Основная информация
Дата опубликования: | 03 июля 2019г. |
Номер документа: | RU45000201900537 |
Текущая редакция: | 1 |
Статус нормативности: | Нормативный |
Субъект РФ: | Курганская область |
Принявший орган: | Управление по физической культуре, спорту и туризму Курганской области |
Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
ГУБЕРНАТОР КАМЧАТСКОГО КРАЯ
УПРАВЛЕНИЕ ПО ФИЗИЧЕСКОЙ КУЛЬТУРЕ И СПОРТУ
Курганской области
ПРИКАЗ
от 3 июля 2019 года. № 477
О МЕРАХ ПО РЕАЛИЗАЦИИ ОТДЕЛЬНЫХ ПОЛОЖЕНИЙ ФЕДЕРАЛЬНОО ЗАКОНА
«О ПЕРСОНАЛЬНЫХ ДАННЫХ»
В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» ПРИКАЗЫВАЮ:
1. Назначить ответственным за организацию обработки персональных данных в Управлении по физической культуре и спорту Курганской области заместителя начальника Управления по физической культуре и спорту Курганской области.
2. Утвердить:
1) Перечень должностей государственной гражданской службы Курганской области и должностей, не отнесенных к государственным должностям Курганской области и должностям государственной гражданской службы Курганской области в Управлении по физической культуре и спорту Курганской области, замещение которых предусматривает осуществление обработки персональных данных, доступа к персональным данным и (или) проведение мероприятий по обезличиванию данных, согласно приложению 1 к настоящему приказу.
2) Правила работы с обезличенными данными в случае обезличивания персональных данных в Управлении по физической культуре и спорту Курганской области, согласно приложению 2 к настоящему приказу.
3) Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Управлении по физической культуре и спорту Курганской области, согласно приложению 3 к настоящему приказу.
4) Порядок доступа служащих Управления по физической культуре и спорту Курганской области в помещения, в которых ведется обработка персональных данных, согласно приложению 4 к настоящему приказу.
5) Должностную инструкцию ответственного за организацию обработки персональных данных в Управлении по физической культуре и спорту Курганской области, согласно приложению 5 к настоящему приказу.
3. Документы, определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте Управления по физической культуре и спорту Курганской области в течение 10 дней после их утверждения.
4. Признать утратившими силу приказы Управления по физической культуре, спорту и туризму Курганской области от 28 марта 2016 года № 112 «Об утверждении Порядка доступа служащих Управления по физической культуре, спорту и туризму Курганской области в помещения, в которых ведется обработка персональных данных», от 11 апреля 2016 года № 133 «О назначении ответственного за обработку персональных данных в Управлении по физической культуре, спорту и туризму Курганской области», от 25 апреля 2016 года № 159 «О мерах по реализации отдельных положений Федерального закона «О персональных данных».
5. Опубликовать настоящий приказ в установленном порядке.
6. Контроль за исполнением приказа оставляю за собой.
Начальник Управления
по физической культуре и спорту
Курганской области А.А. Васильев
Приложение 1 к приказу
Управления по физической культуре и
спорту Курганской области
3 июля 2019 года № 477
«О мерах по реализации отдельных положений
Федерального закона «О персональных данных»
Перечень должностей государственной гражданской службы Курганской области и должностей, не отнесенных к государственным должностям Курганской области и должностям государственной гражданской службы Курганской области в Управлении по физической культуре и спорту Курганской области, замещение которых предусматривает осуществление обработки персональных данных, доступа к персональным данным и (или) проведение мероприятий по обезличиванию данных
Должности государственной гражданской службы Курганской области:
начальник Управления по физической культуре и спорту Курганской области;
заместитель начальника Управления по физической культуре и спорту Курганской области;
начальник отдела физической культуры и спорта;
начальник отдела экономики, государственных программ и проектов;
главный специалист - эксперт отдела физической культуры и спорта;
главный специалист - эксперт отдела экономики, государственных программ и проектов;
главный специалист отдела физической культуры и спорта;
главный специалист службы организационной и мобилизационной работы;
ведущий специалист отдела физической культуры и спорта;
ведущий специалист службы организационной и мобилизационной работы.
Должности, не отнесенные к государственным должностям Курганской области и должностям государственной гражданской службы Курганской области:
старший специалист отдела экономики, государственных программ и проектов.
Приложение 2 к приказу
Управления по физической культуре и
спорту Курганской области
3 июля 2019 года № 477
«О мерах по реализации отдельных положений
Федерального закона «О персональных данных»
Правила
работы с обезличенными данными в случае обезличивания персональных данных в Управлении по физической культуре и спорту
Курганской области
1. Настоящие Правила работы с обезличенными данными в случае обезличивания персональных данных в Управлении по физической культуре и спорту Курганской области (далее - Правила) в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных») и постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, определяют порядок работы с обезличенными данными в случае обезличивания персональных данных в Управлении по физической культуре и спорту Курганской области (далее - обезличенные данные, Управление соответственно).
2. Понятия, используемые в настоящих Правилах, применяются в значениях, определенных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
3. Обезличивание персональных данных осуществляется с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных Управления и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4. Способами обезличивания при условии дальнейшей обработки персональных данных являются:
- уменьшение перечня обрабатываемых сведений;
- замена части сведений идентификаторами;
- обобщение - понижение точности некоторых сведений;
- понижение точности некоторых сведений (например, «Место жительства» может включать сведения о стране, индексе, городе, улице, номерах дома и квартиры или только о городе);
- деление сведений на части и обработка в разных информационных системах;
- другие способы.
5. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
6. Для обезличивания персональных данных в Управлении применяются также иные способы, не запрещенные законодательством.
7. Перечень должностей государственной гражданской службы Курганской области и должностей, не отнесенных к государственным должностям Курганской области и должностям государственной гражданской службы Курганской области в Управлении, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных, утверждается приказом Управления.
8. Решение о необходимости обезличивания персональных данных принимается начальником Управления.
9. Руководители структурных подразделений Управления, непосредственно осуществляющие обработку персональных данных, готовят предложения по обезличиванию персональных данных с обоснованием такой необходимости и указанием способа обезличивания.
10. Сотрудники структурных подразделений Управления, обслуживающих базы данных с персональными данными, совместно с ответственным за организацию обработки персональных данных в Управлении, осуществляют непосредственное обезличивание персональных данных выбранным способом.
В случаях, установленных нормативными правовыми актами Российской Федерации, указанные лица в соответствии с требованиями и методами, установленными уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках государственных программ Курганской области.
11. Обезличенные данные не подлежат разглашению.
12. Обезличенные данные могут обрабатываться с использованием и без использования средств автоматизации.
13. При обработке обезличенных данных с использованием средств автоматизации необходимо соблюдение:
- парольной политики;
- антивирусной политики;
- правил работы со съемными носителями (если они используются);
- правил резервного копирования;
- правил доступа в помещения, в которых расположены элементы информационных систем.
14. При обработке обезличенных данных без использования средств автоматизации необходимо соблюдение:
- правил хранения бумажных носителей;
- правил доступа к ним и в помещения, в которых хранятся персональные данные.
Приложение 3 к приказу
Управления по физической культуре и
спорту Курганской области
3 июля 2019 года № 477
«О мерах по реализации отдельных положений
Федерального закона «О персональных данных»
Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Управлении по физической культуре и спорту Курганской области
1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Управлении по физической культуре и спорту Курганской области (далее - Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законам от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
2. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 года № 152- ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»), постановлением Правительства Российской Федерации от 15 сентября 2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.
3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона «О персональных данных».
4. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Управлении по физической культуре и спорту Курганской области (далее - Управление) организовывается проведение периодических проверок условий обработки персональных данных.
5. Проверки осуществляются ответственным за организацию обработки персональных данных в Управлении либо комиссией, образуемой приказом Управления.
В проведении проверки не может участвовать государственный гражданский служащий Курганской области, прямо или косвенно заинтересованный в её результатах.
6. Проверки соответствия обработки персональных данных установленным требованиям в Управлении проводятся не реже одного раза в год или на основании поступившего в Управление письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение 3 рабочих дней с момента поступления соответствующего заявления.
7. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
2) порядок и условия применения средств защиты информации;
3) эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
4) состояние учета машинных носителей персональных данных;
5) соблюдение правил доступа к персональным данным;
6) наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
7) мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) мероприятия по обеспечению целостности персональных данных.
8. Ответственный за организацию обработки персональных данных в Управлении (комиссия) имеет право:
1) запрашивать у сотрудников Управления информацию, необходимую для реализации полномочий;
2) требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
3) принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
4) вносить начальнику Управления предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
5) вносить начальнику Управления предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
9. Ответственный за организацию обработки персональных данных в Управлении, комиссия обеспечивают конфиденциальность персональных данных, ставших известными в ходе проведения мероприятий внутреннего контроля.
10. Проверка должна быть завершена не позднее, чем через 30 дней со дня принятия решения о ее проведении.
В течение 5 рабочих дней со дня окончания проверки ответственный за организацию обработки персональных данных либо председатель комиссии докладывает о результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, начальнику Управления в форме письменного заключения.
11. Начальник Управления по результатам проведенной проверки в течение 2 рабочих дней принимает одно из следующих решений:
1) о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных;
2) об отсутствии оснований для привлечения к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
Приложение 4 к приказу
Управления по физической культуре и
спорту Курганской области
3 июля 2019 года № 477
«О мерах по реализации отдельных положений
Федерального закона «О персональных данных»
Порядок
доступа служащих Управления по физической культуре и спорту Курганской области в помещения, в которых ведется обработка персональных данных
1. Настоящий Порядок доступа служащих Управления по физической культуре и спорту Курганской области в помещения, в которых ведется обработка персональных данных (далее - Порядок), разработан в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152 - ФЗ «О персональных данных», постановлениями Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.
2. Целью настоящего Порядка является исключение несанкционированного доступа к персональным данным, обрабатываемым в Управления по физической культуре и спорту Курганской области (далее – Управление), лиц, не допущенных к обработке персональных данных в Управлении.
3. Персональные данные относятся к конфиденциальной информации. Служащие Управления, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
4. Обеспечение безопасности персональных данных от уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных достигается, в том числе, установлением правил доступа в помещения, где обрабатываются персональные данные с использованием и без использования средств автоматизации.
5. Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств зашиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц. При хранении материальных носителей персональных данных, в том числе на бумажном носителе, должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
6. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только служащие Управления, допущенные к работе с ними.
7. Нахождение в помещениях, в которых ведется обработка персональных данных, лиц, не являющихся служащими Управления, или служащих Управления, не допущенных к обработке персональных данных, возможно только в присутствии служащих Управления, обрабатывающих в данном помещении персональные данные или допущенных к этим персональным данным. Время нахождения в помещениях ограничивается временем решения служебного вопроса, в рамках которого возникла необходимость пребывания в помещении. Все сотрудники, постоянно работающие в помещении, должны быть допущены к работе с соответствующими видами персональных данных.
8. Служащие Управления, допущенные к работе с персональными данными, не должны покидать помещение не убедившись, что доступ посторонних лиц к персональным данным невозможен. Запрещается оставлять материальные носители с персональными данными без присмотра в незапертом помещении.
9. Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, проводится в порядке, определенном Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами.
10. После окончания рабочего дня дверь каждого помещения, в котором ведется обработка персональных данных, закрывается на ключ. Ключи хранятся у служащих Управления без права их передачи третьим лицам.
11. В служебных помещениях, занимаемых Управлением применяются организационные, технические и физические меры, направленные для защиты от нецелевого использования, несанкционированного доступа, раскрытия, потери, изменения и уничтожения обрабатываемых персональных данных.
К указанным мерам относятся:
1) физические меры защиты: установка дверей, снабжённых замками, сейфов, штор или жалюзи на окнах, расположение мониторов, уничтожение носителей, содержащих персональные данные, и т.д.;
2) технические меры защиты: применение антивирусных программ, программ и средств защиты информации, установление паролей на персональных компьютерах, применение съемных носителей информации и т.д.;
3) организационные меры защиты: обучение и ознакомление с принципами безопасности и конфиденциальности, доведение до операторов обработки персональных данных важности защиты персональных данных и способов обеспечения защиты, допуск к обработке персональных данных только специально назначенных людей и т.д.
Приложение 5 к приказу
Управления по физической культуре и
спорту Курганской области
3 июля 2019 года № 477
«О мерах по реализации отдельных положений
Федерального закона «О персональных данных»
Должностная инструкция ответственного за организацию обработки персональных данных в Управлении по физической культуре и спорту Курганской области
Раздел I. Общие положения
1. Настоящая должностная инструкция определяет права, обязанности и ответственность ответственного за организацию обработки персональных данных в Управлении по физической культуре и спорту Курганской области (далее – ответственный за организацию обработки персональных данных).
2. Ответственный за организацию обработки персональных данных назначается приказом Управления по физической культуре и спорту Курганской области (далее – Управление).
3. Ответственный за организацию обработки персональных данных в своей деятельности руководствуется:
- Федеральным законом от 27 июля 2004 года № 79-ФЗ "О государственной гражданской службе Российской Федерации";
- Трудовым кодексом Российской Федерации;
- Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных";
- постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
- постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соотвествии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
Раздел II. Должностные обязанности
4. Ответственный за организацию обработки персональных данных обязан:
1) Предоставлять субъекту персональных данных по его просьбе следующую информацию:
подтверждение факта обработки персональных данных оператором: правовые основания и цели обработки персональных данных; цели и применяемые оператором способы обработки персональных данных; наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
информацию об осуществленной или предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» или другими федеральными законами.
2) Осуществлять внутренний контроль за соблюдением законодательства Российской Федерации при обработке персональных данных в Управлении, в том числе
Требований к защите персональных данных.
3) Доводить до сведения сотрудников Управления положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных.
4) Организовать прием обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
5) Получать согласия на обработку персональных данных субъектов персональных данных.
6) Разъяснять субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.
Раздел III. Права
5. Ответственный за организацию персональных данных имеет право:
1) Запрашивать у сотрудников Управления информацию, необходимую для реализации своих полномочий.
2) Требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных.
3) Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации.
4) Вносить на рассмотрение начальника Управления предложения о совершенствовании правового, технического и организационного регулирования безопасности персональных данных при их обработке.
5) Вносить на рассмотрение начальника Управления предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской федерации в отношении обработки персональных данны.
Раздел IV. Ответственность
За неисполнение или ненадлежащее исполнение возложенных обязанностей ответственный за обработку персональных данных может привлечен к ответственности в соотвествии с действующим законодательством.
С инструкцией ознакомлен (а) ______________________________
(дата, подпись)
ГУБЕРНАТОР КАМЧАТСКОГО КРАЯ
УПРАВЛЕНИЕ ПО ФИЗИЧЕСКОЙ КУЛЬТУРЕ И СПОРТУ
Курганской области
ПРИКАЗ
от 3 июля 2019 года. № 477
О МЕРАХ ПО РЕАЛИЗАЦИИ ОТДЕЛЬНЫХ ПОЛОЖЕНИЙ ФЕДЕРАЛЬНОО ЗАКОНА
«О ПЕРСОНАЛЬНЫХ ДАННЫХ»
В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» ПРИКАЗЫВАЮ:
1. Назначить ответственным за организацию обработки персональных данных в Управлении по физической культуре и спорту Курганской области заместителя начальника Управления по физической культуре и спорту Курганской области.
2. Утвердить:
1) Перечень должностей государственной гражданской службы Курганской области и должностей, не отнесенных к государственным должностям Курганской области и должностям государственной гражданской службы Курганской области в Управлении по физической культуре и спорту Курганской области, замещение которых предусматривает осуществление обработки персональных данных, доступа к персональным данным и (или) проведение мероприятий по обезличиванию данных, согласно приложению 1 к настоящему приказу.
2) Правила работы с обезличенными данными в случае обезличивания персональных данных в Управлении по физической культуре и спорту Курганской области, согласно приложению 2 к настоящему приказу.
3) Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Управлении по физической культуре и спорту Курганской области, согласно приложению 3 к настоящему приказу.
4) Порядок доступа служащих Управления по физической культуре и спорту Курганской области в помещения, в которых ведется обработка персональных данных, согласно приложению 4 к настоящему приказу.
5) Должностную инструкцию ответственного за организацию обработки персональных данных в Управлении по физической культуре и спорту Курганской области, согласно приложению 5 к настоящему приказу.
3. Документы, определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте Управления по физической культуре и спорту Курганской области в течение 10 дней после их утверждения.
4. Признать утратившими силу приказы Управления по физической культуре, спорту и туризму Курганской области от 28 марта 2016 года № 112 «Об утверждении Порядка доступа служащих Управления по физической культуре, спорту и туризму Курганской области в помещения, в которых ведется обработка персональных данных», от 11 апреля 2016 года № 133 «О назначении ответственного за обработку персональных данных в Управлении по физической культуре, спорту и туризму Курганской области», от 25 апреля 2016 года № 159 «О мерах по реализации отдельных положений Федерального закона «О персональных данных».
5. Опубликовать настоящий приказ в установленном порядке.
6. Контроль за исполнением приказа оставляю за собой.
Начальник Управления
по физической культуре и спорту
Курганской области А.А. Васильев
Приложение 1 к приказу
Управления по физической культуре и
спорту Курганской области
3 июля 2019 года № 477
«О мерах по реализации отдельных положений
Федерального закона «О персональных данных»
Перечень должностей государственной гражданской службы Курганской области и должностей, не отнесенных к государственным должностям Курганской области и должностям государственной гражданской службы Курганской области в Управлении по физической культуре и спорту Курганской области, замещение которых предусматривает осуществление обработки персональных данных, доступа к персональным данным и (или) проведение мероприятий по обезличиванию данных
Должности государственной гражданской службы Курганской области:
начальник Управления по физической культуре и спорту Курганской области;
заместитель начальника Управления по физической культуре и спорту Курганской области;
начальник отдела физической культуры и спорта;
начальник отдела экономики, государственных программ и проектов;
главный специалист - эксперт отдела физической культуры и спорта;
главный специалист - эксперт отдела экономики, государственных программ и проектов;
главный специалист отдела физической культуры и спорта;
главный специалист службы организационной и мобилизационной работы;
ведущий специалист отдела физической культуры и спорта;
ведущий специалист службы организационной и мобилизационной работы.
Должности, не отнесенные к государственным должностям Курганской области и должностям государственной гражданской службы Курганской области:
старший специалист отдела экономики, государственных программ и проектов.
Приложение 2 к приказу
Управления по физической культуре и
спорту Курганской области
3 июля 2019 года № 477
«О мерах по реализации отдельных положений
Федерального закона «О персональных данных»
Правила
работы с обезличенными данными в случае обезличивания персональных данных в Управлении по физической культуре и спорту
Курганской области
1. Настоящие Правила работы с обезличенными данными в случае обезличивания персональных данных в Управлении по физической культуре и спорту Курганской области (далее - Правила) в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных») и постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, определяют порядок работы с обезличенными данными в случае обезличивания персональных данных в Управлении по физической культуре и спорту Курганской области (далее - обезличенные данные, Управление соответственно).
2. Понятия, используемые в настоящих Правилах, применяются в значениях, определенных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
3. Обезличивание персональных данных осуществляется с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных Управления и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4. Способами обезличивания при условии дальнейшей обработки персональных данных являются:
- уменьшение перечня обрабатываемых сведений;
- замена части сведений идентификаторами;
- обобщение - понижение точности некоторых сведений;
- понижение точности некоторых сведений (например, «Место жительства» может включать сведения о стране, индексе, городе, улице, номерах дома и квартиры или только о городе);
- деление сведений на части и обработка в разных информационных системах;
- другие способы.
5. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
6. Для обезличивания персональных данных в Управлении применяются также иные способы, не запрещенные законодательством.
7. Перечень должностей государственной гражданской службы Курганской области и должностей, не отнесенных к государственным должностям Курганской области и должностям государственной гражданской службы Курганской области в Управлении, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных, утверждается приказом Управления.
8. Решение о необходимости обезличивания персональных данных принимается начальником Управления.
9. Руководители структурных подразделений Управления, непосредственно осуществляющие обработку персональных данных, готовят предложения по обезличиванию персональных данных с обоснованием такой необходимости и указанием способа обезличивания.
10. Сотрудники структурных подразделений Управления, обслуживающих базы данных с персональными данными, совместно с ответственным за организацию обработки персональных данных в Управлении, осуществляют непосредственное обезличивание персональных данных выбранным способом.
В случаях, установленных нормативными правовыми актами Российской Федерации, указанные лица в соответствии с требованиями и методами, установленными уполномоченным органом по защите прав субъектов персональных данных, осуществляют обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках государственных программ Курганской области.
11. Обезличенные данные не подлежат разглашению.
12. Обезличенные данные могут обрабатываться с использованием и без использования средств автоматизации.
13. При обработке обезличенных данных с использованием средств автоматизации необходимо соблюдение:
- парольной политики;
- антивирусной политики;
- правил работы со съемными носителями (если они используются);
- правил резервного копирования;
- правил доступа в помещения, в которых расположены элементы информационных систем.
14. При обработке обезличенных данных без использования средств автоматизации необходимо соблюдение:
- правил хранения бумажных носителей;
- правил доступа к ним и в помещения, в которых хранятся персональные данные.
Приложение 3 к приказу
Управления по физической культуре и
спорту Курганской области
3 июля 2019 года № 477
«О мерах по реализации отдельных положений
Федерального закона «О персональных данных»
Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Управлении по физической культуре и спорту Курганской области
1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Управлении по физической культуре и спорту Курганской области (далее - Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законам от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
2. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 года № 152- ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»), постановлением Правительства Российской Федерации от 15 сентября 2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.
3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона «О персональных данных».
4. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Управлении по физической культуре и спорту Курганской области (далее - Управление) организовывается проведение периодических проверок условий обработки персональных данных.
5. Проверки осуществляются ответственным за организацию обработки персональных данных в Управлении либо комиссией, образуемой приказом Управления.
В проведении проверки не может участвовать государственный гражданский служащий Курганской области, прямо или косвенно заинтересованный в её результатах.
6. Проверки соответствия обработки персональных данных установленным требованиям в Управлении проводятся не реже одного раза в год или на основании поступившего в Управление письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение 3 рабочих дней с момента поступления соответствующего заявления.
7. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
2) порядок и условия применения средств защиты информации;
3) эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
4) состояние учета машинных носителей персональных данных;
5) соблюдение правил доступа к персональным данным;
6) наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
7) мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) мероприятия по обеспечению целостности персональных данных.
8. Ответственный за организацию обработки персональных данных в Управлении (комиссия) имеет право:
1) запрашивать у сотрудников Управления информацию, необходимую для реализации полномочий;
2) требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
3) принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
4) вносить начальнику Управления предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
5) вносить начальнику Управления предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
9. Ответственный за организацию обработки персональных данных в Управлении, комиссия обеспечивают конфиденциальность персональных данных, ставших известными в ходе проведения мероприятий внутреннего контроля.
10. Проверка должна быть завершена не позднее, чем через 30 дней со дня принятия решения о ее проведении.
В течение 5 рабочих дней со дня окончания проверки ответственный за организацию обработки персональных данных либо председатель комиссии докладывает о результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, начальнику Управления в форме письменного заключения.
11. Начальник Управления по результатам проведенной проверки в течение 2 рабочих дней принимает одно из следующих решений:
1) о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных;
2) об отсутствии оснований для привлечения к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
Приложение 4 к приказу
Управления по физической культуре и
спорту Курганской области
3 июля 2019 года № 477
«О мерах по реализации отдельных положений
Федерального закона «О персональных данных»
Порядок
доступа служащих Управления по физической культуре и спорту Курганской области в помещения, в которых ведется обработка персональных данных
1. Настоящий Порядок доступа служащих Управления по физической культуре и спорту Курганской области в помещения, в которых ведется обработка персональных данных (далее - Порядок), разработан в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152 - ФЗ «О персональных данных», постановлениями Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.
2. Целью настоящего Порядка является исключение несанкционированного доступа к персональным данным, обрабатываемым в Управления по физической культуре и спорту Курганской области (далее – Управление), лиц, не допущенных к обработке персональных данных в Управлении.
3. Персональные данные относятся к конфиденциальной информации. Служащие Управления, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
4. Обеспечение безопасности персональных данных от уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных достигается, в том числе, установлением правил доступа в помещения, где обрабатываются персональные данные с использованием и без использования средств автоматизации.
5. Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств зашиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц. При хранении материальных носителей персональных данных, в том числе на бумажном носителе, должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
6. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только служащие Управления, допущенные к работе с ними.
7. Нахождение в помещениях, в которых ведется обработка персональных данных, лиц, не являющихся служащими Управления, или служащих Управления, не допущенных к обработке персональных данных, возможно только в присутствии служащих Управления, обрабатывающих в данном помещении персональные данные или допущенных к этим персональным данным. Время нахождения в помещениях ограничивается временем решения служебного вопроса, в рамках которого возникла необходимость пребывания в помещении. Все сотрудники, постоянно работающие в помещении, должны быть допущены к работе с соответствующими видами персональных данных.
8. Служащие Управления, допущенные к работе с персональными данными, не должны покидать помещение не убедившись, что доступ посторонних лиц к персональным данным невозможен. Запрещается оставлять материальные носители с персональными данными без присмотра в незапертом помещении.
9. Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, проводится в порядке, определенном Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами.
10. После окончания рабочего дня дверь каждого помещения, в котором ведется обработка персональных данных, закрывается на ключ. Ключи хранятся у служащих Управления без права их передачи третьим лицам.
11. В служебных помещениях, занимаемых Управлением применяются организационные, технические и физические меры, направленные для защиты от нецелевого использования, несанкционированного доступа, раскрытия, потери, изменения и уничтожения обрабатываемых персональных данных.
К указанным мерам относятся:
1) физические меры защиты: установка дверей, снабжённых замками, сейфов, штор или жалюзи на окнах, расположение мониторов, уничтожение носителей, содержащих персональные данные, и т.д.;
2) технические меры защиты: применение антивирусных программ, программ и средств защиты информации, установление паролей на персональных компьютерах, применение съемных носителей информации и т.д.;
3) организационные меры защиты: обучение и ознакомление с принципами безопасности и конфиденциальности, доведение до операторов обработки персональных данных важности защиты персональных данных и способов обеспечения защиты, допуск к обработке персональных данных только специально назначенных людей и т.д.
Приложение 5 к приказу
Управления по физической культуре и
спорту Курганской области
3 июля 2019 года № 477
«О мерах по реализации отдельных положений
Федерального закона «О персональных данных»
Должностная инструкция ответственного за организацию обработки персональных данных в Управлении по физической культуре и спорту Курганской области
Раздел I. Общие положения
1. Настоящая должностная инструкция определяет права, обязанности и ответственность ответственного за организацию обработки персональных данных в Управлении по физической культуре и спорту Курганской области (далее – ответственный за организацию обработки персональных данных).
2. Ответственный за организацию обработки персональных данных назначается приказом Управления по физической культуре и спорту Курганской области (далее – Управление).
3. Ответственный за организацию обработки персональных данных в своей деятельности руководствуется:
- Федеральным законом от 27 июля 2004 года № 79-ФЗ "О государственной гражданской службе Российской Федерации";
- Трудовым кодексом Российской Федерации;
- Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных";
- постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
- постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соотвествии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
Раздел II. Должностные обязанности
4. Ответственный за организацию обработки персональных данных обязан:
1) Предоставлять субъекту персональных данных по его просьбе следующую информацию:
подтверждение факта обработки персональных данных оператором: правовые основания и цели обработки персональных данных; цели и применяемые оператором способы обработки персональных данных; наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
информацию об осуществленной или предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» или другими федеральными законами.
2) Осуществлять внутренний контроль за соблюдением законодательства Российской Федерации при обработке персональных данных в Управлении, в том числе
Требований к защите персональных данных.
3) Доводить до сведения сотрудников Управления положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных.
4) Организовать прием обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
5) Получать согласия на обработку персональных данных субъектов персональных данных.
6) Разъяснять субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.
Раздел III. Права
5. Ответственный за организацию персональных данных имеет право:
1) Запрашивать у сотрудников Управления информацию, необходимую для реализации своих полномочий.
2) Требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных.
3) Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации.
4) Вносить на рассмотрение начальника Управления предложения о совершенствовании правового, технического и организационного регулирования безопасности персональных данных при их обработке.
5) Вносить на рассмотрение начальника Управления предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской федерации в отношении обработки персональных данны.
Раздел IV. Ответственность
За неисполнение или ненадлежащее исполнение возложенных обязанностей ответственный за обработку персональных данных может привлечен к ответственности в соотвествии с действующим законодательством.
С инструкцией ознакомлен (а) ______________________________
(дата, подпись)
Дополнительные сведения
Государственные публикаторы: | Портал "Нормативные правовые акты в Российской Федерации" от 17.07.2019 |
Рубрики правового классификатора: | 020.020.020 Государственная служба субъектов Российской Федерации, 120.000.000 Информация и информатизация, 120.010.000 Общие положения в сфере информации и информатизации, 120.020.000 Управление в сфере информации и информатизации (см. также 010.150.040, 020.010.040, 020.010.050) |
Вопрос юристу
Поделитесь ссылкой на эту страницу: