. №________

ПОЛИТИКА

администрации МО СП «Гильбиринское» в отношении обработки персональных данных

Полное наименование: Администрация МО СП «Гильбиринское» Иволгинского района Республики Бурятия.

Юридический адрес: 671053, РБ, Иволгинский район, с. Хурамша, ул. Ербанова,1

Почтовый адрес: 671053, РБ, Иволгинский район, с.Хурамша, ул. Ербанова,1

Администрация МО СП «Гильбиринское» (далее по тексту – Оператор) в терминах Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных» является оператором персональных данных – юридическим лицом, осуществляющим обработку персональных данных и определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия, совершаемые с персональными данными. Под персональными данными, в соответствии с Федеральным законом РФ «О персональных данных», понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных осуществляется Оператором в соответствии с требованиями Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятых в соответствии с ним иных нормативных правовых актов, регулирующих вопросы обработки и защиты персональных данных. При обработке персональных данных Оператор придерживается принципов, установленных законодательством РФ в области персональных данных.

Оператор осуществляет обработку персональных данных в следующих целях:

- обеспечение трудоустройства в соответствии с законодательством РФ; обеспечение сотрудника необходимыми условиями работы; обеспечение возможности начисления и выплаты заработной платы сотруднику; обеспечение возможности начисления и взимания необходимых налогов и сборов с доходов сотрудников в соответствии с налоговым законодательством РФ;

- ведение кадровой работы;

- формирование кадрового резерва Администрации МО СП «Гильбиринское», организация работы с кадровым резервом и его эффективное использование;

- ведение реестра муниципальных служащих;

- осуществление оперативного статистического и бухгалтерского учета результатов своей деятельности, обеспечение своевременного представления статистической, бухгалтерской и иной установленной отчетности о результатах деятельности Администрации МО СП «Гильбиринское» в порядке и сроки, установленные действующим законодательством;

- осуществление муниципального контроля;

- осуществление предоставления муниципальных услуг;

- осуществление деятельности по рассмотрению обращений граждан;

- выполнение функций администратора доходов местного бюджета;

-осуществление профилактики безнадзорности и правонарушений несовершеннолетних на территории МО СП «Гильбиринское»;

- содействие многодетным и малоимущим семьям, нуждающимся в улучшении жилищных условий;

- осуществление избирательных прав и прав на участие в референдумах;

- осуществления полномочий по регистрации и снятии граждан с регистрационного учета в пределах российской Федерации;

- осуществления учета граждан при исполнении воинской обязанности и военной службы.

Для достижения вышеперечисленных целей Оператор прибегает к обработке персональных данных следующих категорий субъектов персональных данных:

- работники Администрации МО СП «Гильбиринское»;

- лица, состоящие в кадровом резерве Администрации МО СП «Гильбиринское» и претендующие на замещение вакантной должности муниципального служащего;

-граждане, направившие обращение в Администрацию МО СП «Гильбиринское»

- граждане, подавшие ходатайство о награждении и награжденные государственными наградами;

- члены многодетных и малоимущих семей, нуждающиеся в улучшении жилищных условий;

- несовершеннолетние лица, проживающие на территории МО СП «Гильбиринское», находящиеся в местах лишения свободы;

- несовершеннолетние лица, проживающие на территории МО СП «Гильбиринское», подвергшиеся жестокому обращению;

- находящиеся в заключении матери несовершеннолетних лиц, проживающих на территории МО СП «Гильбиринское»;

- лица, осуществляющие платежи в пользу бюджета МО СП «Гильбиринское».

Оператор осуществляет обработку персональных данных как с использованием средств вычислительной техники (в том числе, в информационных системах), так и без использования технических средств.

В целях предотвращения нарушений законодательства Российской Федерации в сфере персональных данных Оператором обеспечивается надлежащее документальное сопровождение процессов обработки персональных данных:

- анализ правовых оснований обработки персональных данных;

- документальное закрепление целей обработки;

- установление сроков обработки персональных данных;

- регламентация процессов обработки персональных данных (в том числе процесса допуска к персональным данным, процесса прекращения обработки персональных данных);

- определение круга лиц, осуществляющих обработку персональных данных и (или) имеющих доступ к персональным данным;

- выявление и классификация информационных систем персональных данных;

- распределение и закрепление обязанностей и ответственности работников Оператора в сфере обработки и обеспечения безопасности персональных данных.

Предоставление права доступа к персональным данным (допуск к обработке персональных данных), обрабатываемым Оператором, осуществляется в соответствии с установленным порядком.

Обеспечение безопасности персональных данных, обрабатываемых Оператором, достигается скоординированным применением различных по своему характеру мер как организационного, так и технического характера.

Оператором реализованы меры физической защиты помещений, где размещены технические средства, обрабатывающие персональные данные, и хранятся материальные носители персональных данных, от несанкционированного проникновения.

Все сотрудники Оператора, допущенные к обработке персональных данных, ознакомлены под роспись с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, локальными актами Оператора по вопросам обработки и защиты персональных данных, в части, их касающейся.

Права субъектов персональных данных и способ их реализации

В соответствии с положениями Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных» субъект персональных данных имеет следующие права в отношении своих персональных данных:

- право на получение сведений, касающихся обработки персональных данных Оператором[1]:

- подтверждение факта обработки персональных данных Оператором;

- правовые основания и цели обработки персональных данных;

- применяемые Оператором способы обработки персональных данных;

- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

- право на ознакомление с персональными данными, принадлежащими субъекту персональных данных, обрабатываемыми Оператором;

- право требования от Оператора уточнения его персональных данных, их блокирования или уничтожения, в случае, если персональные данные являются неполными, устаревшими (неактуальными), неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- право на отзыв согласия на обработку персональных данных (если такое согласие было дано Оператору).

Субъект персональных данных может реализовать свои права на получение сведений, касающихся обработки его персональных данных Оператором, и на ознакомление с персональными данными, принадлежащими субъекту, обрабатываемыми Оператором, путем обращения (лично или через законного представителя) по адресу: РБ, Иволгинский район, с. Хурамша, ул. Ербанова,1, по тел. 8(30140)41-1-66,41-1-64, в рабочие дни; либо путем направления письменного запроса по адресу: 671053 РБ, Иволгинский район, с. Хурамша, ул. Ербанова,1. Запрос может быть направлен в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации, по адресу: gilbira.sp@mail.ru

В соответствии с частью 3 статьи 14 Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных» запрос субъекта персональных данных (или его представителя) должен содержать:

- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;

- подпись субъекта персональных данных или его представителя.

Рекомендуемые формы запросов субъектов персональных данных или их представителей приведены в приложении к данному документу.

Оператор обязуется безвозмездно предоставить запрашиваемые сведения субъекту персональных данных или его представителю в доступной форме в течение тридцати дней с даты обращения или даты получения запроса субъекта персональных данных или его представителя либо дать в письменной форме мотивированный ответ, содержащий ссылку на положения федерального закона (законов), являющиеся основанием для отказа в предоставлении информации.

В случае если необходимые сведения были предоставлены субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения данных сведений не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные, обрабатываемые Оператором, являются неполными, неточными или неактуальными, Оператор обязуется внести в них необходимые изменения.

В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные, обрабатываемые Оператором, являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязуется уничтожить такие персональные данные.

Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

Субъект персональных данных имеет право на отзыв согласия на обработку персональных данных (в случае, если такое согласие было дано Оператору). Рекомендуемая форма заявления об отзыве согласия на обработку персональных данных приведена в приложении к настоящему документу.

В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки, и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных, либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

В случае невозможности уничтожения персональных данных в течение указанного срока, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование и уничтожение в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Запрос на предоставление сведений,
касающихся обработки персональных данных
субъекта персональных данных

Главе МО СП «Гильбиринское»

__________________

От:

_____________________________________________________________________

(фамилия, имя, отчество субъекта персональных данных)

паспорт:

__________________________,

выданный

________________________________

(серия, номер)

(дата выдачи)

_____________________________________________________________________________

(наименование органа, выдавшего паспорт)

Сведения, подтверждающие участие субъекта в отношениях с Оператором:

_____________________________________________________________________________

(№ и дата заключения договора, иные сведения)

В соответствии со ст. 14 Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных» прошу предоставить следующие сведения (отметить необходимое):

 подтверждение факта обработки моих персональных данных;

 правовые основания и цели обработки моих персональных данных;

 способы обработки моих персональных данных;

 наименование и место нахождения Оператора, сведения о лицах, которые имеют доступ к моим персональным данным или которым могут быть раскрыты мои персональные данные;

 обрабатываемые персональные данные, относящиеся ко мне, и источник их получения;

 сроки обработки моих персональных данных, в том числе сроки их хранения;

 порядок осуществления мною прав, предусмотренных Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;

 сведения об осуществленной или предполагаемой трансграничной передаче моих персональных данных;

 наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку моих персональных данных по поручению Оператора;

 иные сведения: ________________________________________________________________

Указанные сведения прошу предоставить:

 в письменном виде по адресу:

_________________________________________________

 по адресу электронной почты:

_________________________________________________

______________________________

_____________________________

(дата)

(подпись)

Запрос на предоставление сведений,
касающихся обработки персональных данных субъекта,
от представителя субъекта персональных данных

Главе МО СП «Гильбиринское»

___________________

От:

________________________________________________________________________

(фамилия, имя, отчество представителя субъекта персональных данных)

паспорт:

__________________________,

выданный

______________________________

(серия, номер)

(дата выдачи)

_____________________________________________________________________________

(наименование органа, выдавшего паспорт)

В соответствии со ст. 14 Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных», действуя на основании

_____________________________________________________________________________

(реквизиты документа, подтверждающего полномочия представителя субъекта персональных данных)

прошу предоставить следующие сведения (отметить необходимое):

 подтверждение факта обработки персональных данных субъекта;

 правовые основания и цели обработки персональных данных субъекта;

 способы обработки персональных данных субъекта;

 наименование и место нахождения Оператора, сведения о лицах, которые имеют доступ к персональным данным субъекта или которым могут быть раскрыты персональные данные субъекта;

 обрабатываемые персональные данные, относящиеся к субъекту, и источник их получения;

 сроки обработки персональных данных субъекта, в том числе сроки их хранения;

 порядок осуществления субъектом прав, предусмотренным Федеральным законом РФ от 27.07.2006 № 152-ФЗ «О персональных данных»;

 сведения об осуществленной или предполагаемой трансграничной передаче;

 наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных субъекта по поручению Оператора;

 иные сведения: _______________________________________________________________

в отношении

_______________________________________________________________

(фамилия, имя, отчество субъекта персональных данных)

документ, удостоверяющий личность,

_________________,

выданный

__________________

(серия, номер)

(дата выдачи)

_____________________________________________________________________________

(наименование органа, выдавшего документ)

Сведения, подтверждающие участие субъекта в отношениях с Оператором:

______________________________________________________________________________________________________________________________________________________

(№ и дата заключения договора, иные сведения)

Указанные сведения прошу предоставить:

 в письменном виде по адресу:

________________________________________________

 по адресу электронной почты:

__________________________________________________

________________________

________________________

(дата)

(подпись)

Заявление
об отзыве согласия на обработку персональных данных

Главе муниципального образования

сельское поселение «Гильбиринское»

__________________

Я,

_________________________________________________________________________

(фамилия, имя, отчество)

паспорт:

_____________________,

выданный

___________________________

(серия, номер)

(дата выдачи)

_____________________________________________________________________________,

(наименование органа, выдавшего паспорт)

отзываю согласие на обработку моих персональных данных, осуществляемую в целях:

_____________________________________________________________________________

(цели обработки персональных данных, в отношении которых отзывается согласие)

по причине:

________________________________________________________________

__________________________________________________________________

(причину отзыва согласия указывать необязательно)

_____________________________

_____________________________

(дата)

(подпись)

Заявление
об отзыве согласия на обработку персональных данных
от представителя субъекта персональных данных

Главе МО СП «Гильбиринское»

__________________

Я,

_________________________________________________________________________

(фамилия, имя, отчество представителя субъекта персональных данных)

паспорт:

___________________________

выданный

______________________________

(серия, номер)

(дата выдачи)

_____________________________________________________________________________,

(наименование органа, выдавшего паспорт)

действуя на основании

_______________________________________________________

_____________________________________________________________________________,

(реквизиты документа, подтверждающего полномочия представителя субъекта персональных данных)

от имени

___________________________________________________________________

(фамилия, имя, отчество субъекта персональных данных)

документ, удостоверяющий личность

_______________,

выданный

(серия, номер)

(дата выдачи)

_____________________________________________________________________________,

(наименование органа, выдавшего документ)

отзываю согласие на обработку персональных данных субъекта персональных данных, осуществляемую в целях:

_______________________________________________________________________________­­­­­­­­­­­­­­­___________________________________________________

(цели обработки персональных данных, в отношении которых отзывается согласие)

по причине:

_______________________________________________________

__________________________________________________________________

(указывать причину отзыва согласия необязательно)

_____________________________

_____________________________

(дата)

(подпись)

Приложение 2

к постановлению Администрации

МО СП «Гильбиринское»

от ________2020. № _______

ПЕРЕЧЕНЬ

должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным

№ п/п

Наименование структурного подразделения

Наименование должности

1

2

3

1

Администрация МО СП «Гильбиринское»

Главный бухгалтер

Главный специалист администрации

Ведущий специалист по ведению похозяйственных книг

Ведущий специалист по имущественным и земельным вопросам

Начальник военно-учетного стола

Лицо, ответственное за организацию

обработки персональных данных:                                                        

специалист администрации                                                                      Дабаева Е.Г.

Приложение 3

к постановлению Администрации

МО СП «Гильбиринское»

от __________2020. №______

ПОЛОЖЕНИЕ

о разрешительной системе доступа к персональным данным, обрабатываемым в информационных системах персональных данных Администрации МО СП «Гильбиринское»

1. Основные положения

1.1 Настоящее Положение разработано с целью обеспечения обоснованного и правомерного доступа работников Администрации МО СП «Гильбиринское» (далее по тексту – администрация), а также лиц, не являющихся сотрудниками администрации, к персональным данным (далее по тексту – ПДн), обрабатываемым в информационных системах персональных данных (далее по тексту – ИСПДн) администрации.

1.2 Настоящее Положение разработано в соответствии с законодательством Российской Федерации в сфере обеспечения безопасности ПДн.

1.3 Ознакомлению с настоящим Положением подлежат все лица, принимающие участие в обеспечении безопасности ПДн при их обработке.

1.4 Настоящее Положение вступает в силу с момента опубликования и действует до его отмены либо замены новым Положением.

2. Определения

2.1 Ниже приведён перечень определений, используемых при подготовке настоящего Положения.

Администратор автоматизированной системы – лицо, ответственное за функционирование автоматизированной системы в установленном штатном режиме работы.

Администратор информационной безопасности – лицо, ответственное за защиту автоматизированной системы от несанкционированного доступа к информации.

Безопасность информации (данных) – состояние защищенности информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность.

Доступ к информации – возможность получения информации и ее использования.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Информация – сведения (сообщения, данные) независимо от их формы представления.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных.

3. Порядок предоставления доступа работникам администрации к ИСПДн

3.1 Доступ к ПДн может быть предоставлен только работникам, замещающим должности, включенные в Перечень должностей, замещение которых предусматривает осуществление обработки ПДн или осуществление доступа к ПДн в администрации.

3.2 В случае необходимости включения должности в Перечень должностей, замещение которых предусматривает осуществление обработки ПДн или осуществление доступа к ПДн, непосредственный руководитель работника, замещающего соответствующую должность, обращается к лицу, ответственному за организацию обработки ПДн в администрации. При этом лицо, ответственное за организацию обработки ПДн, может запросить у обратившегося лица подтверждение необходимости предоставления доступа к ПДн данному работнику (в виде ссылки на должностную инструкцию, трудовой договор работника), после чего лицо, ответственное за организацию обработки ПДн, передает необходимые сведения администратору информационной безопасности администрации.

Администратор информационной безопасности администрации включает соответствующую должность в Перечень должностей, замещение которых предусматривает осуществление обработки ПДн или осуществление доступа к ПДн, и предоставляет актуализированный перечень на утверждение Главе поселения.

3.3 При замещении должности, включенной в Перечень должностей, замещение которых предусматривает осуществление обработки ПДн или осуществление доступа к ПДн, либо при включении должности в указанный Перечень работник администрации в письменной форме уведомляется о факте обработки им ПДн (Приложение 1) и подписывает обязательство о прекращении обработки ПДн, ставших известными ему в связи с исполнением должностных обязанностей, в случае расторжения с ним трудового договора (служебного контракта).

3.4 В случае необходимости предоставления работнику администрации доступа к ПДн, обрабатываемым в ИСПДн, для выполнения служебных (трудовых) обязанностей, лицо, ответственное за организацию обработки ПДн в администрации, обращается к администратору ИСПДн (при его наличии), при этом администратор, к которому обратилось лицо, ответственное за организацию обработки ПДн проверяет, включена ли должность работника в Перечень должностей, замещение которых предусматривает осуществление обработки ПДн или предоставление доступа к ПДн.

3.5 Администратор ИСПДн обеспечивает создание новой учетной записи пользователя ИСПДн и назначает данной записи права в соответствии с матрицей доступа к защищаемым информационным (программным) ресурсам. Администратор ИСПДн генерирует необходимую для доступа к ИСПДн аутентификационную (парольную) и ключевую информацию, при необходимости подготавливает материальные носители аутентификационной и ключевой информации.

3.6 Обязательным условием предоставления работнику возможности обработки ПДн в ИСПДн является прохождение им инструктажа по вопросам обеспечения безопасности ПДн.

Инструктаж пользователя по вопросам обеспечения безопасности ПДн, обрабатываемых в ИСПДн, проводится администратором информационной безопасности.

Факт прохождения инструктажа работником подтверждается росписью пользователя в листе ознакомления с соответствующими документами (в том числе, Инструкцией пользователя ИСПДн).

После прохождения работником инструктажа администратор информационной безопасности выдает ему под роспись имя учетной записи, материальный носитель аутентификационной и ключевой информации (при необходимости), парольную информацию.

4. Порядок предоставления доступа сотрудникам сторонних организаций к ИСПДн в целях обработки ПДн

4.1 Предоставление доступа сотрудникам сторонних организаций к ИСПДн в целях обработки ПДн осуществляется на основании государственного акта, договора (соглашения) или контракта. Формы договоров (соглашений) или контрактов разрабатывает и согласует юрист администрации при участии администратора информационной безопасности администрации.

4.2 После принятия решения о предоставлении доступа сотрудникам сторонней организации к ИСПДн администрации в целях обработки ПДн, Глава Администрации МО СП «Гильбиринское» уведомляет об этом администратора информационной безопасности и передает ему копии соответствующего договора (соглашения) или контракта (при его наличии).

4.3 Руководитель сторонней организации подготавливает список лиц, которым необходим доступ к ИСПДн (с указанием выполняемых ими функций по обработке ПДн) и направляет его администратору информационной безопасности администрации.

4.4 Администратор информационной безопасности вносит необходимые дополнения в матрицу доступа к защищаемым информационным (программным) ресурсам.

По поручению администратора информационной безопасности администратор ИСПДн обеспечивает создание новых учетных записей пользователей ИСПДн и назначает им права в соответствии с матрицей доступа. Администратор ИСПДн генерирует необходимую для доступа к ИСПДн аутентификационную (парольную) и ключевую информацию, при необходимости подготавливает материальные носители аутентификационной и ключевой информации.

Имена учетных записей, материальные носители аутентификационной и ключевой информации (при необходимости), парольная информация передается руководителю сторонней организации.

4.5 Ознакомление сотрудников сторонних организаций с положениями законодательства РФ о ПДн и защите информации и инструктаж пользователей по вопросам обеспечения безопасности ПДн, обрабатываемых в ИСПДн, обеспечивает руководитель сторонней организации, при необходимости – совместно с администратором информационной безопасности.

5. Порядок изменения прав пользователей на доступ к ИСПДн

5.1 В случае необходимости предоставления пользователю ИСПДн дополнительных прав в отношении защищаемых ресурсов, лицо, ответственное за организацию обработки ПДн в администрации, обращается к администратору информационной безопасности. Администратор информационной безопасности имеет право запросить у обратившегося лица подтверждение необходимости предоставления дополнительных прав в отношении защищаемых ресурсов пользователю ИСПДн (в виде ссылки на должностную инструкцию, трудовой договор и т. д.), после чего администратор информационной безопасности вносит изменения в матрицу доступа к защищаемым информационным (программным) ресурсам (при необходимости).

По поручению администратора информационной безопасности администратор ИСПДн обеспечивает изменение прав учетной записи пользователя ИСПДн в соответствии с матрицей доступа.

5.2 В случае утраты работником администрации необходимости доступа к ИСПДн (при увольнении работника, переводе его на другую должность) лицо, ответственное за организацию обработки ПДн в администрации, уведомляет администратора ИСПДн за три дня до наступления указанного события.

Администратор ИСПДн удаляет учетную запись пользователя ИСПДн.

5.3 В случае утраты сотрудником сторонней организации необходимости доступа к ИСПДн (при увольнении работника, переводе его на другую должность) руководитель сторонней организации, сообщает об этом администратору информационной безопасности администрации и возвращает материальные носители аутентификационной и ключевой информации пользователя ИСПДн (в случае их использования).

По поручению администратора информационной безопасности администратор ИСПДн удаляет учетную запись пользователя ИСПДн.

6. Ознакомлены

С правилами ознакомлен(а), правила мной изучены и понятны.

№ п/п

Ф.И.О. работника

Должность

Дата ознакомления

Личная подпись

1

Главный бухгалтер

2

Главный специалист администрации

3

Ведущий специалист по ведению похозяйственных книг

4

Ведущий специалист по имущественным и земельным вопросам

5

Начальник военно-учетного стола

Приложение 1

к Положению о разрешительной системе доступа к персональным данным, обрабатываемым в информационных системах персональных данных Администрации МО СП «Гильбиринское»

Администрация МО СП «Гильбиринское»

Иволгинского района Республики Бурятия

с.Хурамша                                                                                     «____»_________20____г.             

Уведомление о факте обработки персональных данных

Я, __________________________________________________________________________________,

(фамилия, имя, отчество)

вступая в должность __________________________________________________________________,

(должность)

замещение которой предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, уведомлен о нижеследующем.

Цели и сроки обработки персональных данных в Администрации МО СП «Гильбиринское» (далее - Администрация) закреплены в Перечне целей и сроков обработки персональных данных. Обработка персональных данных в иных целях и в нарушение установленных сроков запрещается.

Перечень информационных систем, в которых ведется обработка персональных данных, закреплен в Перечне информационных систем персональных данных. Самостоятельно создавать списки, файлы, базы данных с внесением в них персональных данных запрещается.

Приступая к обработке персональных данных, принимаю на себя следующие обязательства:

- не разглашать, не предоставлять и не распространять без законных на то оснований персональные данные, к которым я буду иметь доступ по долгу службы либо получу доступ случайно;

              - беспрекословно и аккуратно выполнять требования положений, порядков, приказов, инструкций и правил обработки персональных данных;

- немедленно сообщать лицу, ответственному за организацию обработки персональных данных в Администрации, об утрате или недостаче документов, машинных носителей, черновиков, содержащих персональные данные, удостоверений, ключей от сейфов или помещений, а также о других событиях, которые могут нарушить права граждан при обработке их персональных данных;

- немедленно сообщать лицу, ответственному за организацию обработки персональных данных в Администрации, о причинах и условиях возможного нарушения правил обработки персональных данных, а также обо всех случаях попыток посторонних лиц или организаций получить к ним доступ;

- пресекать действия других лиц, которые могут привести к нарушению правил обработки персональных данных;

- в случае увольнения (расторжения контракта), перевода на другую должность, не связанную с обработкой персональных данных, немедленно прекратить обработку персональных данных, ставших мне известными в связи с исполнением должностных обязанностей, а также передать лицу, ответственному за организацию обработки персональных данных в Администрации, все имеющиеся у меня носители персональных данных.

Я ознакомлен с положениями Федерального закона Российской Федерации от 27 июля 2006г. № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Я предупрежден, что в случае нарушения данных обязательств могу быть привлечен к дисциплинарной, административной или уголовной ответственности в соответствии с действующим законодательством Российской Федерации.

______________________

______________________

___________________

(дата ознакомления)

(личная подпись)

(Ф.И.О.)

Приложение 4 к постановлению Администрации

МО СП «Гильбиринское»

от _________2020г. № ____

ИНСТРУКЦИЯ

лица, ответственного за организацию обработки персональных данных

в Администрации МО СП «Гильбиринское»

Введение

1.1. Данная инструкция определяет круг задач, основные права и обязанности лица, ответственного за организацию обработки персональных данных (далее по тексту – ПДн) в Администрации МО СП «Гильбиринское» (далее – Администрация).

Общие положения

2.1. Назначение лица ответственным за организацию обработки ПДн, закрепление за данным лицом определенных полномочий и обязанностей производится Главой МО СП «Гильбиринское».

2.2. В своей деятельности лицо, ответственное за организацию обработки ПДн в Администрации, руководствуется требованиями действующего законодательства Российской Федерации в области ПДн, принятых в соответствии с ним нормативных правовых актов и внутренних документов Администрации, обеспечивает их выполнение в Администрации.

2.3. Лицо, ответственное за организацию обработки ПДн, непосредственно подчиняется Главе поселения и, помимо обязанностей, закрепленных настоящей Инструкцией, исполняет его указания и распоряжения в рамках выполнения своих основных задач.

3. Основные задачи лица, ответственного за организацию обработки ПДн

3.1. Основными задачами лица, ответственного за организацию обработки ПДн, являются:

- обеспечение соблюдения в Администрации требований внутренних документов Администрации, а также нормативных правовых актов, регулирующих сферу обработки ПДн;

- обеспечение правомерности обработки ПДн в Администрации;

- обеспечение соответствия договоров и соглашений, заключаемых Администрацией с третьими лицами и связанных с передачей, совместной обработкой или поручением обработки ПДн, требованиям законодательства РФ о ПДн;

- поддержание в актуальном состоянии внутренних документов Администрации, регламентирующих процессы обработки и обеспечения безопасности ПДн;

- доведение до сведения работников Администрации положений законодательства РФ о ПДн, внутренних документов Администрации по вопросам обработки ПДн, требований по обеспечению безопасности ПДн при их обработке и хранении;

- организация приема и обработки (рассмотрения, подготовки ответов) обращений и запросов субъектов ПДн или их представителей, а также иных органов и организаций по вопросам, связанным с обработкой, передачей или защитой ПДн;

- участие в выборе методов и способов защиты ПДн, обрабатываемых в ИСПДн, формирование требований по обеспечению безопасности ПДн с помощью организационно-режимных мер защиты;

- организация физической защиты помещений с установленными техническими средствами, участвующими в обработке ПДн, а также помещений, где хранятся материальные носители ПДн, дистрибутивы и документация к средствам защиты информации;

- участие по решению администратора информационной безопасности Администрации в реагировании на инциденты информационной безопасности, связанные с нарушением заданных характеристик безопасности ПДн;

осуществление текущего контроля соблюдения работниками правил обработки ПДн и требований по обеспечению их безопасности.

4. Обязанности лица, ответственного за организацию обработки ПДн

4.1. На лицо, ответственное за организацию обработки ПДн, возлагается ответственность за обеспечение соблюдения в Администрации требований законодательства РФ в области ПДн, а также нормативных правовых актов, регулирующих сферу обработки и обеспечения безопасности ПДн.

4.2. В случае внесения изменений в обрабатываемые ПДн, лицо, ответственное за организацию обработки ПДн, обязано обеспечить (организовать) уведомление третьих лиц, которым были переданы ПДн, о внесенных в них изменениях.

4.3. Лицо, ответственное за организацию обработки ПДн, несет ответственность за поддержание в актуальном состоянии внутренних организационно-распорядительных документов по вопросам обработки ПДн (в части обработки ПДн в Администрации) и обеспечения безопасности ПДн при их обработке и хранении, а также:

- Перечня должностей, замещение которых предусматривает осуществление обработки ПДн либо осуществление доступа к ПДн;

- Перечня целей и сроков обработки ПДн в Администрации.

- Лицо, ответственное за организацию обработки ПДн, обеспечивает своевременную передачу сведений, необходимых для актуализации соответствующих документов, администратору информационной безопасности Администрации.

- Лицо, ответственное за организацию обработки ПДн, обеспечивает ознакомление работников соответствующего структурного подразделения Администрации с внутренними документами Администрации, регламентирующими процессы обработки и обеспечения безопасности ПДн, в части, их касающейся.

4.4.              Лицо, ответственное за организацию обработки ПДн, несет ответственность за недопущение к обработке ПДн (запрет доступа к ПДн) работников Администрации, не ознакомленных с положениями законодательства РФ о ПДн, внутренних документов Администрации по вопросам обработки ПДн, требованиями по обеспечению безопасности ПДн при их обработке и хранении.

4.5. Лицо, ответственное за организацию обработки ПДн, обеспечивает соблюдение установленных сроков рассмотрения обращений и запросов субъектов ПДн или их представителей, а также иных органов и организаций по вопросам, связанным с обработкой, передачей или защитой ПДн, соблюдение требований законодательства РФ в области ПДн и внутренних документов Администрации при рассмотрении обращений и запросов и ответе на них.

В случае поступления в Администрацию обращения или запроса, связанного с требованием уточнения, блокирования или уничтожения ПДн, обрабатываемых в Администрации, лицо, ответственное за организацию обработки ПДн, обязано обеспечить блокирование (временное прекращение обработки) ПДн на период проведения проверки сведений, изложенных в запросе, в случае, если блокирование не нарушает права и законные интересы субъекта ПДн или третьих лиц.

4.6. Лицо, ответственное за организацию обработки ПДн, формирует перечень требований по обеспечению физической защиты помещений с установленными техническими средствами, участвующими в обработке ПДн, а также помещений, где хранятся материальные носители ПДн, в Администрации, организует проведение работ по обеспечению физической защиты таких помещений.

4.7. Лицу, ответственному за организацию обработки ПДн, запрещается использовать предоставленные полномочия в целях, отличных от целей, предусмотренных служебными обязанностями.

5. Права лица, ответственного за организацию обработки ПДн

5.1 Лицо, ответственное за организацию обработки ПДн, имеет право:

- осуществлять оперативное вмешательство в работу сотрудников Администрации при явной угрозе безопасности информации в результате несоблюдения установленного режима обработки ПДн и (или) невыполнения требований по обеспечению безопасности ПДн с последующим докладом администратору информационной безопасности Администрации;

- вносить свои предложения по совершенствованию мер защиты обрабатываемых ПДн.

Ознакомлен:

Дата

Приложение 5

к постановлению Администрации

МО СП «Гильбиринское»

от _________2020 г. №_____

ИНСТРУКЦИЯ

пользователя информационной системы персональных данных

Администрации МО СП «Гильбиринское»

Введение

Настоящая инструкция определяет основные обязанности лиц, получивших в установленном порядке доступ к информационным системам персональных данных Администрации МО СП «Гильбиринское» (далее по тексту — Администрация) в целях обработки персональных данных (пользователи информационных систем персональных данных) и порядок действий пользователей в случае возникновения нештатной ситуации.

2. Общие положения

2.1. При обработке персональных данных (далее по тексту – ПДн) пользователь информационной системы персональных данных (далее по тексту – ИСПДн) обязан выполнять требования действующего законодательства Российской Федерации и внутренних документов Администрации по вопросам защиты информации.

2.2. Пользователь ИСПДн, помимо обязанностей, закрепленных настоящей Инструкцией, должен следовать указаниям и распоряжениям администратора информационной безопасности. Пользователи ИСПДн, являющиеся работниками Администрации, кроме того, следуют указаниям и распоряжениям лица, ответственного за организацию обработки ПДн в Администрации.

3. Обязанности пользователя информационной системы персональных данных

3.1. При необходимости получения дополнительных полномочий в отношении доступа к защищаемым информационным (программным) ресурсам Администрации, установки необходимого программного обеспечения пользователь ИСПДн составляет служебную записку по установленной форме на имя своего непосредственного руководителя с обоснованием необходимости предоставления ему дополнительных полномочий (прав доступа) либо установки программного обеспечения.

3.2. Пользователь ИСПДн обязан соблюдать конфиденциальность информации, доступ к которой был ему предоставлен для исполнения служебных обязанностей либо был получен им случайно (вследствие произошедшей ошибки). Пользователь ИСПДн должен сохранять в тайне используемые пароли и парольную информацию, надежно хранить выданные ему материальные носители аутентификационной и ключевой информации.

3.3. Пользователь ИСПДн должен завершать открытую пользовательскую сессию либо использовать функцию временной блокировки рабочей станции при оставлении рабочего места, обеспечивать корректное завершение всех открытых сессий, закрытие всех приложений перед выключением компьютера.

3.4. Пользователь ИСПДн обязан незамедлительно изымать распечатанные документы, содержащие конфиденциальную информацию, в том числе, ПДн, из лотка принтера.

3.5. Пользователь ИСПДн обязан незамедлительно уведомлять администратора информационной безопасности о ставших известными ему фактах нарушения иными сотрудниками установленных правил доступа, сообщать администратору информационной безопасности о ставших известными ему существующих каналах утечки, способах и средствах обхода или разрушения используемых механизмов защиты.

3.6. При возникновении нештатных ситуаций, связанных с нарушением функционирования ИСПДн пользователь обязан уведомить администратора ИСПДн (при его наличии). При этом пользователь должен четко описать событие и обстоятельства, при которых произошло или было обнаружено событие, по возможности охарактеризовать действия, при которых происходит событие.

3.7. К нештатным ситуациям относятся:

- нетипичное поведение системы, невозможность входа в систему;

- выявление факта несанкционированного изменения либо удаления информации;

- отказы, сбои, ошибки приложений, сервисов, служб и технических средств.

3.8. При обнаружении факта несанкционированного проникновения в контролируемую зону, несанкционированного доступа к техническим средствам, кражи технических средств или носителей ПДн пользователь докладывает о ситуации администратору информационной безопасности и лицу, ответственному за физическую защиту помещений (здания). Пользователь обеспечивает сохранение помещения в первоначальном виде, препятствует доступу остальных сотрудников (за исключением администратора информационной безопасности) и возможному уничтожению улик до прибытия лица, ответственного за физическую защиту помещений (здания).

3.9. В случае чрезвычайного происшествия (пожар, затопление и т. д.) пользователь оповещает ответственное лицо и действует в соответствии с принятыми планами действий в случае чрезвычайного происшествия.

3.10. Пользователю ИСПДн запрещается:

- предоставлять доступ к своему рабочему месту посторонним лицам в отсутствие лица, ответственного за организацию обработки ПДн в соответствующем структурном подразделении Администрации, и администратора информационной безопасности;

- использовать технические, программные средства и информационные ресурсы в личных (не служебных) целях;

- использовать не по прямому назначению информацию, доступ к которой был предоставлен ему для исполнения служебных обязанностей либо был получен случайно (вследствие произошедшей ошибки);

- входить в систему или работать в ней под чужой учетной записью;

- подключать к рабочему месту и использовать личные (неучтенные) носители информации;

- оставлять без присмотра носители ПДн;

- осуществлять копирование данных на отчуждаемые носители, не предусмотренное технологическим процессом обработки информации или служебными обязанностями пользователя;

- отправлять документы и файлы, содержащие ПДн, на печать на удаленный принтер;

- использовать для передачи ПДн не предназначенные для этого средства и каналы связи, передавать ПДн по незащищенным каналам связи без обеспечения должного уровня их защиты;

- самостоятельно устанавливать любое дополнительное программное обеспечение;

- отключать средства защиты информации, вносить изменения в их конфигурацию;

- осуществлять попытки сканирования сети, обхода функционирующих средств защиты, получения несанкционированного доступа к ресурсам, воздействия на информационные ресурсы и технические средства.

4. Требования по использованию паролей пользователей

4.1. В качестве пароля пользователя при осуществлении доступа к ИСПДн должна быть выбрана последовательность букв верхнего и нижнего регистра с обязательным включением цифр и (или) специальных символов длиной не менее 8 знаков.

4.2. Категорически запрещается использование в качестве пароля легко угадываемых последовательностей символов (идентификатор пользователя, его фамилия, имя или отчество, номер телефона, имена родственников, последовательно расположенные на стандартной клавиатуре символы, табельный номер и т. п.). Запрещается использование в качестве паролей слов распространенных мировых языков независимо от раскладки клавиатуры, в которой они набираются.

4.3. Рекомендуется наряду с английскими буквами использовать буквы русского алфавита (с переключением набора символов на клавиатуре).

4.4. При смене пароля запрещается выбирать ранее использованные пароли.

4.5. Пароль пользователя должен быть уникальным и не должен совпадать с другими паролями данного пользователя, в частности, с паролями электронной почты, программ обмена мгновенными сообщениями и др.

4.6. Максимальный срок использования пароля пользователя – 12 месяцев. Пользователь обязан сменить пароль на новый, ранее не применявшийся и удовлетворяющий требованиям данного раздела, при сообщении системой об окончании срока действия личного пароля либо по требованию администратора информационной безопасности.

4.7. Пользователю запрещается хранить пароль в записанном виде. За нарушение данного правила пользователь может быть привлечен к дисциплинарной ответственности.

4.8. Хранение пользователем своего пароля на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе руководителя подразделения в опечатанном личной печатью пенале (конверте). При нарушении целостности печати или утрате бумажного носителя пароль считается скомпрометированным.

4.9. Ввод личного пароля пользователю следует проводить в отсутствие лиц, которые потенциально могут увидеть процесс набора символов на клавиатуре.

4.10. Пользователю запрещается сообщать личный пароль другим сотрудникам, руководителям подразделения, иным лицам либо предоставлять им возможность совершать действия с защищаемыми ресурсами Администрации от лица своей учетной записи. Обо всех попытках получения пароля пользователя (в том числе по телефону, icq, электронной почте) пользователь обязан уведомить администратора информационной безопасности.

4.11. В случае возникновения подозрений о компрометации пароля пользователь должен незамедлительно сменить его и сообщить о своих подозрениях администратору информационной безопасности. В случае невозможности самостоятельной смены пароля пользователь обязан уведомить об этом администратора информационной безопасности.

5. Ответственность пользователя

5.1. Пользователь несет ответственность за все действия, совершенные от имени его учетной записи в ИСПДн, если не доказан факт несанкционированного использования учетной записи.

5.2. Нарушение пользователем требований данной инструкции влечет дисциплинарную, гражданскую, административную, уголовную и иную ответственность в соответствии с действующим законодательством Российской Федерации.

6. Срок действия инструкции

6.1. Настоящая инструкция вступает в силу с момента опубликования и действует до ее отмены либо замены новой инструкцией.

Ознакомлены

С правилами ознакомлен(а), правила мной изучены и понятны.

№ п/п

Ф.И.О. работника

Должность

Дата ознакомления

Личная подпись

1

Главный бухгалтер

2

Главный специалист администрации

3

Ведущий специалист по ведению похозяйственных книг

4

Ведущий специалист по имущественным и земельным вопросам

5

Начальник военно-учетного стола

[1]