Работа с персональными данными

ПРИЛОЖЕНИЕ № 2 к приказу УФСИН России по Курганской области от 06.05.2016 № 244

 

Политика УФСИН России по Курганской области

в отношении обработки персональных данных

 

1. Общие положения

 1.1. Настоящая Политика УФСИН России по Курганской области в отношении обработки персональных данных (далее – Политика) разработана в соответствии со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о ПДн) и является основополагающим внутренним организационно-распорядительным документом УФСИН России по Курганской области (далее  – УФСИН), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее – ПДн), оператором которых является УФСИН.

1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты ПДн и направлена на обеспечение защиты прав и свобод субъекта ПДн при обработке его ПДн в УФСИН.

1.3. Положения Политики распространяются на отношения по обработке и защите ПДн, полученных УФСИН как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПДн, полученных до ее утверждения.

2. Основания обработки и состав ПДн, обрабатываемых в УФСИН

2.1. Обработка ПДн в УФСИН осуществляется в связи с выполнением законодательно возложенных на УФСИН функций, определяемых:

Уголовно-исполнительным кодексом Российской Федерации от 08.01.1997 
№ 1-ФЗ;

Федеральным законом от 12.08.1995 № 144-ФЗ «Об оперативно-розыскной деятельности»;

Трудовым кодексом Российской Федерации от 30.12.2001 № 197-ФЗ;

Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

Федеральным законом от 15.12.2001 № 166-ФЗ «О государственном пенсионном обеспечении в Российской Федерации»;

иными нормативными правовыми актами Российской Федерации.

2.2. ПДн получаются и обрабатываются УФСИН на основании федеральных законов и иных нормативных правовых актов Российской Федерации, в необходимых случаях – при наличии письменного согласия субъекта ПДн.

2.3. УФСИН может предоставлять обрабатываемые ПДн государственным органам и организациям, имеющим, в соответствии с федеральными законами, право на получение соответствующих ПДн.

2.4. В УФСИН не производится обработка ПДн, несовместимая с целями их сбора. Если иное не предусмотрено федеральными законами, по окончании обработки ПДн, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся ПНд уничтожатся или обезличиваются.

2.5. При обработке ПДн обеспечиваются их точность, достаточность, при необходимости – актуальность по отношению к целям обработки. УФСИН принимает необходимые меры по уточнению неполных или неточных ПДн.

2.6. Состав обрабатываемых в УФСИН ПДн, формируется в соответствии с федеральным законодательством, касающемся обработки ПДн, нормативными и правовыми актами Минюста России, ФСИН России и утверждается приказом УФСИН.

3. Принципы обеспечения безопасности ПДн в УФСИН

3.1. Основной задачей обеспечения безопасности ПДн при их обработке в УФСИН является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПДн, разрушения (уничтожения) или искажения их в процессе обработки.

3.2. Для обеспечения безопасности ПДн УФСИН руководствуется следующими принципами:

законность (защита ПДн основывается на положениях законодательства в области обработки и защиты ПДн);

системность (обработка ПДн в УФСИН осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн);

комплексность (защита ПДн строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах ПДн (далее – ИСПДн) и других имеющихся систем и средств защиты информации);

непрерывность (защита ПДн обеспечивается на всех этапах их обработки и во всех режимах функционирования ИСПДн);

своевременность (меры, обеспечивающие надлежащий уровень безопасности ПДн, принимаются до начала их обработки);

преемственность и непрерывность совершенствования (модернизация и наращивание мер и средств защиты ПДн осуществляется на основании результатов анализа практики обработки ПДн, с учетом выявления новых способов и средств реализации угроз безопасности ПДн, а также с учетом проводимого периодического контроля);

персональная ответственность (ответственность за обеспечение безопасности ПДн возлагается на сотрудников УФСИН в пределах их обязанностей, связанных с обработкой и защитой ПДн);

минимизация прав доступа (доступ к ПДн предоставляется сотрудникам УФСИН только в объеме, необходимом для выполнения их должностных обязанностей);

гибкость (обеспечение выполнения функций защиты ПДн при изменении характеристик функционирования ИСПДн, а также объема и состава обрабатываемых ПДн);

обоснованность и техническая реализуемость (уровень мер по защите ПДн определяется современным уровнем развития информационных технологий и средств защиты информации);

специализация и профессионализм (реализация мер по обеспечению безопасности ПДн и эксплуатация средств защиты ПДн осуществляются сотрудниками УФСИН, имеющими необходимые для этого квалификацию и опыт);

контроль и оценка (устанавливаются процедуры контроля обработки ПДн, результаты контроля регулярно анализируются).

4. Доступ к обрабатываемым в УФСИН ПДн

4.1. Доступ к обрабатываемым в УФСИН ПДн имеют сотрудники УФСИН, определенные приказом УФСИН, а также сотрудники УФСИН, чьи ПДн подлежат обработке (только к своим ПДн).

4.2. В целях разграничения полномочий при обработке ПДн, полномочия по реализации каждой определенной законодательством функции УФСИН закрепляются за соответствующими структурными подразделениями УФСИН. Доступ к ПДн, обрабатываемым в ходе реализации полномочий, закрепленных за конкретным структурным подразделением УФСИН, могут иметь только сотрудники этого структурного подразделения. Другие сотрудники допускаются к ПДн, связанным с деятельностью другого структурного подразделения УФСИН, только на основании соответствующего приказа УФСИН.

4.3. Доступ сотрудников УФСИН к обрабатываемым ПДн осуществляется при необходимости выполнения своих должностных обязанностей в соответствии с требованиями внутренних организационно-распорядительных документов УФСИН. Допущенные к обработке ПДн сотрудники под роспись знакомятся с документами, устанавливающими порядок обработки ПДн и защиты ПДн.

4.4. Порядок доступа субъекта ПДн к его ПДн, обрабатываемым УФСИН, определяется в соответствии с действующим законодательством Российской Федерации и внутренними организационно-распорядительными документами УФСИН.

5. Реализуемые требования к защите ПДн

5.1. УФСИН принимает (обеспечивает принятие) правовые, организационные и технические меры, необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных Законом о ПДн и принятыми в соответствии с ним нормативными правовыми актами, для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

5.2. Состав мер, указанных в пункте 5.1 настоящей Политики, включая их содержание и выбор средств защиты ПДн, определяется, а внутренние организационно-распорядительные документы об обработке и защите ПДн утверждаются (издаются) УФСИН исходя из требований:

Закона о ПДн;

главы 14 Трудового кодекса Российской Федерации;

постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

постановления Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

нормативных правовых актов органов, уполномоченных в области обеспечения безопасности, в области противодействия техническим разведкам и технической защиты информации, в области защиты прав субъектов персональных данных (далее – уполномоченные органы);

иных нормативных правовых актов Российской Федерации об обработке и защите ПДн.

5.3. УФСИН производится устранение выявленных нарушений законодательства об обработке и защите ПДн по результатам контроля уполномоченных органов, а также вышестоящих органов (Минюст России, ФСИН России).

5.4. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше чем этого требуют цели обработки ПДн, если срок хранения не установлен федеральным законодательством.

5.5. УФСИН осуществляет ознакомление сотрудников УФСИН, непосредственно осуществляющих обработку ПДн, с положениями законодательства о ПДн, в том числе требованиями к защите ПДн, настоящей Политикой и иными внутренними организационно-распорядительными документами по вопросам обработки ПДн, и (или) обучение сотрудников по вопросам обработки и защиты ПДн.

5.6. При обработке ПДн с использованием средств автоматизации УФСИН, в частности, применяются следующие меры:

назначаются сотрудники, ответственные за организацию обработки ПДн, определяются их обязанности;

утверждаются (издаются) внутренние организационно-распорядительные документы по вопросам обработки и защиты ПДн, в том числе устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений;

осуществляется внутренний контроль и (или) аудит соответствия обработки ПДн Закону о ПДн и принятым в соответствии с ним нормативными правовыми актами, требованиям к защите ПДн, Политике и внутренним организационно-распорядительными документам УФСИН;

проводится оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Закона о ПДн, определяется соотношение указанного вреда и принимаемых УФСИН мер, направленных на обеспечение исполнения обязанностей, предусмотренных Законом о ПДн.

5.7. Обеспечение безопасности ПДн в УФСИН при их обработке в ИСПДн достигается, в частности, путем:

определения угроз безопасности ПДн. Тип актуальных угроз безопасности ПДн и необходимый уровень защищенности ПДн определяются в соответствии с требованиями законодательства и с учетом проведения оценки возможного вреда;

определения в установленном порядке состава и содержания мер по обеспечению безопасности ПДн, выбора средств защиты ПДн. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности ПДн, а также с учетом экономической целесообразности УФСИН могут разрабатываться компенсирующие меры, направленные на нейтрализацию актуальных угроз безопасности ПДн;

применения организационных и технических мер по обеспечению безопасности ПДн, необходимых для выполнения требований к защите ПДн, обеспечивающих определенные уровни защищенности ПДн, включая применение средств защиты ПДн, прошедших процедуру оценки соответствия, когда применение таких средств необходимо для нейтрализации актуальных угроз.

В УФСИН, в том числе, осуществляются:

оценка эффективности принимаемых и реализованных мер по обеспечению безопасности ПДн;

учет машинных носителей ПДн, обеспечение их сохранности;

обнаружение фактов несанкционированного доступа к ПДн и принятие соответствующих мер;

восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

установление правил доступа к обрабатываемым ПДн;

организация режима обеспечения безопасности помещений, в которых размещены ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

контроль за принимаемыми мерами по обеспечению безопасности ПДн, уровня защищенности ИСПДн.

5.8. Обеспечение защиты ПДн в УФСИН при их обработке, осуществляемой без использования средств автоматизации, достигается, в частности, путем:

обособления ПДн от иной информации;

недопущения фиксации на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы;

использования отдельных материальных носителей для обработки каждой категории ПДн;

принятия мер по обеспечению раздельной обработки ПДн при несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн;

соблюдения иных требований действующего законодательства РФ.

_____________________________________________________

Дата последнего обновления: 20.03.2018 10:04

архив новостей

« Март
Пн Вт Ср Чт Пт Сб Вс
26 27 28 29 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31
2024 2023 2022  
ИНТЕРНЕТ-ПРИЕМНАЯ Напишите нам электронное письмо

Телефон доверия

Ссылки

Безопасное детство

Электронная форма обращения