- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых в Главном управлении способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
7.1.5. Согласия субъекта на обработку его персональных данных не требуется в следующих случаях:
- обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
- обработка персональных данных осуществляется в целях исполнения трудового или иного договора или соглашения между работником и Главным управлением;
- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия при данных обстоятельствах невозможно;
- обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
- осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами.
7.1.6. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.
7.1.7. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных в письменной форме дает его законный представитель.
В случае смерти субъекта согласие на обработку его персональных данных при необходимости дает в письменной форме один из его наследников, если такое согласие было дано субъектом персональных данных при его жизни.
7.1.8. В случае, если Главное управление на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
7.1.9. Главное управление не имеет права получать и обрабатывать персональные данные субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, интимной, частной жизни, а также о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением, если:
- субъект дал согласие в письменной форме на обработку своих соответствующих персональных данных;
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья субъекта и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта в данный момент невозможно;
- обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
- обработка персональных данных необходима в связи с осуществлением правосудия;
- обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.
Обработка персональных данных, перечисленных в п. 4.11. настоящего Положения, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
7.1.10. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия субъекта персональных данных в письменной форме.
7.1.11. Обработка биометрических персональных данных может осуществляться без согласия субъекта в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, о государственной гражданской службе, о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, уголовно-исполнительным законодательством Российской Федерации.
7.1.12. Защита персональных данных субъекта от неправомерного их использования или утраты должна быть обеспечена оператором за счет его средств в порядке, установленном федеральным законодательством Российской Федерации.
7.1.13. Субъекты персональных данных и их представители должны быть ознакомлены под роспись с документами главного управления, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
7.1.14. Документы, содержащие персональные данные работника составляют его личное дело. Документы, содержащие персональные данных соискателя составляют его анкету.
Письменные доказательства получения оператором согласия субъекта персональных данных на их обработку хранятся в личном деле.
7.1.15. При обработке персональных данных Главное управление вправе определять способы обработки, документирования, хранения и защиты персональных данных на базе современных информационных технологий.
7.1.16. Круг лиц, допущенных к работе с документами, содержащими персональные данные субъектов, определяется распоряжением Главного управления.
7.1.17. Помещения, в которых хранятся персональные данные субъектов, оборудуются надежными замками и сигнализацией на вскрытие помещений.
Для хранения персональных данных используются специально оборудованные шкафы или сейфы, которые запираются на ключ.
Помещения, в которых хранятся персональные данные субъектов, в рабочее время при отсутствии в них работников должны быть закрыты.
Проведение уборки помещений, в которых хранятся персональные данные, должно производиться в присутствии соответствующих работников.
7.2. Сведения о доходах, об имуществе и обязательствах имущественного характера государственного гражданского служащего, его супруги (супруга) и несовершеннолетних детей в соответствии с законодательством о государственной гражданской службе в Российской Федерации размещаются на официальном сайте Главного управления в сети Интернет.
7.3. Сроки обработки и хранения персональных данных работников Главного управления, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований определяются нормами законодательства Российской Федерации в сфере государственного гражданской службы, трудового законодательства, законодательства о размещении государственных заказов, законодательства об архивном деле.
7.4. Меры, принимаемые в Главном управлении, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных:
– определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
– применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
– применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
– оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
– учет машинных носителей персональных данных;
– обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
– восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
– установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
– контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
_________________
Приложение
к распоряжению Главного управления
лесного хозяйства Омской области
от ___________________ № _______
Правила
рассмотрения запросов субъектов персональных данных Главного управления лесного хозяйства Омской области
или их представителей
1. Общие положения
1.1. Настоящие Правила разработаны в соответствии с Федеральным законом «О персональных данных» от 01.01.2001г. и Трудовым кодексом Российской Федерации и определяют порядок обработки поступающих в Главное управление лесного хозяйства Омской области (далее – Главное управление) обращений субъектов персональных данных (сотрудников).
2. Права субъектов персональных данных
2.1. В соответствии с действующим законодательством субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
2.1.1. подтверждение факта обработки персональных данных Главным управлением, а также цель такой обработки;
2.1.2. способы обработки персональных данных, применяемые Главным управлением;
2.1.3. сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
2.1.4. перечень обрабатываемых персональных данных и источник их получения;
2.1.5. сроки обработки персональных данных, в том числе сроки их хранения;
2.1.6. сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
2.2. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
2.2.1. обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2.2.2. обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
2.2.3. предоставление персональных данных нарушает конституционные права и свободы других лиц.
2.3. Если субъект персональных данных считает, что Главное управление осуществляет обработку его персональных данных с нарушением требований Федерального закона от 01.01.2001 года «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Главного управления в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
2.4. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
3. Порядок работы с обращениями субъектов
3.1. Главное управление обязано сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.
3.2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных Главное управление обязано дать в письменной форме мотивированный ответ в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.
3.3. Главное управление обязано безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет Главное управление, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Главное управление обязано уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
3.4. Главное управление обязано сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.
_____________
Приложение
к распоряжению Главного управления
лесного хозяйства Омской области
от ___________________ № _______
Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных
данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовым актами и локальными актами Главного управления лесного хозяйства Омской области
1. Общие положения.
1.1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных Главного управления (далее – Главное управление) Омской области разработаны с учетом Федерального закона от 01.01.2001 «О персональных данных» и постановления Правительства Российской Федерации «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
1.2. Настоящие Правила определяют порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных и действуют постоянно.
2. Тематика внутреннего контроля.
2.1. Тематика проверок обработки персональных данных с использованием средств автоматизации:
2.1.1. Соблюдение порядка доступа в помещения Главного управления, где расположены элементы информационных систем персональных данных.
2.1.2. Соблюдение порядка работы со средствами защиты информации.
2.1.3. Соблюдение пользователями инструкции по работе с ПЭВМ.
2.1.4. Соблюдение правил организации парольной защиты.
2.1.5. Соответствие полномочий пользователя разрешительной системе доступа.
2.1.6. Знание пользователей информационных систем персональных данных о своих действиях во внештатных ситуациях.
2.2. Тематика проверок обработки персональных данных без использования средств автоматизации:
2.2.1. Хранение бумажных носителей с персональными данными.
2.2.2. Доступ к бумажным носителям с персональными данными.
2.2.3. Доступ в помещения, где обрабатываются и хранятся бумажные носители с персональными данными.
3. Порядок проведения внутренних проверок.
3.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям Главное управление организует проведение периодических проверок условий обработки персональных данных.
3.2. Проверки осуществляются ответственными за внутренние проверки информационных систем персональных данных (далее – ответственные) либо комиссией, образуемой начальником Главного управления.
3.3. Внутренние проверки проводятся в соответствии с планом внутренних проверок состояния защищенности персональных данных, обрабатываемых в Главном управлении.
3.4. Проверки осуществляются ответственными в составе комиссии непосредственно на месте обработки персональных данных путем опроса и осмотра рабочих мест сотрудников, участвующих в процессе обработки персональных данных.
3.5. Для каждой проверки составляется протокол проведения внутренней проверки.
3.6. При выявлении в ходе проверки нарушений, ответственными либо председателем комиссии в протоколе делается запись о мероприятиях по устранению нарушений и сроках исполнения.
3.7. Протоколы хранятся у ответственного за организацию обработки персональных данных либо у председателя комиссии в течение текущего года. Уничтожение протоколов проводится ответственными самостоятельно в январе следующего за проверочным годом.
3.8. О результатах проверки и мерах, необходимых для устранения нарушений, начальнику Главного управления докладывают ответственные за внутренние проверки.
____________
Приложение
к распоряжению Главного управления
лесного хозяйства Омской области
от ___________________ № _______
Правила
работы с обезличенными персональными данными в Главном управлении лесного хозяйства Омской области
1. Термины и определения.
1.1. В соответствии с Федеральным законом от 01.01.2001 «О персональных данных»:
1.1.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
1.1.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
1.1.3. Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
2. Условия обезличивания.
2.1. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных Главного управления лесного хозяйства Омской области (далее – Главное управление) и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.2. Способы обезличивания при условии дальнейшей обработки персональных данных:
2.2.1. Уменьшение перечня обрабатываемых сведений;
2.2.2. Замена части сведений идентификаторами;
2.2.3. Обобщение – понижение точности некоторых сведений;
2.2.4. Понижение точности некоторых сведений;
2.2.5. Деление сведений на части и обработка в разных информационных системах;
2.2.6. Другие способы, явно не запрещенные законодательно.
2.3. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
2.4. Перечень должностей государственных гражданских служащих Главного управления, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, приведен в приложении №2 к настоящему распоряжению;
2.4.1. Решение о необходимости обезличивания персональных данных принимает начальник Главного управления лесного хозяйства Омской области;
2.4.2. Руководители подразделений, непосредственно осуществляющие обработку персональных данных, готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания;
2.4.3. Сотрудники подразделений, обслуживающих базы данных с персональными данными, совместно с ответственным за организацию обработки персональных данных, осуществляют непосредственное обезличивание выбранным способом.
3. Порядок работы с обезличенными персональными данными.
2.5. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
2.6. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
2.7. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
2.7.1. Требований парольной защиты;
2.7.2. Правил антивирусного контроля;
2.7.3. Регламентированным комплексом мер по защите персональных данных;
2.7.4. Правил резервного копирования;
2.7.5. Правил доступа в помещения, где расположены элементы информационных систем персональных данных;
2.8. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
2.8.1. Правил обработки персональных данных;
2.8.2. Правил доступа к персональным данным и в помещения, где они хранятся.
_______________
Приложение
к распоряжению Главного управления
лесного хозяйства Омской области
от ___________________ № _______
Типовое обязательство
работника Главного управления лесного хозяйства Омской области, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним срочного служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 |
