Политика конфиденциальности

Муниципальное автономное учреждение молодежной политики «Объединение молодежных центров» (далее по тексту – Оператор) является оператором персональных данных. 

  1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1 Политика Оператора в отношении обработки персональных данных» (далее – Политика) определяет позицию и намерения Оператора в области обработки и защиты персональных данных, с целью соблюдения и защиты прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

1.2. Политика неукоснительно исполняется Оператором, а также подлежит доведению до сведения субъектов персональных данных (лиц, состоящих в договорных, трудовых, гражданско-правовых и иных отношениях с Оператором, партнеров и других заинтересованных сторон).

Действие Политики распространяется на все персональные данные субъектов, обрабатываемые Оператором с применением средств автоматизации и без применения таких средств

1.3 Персональные данные являются конфиденциальной, охраняемой информацией и на них распространяются все требования, установленные внутренними документами Оператора к защите конфиденциальной информации.

1.4 К настоящей Политике имеет доступ любой субъект персональных данных.

1.5 В части вопросов, не отраженных в настоящей Политике, отношения в сфере обработки персональных данных регулируются действующим законодательством РФ. В случае несоответствия положений настоящей Политики положениям нормативных актов, приоритет имеют нормы действующего законодательства.

1.6 Оператор обеспечивает надежную защиту персональных данных.

1.7 Обработка и обеспечение безопасности персональных данных у Оператора осуществляется в соответствии с требованиями Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона № 152-ФЗ «О персональных данных», подзаконных актов, других определяющих случаи и особенности обработки персональных данных федеральных законов, руководящих и методических документов ФСТЭК России и ФСБ России.

 

  1. ОСНОВНЫЕ ОПРЕДЕЛЕНИЯ И ТЕРМИНЫ

2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (гражданину). Это — фамилия, имя, отчество лица, год, месяц, дата и место рождения, паспортные данные, адрес, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, доходах, а также другая информация.

2.2. Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств.

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

Безопасность персональных данных – состояние защищенности персональных данных, при котором обеспечиваются их конфиденциальность, доступность и целостность при их обработке в информационных системах персональных данных;

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам;

Обработка персональных данных – любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (в том числе распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т. п.), средства защиты информации;

Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

 

  1. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка персональных данных осуществляется Оператором в целях:

  • оформления трудовых отношений с работниками Оператора в соответствии с требованиями законодательства Российской Федерации;
  • принятия решения о возможности заключения трудового договора с лицами, претендующими на открытые вакансии;
  • заключения гражданско-правовых договоров в связи с осуществлением Оператором приносящей доход деятельности;
  • для индивидуального учета и исполнения заказов контрагентов по договорам;
  • обеспечения защиты прав и свобод человека и гражданина, при обработке его персональных данных, в том числе права на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

 

  1. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

При обработке персональных данных Оператор:

  • осуществляет обработку персональных данных только на законной и справедливой основе;
  • не раскрывает третьим лицам и не распространяет персональные данные без согласия гражданина (если иное не предусмотрено действующим законодательством Российской Федерации);
  • определяет конкретные законные цели до начала обработки (в т.ч. сбора) персональных данных;
  • собирает только те персональные данные, которые являются необходимыми и достаточными для заявленной цели обработки;
  • ограничивает обработку персональных данных достижением конкретных, заранее определенных и законных целей;
  • уничтожает либо обезличивает персональные данные по достижении целей обработки или в случае утраты необходимости в достижении целей.
  • Оператор вправе осуществлять передачу персональных данных граждан в случаях, установленных законодательством Российской Федерации.
  • Оператор вправе поручить обработку персональных данных (с согласия субъекта персональных данных) третьим лицам, на основании заключаемого с этими лицами договора (поручения).
  • Лица, осуществляющие обработку персональных данных по поручению Оператора, обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные действующим законодательством. Для каждого третьего лица в договоре (поручении) определяется перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, также указываются требования к защите обрабатываемых персональных данных.
  • Передача персональных данных осуществляется в соответствии с требованиями законодательства Российской Федерации в части обработки и защиты персональных данных.
  1. ПРАВА СУБЪЕКТОВ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Гражданин, персональные данные которого обрабатываются Оператором, имеет право получать от Оператора:

  • подтверждение факта обработки персональных данных Оператором;
  • сведения о правовых основаниях и целях обработки персональных данных;
  • сведения о применяемых Оператором способах обработки персональных данных;
  • сведения о наименовании и местонахождении Оператора;
  • сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные;
  • перечень обрабатываемых персональных данных, относящихся к гражданину, от которого поступил запрос, и информацию об источниках их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
  • сведения о сроках обработки персональных данных, в том числе сроках их хранения;
  • информацию об осуществляемой или о предполагаемой трансграничной передаче персональных данных;
  • наименование (ФИО) и адрес лица, осуществляющего обработку персональных данных по поручению Оператора;
  • сведения о порядке осуществления гражданином прав, предусмотренных Федеральным законом № 152-ФЗ от 27.07.2006 «О персональных данных» (далее — Федеральный закон № 152-ФЗ);
  • иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.

Гражданин, персональные данные которого обрабатываются Оператором, имеет право:

  • требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • отозвать свое согласие на обработку персональных данных;
  • требовать устранения неправомерных действий Оператора в отношении его персональных данных;
  • обжаловать действия или бездействие Оператора в уполномоченный орган или в судебном порядке в случае, если гражданин считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы;
  • на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

 

  1. ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Все персональные данные субъектов Учреждение получает от них самих либо от их представителей.

6.2. Обработка персональных данных осуществляется в соответствии с действующим законодательством Российской Федерации на основании согласия субъекта персональных данных.

6.3. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

6.4.  Учреждение оставляет за собой право отказать в заключении договора субъекту персональных данных в случае предоставления неполных или недостоверных персональных данных, а также в случае отказа дать письменное согласие на обработку персональных данных.

6.5. Согласия субъекта персональных данных не требуется в следующих случаях:

—  обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

— обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

6.6. Получение персональных данных субъекта у третьих лиц, возможно только при уведомлении субъекта об этом заранее и с его письменного согласия.

6.7. Персональные данные обрабатываются в структурных подразделениях Учреждения в соответствии с исполняемыми ими функциями.

6.8. Доступ к персональным данным, обрабатываемым без использования средств автоматизации, к персональным данным, обрабатываемым в информационных системах персональных данных (далее – ИСПДн) осуществляется в соответствии с утвержденным списком.

6.9.  Лица, допущенные к персональным данным субъектов Учреждения, имеют право получать только те персональные данные субъекта, которые необходимы  им для выполнения конкретных функций в соответствии с их должностными инструкциями.

6.10. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна выполняться в соответствии с требованиями «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» утвержденным постановлением Правительства РФ от 15.09.2008 № 687.

Персональные данные при такой их обработке, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

6.11. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.

6.12. Персональные данные подлежат уничтожению либо обезличиванию в случаях достижения целей обработки или в случае утраты необходимости в их достижении.

Персональные данные подлежат уничтожению в случаях:

  • отзыва согласия субъекта персональных данных;
  • представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • выявления неправомерной обработки персональных данных.

6.13. Хранение материальных носителей персональных данных осуществляется в специально оборудованных шкафах и сейфах.

6.14. В срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Учреждение вносит в них необходимые изменения, а также уведомляет субъекта о внесенных изменениях.

6.15. Уничтожение персональных данных осуществляется в срок, не превышающий 30 рабочих дней с момента достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами.

6.16. Уничтожение персональных данных осуществляется в срок, не превышающий 30 рабочих дней с момента отзыва согласия субъекта персональных данных.

6.17.Уничтожение персональных данных осуществляется в срок, не превышающий 10 рабочих дней с момента выявления неправомерной обработки персональных данных. Учреждение уведомляет об этом субъекта или его представителя.

6.18. Уничтожение персональных данных осуществляется в срок, не превышающий 7 рабочих дней с момента представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;

6.19.Уничтожение осуществляет лицо, обрабатывающее персональные данные субъекта в структурном подразделении и установившее необходимость уничтожения персональных данных под контролем руководителя этого структурного подразделения.

6.20.Уничтожение достигается путем измельчения. При этом составляется акт, утверждаемый руководителем структурного подразделения, проводившего уничтожение документов.

6.21.При необходимости уничтожения большого количества документов Учреждение может воспользоваться услугами специализированных организаций по уничтожению или переработке бумаги. В этом случае к акту уничтожения необходимо приложить накладную на передачу документов, подлежащих уничтожению, в специализированную организацию. Лицо, проводящее уничтожение, должно присутствовать при уничтожении документов в специализированной организации.

6.22. Уничтожение баз данных Учреждения, содержащих персональные данные субъекта, выполняется в случаях, предусмотренных пунктом 6.12 по заявке руководителя структурного подразделения, обрабатывавшего персональные данные субъекта и установившего необходимость их уничтожения.

6.23. Уничтожение персональных данных субъекта на бумажных носителях осуществляется должностным лицом, ответственным за обработку персональных данных с оформлением соответствующего акта о прекращении обработки персональных данных.

6.24. Уничтожение персональных данных субъекта на машинных носителях достигается путем затирания информации (в том числе и резервных копиях) с оформлением акта лицом, ответственным за техническое обслуживание автоматизированных систем.

6.25. Уничтожение архивов электронных документов может не производиться, если ведение и сохранность их в течение определенного срока предусмотрены соответствующими нормативными и (или) договорами.

6.26. При невозможности осуществления затирания информации на машинных носителях допускается проведение обезличивания путем перезаписи полей баз данных, которые позволяют определить субъекта данными, исключающими дальнейшее определение субъекта.

6.27. Контроль выполнения процедур уничтожения персональных данных осуществляет ответственный за организацию обработки персональных данных.

6.28. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных.

 

  1. МЕРЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
  • Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

К таким мерам, в соответствии ст. 18.1 и 19 Федерального закона № 152-ФЗ, в частности, относятся:

  • назначение лица, ответственного за организацию обработки персональных данных, и лиц, ответственных за обеспечение безопасности персональных данных;
  • разработка и утверждение локальных актов по вопросам обработки и защиты персональных данных;
  • применение правовых, организационных и технических мер по обеспечению безопасности персональных данных:
  • oпределение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
  • применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия:
  • оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;
  • обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
  • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
  • осуществление внутреннего контроля и/или аудита соответствия обработки персональных данных действующему законодательству и локальным актам Оператора;
  • оценка вреда, который может быть причинен гражданам в случае нарушения законодательства о персональных данных, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом;
  • соблюдение условий, исключающих несанкционированный доступ к материальным носителям персональных данных и обеспечивающих сохранность персональных данных;
  • ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами по вопросам обработки и защиты персональных данных, и обучение таких работников.

Лица, допущенные к работе с персональными данными, обязаны:

  • знать законодательство Российской Федерации в области обработки и защиты персональных данных, нормативные документы Учреждения по защите персональных данных;
  • сохранять конфиденциальность персональных данных;
  • обеспечивать сохранность закрепленных за ними носителей персональных данных;
  • контролировать срок истечения действия согласий на обработку персональных данных и, при необходимости дальнейшей обработки персональных данных, обеспечивать своевременное получение новых согласий или прекращение обработки персональных данных;
  • докладывать своему непосредственному руководителю обо всех фактах и попытках несанкционированного доступа к персональным данным и других нарушениях.

7.3. Защиту персональных данных субъектов от неправомерного их использования или утраты Учреждение обеспечивает за счет собственных средств в порядке, установленном законодательством Российской Федерации.

При обработке персональных данных должны быть приняты необходимые организационные и технические меры по обеспечению их конфиденциальности.

Технические меры защиты персональных данных при их обработке техническими средствами устанавливаются в соответствии с:

  • РД ФСТЭК России — «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждены приказом ФСТЭК России №21 от 18 февраля 2013 г.;
  • специальными требованиями и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные приказом Гостехкомиссии России от 30 августа 2002 г. № 282;
  • внутренними документами Учреждения, действующими в сфере обеспечения информационной безопасности.

7.4. Защита персональных данных предусматривает ограничение к ним доступа.

7.5. Сотрудники, допущенные к персональным данным, дают письменное обязательство о неразглашении таких данных в установленном порядке.

 

  1. ПОРЯДОК ДОСТУПА СОТРУДНИКОВ В ПОМЕЩЕНИЯ, В КОТОРЫХ ВЕДЁТСЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

Объектами охраны в Учреждении являются:

  • помещения, в которых происходит обработка персональных данных, как с использованием средств автоматизации, так и без таковых;
  • помещения, в которых хранятся материальные носители персональных данных;
  • Бесконтрольный доступ посторонних лиц в указанные помещения должен быть исключен.
  • Для помещений, в которых обрабатываются персональные данные (далее – Помещения), обеспечивается режим безопасности, при котором исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.
8.4.     В нерабочее время в помещениях, в которых ведется обработка персональных данных, все окна и двери в смежные помещения должны быть надежно закрыты, материальные носители персональных данных должны быть убраны в запираемые шкафы (сейфы), компьютеры выключены либо заблокированы.

8.5.     Право самостоятельного входа в помещения имеют сотрудники, непосредственно работающие в этих помещениях и лицо, ответственное за организацию обработки персональных данных. Допуск сотрудников в помещения, в которых ведется обработка персональных данных, оформляется после подписания сотрудником обязательства о неразглашении и инструктажа ответственного за организацию обработки персональных данных.

  • Доступ посторонних лиц в помещения, в которых ведется обработка персональных данных, должен осуществляться только ввиду служебной необходимости. При этом на момент присутствия посторонних лиц в помещении должны быть приняты меры по недопущению ознакомления посторонних лиц с персональными данными — мониторы повернуты в сторону от посетителей, документы убраны в стол, либо находятся в непрозрачной папке (накрыты чистыми листами бумаги).
  • Доступ сотрудников в помещения, в которых ведется обработка персональных данных, осуществляется с учетом обеспечения безопасности персональных данных.

8.8. Иные лица допускаются в Помещения по согласованию с руководителем или его заместителем по направлению деятельности и в сопровождении лица, работающего в этом Помещении.

8.9. Уборка Помещения должна производиться в присутствии лица, осуществляющего обработку персональных данных.

8.10. Помещения по окончании рабочего дня должны закрываться на ключ и сдаваться под охрану.

8.11. Вскрытие и закрытие (опечатывание) Помещения производится лицами, имеющими право доступа. Перед закрытием Помещения по окончании рабочего дня, лица, имеющие право доступа в помещения, обязаны:

  • убрать материальные носители персональных данных в шкафы, закрыть и опечатать шкафы;
  • отключить технические средства (кроме постоянно действующей техники) и электроприборы от сети, выключить освещение;

закрыть окна.

8.12. Перед открытием Помещения лица, имеющие право доступа в помещения, обязаны:

  • провести внешний осмотр с целью установления целостности двери и замка;
  • открыть дверь и осмотреть Помещение, проверить наличие и целостность печатей на шкафах, где хранятся материальные носители.

8.13. При обнаружении неисправности двери и запирающих устройств необходимо:

  • не вскрывая Помещение, доложить непосредственному руководителю;
  • в присутствии лица, ответственного за организацию обработки персональных данных и непосредственного руководителя, вскрыть Помещение и осмотреть его;

составить акт о выявленных нарушениях и передать его руководителю для организации служебного расследования.

8.14. Ответственность за соблюдение порядка доступа в Помещения возлагается на ответственных за помещения в которых обрабатываются персональные данные.

8.15. Сотрудники, должны быть ознакомлены с порядком доступа в помещения, в которых ведется обработка персональных данных.

8.16. Ответственность за соблюдение положений настоящего порядка несут сотрудники структурных подразделений, обрабатывающих персональные данные, а также их руководители.

8.17. Контроль за соблюдением требований настоящего порядка обеспечивает ответственный за организацию обработки персональных данных.

 

  1. ЗАПРОСЫ В ОТНОШЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
  • Физические лица, чьи персональные данные обрабатываются Оператором, могут получить разъяснения по вопросам обработки своих персональных данных, направив официальный запрос по электронной почте e-mail: administratsiya@molodezhru либо почтой России.
  • Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет ответственный за организацию обработки персональных данных.

9.3. При обращении либо письменном запросе субъекта персональных данных или его представителя на доступ к своим персональным данным Оператор руководствуется требованиями ст. 14, 18 и 20 Федерального закона «О персональных данных».

9.4. Доступ субъекта персональных данных или его законного представителя к своим персональным данным Учреждение предоставляет только под контролем ответственного за организацию обработки персональных Учреждения.

9.5. Обращение субъекта персональных данных или его представителя фиксируются в Журнале учета обращений граждан.

9.6. Письменный запрос субъекта персональных данных или его представителя фиксируется в Журнале регистрации письменных запросов граждан на доступ к своим персональным данным.

9.7. Решение о предоставлении доступа субъекта к персональным данным принимает Ответственный за организацию обработки персональных данных в Учреждении.

9.8. Сведения о наличии персональных данных Учреждение предоставляет субъекту персональных данных в доступной форме. В них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Контроль за предоставлением сведений субъекту или его представителю осуществляет ответственный за организацию обработки персональных данных.

9.10. Сведения о наличии персональных данных должны быть предоставлены субъекту при ответе на запрос в течение тридцати дней от даты получения запроса субъекта персональных данных или его представителя.

9.11. При обработке персональных данных субъекта:

  • запрещено сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта;
  • предупреждать лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

9.12. Лица, получающие персональные данные субъекта, обязаны соблюдать режим конфиденциальности в отношении этих данных.

 

  1. ПРАВИЛА ПРОВЕДЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ ВЫПОЛНЕНИЯ ТРЕБОВАНИЙ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1.   Контроль за выполнением требований по защите персональных данных в Учреждении осуществляется с целью определения наличия несоответствий между требуемым уровнем защиты персональных данных и его фактическим состоянием, а также выработке мер по их устранению и недопущению в дальнейшем.

10.2. Контроль осуществляет Ответственный за организацию обработки персональных данных в Учреждении. Для участия в проведении контроля решением ответственного за организацию обработки персональных данных могут также привлекаться другие специалисты Учреждения. В таких случаях контроль носит комплексный характер.

10.3. Контроль проводится в форме плановых и внеплановых проверок. Внеплановые проверки могут быть контрольными и по частным вопросам.

Контрольные проверки проводятся для установления полноты выполнения рекомендаций предыдущих проверок.

Проверки по частным вопросам охватывают отдельные направления по защите персональных данных и могут проводиться в случаях, когда стали известны факты несанкционированного доступа, утечки либо утраты персональных данных субъектов Учреждения или нарушения требований по защите персональных данных.

Сроки проведения контрольных проверок доводятся руководителям проверяемых подразделений не позднее, чем за 24 часа до начала проверки.

Проверяющий подготавливает в адрес проверяемого подразделения распоряжение о проверке за подписью Ответственного за организацию обработки персональных данных в Учреждении и перечень вопросов проверки (при необходимости).

10.4. Проверки по частным вопросам могут проводиться без уведомления.

10.5.  Допуск лиц, прибывших на проверку к конкретным информационным ресурсам, охраняемым сведениям и техническим средствам производится на основании распоряжения о проверке. Подобный допуск должен исключать ознакомление проверяющих лиц с конкретными персональными данными.

10.6.   В ходе осуществления контроля выполнения требований по защите персональных данных в подразделении Учреждения проверке подлежат следующие показатели:

10.6.1. В части общей организации работ по защите персональных данных

· соответствие информации, указанной в уведомлении об обработке персональных данных, реальному положению дел;

· наличие нормативных документов по защите персональных данных;

· знание нормативных документов сотрудниками, имеющими доступ к персональным данным;

· полнота и правильность выполнения требований нормативных документов сотрудниками, имеющими доступ к персональным данным;

· наличие лиц, назначенных ответственными за организацию обработки персональных данных в подразделении, уровень их профессиональной подготовки и способность выполнить возложенные обязанности;

· наличие согласий на обработку персональных данных субъектов персональных данных. Соответствие объема персональных данных и сроков обработки целям обработки персональных данных;

·     соответствие перечня мест хранения материальных носителей, перечня лиц, допущенных к обработке персональных данных, фактическому состоянию.

10.6.2. В части защиты персональных данных в информационных системах персональных данных (ИСПДн)

·     соответствие средств вычислительной техники ИСПДн показателям, указанным в документации на ИСПДн;

·     структура и состав локальных вычислительных сетей, организация разграничения доступа пользователей к сетевым информационным ресурсам, порядок защиты охраняемых сведений при передаче (обмене) персональных данных в сети передачи данных (СПД);

·     контроль целостности пломб на аппаратных средствах, с которыми осуществляется штатное функционирование средств криптографической защиты информации;

·     соблюдение установленного порядка использования средств вычислительной техники ИСПДн;

·     наличие и эффективность применения средств и методов защиты персональных данных, обрабатываемых на средствах ЭВТ;

·     соблюдение требований, предъявляемых к паролям на информационные ресурсы;

·     соблюдение требований и правил антивирусной защиты ПЭВМ и программ;

·     контроль журналов учета носителей персональных данных. Сверка основного журнала с дублирующим (если требуется ведение дублирующего учета носителей);

·     тестирование реализации правил фильтрации межсетевого экрана, процесса регистрации, процесса идентификации и аутентификации запросов, процесса идентификации и аутентификации администратора межсетевого экрана, процесса регистрации действий администратора межсетевого экрана, процесса контроля за целостностью программной и информационной части, процедуры восстановления настроек межсетевого экрана.

10.6.3.В части защиты информационных ресурсов и помещений

· правильность отнесения обрабатываемой информации к персональным данным;

· правильность классификации информационной системы;

· закрепление гражданско-правовой ответственности в сфере информационной безопасности и соблюдения режима конфиденциальности персональных данных в правилах внутреннего трудового распорядка, положениях о подразделениях Учреждения, должностных инструкциях сотрудников и трудовых договорах;

· порядок передачи персональных данных органам государственной власти, местного самоуправления и сторонним организациям (контрагентам);

· действенность принимаемых мер по защите охраняемых сведений в ходе подготовки материалов к открытому опубликованию и при изготовлении рекламной продукции;

· состояние конфиденциального делопроизводства, соблюдение установленного порядка подготовки, учета, использования, хранения и уничтожения документов, содержащих персональные данные;

· выполнение требований по правильному оборудованию защищаемых помещений и предотвращению утечки охраняемых сведений при проведении мероприятий конфиденциального характера;

· соответствие защищаемых помещений их техническим паспортам.

Недостатки, которые не могут быть устранены на месте, включаются в итоговый документ по результатам проверки.

10.7. При проведении проверки назначенными специалистами результаты проверки оформляются служебной запиской.

10.8. В случае несогласия с выводами проверяющих лиц руководитель подразделения может выразить в письменном виде свое особое мнение (прилагается к служебной записке).

10.9. Результаты проверок подразделений периодически обобщаются ответственным за организацию обработки персональных данных в Учреждении и доводятся до руководителей подразделений.

 

11.         ОТВЕТСТВЕННЫЙ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1.Ответственный за организацию обработки персональных данных (далее – Ответственный) назначается приказом директора Учреждения.

11.2. На Ответственного   возложены следующие задачи:

·      Разработка, внедрение и актуализация локальных актов по вопросам обработки персональных данных.

·      Доведение до сведения работников Учреждения, непосредственно осуществляющих обработку персональных данных, положений законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных, и проведение обучения указанных работников.

·      Организация приема и обработки обращений и запросов субъектов персональных данных или их представителей и осуществление контроля за приемом и обработкой таких обращений и запросов.

·       Организация комплексной защиты объектов информатизации:

— информационных ресурсов, представленных в виде документированной информации на магнитных, оптических носителях, информационных массивов и баз данных, содержащих персональные данные;

— средств и систем информатизации (средств вычислительной техники, информационно-вычислительных комплексов, локальных вычислительных сетей и корпоративных информационных систем), программных средств (операционных систем, систем управления базами данных, другого общесистемного и прикладного программного обеспечения), систем связи и передачи данных используемых для реализации процессов ведения деятельности, обработки информации, содержащей персональные данные.

·      Организация защиты персональных данных субъектов Учреждения.

·      Организация внутреннего контроля за соблюдением работниками Учреждения норм законодательства Российской Федерации по обработке персональных данных, в том числе требований, предъявляемых к защите персональных данных.

·      Разработка и проведение организационных мероприятий, обеспечивающих безопасность объектов защиты Учреждения, своевременное выявление и устранение возможных каналов утечки информации.

·      Организация проведения работ по технической защите информации на объектах информатизации, в информационно-вычислительных сетях, системах и средствах связи и телекоммуникаций Учреждения.

·      Реализация технических мер, обеспечивающих своевременное выявление возможных технических каналов утечки информации в подразделениях Учреждения.

·      Методическое руководство системой обеспечения информационной безопасности Учреждения.

·      Организация контроля состояния и проведение оценки эффективности системы обеспечения информационной безопасности персональных данных, а также реализация мер по её совершенствованию.

·      Внедрение в информационную инфраструктуру Учреждения современных методов и средств обеспечения информационной безопасности.

11.3. Для решения поставленных задач Ответственный за организацию обработки персональных данных осуществляет следующие функции:

·      Разработку и внедрение правовых, организационных и технических мер по комплексному обеспечению безопасности персональных данных.

·      Обеспечение соблюдения режима конфиденциальности при обработке персональных данных.

·      Контроль за выполнением мер по защите персональных данных, анализ материалов контроля, выявление недостатков и нарушений. Разработка и реализация мер по их устранению.

·      Обеспечение взаимодействия с контрагентами по вопросам организации и проведения работ по защите информации. Участие в разработке технических заданий на выполняемые работы.

·      Контроль за выполнением плановых заданий, договорных обязательств, а также сроков, полноты и качества работ по защите персональных данных, выполняемых контрагентами.

·      Проведение работ по технической защите информации на объектах информатизации Учреждения. Оценка эффективности принятых мер по технической защите информации.

·      Обеспечение выбора, установки, настройки и эксплуатации средств защиты информации в соответствии с организационно-распорядительной и эксплуатационной документацией.

·      Организацию режима обеспечения безопасности помещений, в которых происходит обработка персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в такие помещения.

·      Организацию доступа работников Учреждения к персональным данным в соответствии с возложенными на них служебными обязанностями.

·      Разработку и внедрение локальных актов, определяющих перечень работников Учреждения, имеющих доступ к персональным данным.

·      Контроль размещения устройств ввода (отображения) информации, исключающего ее несанкционированный просмотр.

·      Обеспечение соответствия проводимых работ по защите персональных данных технике безопасности, правилам и нормам охраны труда.

·      Проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства по защите персональных данных.

Актуализацию внутренней организационно-распорядительной документации по защите персональных данных при изменении существующих и выходе новых нормативных правовых документов по вопросам обработки персональных данных.

 

  1. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Настоящая Политика является общедоступным документом и распространяется на все субъекты персональных данных, а также на работников оператора, имеющих доступ и осуществляющих перечень действий с персональными данными субъектов.

Пересмотр положений настоящей Политики проводится в случаях:

  • при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;
  • при изменении целей обработки персональных данных, структуры информационных и/или телекоммуникационных систем (или введении новых);
  • при применении новых технологий обработки персональных данных (в т.ч. передачи, хранения);
  • при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью Оператора;
  • по результатам контроля выполнения требований по обработке и защите персональных данных;
  • по решению руководства Оператора.
  • После пересмотра положений настоящей Политики, ее актуализированная версия публикуется на сайте Оператора www.молодежь.рф
  • В случае неисполнения положений действующего законодательства в области защиты персональных данных Оператор несет ответственность в соответствии действующим законодательством Российской Федерации.
  • Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, привлекаются к материальной, административной, уголовной и гражданско-правовой ответственности на основании судебного решения, а также к дисциплинарной ответственности.
  • Настоящее Положение доводится до сведения всех лиц, персональные данных которых могут быть использованы оператором, персонально под роспись работником, ответственным за обеспечение защиты персональных данных.
  • В случае отказа от дачи согласия на обработку персональных данных, когда такая обработка необходима, либо отзыве согласия, о последствиях отказа от предоставления письменного согласия на сбор информации субъект персональных данных должен быть предупреждён по расписку.
Телефон: (8152)25-53-70 Факс: (8152)25-46-75 E-mail: administratsiya@molodezh51.ru

Дата публикации: 17.12.2017