Основная информация
| Дата опубликования: | 07 мая 2020г. |
| Номер документа: | RU29002716202000084 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Архангельская область |
| Принявший орган: | Администрация муниципального образования “Верхнетоемский муниципальный район” |
| Раздел на сайте: | Нормативные правовые акты муниципальных образований |
| Тип документа: | Постановления |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
Сведений об опубликовании не предоставлено
АРХАНГЕЛЬСКАЯ ОБЛАСТЬ
АДМИНИСТРАЦИЯ
ВЕРХНЕТОЕМСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
ПОСТАНОВЛЕНИЕ
от 07 мая 2020 года №19/2
Об утверждении правил в сфере обработки персональных данных
в администрации Верхнетоемского муниципального района
В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», Приказом Роскомнадзора от 05 сентября 2013 года № 996 «Об утверждении требований и методов по обезличиванию персональных данных», постановляю:
1. Утвердить прилагаемые:
1) Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в администрации Верхнетоемского муниципального района;
2) Правила рассмотрения запросов субъектов персональных данных или их представителей, поступивших в администрацию Верхнетоемского муниципального района;
3) Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации Верхнетоемского муниципального района;
4) Правила работы с обезличенными данными в случае обезличивания персональных данных в администрации Верхнетоемского муниципального района.
2. Утвердить прилагаемый перечень должностей муниципальных служащих, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных согласно Приложения к настоящему постановлению.
3. Настоящее постановление вступает в силу после его официального опубликования.
4. Контроль за исполнением настоящего постановления возложить на руководителя аппарата администрации Верхнетоемского муниципального района Щербакову Н.Л.
Глава Верхнетоемского муниципального района Н.В. Вьюхина
УТВЕРЖДЕНЫ
постановлением администрации
Верхнетоемского муниципального района
от 07 мая 2020 года №19/2
ПРАВИЛА
обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в администрации Верхнетоемского муниципального района
1. Общие положения
1.1. Настоящие Правила определяют цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в администрации Верхнетоемского муниципального района, выступающей оператором, осуществляющим обработку персональных данных (далее – Администрация, оператор).
2. Категории субъектов персональных данных
2.1. К субъектам персональных данных, персональные данные которых обрабатываются в Администрации в соответствии с настоящими Правилами, относятся:
1) муниципальные служащие;
2) граждане, претендующие на замещение должностей муниципальных служащих;
3) работники, замещающие должности, не являющиеся должностями муниципальных служащих;
4) граждане, претендующие на замещение должностей, не являющиеся должностями муниципальных служащих;
5) граждане, состоящие в родстве (свойстве) с субъектами персональных данных, указанных в подпунктах 1-4 пункта 2.1 настоящих Правил;
6) физические лица, обратившиеся в Администрацию в связи с предоставлением муниципальной услуги;
7) граждане, обратившиеся в Администрацию в соответствии с Федеральным законом от 02 мая 2006 года № 59 «О порядке рассмотрения обращений граждан Российской Федерации» (далее – субъекты персональных данных).
3. Цели обработки персональных данных
3.1. Целями обработки персональных данных работников являются:
1) использование в уставной деятельности с применением средств автоматизации или без таких средств, включая хранение этих данных в архивах и размещение в информационно-телекоммуникационных сетях с целью предоставления доступа к ним;
2) заполнение базы данных автоматизированной информационной системы в целях повышения эффективности и быстрого поиска, проведения мониторинговых исследований, формирования статистических и аналитических отчётов в вышестоящие органы;
3.2. Персональные данные субъектов персональных данных обрабатываются в целях:
1) обеспечения кадровой работы, в том числе соблюдения ограничений, запретов и обязанностей, установленных в целях противодействия коррупции;
2) оформления допуска к государственной тайне;
3) формирования кадрового резерва;
4) обучения и должностного роста;
5) учета результатов исполнения должностных обязанностей;
6) профилактики коррупционных и иных правонарушений;
7) обеспечения личной безопасности субъектов персональных данных;
8) оформления документов при направлении в служебную командировку;
9) обеспечения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций;
10) подачи сведений в территориальные органы Пенсионного фонда Российской Федерации, Федеральной налоговой службы Российской Федерации, Федерального фонда обязательного медицинского страхования Российской Федерации, Фонда социального страхования Российской Федерации, Министерства труда и социальной защиты Российской Федерации;
11) передачи данных в кредитные организации для осуществления выплат заработной платы, пенсий и других выплат;
12) обработки запросов судебных органов, государственных органов по различным вопросам.
4. Категории персональных данных
4.1. В целях, определенных в пункте 3.2 настоящих Правил, обрабатываются следующие категорий персональных данных:
1) фамилия, имя, отчество, дата и место рождения;
2) прежние фамилия, имя, отчество (в случае изменения), дата, место и причина их изменения; гражданство (изменение гражданства, дата и причина, наличие гражданства (подданства), вида на жительство иностранного государства);
3) владение иностранными языками и языками народов Российской Федерации;
4) образование (когда и какие образовательные, научные и иные организации закончил(а), номера документов об образовании, направление подготовки или специальность по документу об образовании, квалификация);
5) выполняемая работа с начала трудовой деятельности, прохождение военной службы;
6) классный чин государственной, муниципальной службы, воинское или специальное звание; государственные награды, иные награды и знаки отличия (кем и когда награжден(а);
7) учетная степень, ученое звание (кем и когда присуждены, присвоены, номер документа);
8) адрес и дата регистрации по месту жительства (месту пребывания), адрес места фактического проживания;
9) паспорт (серия, номер, кем и когда выдан);
10) номер телефона (домашнего, мобильного);
11) степень родства, фамилии, имена, отчества, даты и места рождения, адреса регистрации по месту жительства (месту пребывания), месту фактического проживания, места работы и занимаемые должности близких родственников (супруга (супруги), детей, отца, матери, братьев, сестер);
12) фамилии, имена, отчества, даты рождения, места рождения, места работы и домашние адреса бывших супруги (супруга);
13) отношение к воинской обязанности, сведения о воинском учете (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
14) идентификационный номер налогоплательщика;
15) номер страхового свидетельства обязательного пенсионного страхования; номера расчетных счетов, банковских карт;
16) наличие (отсутствие) заболевания, препятствующего поступлению на муниципальную службу, подтвержденного заключением медицинского учреждения;
17) сведения о доходах, расходах, об имуществе и обязательствах имущественного характера, а также о доходах, расходах, об имуществе и обязательствах имущественного характера супруги (супруга) и несовершеннолетних детей;
18) иные персональные данные, обработка которых необходима для реализации целей, предусмотренных пунктом 3.2 настоящих Правил.
4.2. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку персональных данных.
4.3. Согласие субъекта персональных данных не требуется при обработке персональных данных в соответствии с п.2 ч.1 ст. 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»
5. Обработка персональных данных
5.1. Обработка персональных данных в Администрации осуществляется с соблюдением принципов и условий, предусмотренных законодательством РФ в области персональных данных, а также настоящих Правил.
5.2. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
5.3. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
5.4. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
5.5. Меры, направленные на выявление и предотвращение нарушений, предусмотренных законодательством:
1) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Федеральный закон) и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
2) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;
3) ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
5.6. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
5.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.8. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора.
В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.
Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
5.9. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом или другими федеральными законами.
5.10. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных.
Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.
5.11. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных выше, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.
УТВЕРЖДЕНЫ
постановлением администрации
Верхнетоемского муниципального района
от 07 мая 2020 года №19/2
ПРАВИЛА
рассмотрения запросов субъектов персональных данных или их представителей, поступивших в администрацию Верхнетоемского муниципального района
1. Общие положения
1.1. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ), Федеральным законом от 2 мая 2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами» и определяют порядок организации работы по приему, регистрации и рассмотрению поступивших в администрацию Верхнетоемского муниципального района (далее – оператор) запросов субъектов персональных данных или их представителей (далее - запросы).
1.2. Целью настоящих Правил является упорядочение действий сотрудников оператора при обращении либо при получении запросов.
2. Прием, регистрация и рассмотрение запросов
2.1. Сведения, касающиеся обработки персональных данных субъекта персональных данных, предоставляются оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.
2.2. Запрос может быть подан одним из следующих способов:
1) лично;
2) письменно;
3) по факсу или через официальный сайт оператора в информационно - телекоммуникационной сети «Интернет».
2.3. Информация об операторе, включая информацию о месте его нахождения, графике работы, контактных телефонах, а также о порядке обработки персональных данных размещается:
1) на стендах, расположенных в помещениях, занимаемых оператором;
2) на официальном сайте оператора в информационно - телекоммуникационной сети «Интернет».
2.4. Прием субъектов персональных данных или их представителей ведется сотрудниками оператора, ответственными за прием и регистрацию обращений в соответствии с графиком приема.
2.5. При приеме субъект персональных данных или его представитель предъявляет документ, удостоверяющий его личность, а также документ, подтверждающий полномочия представителя (в случае обращения представителя).
2.6. Содержание устного обращения заносится в карточку личного приема. В случае если изложенные в устном обращении факты и обстоятельства являются очевидными и не требуют дополнительной проверки, ответ с согласия субъекта персональных данных или его представителя может быть дан устно в ходе личного приема, о чем делается запись в карточке личного приема. В остальных случаях дается письменный ответ по существу поставленных в обращении вопросов.
2.7. В том случае, когда при личном приеме субъект персональных данных или его представитель изъявил желание получить ответ в письменной форме, сотрудник оператора, ответственный за прием и регистрацию обращений, предлагает оформить письменный запрос и сообщает ему о сроках, в течение которых оператор обязан дать ответ на такой запрос в соответствии с федеральным законом. В случае если в обращении содержатся вопросы, решение которых не входит в компетенцию оператора, субъекту персональных данных или его представителю дается разъяснение, куда и в каком порядке ему следует обратиться.
2.8. Запросы регистрируются в день их поступления к оператору в журнале учета обращений субъектов персональных данных. Днем обращения считается дата регистрации запроса субъекта персональных данных или его представителя.
2.9. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
2.10. Рассмотрение запросов субъектов персональных данных или их представителей осуществляется сотрудниками оператора, ответственными за их рассмотрение и подготовку ответов (далее – уполномоченные сотрудники оператора).
2.11. При рассмотрении запросов обеспечивается:
1) объективное, всестороннее и своевременное рассмотрения запроса;
2) принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов персональных данных;
3) направление письменных ответов по существу запроса.
2.12. Запрос прочитывается, проверяется на повторность, при необходимости сверяется с находящейся в архиве предыдущей перепиской.
2.13. Оператор отказывает субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона № 152-ФЗ. Такой отказ должен быть мотивированным.
2.14. Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение десяти календарных дней с даты регистрации обращения субъекта персональных данных или его представителя.
2.15. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя сотрудники оператора обязаны дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней с даты регистрации обращения субъекта персональных данных или его представителя.
2.16. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.
2.17. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы.
3. Контроль за соблюдением порядка рассмотрения запросов субъектов персональных данных или их представителей
3.1. Оператор осуществляет контроль за соблюдением установленного законодательством и настоящими Правилами порядка рассмотрения запросов.
Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных сотрудников оператора ответственность в соответствии с законодательством Российской Федерации.
УТВЕРЖДЕНЫ
постановлением администрации
Верхнетоемского муниципального района
от 07 мая 2020 года №19/2
ПРАВИЛА
осуществления внутреннего контроля соответствия обработки
персональных данных требованиям к защите персональных данных
в администрации Верхнетоемского муниципального района
1. Общие положения
1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации Верхнетоемского муниципального района (далее – Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных (основания, порядок, формы и методы) проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
1.2. Настоящие Правила разработаны в соответствии Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами, Приказом ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
1.3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
2. Порядок внутреннего контроля за соблюдением требований по обработке и обеспечению безопасности персональных данных
2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в администрации Верхнетоемского муниципального района (далее - администрация) организовывается проведение проверок условий обработки персональных данных.
2.2. Проверки условий обработки персональных данных на соответствие требованиям к защите персональных данных, установленных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - проверки) осуществляются ответственным за организацию обработки персональных данных в администрации либо комиссией, образуемой распоряжением главы Верхнетоемского муниципального района.
2.3. Проверки условий обработки персональных данных могут быть плановыми и внеплановыми, документарными и проводимыми в помещениях администрации, в которых ведется обработка персональных данных.
2.4. Плановые проверки проводятся в соответствии с ежегодным планом проведения проверок, утвержденным главой Верхнетоемского муниципального района.
2.5. План проведения проверок разрабатывается лицом, ответственным за организацию обработки персональных данных в администрации.
2.6. Внеплановые проверки проводятся на основании поступившего в администрацию письменного заявления физического лица (субъекта персональных данных) о нарушениях правил обработки персональных данных.
2.7. В течение трех рабочих дней с момента поступления в администрацию заявления о нарушениях правил обработки персональных данных принимается решение о проведении внеплановой проверки, которое оформляется распоряжением администрации.
2.8. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента оформления распоряжения администрации о проведении внеплановой проверки.
2.9. При проведении проверок условий обработки персональных данных должен быть полностью, объективно и всесторонне исследован порядок обработки персональных данных и его соответствие требованиям обработки персональных данных, а именно:
1) порядок и условия применения средств защиты информации;
2) эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
3) состояние учета машинных носителей персональных данных;
4) соблюдение правил доступа к персональным данным;
5) наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
6) мероприятия по восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
7) осуществление мероприятий по обеспечению целостности персональных данных.
2.10. В случае выявления фактов:
1) несоблюдения установленного порядка обработки персональных данных;
2) несоблюдения условий хранения носителей персональных данных;
3) использования средств защиты информации, которые могут привести к нарушению заданного уровня безопасности (конфиденциальность, целостность, доступность) персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных;
4) нарушения заданного уровня безопасности персональных данных (конфиденциальность, целостность, доступность), в обязательном порядке устанавливаются причины нарушения обработки персональных данных и наличие (отсутствие) вины.
2.11. Ответственный за организацию обработки персональных данных или комиссия по персональным данным имеет право:
1) запрашивать у сотрудников администрации информацию, необходимую для реализации полномочий;
2) требовать от уполномоченных на обработку персональных данных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
3) принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
4) вносить главе Верхнетоемского муниципального района предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
5) вносить главе Верхнетоемского муниципального района предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
2.12. В процессе проведения внутреннего контроля (проверок) соответствия обработки персональных данных требованиям к защите персональных данных разрабатываются меры, направленные на предотвращение негативных последствий выявленных нарушений.
2.13. В случаях выявления нарушений обработки персональных данных, требующих немедленного устранения, принимаются меры оперативного реагирования.
2.14. Плановая проверка должна быть завершена не позднее чем через месяц со дня ее назначения. Заключение о результатах проведенной проверки и принятых по устранению выявленных нарушений мерах, а также мерах, необходимых для устранения нарушений, направляется главе Верхнетоемского муниципального района за подписью ответственного за организацию обработки персональных данных или председателя комиссии по персональным данным.
2.15. Устранение выявленных нарушений проводится не позднее 30 дней с момента завершения проверки.
2.16. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных или комиссии по персональным данным в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
УТВЕРЖДЕНЫ
постановлением администрации
Верхнетоемского муниципального района
от 07 мая 2020 года №19/2
ПРАВИЛА
работы с обезличенными данными в случае обезличивания персональных
данных в администрации Верхнетоемского муниципального района
1. Общие положения
1.1. Настоящие Правила определяют порядок работы с обезличенными данными в случае обезличивания персональных данных в администрации Верхнетоемского муниципального района (далее – администрация).
2. Условия обезличивания
2.1. Под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.2. Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.
2.3. К свойствам обезличенных данных относятся:
1) полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
2) структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
3) релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
4) семантическая целостность (сохранение семантики персональных данных при их обезличивании);
5) применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее - оператор, операторы), без предварительного деобезличивания всего объема записей о субъектах);
6) анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).
2.4. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных администрации и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.5. Способы обезличивания при условии дальнейшей обработки персональных данных:
1) уменьшение перечня обрабатываемых сведений;
2) замена части сведений идентификаторами;
3) обобщение – понижение точности некоторых сведений;
4) понижение точности некоторых сведений (например, «Место жительства» может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);
5) деление сведений на части и обработка в разных информационных системах;
6) другие способы.
2.6. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
2.7. Для обезличивания персональных данных могут использоваться любые не противоречащие действующему законодательству способы.
2.8. Перечень должностей муниципальных служащих администрации, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, приведен в Приложении к настоящим Правилам.
2.8.1. Глава Верхнетоемского муниципального района принимает решение о необходимости обезличивания персональных данных.
2.8.2. Сотрудники администрации, непосредственно осуществляющие обработку персональных данных, готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания.
2.8.3. Сотрудники администрации, обслуживающие базы данных с персональными данными, совместно с ответственным за организацию обработки персональных данных, осуществляют непосредственное обезличивание выбранным способом.
2.9. Обезличенные данные конфиденциальны и не подлежат разглашению.
2.10. Требования к свойствам, получаемых обезличенных данных:
1) сохранение полноты (состав обезличенных данных должен полностью соответствовать составу обезличиваемых персональных данных);
2) сохранение структурированности обезличиваемых персональных данных;
3) сохранение семантической целостности обезличиваемых персональных данных;
4) анонимность отдельных данных не ниже заданного уровня (количества возможных сопоставлений обезличенных данных между собой для деобезличивания).
3. Порядок работы с обезличенными данными
3.1. Обезличенные данные не подлежат разглашению в случае, когда в результате такого разглашения появляется вероятность определения принадлежности персональных данных конкретному субъекту персональных данных.
3.2.Обезличенные персональные данные могут обрабатываться с использования и без использования средств автоматизации.
3.3.При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
1) инструкции по применению парольной защиты и личных идентификаторов в информационной системе персональных данных;
2) инструкции по проведению антивирусного контроля в информационной системе персональных данных;
3) инструкции об организации учета, хранения и выдачи машинных носителей, содержащих персональные данные информационной системы персональных данных;
4) регламента резервного копирования и восстановления персональных данных;
5) порядка доступа сотрудников администрации в помещения, предназначенные для обработки персональных данных.
3.4. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
1) правил хранения бумажных носителей;
2) правил доступа к ним в помещения, где они хранятся.
4. Методы обезличивания персональных данных
4.1. Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки персональных данных.
4.2. К наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания:
1) метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);
2) метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);
3) метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);
4) метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).
4.3. Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъект, их идентификаторами и созданием таблицы соответствия.
4.4. Метод обеспечивает следующие свойства обезличенных данных:
1) полнота;
2) структурированность;
3) семантическая целостность;
4) применимость.
4.5. Оценка свойств метода:
1) обратимость (метод позволяет провести процедуру деобезличивания);
2) вариативность (метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания);
3) изменяемость (метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания);
4) стойкость (метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);
5) возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
6) совместимость (метод позволяет интегрировать записи, соответствующие отдельным атрибутам);
7) параметрический объем (объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию);
8) возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
Для реализации метода требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия.
4.6. Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъект.
4.7. Метод обеспечивает следующие свойства обезличенных данных:
1) структурированность;
2) релевантность;
3) применимость;
4) анонимность.
Оценка свойств метода:
1) обратимость (метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных);
2) вариативность (метод не позволяет изменять параметры метода без проведения предварительного деобезличивания);
3) изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
4) стойкость (стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);
5) возможность косвенного деобезличивания (метод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
6) совместимость (метод не обеспечивает интеграции с данными, обезличенными другими методами);
7) параметрический объем (параметры метода определяются набором правил изменения состава или семантики персональных данных);
8) возможность оценки качества данных (метод не позволяет проводить анализ, использующий конкретные значения персональных данных).
Для реализации метода требуется выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта.
При этом возможно использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки.
4.8. Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам.
4.9. Метод обеспечивает следующие свойства обезличенных данных:
1) полнота;
2) структурированность;
3) релевантность;
4) семантическая целостность;
5) применимость.
Оценка свойств метода:
1) обратимость (метод позволяет провести процедуру деобезличивания);
2) вариативность (метод позволяет изменить параметры декомпозиции без предварительного деобезличивания);
3) изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
4) стойкость (метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений);
5) возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
6) совместимость (метод обеспечивает интеграцию с данными, обезличенными другими методами);
7) параметрический объем (определяется числом подмножеств и числом субъектов персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц связывания записей, находящихся в различных хранилищах);
8) возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
Для реализации метода требуется предварительно разработать правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища.
4.10. Метод перемешивания реализуется путем перемешивания отдельных записей, а также групп записей между собой.
4.11. Метод обеспечивает следующие свойства обезличенных данных:
1) полнота;
2) структурированность;
3) релевантность;
4) семантическая целостность;
5) применимость;
6) анонимность.
4.12. Оценка свойств метода:
1) обратимость (метод позволяет провести процедуру деобезличивания);
2) вариативность (метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания);
3) изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
4) стойкость (длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию);
5) возможность косвенного деобезличивания (метод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов);
6) совместимость (метод позволяет проводить интеграцию с данными, обезличенными другими методами);
7) параметрический объем (зависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию);
8) возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
Для реализации метода требуется разработать правила перемешивания и их алгоритмы, правила и алгоритмы деобезличивания и внесения изменений в записи.
Метод может использоваться совместно с методами введения идентификаторов и декомпозиции.
5. Передача и хранение обезличенных персональных данных
5.1. При хранении обезличенных данных в администрации обеспечивается:
1) раздельное хранение обезличенных данных и дополнительной (служебной) информации о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания;
2) конфиденциальность дополнительной (служебной) информации о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания.
5.2. При передаче администрацией вместе с обезличенными данными информации о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания обеспечивается конфиденциальность канала (способа) передачи данных.
ПРИЛОЖЕНИЕ
к Правилам работы с обезличенными
данными в случае обезличивания
персональных данных в администрации
Верхнетоемского муниципального района
ПЕРЕЧЕНЬ
должностей служащих администрации Верхнетоемского муниципального района, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
Ответственные за проведение мероприятий по обезличиванию обрабатываемых персональных данных работников администрации Верхнетоемского муниципального района:
1. Глава Верхнетоемского муниципального района.
2. Главный специалист отдела учета и отчетности.
3. Начальник организационно-информационного отдела.
5. Главный специалист правового отдела.
6. Главный специалист отдела по делам ГО, ЧС и мобилизационной работе.
7. Главный специалист отдела бухгалтерского учета и отчетности финансового управления.
8. Главный специалист отдела дошкольного, общего и дополнительного образования управления образования.
Ответственные за проведение мероприятий по обезличиванию обрабатываемых персональных данных в администрации Верхнетоемского муниципального района:
1. Глава Верхнетоемского муниципального района.
2. Руководитель аппарата администрации.
3. Главный специалист отдела учета и отчетности.
4. Начальник организационно-информационного отдела.
5. Главный специалист правового отдела.
6. Главный специалист организационно-информационного отдела.
7. Начальник отдела опеки и попечительства управления образования.
8. Главный специалист отдела дошкольного, общего и дополнительного образования управления образования.
9. Заместитель председателя Верхнетоемской муниципальной комиссии по делам несовершеннолетних и защите их прав.
10. Главный специалист отдела опеки и попечительства управления образования.
11. Главный специалист отдела инфраструктурного развития.
12. Заместитель начальника отдела инфраструктурного развития.
13. Заместитель начальника экономического отдела.
14. Главный специалист экономического отдела.
15. Главный специалист архивного отдела.
16. Начальник архивного отдела.
17. Главный специалист отдела жилищно-коммунального хозяйства.
18. Начальник отдела жилищно-коммунального хозяйства.
19. Заместитель начальника отдела жилищно-коммунального хозяйства.
20. Главный специалист отдела по делам культуры, молодежи, туризма и спорта.
21. Начальник отдела по делам культуры, молодежи, туризма и спорта.
Сведений об опубликовании не предоставлено
АРХАНГЕЛЬСКАЯ ОБЛАСТЬ
АДМИНИСТРАЦИЯ
ВЕРХНЕТОЕМСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
ПОСТАНОВЛЕНИЕ
от 07 мая 2020 года №19/2
Об утверждении правил в сфере обработки персональных данных
в администрации Верхнетоемского муниципального района
В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», Приказом Роскомнадзора от 05 сентября 2013 года № 996 «Об утверждении требований и методов по обезличиванию персональных данных», постановляю:
1. Утвердить прилагаемые:
1) Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в администрации Верхнетоемского муниципального района;
2) Правила рассмотрения запросов субъектов персональных данных или их представителей, поступивших в администрацию Верхнетоемского муниципального района;
3) Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации Верхнетоемского муниципального района;
4) Правила работы с обезличенными данными в случае обезличивания персональных данных в администрации Верхнетоемского муниципального района.
2. Утвердить прилагаемый перечень должностей муниципальных служащих, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных согласно Приложения к настоящему постановлению.
3. Настоящее постановление вступает в силу после его официального опубликования.
4. Контроль за исполнением настоящего постановления возложить на руководителя аппарата администрации Верхнетоемского муниципального района Щербакову Н.Л.
Глава Верхнетоемского муниципального района Н.В. Вьюхина
УТВЕРЖДЕНЫ
постановлением администрации
Верхнетоемского муниципального района
от 07 мая 2020 года №19/2
ПРАВИЛА
обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в администрации Верхнетоемского муниципального района
1. Общие положения
1.1. Настоящие Правила определяют цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в администрации Верхнетоемского муниципального района, выступающей оператором, осуществляющим обработку персональных данных (далее – Администрация, оператор).
2. Категории субъектов персональных данных
2.1. К субъектам персональных данных, персональные данные которых обрабатываются в Администрации в соответствии с настоящими Правилами, относятся:
1) муниципальные служащие;
2) граждане, претендующие на замещение должностей муниципальных служащих;
3) работники, замещающие должности, не являющиеся должностями муниципальных служащих;
4) граждане, претендующие на замещение должностей, не являющиеся должностями муниципальных служащих;
5) граждане, состоящие в родстве (свойстве) с субъектами персональных данных, указанных в подпунктах 1-4 пункта 2.1 настоящих Правил;
6) физические лица, обратившиеся в Администрацию в связи с предоставлением муниципальной услуги;
7) граждане, обратившиеся в Администрацию в соответствии с Федеральным законом от 02 мая 2006 года № 59 «О порядке рассмотрения обращений граждан Российской Федерации» (далее – субъекты персональных данных).
3. Цели обработки персональных данных
3.1. Целями обработки персональных данных работников являются:
1) использование в уставной деятельности с применением средств автоматизации или без таких средств, включая хранение этих данных в архивах и размещение в информационно-телекоммуникационных сетях с целью предоставления доступа к ним;
2) заполнение базы данных автоматизированной информационной системы в целях повышения эффективности и быстрого поиска, проведения мониторинговых исследований, формирования статистических и аналитических отчётов в вышестоящие органы;
3.2. Персональные данные субъектов персональных данных обрабатываются в целях:
1) обеспечения кадровой работы, в том числе соблюдения ограничений, запретов и обязанностей, установленных в целях противодействия коррупции;
2) оформления допуска к государственной тайне;
3) формирования кадрового резерва;
4) обучения и должностного роста;
5) учета результатов исполнения должностных обязанностей;
6) профилактики коррупционных и иных правонарушений;
7) обеспечения личной безопасности субъектов персональных данных;
8) оформления документов при направлении в служебную командировку;
9) обеспечения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций;
10) подачи сведений в территориальные органы Пенсионного фонда Российской Федерации, Федеральной налоговой службы Российской Федерации, Федерального фонда обязательного медицинского страхования Российской Федерации, Фонда социального страхования Российской Федерации, Министерства труда и социальной защиты Российской Федерации;
11) передачи данных в кредитные организации для осуществления выплат заработной платы, пенсий и других выплат;
12) обработки запросов судебных органов, государственных органов по различным вопросам.
4. Категории персональных данных
4.1. В целях, определенных в пункте 3.2 настоящих Правил, обрабатываются следующие категорий персональных данных:
1) фамилия, имя, отчество, дата и место рождения;
2) прежние фамилия, имя, отчество (в случае изменения), дата, место и причина их изменения; гражданство (изменение гражданства, дата и причина, наличие гражданства (подданства), вида на жительство иностранного государства);
3) владение иностранными языками и языками народов Российской Федерации;
4) образование (когда и какие образовательные, научные и иные организации закончил(а), номера документов об образовании, направление подготовки или специальность по документу об образовании, квалификация);
5) выполняемая работа с начала трудовой деятельности, прохождение военной службы;
6) классный чин государственной, муниципальной службы, воинское или специальное звание; государственные награды, иные награды и знаки отличия (кем и когда награжден(а);
7) учетная степень, ученое звание (кем и когда присуждены, присвоены, номер документа);
8) адрес и дата регистрации по месту жительства (месту пребывания), адрес места фактического проживания;
9) паспорт (серия, номер, кем и когда выдан);
10) номер телефона (домашнего, мобильного);
11) степень родства, фамилии, имена, отчества, даты и места рождения, адреса регистрации по месту жительства (месту пребывания), месту фактического проживания, места работы и занимаемые должности близких родственников (супруга (супруги), детей, отца, матери, братьев, сестер);
12) фамилии, имена, отчества, даты рождения, места рождения, места работы и домашние адреса бывших супруги (супруга);
13) отношение к воинской обязанности, сведения о воинском учете (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
14) идентификационный номер налогоплательщика;
15) номер страхового свидетельства обязательного пенсионного страхования; номера расчетных счетов, банковских карт;
16) наличие (отсутствие) заболевания, препятствующего поступлению на муниципальную службу, подтвержденного заключением медицинского учреждения;
17) сведения о доходах, расходах, об имуществе и обязательствах имущественного характера, а также о доходах, расходах, об имуществе и обязательствах имущественного характера супруги (супруга) и несовершеннолетних детей;
18) иные персональные данные, обработка которых необходима для реализации целей, предусмотренных пунктом 3.2 настоящих Правил.
4.2. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку персональных данных.
4.3. Согласие субъекта персональных данных не требуется при обработке персональных данных в соответствии с п.2 ч.1 ст. 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»
5. Обработка персональных данных
5.1. Обработка персональных данных в Администрации осуществляется с соблюдением принципов и условий, предусмотренных законодательством РФ в области персональных данных, а также настоящих Правил.
5.2. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
5.3. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
5.4. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
5.5. Меры, направленные на выявление и предотвращение нарушений, предусмотренных законодательством:
1) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - Федеральный закон) и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
2) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;
3) ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
5.6. Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
5.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.8. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора.
В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.
Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
5.9. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом или другими федеральными законами.
5.10. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных.
Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.
5.11. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных выше, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.
УТВЕРЖДЕНЫ
постановлением администрации
Верхнетоемского муниципального района
от 07 мая 2020 года №19/2
ПРАВИЛА
рассмотрения запросов субъектов персональных данных или их представителей, поступивших в администрацию Верхнетоемского муниципального района
1. Общие положения
1.1. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ), Федеральным законом от 2 мая 2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами» и определяют порядок организации работы по приему, регистрации и рассмотрению поступивших в администрацию Верхнетоемского муниципального района (далее – оператор) запросов субъектов персональных данных или их представителей (далее - запросы).
1.2. Целью настоящих Правил является упорядочение действий сотрудников оператора при обращении либо при получении запросов.
2. Прием, регистрация и рассмотрение запросов
2.1. Сведения, касающиеся обработки персональных данных субъекта персональных данных, предоставляются оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.
2.2. Запрос может быть подан одним из следующих способов:
1) лично;
2) письменно;
3) по факсу или через официальный сайт оператора в информационно - телекоммуникационной сети «Интернет».
2.3. Информация об операторе, включая информацию о месте его нахождения, графике работы, контактных телефонах, а также о порядке обработки персональных данных размещается:
1) на стендах, расположенных в помещениях, занимаемых оператором;
2) на официальном сайте оператора в информационно - телекоммуникационной сети «Интернет».
2.4. Прием субъектов персональных данных или их представителей ведется сотрудниками оператора, ответственными за прием и регистрацию обращений в соответствии с графиком приема.
2.5. При приеме субъект персональных данных или его представитель предъявляет документ, удостоверяющий его личность, а также документ, подтверждающий полномочия представителя (в случае обращения представителя).
2.6. Содержание устного обращения заносится в карточку личного приема. В случае если изложенные в устном обращении факты и обстоятельства являются очевидными и не требуют дополнительной проверки, ответ с согласия субъекта персональных данных или его представителя может быть дан устно в ходе личного приема, о чем делается запись в карточке личного приема. В остальных случаях дается письменный ответ по существу поставленных в обращении вопросов.
2.7. В том случае, когда при личном приеме субъект персональных данных или его представитель изъявил желание получить ответ в письменной форме, сотрудник оператора, ответственный за прием и регистрацию обращений, предлагает оформить письменный запрос и сообщает ему о сроках, в течение которых оператор обязан дать ответ на такой запрос в соответствии с федеральным законом. В случае если в обращении содержатся вопросы, решение которых не входит в компетенцию оператора, субъекту персональных данных или его представителю дается разъяснение, куда и в каком порядке ему следует обратиться.
2.8. Запросы регистрируются в день их поступления к оператору в журнале учета обращений субъектов персональных данных. Днем обращения считается дата регистрации запроса субъекта персональных данных или его представителя.
2.9. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
2.10. Рассмотрение запросов субъектов персональных данных или их представителей осуществляется сотрудниками оператора, ответственными за их рассмотрение и подготовку ответов (далее – уполномоченные сотрудники оператора).
2.11. При рассмотрении запросов обеспечивается:
1) объективное, всестороннее и своевременное рассмотрения запроса;
2) принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов персональных данных;
3) направление письменных ответов по существу запроса.
2.12. Запрос прочитывается, проверяется на повторность, при необходимости сверяется с находящейся в архиве предыдущей перепиской.
2.13. Оператор отказывает субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона № 152-ФЗ. Такой отказ должен быть мотивированным.
2.14. Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение десяти календарных дней с даты регистрации обращения субъекта персональных данных или его представителя.
2.15. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя сотрудники оператора обязаны дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней с даты регистрации обращения субъекта персональных данных или его представителя.
2.16. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.
2.17. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы.
3. Контроль за соблюдением порядка рассмотрения запросов субъектов персональных данных или их представителей
3.1. Оператор осуществляет контроль за соблюдением установленного законодательством и настоящими Правилами порядка рассмотрения запросов.
Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных сотрудников оператора ответственность в соответствии с законодательством Российской Федерации.
УТВЕРЖДЕНЫ
постановлением администрации
Верхнетоемского муниципального района
от 07 мая 2020 года №19/2
ПРАВИЛА
осуществления внутреннего контроля соответствия обработки
персональных данных требованиям к защите персональных данных
в администрации Верхнетоемского муниципального района
1. Общие положения
1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации Верхнетоемского муниципального района (далее – Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных (основания, порядок, формы и методы) проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
1.2. Настоящие Правила разработаны в соответствии Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами, Приказом ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
1.3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
2. Порядок внутреннего контроля за соблюдением требований по обработке и обеспечению безопасности персональных данных
2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в администрации Верхнетоемского муниципального района (далее - администрация) организовывается проведение проверок условий обработки персональных данных.
2.2. Проверки условий обработки персональных данных на соответствие требованиям к защите персональных данных, установленных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее - проверки) осуществляются ответственным за организацию обработки персональных данных в администрации либо комиссией, образуемой распоряжением главы Верхнетоемского муниципального района.
2.3. Проверки условий обработки персональных данных могут быть плановыми и внеплановыми, документарными и проводимыми в помещениях администрации, в которых ведется обработка персональных данных.
2.4. Плановые проверки проводятся в соответствии с ежегодным планом проведения проверок, утвержденным главой Верхнетоемского муниципального района.
2.5. План проведения проверок разрабатывается лицом, ответственным за организацию обработки персональных данных в администрации.
2.6. Внеплановые проверки проводятся на основании поступившего в администрацию письменного заявления физического лица (субъекта персональных данных) о нарушениях правил обработки персональных данных.
2.7. В течение трех рабочих дней с момента поступления в администрацию заявления о нарушениях правил обработки персональных данных принимается решение о проведении внеплановой проверки, которое оформляется распоряжением администрации.
2.8. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента оформления распоряжения администрации о проведении внеплановой проверки.
2.9. При проведении проверок условий обработки персональных данных должен быть полностью, объективно и всесторонне исследован порядок обработки персональных данных и его соответствие требованиям обработки персональных данных, а именно:
1) порядок и условия применения средств защиты информации;
2) эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
3) состояние учета машинных носителей персональных данных;
4) соблюдение правил доступа к персональным данным;
5) наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
6) мероприятия по восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
7) осуществление мероприятий по обеспечению целостности персональных данных.
2.10. В случае выявления фактов:
1) несоблюдения установленного порядка обработки персональных данных;
2) несоблюдения условий хранения носителей персональных данных;
3) использования средств защиты информации, которые могут привести к нарушению заданного уровня безопасности (конфиденциальность, целостность, доступность) персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных;
4) нарушения заданного уровня безопасности персональных данных (конфиденциальность, целостность, доступность), в обязательном порядке устанавливаются причины нарушения обработки персональных данных и наличие (отсутствие) вины.
2.11. Ответственный за организацию обработки персональных данных или комиссия по персональным данным имеет право:
1) запрашивать у сотрудников администрации информацию, необходимую для реализации полномочий;
2) требовать от уполномоченных на обработку персональных данных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
3) принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
4) вносить главе Верхнетоемского муниципального района предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
5) вносить главе Верхнетоемского муниципального района предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
2.12. В процессе проведения внутреннего контроля (проверок) соответствия обработки персональных данных требованиям к защите персональных данных разрабатываются меры, направленные на предотвращение негативных последствий выявленных нарушений.
2.13. В случаях выявления нарушений обработки персональных данных, требующих немедленного устранения, принимаются меры оперативного реагирования.
2.14. Плановая проверка должна быть завершена не позднее чем через месяц со дня ее назначения. Заключение о результатах проведенной проверки и принятых по устранению выявленных нарушений мерах, а также мерах, необходимых для устранения нарушений, направляется главе Верхнетоемского муниципального района за подписью ответственного за организацию обработки персональных данных или председателя комиссии по персональным данным.
2.15. Устранение выявленных нарушений проводится не позднее 30 дней с момента завершения проверки.
2.16. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных или комиссии по персональным данным в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
УТВЕРЖДЕНЫ
постановлением администрации
Верхнетоемского муниципального района
от 07 мая 2020 года №19/2
ПРАВИЛА
работы с обезличенными данными в случае обезличивания персональных
данных в администрации Верхнетоемского муниципального района
1. Общие положения
1.1. Настоящие Правила определяют порядок работы с обезличенными данными в случае обезличивания персональных данных в администрации Верхнетоемского муниципального района (далее – администрация).
2. Условия обезличивания
2.1. Под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.2. Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.
2.3. К свойствам обезличенных данных относятся:
1) полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
2) структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
3) релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
4) семантическая целостность (сохранение семантики персональных данных при их обезличивании);
5) применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее - оператор, операторы), без предварительного деобезличивания всего объема записей о субъектах);
6) анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).
2.4. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных администрации и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.5. Способы обезличивания при условии дальнейшей обработки персональных данных:
1) уменьшение перечня обрабатываемых сведений;
2) замена части сведений идентификаторами;
3) обобщение – понижение точности некоторых сведений;
4) понижение точности некоторых сведений (например, «Место жительства» может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);
5) деление сведений на части и обработка в разных информационных системах;
6) другие способы.
2.6. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
2.7. Для обезличивания персональных данных могут использоваться любые не противоречащие действующему законодательству способы.
2.8. Перечень должностей муниципальных служащих администрации, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, приведен в Приложении к настоящим Правилам.
2.8.1. Глава Верхнетоемского муниципального района принимает решение о необходимости обезличивания персональных данных.
2.8.2. Сотрудники администрации, непосредственно осуществляющие обработку персональных данных, готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания.
2.8.3. Сотрудники администрации, обслуживающие базы данных с персональными данными, совместно с ответственным за организацию обработки персональных данных, осуществляют непосредственное обезличивание выбранным способом.
2.9. Обезличенные данные конфиденциальны и не подлежат разглашению.
2.10. Требования к свойствам, получаемых обезличенных данных:
1) сохранение полноты (состав обезличенных данных должен полностью соответствовать составу обезличиваемых персональных данных);
2) сохранение структурированности обезличиваемых персональных данных;
3) сохранение семантической целостности обезличиваемых персональных данных;
4) анонимность отдельных данных не ниже заданного уровня (количества возможных сопоставлений обезличенных данных между собой для деобезличивания).
3. Порядок работы с обезличенными данными
3.1. Обезличенные данные не подлежат разглашению в случае, когда в результате такого разглашения появляется вероятность определения принадлежности персональных данных конкретному субъекту персональных данных.
3.2.Обезличенные персональные данные могут обрабатываться с использования и без использования средств автоматизации.
3.3.При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
1) инструкции по применению парольной защиты и личных идентификаторов в информационной системе персональных данных;
2) инструкции по проведению антивирусного контроля в информационной системе персональных данных;
3) инструкции об организации учета, хранения и выдачи машинных носителей, содержащих персональные данные информационной системы персональных данных;
4) регламента резервного копирования и восстановления персональных данных;
5) порядка доступа сотрудников администрации в помещения, предназначенные для обработки персональных данных.
3.4. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
1) правил хранения бумажных носителей;
2) правил доступа к ним в помещения, где они хранятся.
4. Методы обезличивания персональных данных
4.1. Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки персональных данных.
4.2. К наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания:
1) метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);
2) метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);
3) метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);
4) метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).
4.3. Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъект, их идентификаторами и созданием таблицы соответствия.
4.4. Метод обеспечивает следующие свойства обезличенных данных:
1) полнота;
2) структурированность;
3) семантическая целостность;
4) применимость.
4.5. Оценка свойств метода:
1) обратимость (метод позволяет провести процедуру деобезличивания);
2) вариативность (метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания);
3) изменяемость (метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания);
4) стойкость (метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);
5) возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
6) совместимость (метод позволяет интегрировать записи, соответствующие отдельным атрибутам);
7) параметрический объем (объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию);
8) возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
Для реализации метода требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия.
4.6. Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъект.
4.7. Метод обеспечивает следующие свойства обезличенных данных:
1) структурированность;
2) релевантность;
3) применимость;
4) анонимность.
Оценка свойств метода:
1) обратимость (метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных);
2) вариативность (метод не позволяет изменять параметры метода без проведения предварительного деобезличивания);
3) изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
4) стойкость (стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);
5) возможность косвенного деобезличивания (метод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
6) совместимость (метод не обеспечивает интеграции с данными, обезличенными другими методами);
7) параметрический объем (параметры метода определяются набором правил изменения состава или семантики персональных данных);
8) возможность оценки качества данных (метод не позволяет проводить анализ, использующий конкретные значения персональных данных).
Для реализации метода требуется выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта.
При этом возможно использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки.
4.8. Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам.
4.9. Метод обеспечивает следующие свойства обезличенных данных:
1) полнота;
2) структурированность;
3) релевантность;
4) семантическая целостность;
5) применимость.
Оценка свойств метода:
1) обратимость (метод позволяет провести процедуру деобезличивания);
2) вариативность (метод позволяет изменить параметры декомпозиции без предварительного деобезличивания);
3) изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
4) стойкость (метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений);
5) возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
6) совместимость (метод обеспечивает интеграцию с данными, обезличенными другими методами);
7) параметрический объем (определяется числом подмножеств и числом субъектов персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц связывания записей, находящихся в различных хранилищах);
8) возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
Для реализации метода требуется предварительно разработать правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища.
4.10. Метод перемешивания реализуется путем перемешивания отдельных записей, а также групп записей между собой.
4.11. Метод обеспечивает следующие свойства обезличенных данных:
1) полнота;
2) структурированность;
3) релевантность;
4) семантическая целостность;
5) применимость;
6) анонимность.
4.12. Оценка свойств метода:
1) обратимость (метод позволяет провести процедуру деобезличивания);
2) вариативность (метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания);
3) изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
4) стойкость (длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию);
5) возможность косвенного деобезличивания (метод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов);
6) совместимость (метод позволяет проводить интеграцию с данными, обезличенными другими методами);
7) параметрический объем (зависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию);
8) возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
Для реализации метода требуется разработать правила перемешивания и их алгоритмы, правила и алгоритмы деобезличивания и внесения изменений в записи.
Метод может использоваться совместно с методами введения идентификаторов и декомпозиции.
5. Передача и хранение обезличенных персональных данных
5.1. При хранении обезличенных данных в администрации обеспечивается:
1) раздельное хранение обезличенных данных и дополнительной (служебной) информации о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания;
2) конфиденциальность дополнительной (служебной) информации о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания.
5.2. При передаче администрацией вместе с обезличенными данными информации о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания обеспечивается конфиденциальность канала (способа) передачи данных.
ПРИЛОЖЕНИЕ
к Правилам работы с обезличенными
данными в случае обезличивания
персональных данных в администрации
Верхнетоемского муниципального района
ПЕРЕЧЕНЬ
должностей служащих администрации Верхнетоемского муниципального района, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
Ответственные за проведение мероприятий по обезличиванию обрабатываемых персональных данных работников администрации Верхнетоемского муниципального района:
1. Глава Верхнетоемского муниципального района.
2. Главный специалист отдела учета и отчетности.
3. Начальник организационно-информационного отдела.
5. Главный специалист правового отдела.
6. Главный специалист отдела по делам ГО, ЧС и мобилизационной работе.
7. Главный специалист отдела бухгалтерского учета и отчетности финансового управления.
8. Главный специалист отдела дошкольного, общего и дополнительного образования управления образования.
Ответственные за проведение мероприятий по обезличиванию обрабатываемых персональных данных в администрации Верхнетоемского муниципального района:
1. Глава Верхнетоемского муниципального района.
2. Руководитель аппарата администрации.
3. Главный специалист отдела учета и отчетности.
4. Начальник организационно-информационного отдела.
5. Главный специалист правового отдела.
6. Главный специалист организационно-информационного отдела.
7. Начальник отдела опеки и попечительства управления образования.
8. Главный специалист отдела дошкольного, общего и дополнительного образования управления образования.
9. Заместитель председателя Верхнетоемской муниципальной комиссии по делам несовершеннолетних и защите их прав.
10. Главный специалист отдела опеки и попечительства управления образования.
11. Главный специалист отдела инфраструктурного развития.
12. Заместитель начальника отдела инфраструктурного развития.
13. Заместитель начальника экономического отдела.
14. Главный специалист экономического отдела.
15. Главный специалист архивного отдела.
16. Начальник архивного отдела.
17. Главный специалист отдела жилищно-коммунального хозяйства.
18. Начальник отдела жилищно-коммунального хозяйства.
19. Заместитель начальника отдела жилищно-коммунального хозяйства.
20. Главный специалист отдела по делам культуры, молодежи, туризма и спорта.
21. Начальник отдела по делам культуры, молодежи, туризма и спорта.
Дополнительные сведения
| Рубрики правового классификатора: | 010.000.000 ПРАВОВЫЕ ОСНОВЫ УСТРОЙСТВА МУНИЦИПАЛЬНЫХ ОБРАЗОВАНИЙ |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
