Основная информация
| Дата опубликования: | 08 августа 2018г. |
| Номер документа: | RU47000201800829 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Ленинградская область |
| Принявший орган: | Комитет правопорядка и безопасности Ленинградской области |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
КОМИТЕТ ПРАВОПОРЯДКА И БЕЗОПАСНОСТИ ЛЕНИНГРАДСКОЙ ОБЛАСТИ
ПРИКАЗ
от 8 августа 2018 г. № 17
ОБ УТВЕРЖДЕНИИ ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ
ДОКУМЕНТОВ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии с постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", постановлением Правительства Ленинградской области от 11 сентября 2015 года № 358 "Об утверждении типовых организационно-распорядительных документов операторов персональных данных", исполнением Комитетом правопорядка и безопасности Ленинградской области функций оператора по обработке персональных данных приказываю:
1. Утвердить следующие организационно-распорядительные документы оператора персональных данных - Комитета правопорядка и безопасности Ленинградской области:
1.1. Политику в отношении обработки персональных данных в Комитете правопорядка и безопасности Ленинградской области согласно приложению 1.
1.2. Правила обработки персональных данных в Комитете правопорядка и безопасности Ленинградской области согласно приложению 2.
1.3. Правила рассмотрения запросов субъектов персональных данных или их представителей согласно приложению 3.
1.4. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям защиты персональных, установленным Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами Комитета правопорядка и безопасности Ленинградской области согласно приложению 4.
1.5. Перечень персональных данных, обрабатываемых в Комитете правопорядка и безопасности Ленинградской области в связи с осуществлением государственных функций, согласно приложению 5.
1.6. Перечень должностей работников Комитета правопорядка и безопасности Ленинградской области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, согласно приложению 6.
1.7. Требования к содержанию должностного регламента ответственного за организацию обработки персональных данных согласно приложению 7.
1.8. Типовую форму обязательства работника Комитета правопорядка и безопасности Ленинградской области, непосредственно осуществляющего обработку персональных данных, прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, в случае расторжения с ним служебного контракта (трудового договора) согласно приложению 8.
1.9. Типовую форму согласия на обработку персональных данных субъектов персональных данных согласно приложению 9.
1.10. Типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные согласно приложению 10.
1.11. Порядок доступа работников Комитета правопорядка и безопасности Ленинградской области в помещения, в которых ведется обработка персональных данных, согласно приложению 11.
1.12. Типовой план правовых, организационных и технических мер по обеспечению безопасности персональных данных в Комитете правопорядка и безопасности Ленинградской области согласно приложению 12.
1.13. Порядок проведения проверок соответствия обработки персональных данных установленным требованиям в Комитете правопорядка и безопасности Ленинградской области согласно приложению 13.
2. Признать утратившим силу приказ Комитета правопорядка и безопасности Ленинградской области от 9 ноября 2015 года № 26 "О работе с персональными данными в Комитете правопорядка и безопасности Ленинградской области".
3. Отделу правового обеспечения довести приказ до всех работников Комитета правопорядка и безопасности Ленинградской области под роспись.
4. Настоящий приказ вступает в силу со дня его официального опубликования.
5. Контроль за исполнением настоящего приказа оставляю за собой.
Председатель Комитета
А.Степин
УТВЕРЖДЕНА
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 08.08.2018 № 17
(приложение 1)
ПОЛИТИКА
В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМИТЕТЕ
ПРАВОПОРЯДКА И БЕЗОПАСНОСТИ ЛЕНИНГРАДСКОЙ ОБЛАСТИ
1. Общие положения
1.1. Политика Комитета правопорядка и безопасности Ленинградской области (далее - Оператор) в отношении обработки персональных данных (далее - Политика) разработана в целях обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика разработана в соответствии с положениями Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных") и рекомендациями Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 июля 2017 года "Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных".
1.3. Понятия, связанные с персональными данными и их обработкой, применяются в Политике в соответствии с их содержанием, указанным в статье 3 Федерального закона "О персональных данных".
1.4. Права и обязанности Оператора.
1.4.1. Оператор вправе:
- отстаивать свои интересы в суде;
- предоставлять персональные данные субъектов в случаях, предусмотренных действующим законодательством;
- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
- использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством;
- осуществлять иные права, предусмотренные законодательством Российской Федерации.
1.4.2. Оператор обязан:
- принимать необходимые меры в сфере обработки и защиты персональных данных, предусмотренные законодательством Российской Федерации;
- соблюдать конфиденциальность персональных данных - не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
- разъяснять субъекту персональных данных юридические последствия отказа предоставления персональных данных, если это является обязательным в соответствии с законодательством Российской Федерации;
- осуществлять блокирование неправомерно обрабатываемых персональных данных;
- осуществлять прекращение обработки персональных данных в соответствии с законодательством Российской Федерации;
- уведомлять субъекта персональных данных об устранении допущенных нарушений или уничтожении его персональных данных;
- предоставлять по просьбе субъекта персональных данных или его представителя информацию, касающуюся обработки его персональных данных, в порядке, установленном законодательством Российской Федерации;
- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных и к сведениям о реализуемых требованиях к защите персональных данных;
- исполнять иные обязанности, предусмотренные законодательством Российской Федерации.
1.5. Права субъекта персональных данных.
1.5.1. Субъект персональных данных имеет право:
- получать информацию, касающуюся обработки его персональных данных, в объеме и случаях, предусмотренных законодательством Российской Федерации;
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Оператора при обработке его персональных данных;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и(или) компенсацию морального вреда в судебном порядке;
- осуществлять иные права, предусмотренные законодательством Российской Федерации.
1.6. Координация действий по обработке и обеспечению безопасности персональных данных Оператором возложена на работника, ответственного за организацию обработки персональных данных, назначенного правовым актом Оператора.
2. Цели сбора персональных данных
и состав персональных данных
2.1. Обработка персональных данных Оператором осуществляется в целях рассмотрения обращений граждан.
Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Правовые основания обработки персональных данных
Оператор осуществляет обработку персональных данных субъектов в соответствии со следующими правовыми актами:
- Конституция Российской Федерации,
- Федеральный закон от 27 июля 2006 года № 152-ФЗ "О персональных данных",
- Федеральный закон от 2 мая 2006 года № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации",
- постановление Правительства Российской Федерации от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами",
- постановление Правительства Ленинградской области от 11 сентября 2015 года № 358 "Об утверждении типовых организационно-распорядительных документов операторов персональных данных",
- постановление Правительства Ленинградской области от 30 июня 2014 года № 275 "Об утверждении Положения о Комитете правопорядка и безопасности Ленинградской области и признании утратившими силу некоторых постановлений Правительства Ленинградской области",
- иными правовыми актами в установленной сфере деятельности, а также согласием на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Оператора).
4. Объем и категории обрабатываемых персональных данных,
категории субъектов персональных данных
4.1. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки, перечисленным в разделе 2 настоящей Политики.
4.2. Обработке Оператором подлежат персональные данные граждан, обратившихся к Оператору с обращением.
4.3. К персональным данным, обрабатываемым без использования средств автоматизации в указанных целях, относятся: фамилия, имя, отчество, адрес места жительства и иные персональные данные, содержащиеся в обращениях граждан.
5. Порядок и условия обработки персональных данных
5.1. Обработка персональных данных осуществляется должностными лицами Оператора без использования средств автоматизации в соответствии с требованиями, установленными постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
5.2. Оператор осуществляет обработку персональных данных, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
5.3. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом "О персональных данных".
5.4. Обработка персональных данных Оператором ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.
5.5. Обработка персональных данных Оператором осуществляется в течение сроков, установленных законодательством.
5.6. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.7. При осуществлении хранения персональных данных Оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с частью 5 статьи 18 Федерального закона "О персональных данных".
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
5.8. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
5.9. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5.10. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами. Состав и перечень мер оператор определяет самостоятельно.
6. Актуализация, исправление, удаление и уничтожение
персональных данных, ответы на запросы субъектов на доступ
к персональным данным
6.1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона "О персональных данных", субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
6.2. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
6.3. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
6.4. Оператор обязан прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, действующим по поручению Оператора:
в случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, в срок, не превышающий трех рабочих дней с даты этого выявления;
в случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператором;
в случае достижения цели обработки персональных данных уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
УТВЕРЖДЕНЫ
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 08.08.2018 № 17
(приложение 2)
ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМИТЕТЕ ПРАВОПОРЯДКА
И БЕЗОПАСНОСТИ ЛЕНИНГРАДСКОЙ ОБЛАСТИ
1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей - рассмотрение поступающих обращений граждан.
Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в иных целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
8. Мерами, направленными на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, являются:
1) назначение ответственного за организацию обработки персональных данных;
2) издание документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона "О персональных данных";
4) осуществление внутреннего контроля и(или) аудита соответствия обработки персональных данных Федеральному закону "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Комитета безопасности и правопорядка Ленинградской области в отношении обработки персональных данных;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных";
6) выполнение мероприятий по удалению или уточнению неполных или неточных данных;
7) ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Комитета безопасности и правопорядка Ленинградской области в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и(или) обучение указанных работников.
9. Обеспечение безопасности персональных данных достигается:
1) определением угроз безопасности персональных данных;
2) применением организационных и(или) технических мер по обеспечению безопасности персональных данных при их обработке без использования средств автоматизации;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым без использования средств автоматизации;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных, а также безопасности персональных данных, обрабатываемых без использования средств автоматизации.
10. Цели обработки персональных данных определяются с учетом полномочий и функций Комитета правопорядка и безопасности Ленинградской области.
К персональным данным, обрабатываемым без использования средств автоматизации в указанных целях, относятся: фамилия, имя, отчество, адрес места жительства и иные персональные данные, содержащиеся в обращениях граждан.
Обработка персональных данных в соответствии с указанными целями осуществляется в отношении субъектов персональных данных, не являющихся работниками Комитета правопорядка и безопасности Ленинградской области.
11. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных неправомерно обрабатываемые персональные данные, относящиеся к этому субъекту персональных данных, блокируются с момента такого обращения или получения указанного запроса на период проверки.
В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных персональные данные, относящиеся к этому субъекту персональных данных, блокируются с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
12. В случае подтверждения факта неточности персональных данных Комитет безопасности и правопорядка Ленинградской области на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
13. В случае выявления неправомерной обработки персональных данных в срок, не превышающий трех рабочих дней с даты выявления, неправомерная обработка персональных данных прекращается. В случае если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, такие персональные данные уничтожаются.
Об устранении допущенных нарушений или об уничтожении персональных данных Комитет безопасности и правопорядка Ленинградской области уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
14. В случае достижения цели обработки персональных данных обработка персональных данных прекращается и осуществляется их уничтожение в срок, не превышающий 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Комитетом безопасности и правопорядка Ленинградской области и субъектом персональных данных либо если Комитет безопасности и правопорядка Ленинградской области не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.
15. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных обработка персональных данных прекращается и в случае, если сохранения персональных данных более не требуется для целей обработки персональных данных, персональные данные уничтожаются в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Комитетом безопасности и правопорядка Ленинградской области и субъектом персональных данных либо если Комитет безопасности и правопорядка Ленинградской области не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.
16. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 13 - 15 настоящих Правил, осуществляется блокирование таких персональных данных и уничтожение в срок не более шести месяцев, если иной срок не установлен федеральными законами.
УТВЕРЖДЕНЫ
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 08.08.2018 № 17
(приложение 3)
ПРАВИЛА
РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ В КОМИТЕТЕ ПРАВОПОРЯДКА И БЕЗОПАСНОСТИ
ЛЕНИНГРАДСКОЙ ОБЛАСТИ
1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые способы обработки персональных данных;
4) наименование и место нахождения Комитета правопорядка и безопасности Ленинградской области (далее - Комитет), сведения о лицах (за исключением работников Комитета), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Комитетом или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Комитета, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом "О персональных данных" или другими федеральными законами.
2. Субъект персональных данных вправе требовать от Комитета уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3. Сведения предоставляются субъекту персональных данных Комитетом в доступной форме без содержания персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
4. Сведения предоставляются субъекту персональных данных или его представителю Комитетом при обращении либо при получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Комитетом (номер договора, дата заключения договора, условное словесное обозначение и(или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Комитетом, подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
5. В случае если обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Комитет или направить повторный запрос в целях ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом "О персональных данных", принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
6. Субъект персональных данных вправе обратиться повторно в Комитет или направить ему повторный запрос в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 5 настоящих правил, в случае если такие сведения и(или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения.
Повторный запрос наряду со сведениями, указанными в пункте 4 настоящих правил, должен содержать обоснование направления повторного запроса.
7. Комитет вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 5 и 6 настоящих правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса возлагается на Комитет.
УТВЕРЖДЕНЫ
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 08.08.2018 № 17
(приложение 4)
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ "О ПЕРСОНАЛЬНЫХ
ДАННЫХ", ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ
ПРАВОВЫМИ АКТАМИ И ПРАВОВЫМИ АКТАМИ КОМИТЕТА ПРАВОПОРЯДКА
И БЕЗОПАСНОСТИ ЛЕНИНГРАДСКОЙ ОБЛАСТИ
1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и правовыми актами Комитета правопорядка и безопасности Ленинградской области (далее - Комитет), в Комитете организуется проведение периодических проверок условий обработки персональных данных (далее - проверки).
2. Проверки осуществляются должностным лицом, ответственным за организацию обработки персональных данных в Комитете, либо комиссией, образуемой распоряжением Комитета.
3. В проведении проверки не может участвовать должностное лицо, прямо или косвенно заинтересованное в ее результатах.
4. Проверки проводятся на основании утвержденного председателем Комитета ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего в Комитет письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
План осуществления внутреннего контроля должен включать перечень направлений и(или) мероприятий проверки, периодичность и(или) сроки их проведения, перечисление ответственных лиц за проведение проверки, перечень структурных подразделений и лиц, проверяемых в ходе проверки, примечания.
5. При проведении проверки должны быть полностью, объективно и всесторонне определены:
1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
2) порядок и условия применения средств защиты информации;
3) эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
4) состояние учета машинных носителей персональных данных;
5) соблюдение правил доступа к персональным данным;
6) наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
7) мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) мероприятия по обеспечению целостности персональных данных.
6. Должностное лицо, ответственное за организацию обработки персональных данных (комиссия), имеет право:
1) запрашивать у должностных лиц Комитета информацию, необходимую для выполнения своих обязанностей;
2) требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
3) принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации в области обработки персональных данных;
4) представлять председателю Комитета предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
5) представлять председателю Комитета предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в области обработки персональных данных.
7. В отношении персональных данных, ставших известными должностному лицу, ответственному за организацию обработки персональных данных (комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
8. Проверка должна быть завершена не позднее чем через десять рабочих дней со дня принятия решения о ее проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, председателю Комитета докладывает должностное лицо, ответственное за организацию обработки персональных данных, либо председатель комиссии в форме письменного заключения.
УТВЕРЖДЕН
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 08.08.2018 № 17
(приложение 5)
ПЕРЕЧЕНЬ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В КОМИТЕТЕ ПРАВОПОРЯДКА
И БЕЗОПАСНОСТИ ЛЕНИНГРАДСКОЙ ОБЛАСТИ В СВЯЗИ
С ОСУЩЕСТВЛЕНИЕМ ГОСУДАРСТВЕННЫХ ФУНКЦИЙ
Персональные данные граждан, обрабатываемые в связи с рассмотрением обращений граждан:
фамилия, имя, отчество;
адрес места жительства;
иные персональные данные, содержащиеся в обращениях граждан.
УТВЕРЖДЕН
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 08.08.2018 № 17
(приложение 6)
ПЕРЕЧЕНЬ
ДОЛЖНОСТЕЙ РАБОТНИКОВ КОМИТЕТА ПРАВОПОРЯДКА И БЕЗОПАСНОСТИ
ЛЕНИНГРАДСКОЙ ОБЛАСТИ, ЗАМЕЩЕНИЕ КОТОРЫХ ПРЕДУСМАТРИВАЕТ
ОСУЩЕСТВЛЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ЛИБО
ОСУЩЕСТВЛЕНИЕ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ
1. Председатель Комитета правопорядка и безопасности Ленинградской области (далее - Комитет).
2. Первый заместитель председателя Комитета.
3. Заместитель председателя Комитета.
В структурных подразделениях Комитета:
4. Начальник отдела.
5. Начальник сектора.
6. Консультант.
7. Главный специалист.
8. Ведущий специалист.
9. Специалист первой категории.
10. Ведущий инженер.
УТВЕРЖДЕНЫ
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 08.08.2018 № 17
(приложение 7)
ТРЕБОВАНИЯ
К СОДЕРЖАНИЮ ДОЛЖНОСТНОГО РЕГЛАМЕНТА ОТВЕТСТВЕННОГО
ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Квалификационные требования
1.1. Знания:
законодательства Российской Федерации в области персональных данных и иных нормативных правовых актов Российской Федерации и Ленинградской области по вопросам обработки и защиты персональных данных;
законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
2. Должностные обязанности
2.1. В соответствии с распоряжением (правовым актом) Комитета правопорядка и безопасности Ленинградской области исполнять обязанности ответственного за обработку персональных данных:
2.1.1. Разрабатывать проекты локальных (правовых) актов Комитета правопорядка и безопасности Ленинградской области по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
2.1.2. При эксплуатации информационных систем персональных данных в случае, если Комитет правопорядка и безопасности Ленинградской области является оператором таких информационных систем, разрабатывать и представлять на рассмотрение председателю Комитета правопорядка и безопасности Ленинградской области предложения:
об установлении уровня защищенности персональных данных при их обработке;
об организационных и технических мерах по обеспечению безопасности персональных данных в соответствии с установленными Правительством Российской Федерации требованиями к защите персональных данных, рекомендациями уполномоченных федеральных органов, уполномоченных органов исполнительной власти Ленинградской области;
о методах обезличивания персональных данных в соответствии с требованиями и методами, установленными уполномоченным органом по защите прав субъектов персональных данных;
о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке.
2.1.3. При обработке персональных данных, осуществляемой Комитетом правопорядка и безопасности Ленинградской области без использования средств автоматизации, разрабатывать и представлять на рассмотрение председателю Комитета правопорядка и безопасности Ленинградской области предложения о выполнении требований, установленных постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
2.1.4. Организовывать обезличивание персональных данных в Комитете правопорядка и безопасности Ленинградской области в случаях, установленных нормативными правовыми актами Российской Федерации.
2.1.5. Доводить до сведения служащих Комитета правопорядка и безопасности Ленинградской области, непосредственно осуществляющих обработку персональных данных, положения законодательства Российской Федерации о персональных данных (в том числе о требованиях к защите персональных данных), локальных актов Комитета правопорядка и безопасности Ленинградской области и(или) организовывать обучение указанных служащих.
2.1.6. Уведомлять уполномоченный орган по защите прав субъектов персональных данных о намерении Комитета правопорядка и безопасности Ленинградской области осуществлять обработку персональных данных, изменении сведений, указанных в уведомлении, или о прекращении обработки персональных данных.
2.1.7. Организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и(или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
2.1.8. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организовывать проведение периодических проверок условий обработки персональных данных в Комитете правопорядка и безопасности Ленинградской области, в том числе:
разрабатывать и представлять на рассмотрение председателю Комитета правопорядка и безопасности Ленинградской области план проверок условий обработки персональных данных;
докладывать председателю Комитета правопорядка и безопасности Ленинградской области о результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений.
3. Ответственность
3.1. За ненадлежащее исполнение или неисполнение возложенных обязанностей, связанных с выполнением требований законодательства о персональных данных, ответственный за организацию обработки персональных данных несет предусмотренную законодательством Российской Федерации ответственность.
4. Показатели эффективности и результативности профессиональной служебной деятельности
4.1. Показателями эффективности и результативности деятельности ответственного за обработку персональных данных являются в том числе:
4.1.1. Отсутствие фактов нарушения законодательства Российской Федерации о персональных данных при исполнении обязанностей ответственного за организацию обработки персональных данных в Комитете правопорядка и безопасности Ленинградской области.
4.1.2. Достаточность и своевременность разработки предложений о мероприятиях, направленных на обеспечение выполнения Комитетом правопорядка и безопасности Ленинградской области обязанностей оператора, предусмотренных законодательством Российской Федерации о персональных данных.
4.1.3. Полнота подготовки доклада председателю Комитета правопорядка и безопасности Ленинградской области о результатах проведенных проверок условий обработки персональных данных и мерах, необходимых для устранения выявленных нарушений.
УТВЕРЖДЕНА
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 08.08.2018 № 17
(приложение 8)
ТИПОВАЯ ФОРМА ОБЯЗАТЕЛЬСТВА
работника Комитета правопорядка и безопасности
Ленинградской области, непосредственно осуществляющего обработку
персональных данных, прекратить обработку персональных данных,
ставших известными ему в связи с исполнением должностных обязанностей,
в случае расторжения с ним служебного контракта (трудового договора)
Я, ___________________________________________________________________,
(фамилия, имя, отчество полностью)
являясь _______________________________________________________________
(наименование должности и структурного подразделения)
обязуюсь прекратить обработку персональных данных, ставших известными
мне в связи с исполнением должностных обязанностей, в случае расторжения со
мной служебного контракта (трудового договора).
В соответствии со статьей 7 Федерального закона от 27.07.2006 № 152-ФЗ
"О персональных данных" я уведомлен(а) о том, что персональные данные
являются конфиденциальной информацией, и обязан(а) не раскрывать третьим
лицам и не распространять персональные данные без согласия субъекта
персональных данных, ставшие известными мне в связи с исполнением
должностных обязанностей.
Я предупрежден(а) о том, что в случае нарушения данного обязательства
буду привлечен(а) к ответственности в соответствии с законодательством
Российской Федерации.
"__" _______________ 20__ года
_______________ ________________________
(подпись) (фамилия, инициалы)
УТВЕРЖДЕНА
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 08.08.2018 № 17
(приложение 9)
ТИПОВАЯ ФОРМА СОГЛАСИЯ
на обработку персональных данных субъектов персональных данных
Я,
__________________________________________________________________________,
(фамилия, имя, отчество субъекта персональных данных или его
представителя)
__________________________________________________________________________,
(вид документа удостоверяющего личность, серия, номер, когда и кем выдан,
__________________________________________________________________________,
реквизиты доверенности или иного документа, подтверждающего полномочия
представителя)
настоящим даю согласие на обработку Комитетом правопорядка и безопасности
Ленинградской области моих персональных данных (персональных данных
представляемого) и подтверждаю, что, давая такое согласие, я действую своей
волей и в своих интересах (в интересах представляемого).
Согласие дается мной для целей:
__________________________________________________________________________,
(цель или цели обработки персональных данных)
Настоящее согласие предоставляется на осуществление любых действий по
обработке моих персональных данных (персональных данных представляемого)
для достижения указанных выше целей в соответствии с требованиями,
установленными Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных
данных" и принятыми в соответствии с ним нормативными правовыми актами, и
действует со дня его подписания и до достижения целей обработки
персональных данных, указанных в данном согласии, либо до дня отзыва
согласия на обработку персональных данных в письменной форме.
_____________ _____________ _____________________________________
(дата) (подпись) (фамилия, инициалы)
Предоставленные данные соответствуют предъявленным документам,
удостоверяющим личность.
_____________ _____________ _____________________________________
(дата) (подпись) (фамилия, инициалы должностного лица,
принявшего документ)
УТВЕРЖДЕНА
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 08.08.2018 № 17
(приложение 10)
ТИПОВАЯ ФОРМА РАЗЪЯСНЕНИЯ
субъекту персональных данных юридических последствий отказа
предоставить свои персональные данные
Мне,
___________________________________________________________________________
(фамилия, имя, отчество)
разъяснены юридические последствия отказа предоставить свои персональные
данные
___________________________________________________________________________
(указать)
"__" ______________ 20__ года
_________________ _____________________________
(подпись) (фамилия, инициалы)
УТВЕРЖДЕН
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 08.08.2018 № 17
(приложение 11)
ПОРЯДОК
ДОСТУПА РАБОТНИКОВ КОМИТЕТА ПРАВОПОРЯДКА И БЕЗОПАСНОСТИ
ЛЕНИНГРАДСКОЙ ОБЛАСТИ В ПОМЕЩЕНИЯ, В КОТОРЫХ ВЕДЕТСЯ
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Персональные данные относятся к категории конфиденциальной информации. Лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.
2. Перечень должностей работников Комитета правопорядка и безопасности Ленинградской области (далее - Комитет), замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утверждается приказом Комитета.
3. Порядок определяет правила доступа в помещения, где хранятся и обрабатываются персональные данные, в целях исключения несанкционированного доступа к персональным данным, а также обеспечения безопасности персональных данных от уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении персональных данных.
4. Работники Комитета, имеющие доступ к персональным данным, не должны:
оставлять в свое отсутствие незапертым помещение, в котором размещены технические средства, позволяющие осуществлять обработку персональных данных;
оставлять в помещении посторонних лиц, не имеющих доступа к персональным данным в данном структурном подразделении, без присмотра.
5. Для помещений, в которых хранятся и обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей информации, содержащей персональные данные, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.
Указанный режим обеспечивается в том числе:
обязательным запиранием помещения на ключ даже при выходе из него в рабочее время;
закрытием металлических шкафов и сейфов, где хранятся носители информации, содержащие персональные данные.
6. Доступ в помещения, где осуществляется обработка персональных данных, а также хранятся материальные носители персональных данных, в случае возникновения непредвиденных обстоятельств в нерабочее время осуществляется сотрудником службы безопасности.
7. Ответственность за соблюдение настоящего Порядка возлагается на начальников отделов структурных подразделений Комитета, в которых ведется обработка персональных данных и осуществляется их хранение.
8. Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, проводится лицом, ответственным за организацию обработки персональных данных, или комиссией, образуемой в соответствии с распоряжением председателя Комитета.
УТВЕРЖДЕН
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 08.08.2018 № 17
(приложение 12)
Типовой план
правовых, организационных и технических мер по обеспечению
безопасности персональных данных в Комитете правопорядка
и безопасности Ленинградской области
№ п/п
Наименование мероприятия
Исполнитель
Срок и выполнения
Отметка о выполнении
1
2
3
4
5
1
Аудит соответствия обработки персональных данных Федеральному закону "О персональных данных"
2
Издание необходимой или актуализация имеющейся организационно-распорядительной документации, определяющей правила обработки персональных данных, а также устанавливающей процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации о персональных данных, устранение последствий таких нарушений
3
Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"
4
Ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными актами по вопросам обработки персональных данных
5
Повышение квалификации (переподготовка) ответственного за обработку персональных данных по вопросам, связанным с исполнением возложенных на него должностных обязанностей
6
Определение актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных и при необходимости формирование требований к их защите
7
Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных
8
Проведение внутреннего контроля соответствия организации и состояния работ по выполнению органом исполнительной власти Ленинградской области обязательств в отношении обработки персональных данных, в том числе обеспечению безопасности персональных данных, требованиям локальных актов органа исполнительной власти Ленинградской области, законодательства Российской Федерации о персональных данных
9
Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных
Ответственный за организацию
обработки персональных данных ____________ ________________________________
(подпись) (фамилия, инициалы)
Председатель Комитета ____________ ________________________________
(подпись) (фамилия, инициалы)
"__" ____________________ 20__ года
УТВЕРЖДЕН
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 08.08.2018 № 17
(приложение 13)
Порядок
проведения проверок соответствия обработки персональных
данных установленным требованиям в Комитете правопорядка
и безопасности Ленинградской области
№ п/п
Краткое описание мероприятий
Периодичность мероприятий
Результат проверки
Фамилия, имя, отчество ответственного пользователя, подпись
Фамилия, имя, отчество лица, проводившего проверку, подпись
Примечание
1
2
3
4
5
6
7
1
Проверка соответствия реального уровня полномочий по доступу к персональным данным различных пользователей, установленному в списке лиц, допущенных к обработке персональных данных, уровню полномочий
Не реже одного раза в год
2
Проверка правильности применения средств защиты информации
При необходимости
3
Проверка неизменности настроенных параметров антивирусной защиты на рабочих станциях пользователей
Не реже одного раза в год
4
Проверка соблюдения правил парольной защиты
Не реже одного раза в год
5
Проверка работоспособности системы резервного копирования
Не реже одного раза в год
6
Проверка знаний работниками руководящих документов, технологических инструкций, предписаний, актов, заключений и уровня овладения работниками технологией безопасной обработки информации, изложенных в инструкциях
Не реже одного раза в год
Ответственный за организацию
обработки персональных данных
____________ _________________________________
(подпись) (фамилия, инициалы)
Председатель Комитета
____________ _________________________________
(подпись) (фамилия, инициалы)
"__" ____________________ 20__ года
КОМИТЕТ ПРАВОПОРЯДКА И БЕЗОПАСНОСТИ ЛЕНИНГРАДСКОЙ ОБЛАСТИ
ПРИКАЗ
от 8 августа 2018 г. № 17
ОБ УТВЕРЖДЕНИИ ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ
ДОКУМЕНТОВ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии с постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", постановлением Правительства Ленинградской области от 11 сентября 2015 года № 358 "Об утверждении типовых организационно-распорядительных документов операторов персональных данных", исполнением Комитетом правопорядка и безопасности Ленинградской области функций оператора по обработке персональных данных приказываю:
1. Утвердить следующие организационно-распорядительные документы оператора персональных данных - Комитета правопорядка и безопасности Ленинградской области:
1.1. Политику в отношении обработки персональных данных в Комитете правопорядка и безопасности Ленинградской области согласно приложению 1.
1.2. Правила обработки персональных данных в Комитете правопорядка и безопасности Ленинградской области согласно приложению 2.
1.3. Правила рассмотрения запросов субъектов персональных данных или их представителей согласно приложению 3.
1.4. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям защиты персональных, установленным Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами Комитета правопорядка и безопасности Ленинградской области согласно приложению 4.
1.5. Перечень персональных данных, обрабатываемых в Комитете правопорядка и безопасности Ленинградской области в связи с осуществлением государственных функций, согласно приложению 5.
1.6. Перечень должностей работников Комитета правопорядка и безопасности Ленинградской области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, согласно приложению 6.
1.7. Требования к содержанию должностного регламента ответственного за организацию обработки персональных данных согласно приложению 7.
1.8. Типовую форму обязательства работника Комитета правопорядка и безопасности Ленинградской области, непосредственно осуществляющего обработку персональных данных, прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, в случае расторжения с ним служебного контракта (трудового договора) согласно приложению 8.
1.9. Типовую форму согласия на обработку персональных данных субъектов персональных данных согласно приложению 9.
1.10. Типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные согласно приложению 10.
1.11. Порядок доступа работников Комитета правопорядка и безопасности Ленинградской области в помещения, в которых ведется обработка персональных данных, согласно приложению 11.
1.12. Типовой план правовых, организационных и технических мер по обеспечению безопасности персональных данных в Комитете правопорядка и безопасности Ленинградской области согласно приложению 12.
1.13. Порядок проведения проверок соответствия обработки персональных данных установленным требованиям в Комитете правопорядка и безопасности Ленинградской области согласно приложению 13.
2. Признать утратившим силу приказ Комитета правопорядка и безопасности Ленинградской области от 9 ноября 2015 года № 26 "О работе с персональными данными в Комитете правопорядка и безопасности Ленинградской области".
3. Отделу правового обеспечения довести приказ до всех работников Комитета правопорядка и безопасности Ленинградской области под роспись.
4. Настоящий приказ вступает в силу со дня его официального опубликования.
5. Контроль за исполнением настоящего приказа оставляю за собой.
Председатель Комитета
А.Степин
УТВЕРЖДЕНА
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 08.08.2018 № 17
(приложение 1)
ПОЛИТИКА
В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМИТЕТЕ
ПРАВОПОРЯДКА И БЕЗОПАСНОСТИ ЛЕНИНГРАДСКОЙ ОБЛАСТИ
1. Общие положения
1.1. Политика Комитета правопорядка и безопасности Ленинградской области (далее - Оператор) в отношении обработки персональных данных (далее - Политика) разработана в целях обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика разработана в соответствии с положениями Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных") и рекомендациями Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 июля 2017 года "Рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных".
1.3. Понятия, связанные с персональными данными и их обработкой, применяются в Политике в соответствии с их содержанием, указанным в статье 3 Федерального закона "О персональных данных".
1.4. Права и обязанности Оператора.
1.4.1. Оператор вправе:
- отстаивать свои интересы в суде;
- предоставлять персональные данные субъектов в случаях, предусмотренных действующим законодательством;
- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
- использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством;
- осуществлять иные права, предусмотренные законодательством Российской Федерации.
1.4.2. Оператор обязан:
- принимать необходимые меры в сфере обработки и защиты персональных данных, предусмотренные законодательством Российской Федерации;
- соблюдать конфиденциальность персональных данных - не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
- разъяснять субъекту персональных данных юридические последствия отказа предоставления персональных данных, если это является обязательным в соответствии с законодательством Российской Федерации;
- осуществлять блокирование неправомерно обрабатываемых персональных данных;
- осуществлять прекращение обработки персональных данных в соответствии с законодательством Российской Федерации;
- уведомлять субъекта персональных данных об устранении допущенных нарушений или уничтожении его персональных данных;
- предоставлять по просьбе субъекта персональных данных или его представителя информацию, касающуюся обработки его персональных данных, в порядке, установленном законодательством Российской Федерации;
- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных и к сведениям о реализуемых требованиях к защите персональных данных;
- исполнять иные обязанности, предусмотренные законодательством Российской Федерации.
1.5. Права субъекта персональных данных.
1.5.1. Субъект персональных данных имеет право:
- получать информацию, касающуюся обработки его персональных данных, в объеме и случаях, предусмотренных законодательством Российской Федерации;
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Оператора при обработке его персональных данных;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и(или) компенсацию морального вреда в судебном порядке;
- осуществлять иные права, предусмотренные законодательством Российской Федерации.
1.6. Координация действий по обработке и обеспечению безопасности персональных данных Оператором возложена на работника, ответственного за организацию обработки персональных данных, назначенного правовым актом Оператора.
2. Цели сбора персональных данных
и состав персональных данных
2.1. Обработка персональных данных Оператором осуществляется в целях рассмотрения обращений граждан.
Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Правовые основания обработки персональных данных
Оператор осуществляет обработку персональных данных субъектов в соответствии со следующими правовыми актами:
- Конституция Российской Федерации,
- Федеральный закон от 27 июля 2006 года № 152-ФЗ "О персональных данных",
- Федеральный закон от 2 мая 2006 года № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации",
- постановление Правительства Российской Федерации от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами",
- постановление Правительства Ленинградской области от 11 сентября 2015 года № 358 "Об утверждении типовых организационно-распорядительных документов операторов персональных данных",
- постановление Правительства Ленинградской области от 30 июня 2014 года № 275 "Об утверждении Положения о Комитете правопорядка и безопасности Ленинградской области и признании утратившими силу некоторых постановлений Правительства Ленинградской области",
- иными правовыми актами в установленной сфере деятельности, а также согласием на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Оператора).
4. Объем и категории обрабатываемых персональных данных,
категории субъектов персональных данных
4.1. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки, перечисленным в разделе 2 настоящей Политики.
4.2. Обработке Оператором подлежат персональные данные граждан, обратившихся к Оператору с обращением.
4.3. К персональным данным, обрабатываемым без использования средств автоматизации в указанных целях, относятся: фамилия, имя, отчество, адрес места жительства и иные персональные данные, содержащиеся в обращениях граждан.
5. Порядок и условия обработки персональных данных
5.1. Обработка персональных данных осуществляется должностными лицами Оператора без использования средств автоматизации в соответствии с требованиями, установленными постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
5.2. Оператор осуществляет обработку персональных данных, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
5.3. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом "О персональных данных".
5.4. Обработка персональных данных Оператором ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.
5.5. Обработка персональных данных Оператором осуществляется в течение сроков, установленных законодательством.
5.6. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.7. При осуществлении хранения персональных данных Оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с частью 5 статьи 18 Федерального закона "О персональных данных".
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
5.8. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
5.9. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5.10. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами. Состав и перечень мер оператор определяет самостоятельно.
6. Актуализация, исправление, удаление и уничтожение
персональных данных, ответы на запросы субъектов на доступ
к персональным данным
6.1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона "О персональных данных", субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
6.2. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
6.3. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
6.4. Оператор обязан прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, действующим по поручению Оператора:
в случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, в срок, не превышающий трех рабочих дней с даты этого выявления;
в случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператором;
в случае достижения цели обработки персональных данных уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
УТВЕРЖДЕНЫ
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 08.08.2018 № 17
(приложение 2)
ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМИТЕТЕ ПРАВОПОРЯДКА
И БЕЗОПАСНОСТИ ЛЕНИНГРАДСКОЙ ОБЛАСТИ
1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей - рассмотрение поступающих обращений граждан.
Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в иных целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
8. Мерами, направленными на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, являются:
1) назначение ответственного за организацию обработки персональных данных;
2) издание документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона "О персональных данных";
4) осуществление внутреннего контроля и(или) аудита соответствия обработки персональных данных Федеральному закону "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Комитета безопасности и правопорядка Ленинградской области в отношении обработки персональных данных;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных";
6) выполнение мероприятий по удалению или уточнению неполных или неточных данных;
7) ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Комитета безопасности и правопорядка Ленинградской области в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и(или) обучение указанных работников.
9. Обеспечение безопасности персональных данных достигается:
1) определением угроз безопасности персональных данных;
2) применением организационных и(или) технических мер по обеспечению безопасности персональных данных при их обработке без использования средств автоматизации;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым без использования средств автоматизации;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных, а также безопасности персональных данных, обрабатываемых без использования средств автоматизации.
10. Цели обработки персональных данных определяются с учетом полномочий и функций Комитета правопорядка и безопасности Ленинградской области.
К персональным данным, обрабатываемым без использования средств автоматизации в указанных целях, относятся: фамилия, имя, отчество, адрес места жительства и иные персональные данные, содержащиеся в обращениях граждан.
Обработка персональных данных в соответствии с указанными целями осуществляется в отношении субъектов персональных данных, не являющихся работниками Комитета правопорядка и безопасности Ленинградской области.
11. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных неправомерно обрабатываемые персональные данные, относящиеся к этому субъекту персональных данных, блокируются с момента такого обращения или получения указанного запроса на период проверки.
В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных персональные данные, относящиеся к этому субъекту персональных данных, блокируются с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
12. В случае подтверждения факта неточности персональных данных Комитет безопасности и правопорядка Ленинградской области на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
13. В случае выявления неправомерной обработки персональных данных в срок, не превышающий трех рабочих дней с даты выявления, неправомерная обработка персональных данных прекращается. В случае если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, такие персональные данные уничтожаются.
Об устранении допущенных нарушений или об уничтожении персональных данных Комитет безопасности и правопорядка Ленинградской области уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
14. В случае достижения цели обработки персональных данных обработка персональных данных прекращается и осуществляется их уничтожение в срок, не превышающий 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Комитетом безопасности и правопорядка Ленинградской области и субъектом персональных данных либо если Комитет безопасности и правопорядка Ленинградской области не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.
15. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных обработка персональных данных прекращается и в случае, если сохранения персональных данных более не требуется для целей обработки персональных данных, персональные данные уничтожаются в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Комитетом безопасности и правопорядка Ленинградской области и субъектом персональных данных либо если Комитет безопасности и правопорядка Ленинградской области не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.
16. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 13 - 15 настоящих Правил, осуществляется блокирование таких персональных данных и уничтожение в срок не более шести месяцев, если иной срок не установлен федеральными законами.
УТВЕРЖДЕНЫ
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 08.08.2018 № 17
(приложение 3)
ПРАВИЛА
РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ В КОМИТЕТЕ ПРАВОПОРЯДКА И БЕЗОПАСНОСТИ
ЛЕНИНГРАДСКОЙ ОБЛАСТИ
1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые способы обработки персональных данных;
4) наименование и место нахождения Комитета правопорядка и безопасности Ленинградской области (далее - Комитет), сведения о лицах (за исключением работников Комитета), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Комитетом или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Комитета, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом "О персональных данных" или другими федеральными законами.
2. Субъект персональных данных вправе требовать от Комитета уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3. Сведения предоставляются субъекту персональных данных Комитетом в доступной форме без содержания персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
4. Сведения предоставляются субъекту персональных данных или его представителю Комитетом при обращении либо при получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Комитетом (номер договора, дата заключения договора, условное словесное обозначение и(или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Комитетом, подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
5. В случае если обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Комитет или направить повторный запрос в целях ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом "О персональных данных", принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
6. Субъект персональных данных вправе обратиться повторно в Комитет или направить ему повторный запрос в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 5 настоящих правил, в случае если такие сведения и(или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения.
Повторный запрос наряду со сведениями, указанными в пункте 4 настоящих правил, должен содержать обоснование направления повторного запроса.
7. Комитет вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 5 и 6 настоящих правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса возлагается на Комитет.
УТВЕРЖДЕНЫ
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 08.08.2018 № 17
(приложение 4)
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ "О ПЕРСОНАЛЬНЫХ
ДАННЫХ", ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ
ПРАВОВЫМИ АКТАМИ И ПРАВОВЫМИ АКТАМИ КОМИТЕТА ПРАВОПОРЯДКА
И БЕЗОПАСНОСТИ ЛЕНИНГРАДСКОЙ ОБЛАСТИ
1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и правовыми актами Комитета правопорядка и безопасности Ленинградской области (далее - Комитет), в Комитете организуется проведение периодических проверок условий обработки персональных данных (далее - проверки).
2. Проверки осуществляются должностным лицом, ответственным за организацию обработки персональных данных в Комитете, либо комиссией, образуемой распоряжением Комитета.
3. В проведении проверки не может участвовать должностное лицо, прямо или косвенно заинтересованное в ее результатах.
4. Проверки проводятся на основании утвержденного председателем Комитета ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего в Комитет письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
План осуществления внутреннего контроля должен включать перечень направлений и(или) мероприятий проверки, периодичность и(или) сроки их проведения, перечисление ответственных лиц за проведение проверки, перечень структурных подразделений и лиц, проверяемых в ходе проверки, примечания.
5. При проведении проверки должны быть полностью, объективно и всесторонне определены:
1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
2) порядок и условия применения средств защиты информации;
3) эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
4) состояние учета машинных носителей персональных данных;
5) соблюдение правил доступа к персональным данным;
6) наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
7) мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) мероприятия по обеспечению целостности персональных данных.
6. Должностное лицо, ответственное за организацию обработки персональных данных (комиссия), имеет право:
1) запрашивать у должностных лиц Комитета информацию, необходимую для выполнения своих обязанностей;
2) требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
3) принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации в области обработки персональных данных;
4) представлять председателю Комитета предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
5) представлять председателю Комитета предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в области обработки персональных данных.
7. В отношении персональных данных, ставших известными должностному лицу, ответственному за организацию обработки персональных данных (комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
8. Проверка должна быть завершена не позднее чем через десять рабочих дней со дня принятия решения о ее проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, председателю Комитета докладывает должностное лицо, ответственное за организацию обработки персональных данных, либо председатель комиссии в форме письменного заключения.
УТВЕРЖДЕН
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 08.08.2018 № 17
(приложение 5)
ПЕРЕЧЕНЬ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В КОМИТЕТЕ ПРАВОПОРЯДКА
И БЕЗОПАСНОСТИ ЛЕНИНГРАДСКОЙ ОБЛАСТИ В СВЯЗИ
С ОСУЩЕСТВЛЕНИЕМ ГОСУДАРСТВЕННЫХ ФУНКЦИЙ
Персональные данные граждан, обрабатываемые в связи с рассмотрением обращений граждан:
фамилия, имя, отчество;
адрес места жительства;
иные персональные данные, содержащиеся в обращениях граждан.
УТВЕРЖДЕН
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 08.08.2018 № 17
(приложение 6)
ПЕРЕЧЕНЬ
ДОЛЖНОСТЕЙ РАБОТНИКОВ КОМИТЕТА ПРАВОПОРЯДКА И БЕЗОПАСНОСТИ
ЛЕНИНГРАДСКОЙ ОБЛАСТИ, ЗАМЕЩЕНИЕ КОТОРЫХ ПРЕДУСМАТРИВАЕТ
ОСУЩЕСТВЛЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ЛИБО
ОСУЩЕСТВЛЕНИЕ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ
1. Председатель Комитета правопорядка и безопасности Ленинградской области (далее - Комитет).
2. Первый заместитель председателя Комитета.
3. Заместитель председателя Комитета.
В структурных подразделениях Комитета:
4. Начальник отдела.
5. Начальник сектора.
6. Консультант.
7. Главный специалист.
8. Ведущий специалист.
9. Специалист первой категории.
10. Ведущий инженер.
УТВЕРЖДЕНЫ
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 08.08.2018 № 17
(приложение 7)
ТРЕБОВАНИЯ
К СОДЕРЖАНИЮ ДОЛЖНОСТНОГО РЕГЛАМЕНТА ОТВЕТСТВЕННОГО
ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Квалификационные требования
1.1. Знания:
законодательства Российской Федерации в области персональных данных и иных нормативных правовых актов Российской Федерации и Ленинградской области по вопросам обработки и защиты персональных данных;
законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
2. Должностные обязанности
2.1. В соответствии с распоряжением (правовым актом) Комитета правопорядка и безопасности Ленинградской области исполнять обязанности ответственного за обработку персональных данных:
2.1.1. Разрабатывать проекты локальных (правовых) актов Комитета правопорядка и безопасности Ленинградской области по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
2.1.2. При эксплуатации информационных систем персональных данных в случае, если Комитет правопорядка и безопасности Ленинградской области является оператором таких информационных систем, разрабатывать и представлять на рассмотрение председателю Комитета правопорядка и безопасности Ленинградской области предложения:
об установлении уровня защищенности персональных данных при их обработке;
об организационных и технических мерах по обеспечению безопасности персональных данных в соответствии с установленными Правительством Российской Федерации требованиями к защите персональных данных, рекомендациями уполномоченных федеральных органов, уполномоченных органов исполнительной власти Ленинградской области;
о методах обезличивания персональных данных в соответствии с требованиями и методами, установленными уполномоченным органом по защите прав субъектов персональных данных;
о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке.
2.1.3. При обработке персональных данных, осуществляемой Комитетом правопорядка и безопасности Ленинградской области без использования средств автоматизации, разрабатывать и представлять на рассмотрение председателю Комитета правопорядка и безопасности Ленинградской области предложения о выполнении требований, установленных постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
2.1.4. Организовывать обезличивание персональных данных в Комитете правопорядка и безопасности Ленинградской области в случаях, установленных нормативными правовыми актами Российской Федерации.
2.1.5. Доводить до сведения служащих Комитета правопорядка и безопасности Ленинградской области, непосредственно осуществляющих обработку персональных данных, положения законодательства Российской Федерации о персональных данных (в том числе о требованиях к защите персональных данных), локальных актов Комитета правопорядка и безопасности Ленинградской области и(или) организовывать обучение указанных служащих.
2.1.6. Уведомлять уполномоченный орган по защите прав субъектов персональных данных о намерении Комитета правопорядка и безопасности Ленинградской области осуществлять обработку персональных данных, изменении сведений, указанных в уведомлении, или о прекращении обработки персональных данных.
2.1.7. Организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и(или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
2.1.8. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организовывать проведение периодических проверок условий обработки персональных данных в Комитете правопорядка и безопасности Ленинградской области, в том числе:
разрабатывать и представлять на рассмотрение председателю Комитета правопорядка и безопасности Ленинградской области план проверок условий обработки персональных данных;
докладывать председателю Комитета правопорядка и безопасности Ленинградской области о результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений.
3. Ответственность
3.1. За ненадлежащее исполнение или неисполнение возложенных обязанностей, связанных с выполнением требований законодательства о персональных данных, ответственный за организацию обработки персональных данных несет предусмотренную законодательством Российской Федерации ответственность.
4. Показатели эффективности и результативности профессиональной служебной деятельности
4.1. Показателями эффективности и результативности деятельности ответственного за обработку персональных данных являются в том числе:
4.1.1. Отсутствие фактов нарушения законодательства Российской Федерации о персональных данных при исполнении обязанностей ответственного за организацию обработки персональных данных в Комитете правопорядка и безопасности Ленинградской области.
4.1.2. Достаточность и своевременность разработки предложений о мероприятиях, направленных на обеспечение выполнения Комитетом правопорядка и безопасности Ленинградской области обязанностей оператора, предусмотренных законодательством Российской Федерации о персональных данных.
4.1.3. Полнота подготовки доклада председателю Комитета правопорядка и безопасности Ленинградской области о результатах проведенных проверок условий обработки персональных данных и мерах, необходимых для устранения выявленных нарушений.
УТВЕРЖДЕНА
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 08.08.2018 № 17
(приложение 8)
ТИПОВАЯ ФОРМА ОБЯЗАТЕЛЬСТВА
работника Комитета правопорядка и безопасности
Ленинградской области, непосредственно осуществляющего обработку
персональных данных, прекратить обработку персональных данных,
ставших известными ему в связи с исполнением должностных обязанностей,
в случае расторжения с ним служебного контракта (трудового договора)
Я, ___________________________________________________________________,
(фамилия, имя, отчество полностью)
являясь _______________________________________________________________
(наименование должности и структурного подразделения)
обязуюсь прекратить обработку персональных данных, ставших известными
мне в связи с исполнением должностных обязанностей, в случае расторжения со
мной служебного контракта (трудового договора).
В соответствии со статьей 7 Федерального закона от 27.07.2006 № 152-ФЗ
"О персональных данных" я уведомлен(а) о том, что персональные данные
являются конфиденциальной информацией, и обязан(а) не раскрывать третьим
лицам и не распространять персональные данные без согласия субъекта
персональных данных, ставшие известными мне в связи с исполнением
должностных обязанностей.
Я предупрежден(а) о том, что в случае нарушения данного обязательства
буду привлечен(а) к ответственности в соответствии с законодательством
Российской Федерации.
"__" _______________ 20__ года
_______________ ________________________
(подпись) (фамилия, инициалы)
УТВЕРЖДЕНА
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 08.08.2018 № 17
(приложение 9)
ТИПОВАЯ ФОРМА СОГЛАСИЯ
на обработку персональных данных субъектов персональных данных
Я,
__________________________________________________________________________,
(фамилия, имя, отчество субъекта персональных данных или его
представителя)
__________________________________________________________________________,
(вид документа удостоверяющего личность, серия, номер, когда и кем выдан,
__________________________________________________________________________,
реквизиты доверенности или иного документа, подтверждающего полномочия
представителя)
настоящим даю согласие на обработку Комитетом правопорядка и безопасности
Ленинградской области моих персональных данных (персональных данных
представляемого) и подтверждаю, что, давая такое согласие, я действую своей
волей и в своих интересах (в интересах представляемого).
Согласие дается мной для целей:
__________________________________________________________________________,
(цель или цели обработки персональных данных)
Настоящее согласие предоставляется на осуществление любых действий по
обработке моих персональных данных (персональных данных представляемого)
для достижения указанных выше целей в соответствии с требованиями,
установленными Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных
данных" и принятыми в соответствии с ним нормативными правовыми актами, и
действует со дня его подписания и до достижения целей обработки
персональных данных, указанных в данном согласии, либо до дня отзыва
согласия на обработку персональных данных в письменной форме.
_____________ _____________ _____________________________________
(дата) (подпись) (фамилия, инициалы)
Предоставленные данные соответствуют предъявленным документам,
удостоверяющим личность.
_____________ _____________ _____________________________________
(дата) (подпись) (фамилия, инициалы должностного лица,
принявшего документ)
УТВЕРЖДЕНА
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 08.08.2018 № 17
(приложение 10)
ТИПОВАЯ ФОРМА РАЗЪЯСНЕНИЯ
субъекту персональных данных юридических последствий отказа
предоставить свои персональные данные
Мне,
___________________________________________________________________________
(фамилия, имя, отчество)
разъяснены юридические последствия отказа предоставить свои персональные
данные
___________________________________________________________________________
(указать)
"__" ______________ 20__ года
_________________ _____________________________
(подпись) (фамилия, инициалы)
УТВЕРЖДЕН
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 08.08.2018 № 17
(приложение 11)
ПОРЯДОК
ДОСТУПА РАБОТНИКОВ КОМИТЕТА ПРАВОПОРЯДКА И БЕЗОПАСНОСТИ
ЛЕНИНГРАДСКОЙ ОБЛАСТИ В ПОМЕЩЕНИЯ, В КОТОРЫХ ВЕДЕТСЯ
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Персональные данные относятся к категории конфиденциальной информации. Лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.
2. Перечень должностей работников Комитета правопорядка и безопасности Ленинградской области (далее - Комитет), замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утверждается приказом Комитета.
3. Порядок определяет правила доступа в помещения, где хранятся и обрабатываются персональные данные, в целях исключения несанкционированного доступа к персональным данным, а также обеспечения безопасности персональных данных от уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении персональных данных.
4. Работники Комитета, имеющие доступ к персональным данным, не должны:
оставлять в свое отсутствие незапертым помещение, в котором размещены технические средства, позволяющие осуществлять обработку персональных данных;
оставлять в помещении посторонних лиц, не имеющих доступа к персональным данным в данном структурном подразделении, без присмотра.
5. Для помещений, в которых хранятся и обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей информации, содержащей персональные данные, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.
Указанный режим обеспечивается в том числе:
обязательным запиранием помещения на ключ даже при выходе из него в рабочее время;
закрытием металлических шкафов и сейфов, где хранятся носители информации, содержащие персональные данные.
6. Доступ в помещения, где осуществляется обработка персональных данных, а также хранятся материальные носители персональных данных, в случае возникновения непредвиденных обстоятельств в нерабочее время осуществляется сотрудником службы безопасности.
7. Ответственность за соблюдение настоящего Порядка возлагается на начальников отделов структурных подразделений Комитета, в которых ведется обработка персональных данных и осуществляется их хранение.
8. Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, проводится лицом, ответственным за организацию обработки персональных данных, или комиссией, образуемой в соответствии с распоряжением председателя Комитета.
УТВЕРЖДЕН
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 08.08.2018 № 17
(приложение 12)
Типовой план
правовых, организационных и технических мер по обеспечению
безопасности персональных данных в Комитете правопорядка
и безопасности Ленинградской области
№ п/п
Наименование мероприятия
Исполнитель
Срок и выполнения
Отметка о выполнении
1
2
3
4
5
1
Аудит соответствия обработки персональных данных Федеральному закону "О персональных данных"
2
Издание необходимой или актуализация имеющейся организационно-распорядительной документации, определяющей правила обработки персональных данных, а также устанавливающей процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации о персональных данных, устранение последствий таких нарушений
3
Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"
4
Ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными актами по вопросам обработки персональных данных
5
Повышение квалификации (переподготовка) ответственного за обработку персональных данных по вопросам, связанным с исполнением возложенных на него должностных обязанностей
6
Определение актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных и при необходимости формирование требований к их защите
7
Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных
8
Проведение внутреннего контроля соответствия организации и состояния работ по выполнению органом исполнительной власти Ленинградской области обязательств в отношении обработки персональных данных, в том числе обеспечению безопасности персональных данных, требованиям локальных актов органа исполнительной власти Ленинградской области, законодательства Российской Федерации о персональных данных
9
Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных
Ответственный за организацию
обработки персональных данных ____________ ________________________________
(подпись) (фамилия, инициалы)
Председатель Комитета ____________ ________________________________
(подпись) (фамилия, инициалы)
"__" ____________________ 20__ года
УТВЕРЖДЕН
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 08.08.2018 № 17
(приложение 13)
Порядок
проведения проверок соответствия обработки персональных
данных установленным требованиям в Комитете правопорядка
и безопасности Ленинградской области
№ п/п
Краткое описание мероприятий
Периодичность мероприятий
Результат проверки
Фамилия, имя, отчество ответственного пользователя, подпись
Фамилия, имя, отчество лица, проводившего проверку, подпись
Примечание
1
2
3
4
5
6
7
1
Проверка соответствия реального уровня полномочий по доступу к персональным данным различных пользователей, установленному в списке лиц, допущенных к обработке персональных данных, уровню полномочий
Не реже одного раза в год
2
Проверка правильности применения средств защиты информации
При необходимости
3
Проверка неизменности настроенных параметров антивирусной защиты на рабочих станциях пользователей
Не реже одного раза в год
4
Проверка соблюдения правил парольной защиты
Не реже одного раза в год
5
Проверка работоспособности системы резервного копирования
Не реже одного раза в год
6
Проверка знаний работниками руководящих документов, технологических инструкций, предписаний, актов, заключений и уровня овладения работниками технологией безопасной обработки информации, изложенных в инструкциях
Не реже одного раза в год
Ответственный за организацию
обработки персональных данных
____________ _________________________________
(подпись) (фамилия, инициалы)
Председатель Комитета
____________ _________________________________
(подпись) (фамилия, инициалы)
"__" ____________________ 20__ года
Дополнительные сведения
| Государственные публикаторы: | Портал "Нормативные правовые акты в Российской Федерации" от 26.09.2018 |
| Рубрики правового классификатора: | 020.000.000 Основы государственного управления, 160.000.000 Безопасность и охрана правопорядка |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
