Основная информация
| Дата опубликования: | 06 июня 2017г. |
| Номер документа: | RU47000201700687 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Ленинградская область |
| Принявший орган: | Комитет по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
КОМИТЕТ ПО РАЗВИТИЮ МАЛОГО, СРЕДНЕГО БИЗНЕСА
И ПОТРЕБИТЕЛЬСКОГО РЫНКА ЛЕНИНГРАДСКОЙ ОБЛАСТИ
ПРИКАЗ
от 6 июня 2017 г. № 10
ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В КОМИТЕТЕ ПО РАЗВИТИЮ МАЛОГО, СРЕДНЕГО БИЗНЕСА
И ПОТРЕБИТЕЛЬСКОГО РЫНКА ЛЕНИНГРАДСКОЙ ОБЛАСТИ
В соответствии с постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", постановлением Правительства Ленинградской области от 11.09.2015 № 358 "Об утверждении типовых организационно-распорядительных документов операторов персональных данных", исполнением Комитетом по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области (далее - комитет) функций оператора по обработке персональных данных приказываю:
1. Утвердить:
- правила обработки персональных данных в комитете (согласно приложению 1 к настоящему приказу);
- правила рассмотрения запросов субъектов персональных данных или их представителей в комитете (согласно приложению 2 к настоящему приказу);
- правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами комитета (согласно приложению 3 к настоящему приказу);
- правила работы с обезличенными данными в случае обезличивания персональных данных в комитете (согласно приложению 4 к настоящему приказу);
- перечень информационных систем персональных данных комитета (приложение 5 к настоящему приказу);
- перечень персональных данных, обрабатываемых в комитете в связи с реализацией служебных или трудовых отношений, а также оказанием государственных услуг и осуществлением государственных функций (приложение 6 к настоящему приказу);
- перечень должностей служащих комитета, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных (приложение 7 к настоящему приказу);
- перечень должностей служащих комитета, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (приложение 8 к настоящему приказу);
- требования к содержанию должностного регламента ответственного за организацию обработки персональных данных (приложение 9 к настоящему приказу);
- обязательство служащего комитета, непосредственно осуществляющего обработку персональных данных, прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, в случае расторжения с ним служебного контракта (трудового договора) (приложение 10 к настоящему приказу);
- форму согласия на обработку персональных данных субъектов персональных данных, а также разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные (приложение 11 к настоящему приказу);
- порядок доступа служащих комитета в помещения, в которых ведется обработка персональных данных (приложение 12 к настоящему приказу);
- план правовых, организационных и технических мер по обеспечению безопасности персональных данных в комитете (приложение 13 к настоящему приказу);
- порядок проведения проверок соответствия обработки персональных данных установленным требованиям в комитете (приложение 14 к настоящему приказу).
2. Назначить ответственным за организацию обработки персональных данных начальника отдела развития малого и среднего бизнеса комитета.
3. Администратору документационного комплекса ознакомить под роспись должностных лиц комитета с документами, указанными в пункте 1 настоящего приказа.
4. Руководителю ГКУ "ЛОЦПП":
- ознакомить под роспись сотрудников ГКУ "ЛОЦПП" с документами, указанными в пункте 1 настоящего приказа;
- обеспечить исполнение требований, содержащихся в документах, указанных в пункте 1 настоящего приказа, сотрудниками, участвующими в обработке персональных данных.
5. Контроль за исполнением настоящего распоряжения оставляю за собой.
Председатель комитета
по развитию малого, среднего бизнеса
и потребительского рынка
Ленинградской области
С.И.Нерушай
ПРИЛОЖЕНИЕ 1
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМИТЕТЕ ПО РАЗВИТИЮ МАЛОГО,
СРЕДНЕГО БИЗНЕСА И ПОТРЕБИТЕЛЬСКОГО РЫНКА
ЛЕНИНГРАДСКОЙ ОБЛАСТИ
1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
8. Мерами, направленными на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, являются:
1) назначение ответственного за организацию обработки персональных данных;
2) издание документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных";
4) осуществление внутреннего контроля и(или) аудита соответствия обработки персональных данных Федеральному закону "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области (далее - комитет) в отношении обработки персональных данных, локальным актам комитета;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных";
6) выполнение мероприятий по удалению или уточнению неполных или неточных данных;
7) ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Комитета в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и(или) обучение указанных работников.
9. Обеспечение безопасности персональных данных достигается:
1) определением угроз безопасности персональных данных;
2) применением организационных и(или) технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных, а также при обработке персональных данных без использования средств автоматизации;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных, а также правил доступа к персональным данным при их обработке без использования средств автоматизации;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных, а также безопасности персональных данных, обрабатываемых без использования средств автоматизации.
10. Цели обработки персональных данных в комитете определяются с учетом полномочий и функций комитета.
К персональным данным, обрабатываемым в указанных целях, относятся: фамилия, имя, отчество, пол, гражданство и т.д.
Обработка персональных данных в соответствии с указанными целями осуществляется в отношении субъектов персональных данных, являющихся сотрудниками оператора, и(или) субъектов персональных данных, не являющихся сотрудниками оператора.
11. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных неправомерно обрабатываемые персональные данные, относящиеся к этому субъекту персональных данных, блокируются с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных персональные данные, относящиеся к этому субъекту персональных данных, блокируются с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
12. В случае подтверждения факта неточности персональных данных комитет на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
13. В случае выявления неправомерной обработки персональных данных в срок, не превышающий трех рабочих дней с даты выявления, неправомерная обработка персональных данных прекращается. В случае если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, такие персональные данные уничтожаются. Об устранении допущенных нарушений или об уничтожении персональных данных Комитет уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
14. В случае достижения цели обработки персональных данных обработка персональных данных прекращается и осуществляется их уничтожение в срок, не превышающий 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между комитетом и субъектом персональных данных либо если комитет не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.
15. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных обработка персональных данных прекращается и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, персональные данные уничтожаются в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между комитетом и субъектом персональных данных либо если комитет не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.
16. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 13 - 15 настоящих Правил, осуществляется блокирование таких персональных данных и уничтожение в срок не более шести месяцев, если иной срок не установлен федеральными законами.
ПРИЛОЖЕНИЕ 2
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ПРАВИЛА
РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ В КОМИТЕТЕ ПО РАЗВИТИЮ МАЛОГО,
СРЕДНЕГО БИЗНЕСА И ПОТРЕБИТЕЛЬСКОГО РЫНКА
ЛЕНИНГРАДСКОЙ ОБЛАСТИ
1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые способы обработки персональных данных;
4) наименование и место нахождения комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области (далее - комитет), сведения о лицах (за исключением работников комитета, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с комитетом или на основании федерального закона);
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению комитета, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом "О персональных данных" или другими федеральными законами.
2. Субъект персональных данных вправе требовать от комитета уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3. Сведения предоставляются субъекту персональных данных Комитетом в доступной форме без содержания персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
4. Сведения предоставляются субъекту персональных данных или его представителю комитетом при обращении либо при получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с комитетом (номер договора, дата заключения договора, условное словесное обозначение и(или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных комитетом, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
5. В случае если обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в комитет или направить повторный запрос в целях ознакомления с такими персональными данными не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом "О персональных данных", принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
6. Субъект персональных данных вправе обратиться повторно в комитет или направить повторный запрос в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 5 настоящих Правил, в случае, если такие сведения и(или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 4 настоящих Правил, должен содержать обоснование направления повторного запроса.
7. Комитет вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 5 и 6 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса возлагается на комитет.
ПРИЛОЖЕНИЕ 3
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ "О ПЕРСОНАЛЬНЫХ
ДАННЫХ", ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ
ПРАВОВЫМИ АКТАМИ И ЛОКАЛЬНЫМИ АКТАМИ КОМИТЕТА ПО РАЗВИТИЮ
МАЛОГО, СРЕДНЕГО БИЗНЕСА И ПОТРЕБИТЕЛЬСКОГО РЫНКА
ЛЕНИНГРАДСКОЙ ОБЛАСТИ
1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в комитете по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области (далее - комитет) организуется проведение периодических проверок условий обработки персональных данных.
2. Проверки осуществляются должностным лицом, ответственным за организацию обработки персональных данных в комитете, либо комиссией, образуемой распоряжением председателя комитета.
3. В проведении проверки не может участвовать должностное лицо, прямо или косвенно заинтересованное в ее результатах.
4. Проверки соответствия обработки персональных данных установленным требованиям проводятся на основании утвержденного ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего в комитет письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
5. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне определены:
1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
2) порядок и условия применения средств защиты информации;
3) эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
4) состояние учета машинных носителей персональных данных;
5) соблюдение правил доступа к персональным данным;
6) наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
7) мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) мероприятия по обеспечению целостности персональных данных.
6. Должностное лицо, ответственное за организацию обработки персональных данных (комиссия), имеет право:
1) запрашивать у должностных лиц комитета информацию, необходимую для исполнения своих обязанностей;
2) требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
3) принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
4) представлять председателю комитета предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
5) представлять председателю комитета предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в части обработки персональных данных.
7. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных (комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
8. Проверка должна быть завершена не позднее чем через десять дней со дня принятия решения о ее проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, председателю комитета докладывает должностное лицо, ответственное за организацию обработки персональных данных, либо председатель комиссии в форме письменного заключения.
ПРИЛОЖЕНИЕ 4
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ПРАВИЛА
РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ДАННЫМИ В СЛУЧАЕ ОБЕЗЛИЧИВАНИЯ
ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМИТЕТЕ ПО РАЗВИТИЮ МАЛОГО, СРЕДНЕГО
БИЗНЕСА И ПОТРЕБИТЕЛЬСКОГО РЫНКА ЛЕНИНГРАДСКОЙ ОБЛАСТИ
1. Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
2. Методы обезличивания при условии дальнейшей обработки персональных данных:
1) метод введения идентификаторов - замена части значений персональных данных (далее - сведения) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным;
2) метод изменения состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений (понижение точности некоторых сведений). Например, данные о месте жительства могут включать страну, индекс, город, улицу, номер дома и квартиры, а может быть указан только город;
3) метод декомпозиции - деление сведений на части с последующим раздельным хранением и обработкой в разных информационных системах;
4) метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).
3. Решение о необходимости обезличивания персональных данных принимает председатель комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области.
4. Руководители структурных подразделений, в которых осуществляется обработка персональных данных, подготавливают предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания.
5. Должностные лица, обслуживающие базы персональных данных, совместно с должностным лицом, ответственным за организацию обработки персональных данных, осуществляют непосредственное обезличивание выбранным способом.
6. Обезличенные персональные данные не подлежат разглашению и нарушению их конфиденциальности.
7. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
8. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
1) парольной политики, регламентирующей требования к сложности и частоте изменения паролей, к действиям пользователей при работе с паролями;
2) антивирусной политики, устанавливающей требования к пользователям и администраторам по настройке и использованию средств антивирусной защиты;
3) правил работы со съемными носителями (если они используются);
4) правил резервного копирования;
5) правил доступа в помещения, где расположены элементы информационных систем.
9. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
1) правил хранения бумажных носителей;
2) правил доступа к бумажным носителям и в помещения, где они хранятся.
ПРИЛОЖЕНИЕ 5
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ПЕРЕЧЕНЬ
ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ КОМИТЕТА
ПО РАЗВИТИЮ МАЛОГО, СРЕДНЕГО БИЗНЕСА И ПОТРЕБИТЕЛЬСКОГО
РЫНКА ЛЕНИНГРАДСКОЙ ОБЛАСТИ
№ п/п
Наименование ИСПДн (ее сегмента)
Наименование объекта (полное и сокращенное). Отраслевая принадлежность. Адрес объекта
Структура ИСПДн
Наличие подключений к информационно-телекоммуникационным сетям международного информационного обмена (Интернет)
Режим обработки персональных данных
Нахождение ИСПДн (ее составных частей) в пределах Российской Федерации
Уровень защищенности ИСПДн
1
"Подсистема сбора сводной информации торговых реестров" № рег. 1-14-0-00-01 от 01.07.2011
Комитет по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области
Автоматизированное рабочее место
Присутствует
Многопользовательский с равными правами доступа
Все технические средства находятся на территории Российской Федерации
2
2
Региональный компонент распределенной автоматизированной информационной системы "Управление государственной поддержкой"
Комитет по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области
Автоматизированное рабочее место
Присутствует
Многопользовательский с различными правами доступа
Все технические средства находятся на территории Российской Федерации
3
ПРИЛОЖЕНИЕ 6
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ПЕРЕЧЕНЬ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В КОМИТЕТЕ ПО РАЗВИТИЮ
МАЛОГО, СРЕДНЕГО БИЗНЕСА И ПОТРЕБИТЕЛЬСКОГО РЫНКА
ЛЕНИНГРАДСКОЙ ОБЛАСТИ В СВЯЗИ С РЕАЛИЗАЦИЕЙ СЛУЖЕБНЫХ
ИЛИ ТРУДОВЫХ ОТНОШЕНИЙ, А ТАКЖЕ ОКАЗАНИЕМ ГОСУДАРСТВЕННЫХ
УСЛУГ И ОСУЩЕСТВЛЕНИЕМ ГОСУДАРСТВЕННЫХ ФУНКЦИЙ
Персональные данные должностных лиц в комитете по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области (далее - комитет):
фамилия, имя, отчество
информация о смене фамилии, имени, отчества
пол
дата рождения
место рождения
гражданство
документ, удостоверяющий личность (серия, номер, когда и кем выдан)
сведения из записей актов гражданского состояния
место жительства и дата регистрации по месту жительства
номера контактных телефонов
семейное положение
состав семьи
сведения о наличии детей, их возрасте, месте учебы (работы)
сведения, содержащиеся в служебном контракте, трудовом договоре
отношение к воинской обязанности, воинское звание, состав рода войск, военный билет, приписное свидетельство, сведения о постановке на воинский учет и прохождении службы в Вооруженных Силах
сведения о получении профессионального и дополнительного образования (наименование образовательного учреждения, специальность и квалификация по документу об образовании; документ об образовании, квалификации, наименование документа об образовании, его серия и номер, дата выдачи)
сведения об уровне специальных знаний (работа на компьютере, знание иностранного языка)
сведения о профессиональной переподготовке, повышении квалификации, стажировке
сведения о трудовой деятельности, общем трудовом стаже и стаже государственной гражданской службы
сведения о замещаемой должности
сведения о классных чинах, военных и специальных званиях
сведения о состоянии здоровья и его соответствии выполняемой работе, наличии группы инвалидности и степени ограничения способности к трудовой деятельности
сведения об отпусках и командировках
сведения о прохождении аттестации и сдаче квалификационного экзамена
сведения о документах, связанных с оформлением допуска к сведениям, составляющим государственную или иную охраняемую законом тайну, если исполнение обязанностей по замещаемой должности связано с использованием таких сведений
сведения о награждении (поощрении)
материалы служебных проверок, расследований
сведения о взысканиях
реквизиты идентификационного номера налогоплательщика (ИНН)
реквизиты страхового номера индивидуального лицевого счета в Пенсионном фонде Российской Федерации (СНИЛС)
реквизиты полиса обязательного медицинского страхования
сведения о доходах, имуществе и обязательствах имущественного характера государственного гражданского служащего и членов его семьи
сведения о социальных льготах
информация о доходах, выплатах и удержаниях
номера банковских счетов
фото
Персональные данные, обрабатываемые в комитете в связи с оказанием государственных услуг и осуществлением государственных функций:
фамилия, имя, отчество
пол
дата рождения
место рождения
документ, удостоверяющий личность (серия, номер, когда и кем выдан)
ПРИЛОЖЕНИЕ 7
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ПЕРЕЧЕНЬ
ДОЛЖНОСТЕЙ СЛУЖАЩИХ КОМИТЕТА ПО РАЗВИТИЮ МАЛОГО, СРЕДНЕГО
БИЗНЕСА И ПОТРЕБИТЕЛЬСКОГО РЫНКА ЛЕНИНГРАДСКОЙ ОБЛАСТИ,
ОТВЕТСТВЕННЫХ ЗА ПРОВЕДЕНИЕ МЕРОПРИЯТИЙ ПО ОБЕЗЛИЧИВАНИЮ
ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
Название структурного подразделения
Наименование должности ответственного
Документ о назначении ответственного
Начальник отдела ресурсной поддержки
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
Начальник отдела развития малого и среднего бизнеса
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
Начальник развития потребительского рынка
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
Администратор документационного комплекса
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
ПРИЛОЖЕНИЕ 8
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ПЕРЕЧЕНЬ
ДОЛЖНОСТЕЙ СЛУЖАЩИХ КОМИТЕТА ПО РАЗВИТИЮ МАЛОГО, СРЕДНЕГО
БИЗНЕСА И ПОТРЕБИТЕЛЬСКОГО РЫНКА ЛЕНИНГРАДСКОЙ ОБЛАСТИ,
ЗАМЕЩЕНИЕ КОТОРЫХ ПРЕДУСМАТРИВАЕТ ОСУЩЕСТВЛЕНИЕ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ЛИБО ОСУЩЕСТВЛЕНИЕ ДОСТУПА
К ПЕРСОНАЛЬНЫМ ДАННЫМ
Название структурного подразделения
Наименование должности
Документ, предусматривающий осуществление обработки персональных данных должностным лицом либо доступ к персональным данным в Комитете по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области
Начальник отдела ресурсной поддержки
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
Главный специалист - главный бухгалтер отдела ресурсной поддержки
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
Главный специалист отдела ресурсной поддержки
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
Ведущий специалист отдела ресурсной поддержки
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
Начальник отдела развития малого и среднего бизнеса
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
Главный специалист отдела развития малого и среднего бизнеса
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
Ведущий специалист отдела развития малого и среднего бизнеса
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
Начальник отдела развития потребительского рынка
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
Главный специалист отдела развития потребительского рынка
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
Ведущий специалист отдела развития потребительского рынка
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
Администратор документационного комплекса
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
ПРИЛОЖЕНИЕ 9
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ТРЕБОВАНИЯ
К СОДЕРЖАНИЮ ДОЛЖНОСТНОГО РЕГЛАМЕНТА ОТВЕТСТВЕННОГО
ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Квалификационные требования
1.1. Знания:
законодательства Российской Федерации в области персональных данных и иных нормативных правовых актов Российской Федерации и Ленинградской области по вопросам обработки и защиты персональных данных;
законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
2. Должностные обязанности
2.1. В соответствии с распоряжением (правовым актом) комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области (далее - комитет) исполнять обязанности ответственного за обработку персональных данных:
2.1.1. Разрабатывать проекты локальных (правовых) актов комитета по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
2.1.2. При эксплуатации информационных систем персональных данных в случае, если комитет является оператором таких информационных систем, разрабатывать и представлять на рассмотрение председателю комитета:
об установлении уровня защищенности персональных данных при их обработке;
об организационных и технических мерах по обеспечению безопасности персональных данных в соответствии с установленными Правительством Российской Федерации требованиями к защите персональных данных, рекомендациями уполномоченных федеральных органов, уполномоченных органов исполнительной власти Ленинградской области;
о методах обезличивания персональных данных в соответствии с требованиями и методами, установленными уполномоченным органом по защите прав субъектов персональных данных;
о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке.
2.1.3. При обработке персональных данных, осуществляемой комитетом без использования средств автоматизации, разрабатывать и представлять на рассмотрение председателю комитета предложения о выполнении требований, установленных постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
2.1.4. Организовывать обезличивание персональных данных в комитете в случаях, установленных нормативными правовыми актами Российской Федерации.
2.1.5. Доводить до сведения служащих комитета, непосредственно осуществляющих обработку персональных данных, положения законодательства Российской Федерации о персональных данных (в том числе о требованиях к защите персональных данных), локальных актов Комитета и(или) организовывать обучение указанных служащих.
2.1.6. Уведомлять уполномоченный орган по защите прав субъектов персональных данных о намерении комитета осуществлять обработку персональных данных, изменении сведений, указанных в уведомлении, или о прекращении обработки персональных данных.
2.1.7. Организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и(или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
2.1.8. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организовывать проведение периодических проверок условий обработки персональных данных в комитете, в том числе:
разрабатывать и представлять на рассмотрение председателю комитета план проверок условий обработки персональных данных;
докладывать председателю комитета о результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений.
3. Ответственность
3.1. За ненадлежащее исполнение или неисполнение возложенных обязанностей, связанных с выполнением требований законодательства о персональных данных, ответственный за организацию обработки персональных данных несет предусмотренную законодательством Российской Федерации ответственность.
4. Показатели эффективности и результативности профессиональной служебной деятельности
4.1. Показателями эффективности и результативности деятельности ответственного за обработку персональных данных являются в том числе:
4.1.1. Отсутствие фактов нарушения законодательства Российской Федерации о персональных данных при исполнении обязанностей ответственного за организацию обработки персональных данных в комитете.
4.1.2. Достаточность и своевременность разработки предложений о мероприятиях, направленных на обеспечение выполнения комитетом обязанностей оператора, предусмотренных законодательством Российской Федерации о персональных данных.
4.1.3. Полнота подготовки доклада председателю комитета о результатах проведенных проверок условий обработки персональных данных и мерах, необходимых для устранения выявленных нарушений.
ПРИЛОЖЕНИЕ 10
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ОБЯЗАТЕЛЬСТВО
служащего комитета по развитию малого, среднего бизнеса
и потребительского рынка Ленинградской области,
непосредственно осуществляющего обработку персональных данных,
прекратить обработку персональных данных, ставших известными
ему в связи с исполнением должностных обязанностей, в случае
расторжения с ним служебного контракта (трудового договора)
Я, ________________________________________________________________________
(фамилия, имя, отчество полностью)
___________________________________________________________________________
(наименование должности и структурного подразделения)
___________________________________________________________________________
обязуюсь прекратить обработку персональных данных, ставших известными мне в
связи с исполнением должностных обязанностей, в случае расторжения со мной
служебного контракта (трудового договора).
В соответствии со статьей 7 Федерального закона от 27 июля 2006 года
№ 152-ФЗ "О персональных данных" я уведомлен(а) о том, что персональные
данные являются конфиденциальной информацией, и обязан(а) не раскрывать
третьим лицам и не распространять персональные данные без согласия субъекта
персональных данных, ставшие известными мне в связи с исполнением
должностных обязанностей.
Я предупрежден(а) о том, что в случае нарушения данного обязательства
буду привлечен(а) к ответственности в соответствии с законодательством
Российской Федерации.
"__" ______________ 20__ года
_________ ___________________
(подпись) (фамилия, инициалы)
ПРИЛОЖЕНИЕ 11
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ФОРМА СОГЛАСИЯ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ
ДАННЫХ, А ТАКЖЕ РАЗЪЯСНЕНИЯ СУБЪЕКТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
ЮРИДИЧЕСКИХ ПОСЛЕДСТВИЙ ОТКАЗА ПРЕДОСТАВИТЬ СВОИ
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
СОГЛАСИЕ
на обработку персональных данных
Я, ___________________________________________________________________,
(фамилия, имя, отчество субъекта персональных данных или его представителя)
___________________________________________________________________________
(вид документа, удостоверяющего личность, серия, номер, когда и кем выдан,
___________________________________________________________________________
реквизиты доверенности или иного документа, подтверждающего полномочия
представителя)
настоящим даю согласие на обработку
___________________________________________________________________________
(орган исполнительной власти Ленинградской области)
моих персональных данных (персональных данных представляемого) и
подтверждаю, что, давая такое согласие, я действую своей волей и в своих
интересах (в интересах представляемого).
Согласие дается мною для:
___________________________________________________________________________
(цель (цели) обработки персональных данных)
Настоящее согласие предоставляется на осуществление любых действий по
обработке моих персональных данных (персональных данных представляемого)
для достижения указанных целей в соответствии с требованиями,
установленными Федеральным законом от 27 июля 2006 года № 152-ФЗ "О
персональных данных" и принятыми в соответствии с ним нормативными
правовыми актами, и действует со дня его подписания и до достижения целей
обработки персональных данных, указанных в данном согласии, либо до дня
отзыва согласия на обработку персональных данных в письменной форме.
____________ ______________ _____________________________
(дата) (подпись) (фамилия, инициалы)
Предоставленные данные соответствуют предъявленным документам,
удостоверяющим личность.
______ _________ __________________________________________________________
(дата) (подпись) (фамилия, инициалы должностного лица, принявшего документ)
ПРИЛОЖЕНИЕ 12
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ПОРЯДОК
ДОСТУПА СЛУЖАЩИХ КОМИТЕТА ПО РАЗВИТИЮ МАЛОГО, СРЕДНЕГО
БИЗНЕСА И ПОТРЕБИТЕЛЬСКОГО РЫНКА ЛЕНИНГРАДСКОЙ ОБЛАСТИ
В ПОМЕЩЕНИЯ, В КОТОРЫХ ВЕДЕТСЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Персональные данные относятся к категории конфиденциальной информации. Лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2. Перечень должностей служащих комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области (далее - комитет), замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утверждается председателем комитета.
3. Порядок определяет правила доступа в помещения, где хранятся и обрабатываются персональные данные, в целях исключения несанкционированного доступа к персональным данным, а также обеспечения безопасности персональных данных от уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении персональных данных.
4. В помещения, где размещены материальные носители информации, содержащие персональные данные, допускаются только должностные лица Комитета, имеющие доступ к персональным данным.
5. Должностные лица, имеющие доступ к персональным данным, не должны:
оставлять в свое отсутствие незапертым помещение, в котором размещены технические средства, позволяющие осуществлять обработку персональных данных;
оставлять в помещении посторонних лиц, не имеющих доступа к персональным данным в данном структурном подразделении, без присмотра.
6. Для помещений, в которых хранятся и обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей информации, содержащей персональные данные, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц. Указанный режим обеспечивается в том числе:
оснащением помещения охранной и пожарной сигнализацией;
обязательным запиранием помещения на ключ при выходе из него даже в рабочее время;
закрытием металлических шкафов и сейфов, где хранятся носители информации, содержащие персональные данные.
7. Доступ в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся материальные носители персональных данных, в случае возникновения непредвиденных обстоятельств в нерабочее время осуществляется сотрудником службы безопасности с записью в журнале вскрытия.
8. Ответственность за соблюдение настоящего Порядка возлагается на начальников отделов (структурных подразделений) комитета, в которых ведется обработка персональных данных и осуществляется их хранение.
9. Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных, или комиссией, образуемой председателем комитета.
ПРИЛОЖЕНИЕ 13
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ПЛАН
правовых, организационных и технических мер по обеспечению
безопасности персональных данных в органе исполнительной
власти Ленинградской области
№ п/п
Наименование мероприятия
Исполнитель
Сроки выполнения
Отметка о выполнении
1
2
3
4
5
1
Аудит соответствия обработки персональных данных Федеральному закону "О персональных данных"
Начальник отдела развития малого и среднего бизнеса
В течение года
2
Издание необходимой или актуализация имеющейся организационно-распорядительной документации, определяющей правила обработки персональных данных, а также устанавливающей процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации о персональных данных, устранение последствий таких нарушений
Начальник отдела развития малого и среднего бизнеса
В течение года по мере необходимости
3
Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"
Начальник отдела развития малого и среднего бизнеса
В течение года
4
Ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными актами по вопросам обработки персональных данных
Начальник отдела развития малого и среднего бизнеса
В течение года
5
Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных
Начальник отдела развития малого и среднего бизнеса
В течение года
6
Проведение внутреннего контроля соответствия организации и состояния работ по выполнению комитетом обязательств в отношении обработки персональных данных, в том числе обеспечению безопасности персональных данных, требованиям локальных актов комитета, законодательства Российской Федерации о персональных данных
Начальник отдела развития малого и среднего бизнеса
В течение года
7
Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных
Начальник отдела развития малого и среднего бизнеса
В течение года
Ответственный за организацию
обработки персональных данных __________________
ПРИЛОЖЕНИЕ 14
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ПОРЯДОК
проведения проверок соответствия обработки персональных
данных установленным требованиям в комитете по развитию
малого, среднего бизнеса и потребительского рынка
Ленинградской области
№ п/п
Краткое описание мероприятий
Периодичность мероприятий
Результат проверки
Фамилия, имя, отчество лица, проводившего проверку, подпись
Примечание
1
2
3
4
5
6
14
Проверка знаний работниками руководящих документов, технологических инструкций, предписаний, актов, заключений и уровня овладения работниками технологией безопасной обработки информации, изложенных в инструкциях
Не реже одного раза в год
15
Проверка знаний инструкций по обеспечению безопасности информации пользователями ИСПДн
Не реже одного раза в год
Ответственный за организацию обработки персональных данных _________ ____________
КОМИТЕТ ПО РАЗВИТИЮ МАЛОГО, СРЕДНЕГО БИЗНЕСА
И ПОТРЕБИТЕЛЬСКОГО РЫНКА ЛЕНИНГРАДСКОЙ ОБЛАСТИ
ПРИКАЗ
от 6 июня 2017 г. № 10
ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В КОМИТЕТЕ ПО РАЗВИТИЮ МАЛОГО, СРЕДНЕГО БИЗНЕСА
И ПОТРЕБИТЕЛЬСКОГО РЫНКА ЛЕНИНГРАДСКОЙ ОБЛАСТИ
В соответствии с постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", постановлением Правительства Ленинградской области от 11.09.2015 № 358 "Об утверждении типовых организационно-распорядительных документов операторов персональных данных", исполнением Комитетом по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области (далее - комитет) функций оператора по обработке персональных данных приказываю:
1. Утвердить:
- правила обработки персональных данных в комитете (согласно приложению 1 к настоящему приказу);
- правила рассмотрения запросов субъектов персональных данных или их представителей в комитете (согласно приложению 2 к настоящему приказу);
- правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами комитета (согласно приложению 3 к настоящему приказу);
- правила работы с обезличенными данными в случае обезличивания персональных данных в комитете (согласно приложению 4 к настоящему приказу);
- перечень информационных систем персональных данных комитета (приложение 5 к настоящему приказу);
- перечень персональных данных, обрабатываемых в комитете в связи с реализацией служебных или трудовых отношений, а также оказанием государственных услуг и осуществлением государственных функций (приложение 6 к настоящему приказу);
- перечень должностей служащих комитета, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных (приложение 7 к настоящему приказу);
- перечень должностей служащих комитета, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (приложение 8 к настоящему приказу);
- требования к содержанию должностного регламента ответственного за организацию обработки персональных данных (приложение 9 к настоящему приказу);
- обязательство служащего комитета, непосредственно осуществляющего обработку персональных данных, прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, в случае расторжения с ним служебного контракта (трудового договора) (приложение 10 к настоящему приказу);
- форму согласия на обработку персональных данных субъектов персональных данных, а также разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные (приложение 11 к настоящему приказу);
- порядок доступа служащих комитета в помещения, в которых ведется обработка персональных данных (приложение 12 к настоящему приказу);
- план правовых, организационных и технических мер по обеспечению безопасности персональных данных в комитете (приложение 13 к настоящему приказу);
- порядок проведения проверок соответствия обработки персональных данных установленным требованиям в комитете (приложение 14 к настоящему приказу).
2. Назначить ответственным за организацию обработки персональных данных начальника отдела развития малого и среднего бизнеса комитета.
3. Администратору документационного комплекса ознакомить под роспись должностных лиц комитета с документами, указанными в пункте 1 настоящего приказа.
4. Руководителю ГКУ "ЛОЦПП":
- ознакомить под роспись сотрудников ГКУ "ЛОЦПП" с документами, указанными в пункте 1 настоящего приказа;
- обеспечить исполнение требований, содержащихся в документах, указанных в пункте 1 настоящего приказа, сотрудниками, участвующими в обработке персональных данных.
5. Контроль за исполнением настоящего распоряжения оставляю за собой.
Председатель комитета
по развитию малого, среднего бизнеса
и потребительского рынка
Ленинградской области
С.И.Нерушай
ПРИЛОЖЕНИЕ 1
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМИТЕТЕ ПО РАЗВИТИЮ МАЛОГО,
СРЕДНЕГО БИЗНЕСА И ПОТРЕБИТЕЛЬСКОГО РЫНКА
ЛЕНИНГРАДСКОЙ ОБЛАСТИ
1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
8. Мерами, направленными на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, являются:
1) назначение ответственного за организацию обработки персональных данных;
2) издание документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных";
4) осуществление внутреннего контроля и(или) аудита соответствия обработки персональных данных Федеральному закону "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области (далее - комитет) в отношении обработки персональных данных, локальным актам комитета;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных";
6) выполнение мероприятий по удалению или уточнению неполных или неточных данных;
7) ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Комитета в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и(или) обучение указанных работников.
9. Обеспечение безопасности персональных данных достигается:
1) определением угроз безопасности персональных данных;
2) применением организационных и(или) технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных, а также при обработке персональных данных без использования средств автоматизации;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных, а также правил доступа к персональным данным при их обработке без использования средств автоматизации;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных, а также безопасности персональных данных, обрабатываемых без использования средств автоматизации.
10. Цели обработки персональных данных в комитете определяются с учетом полномочий и функций комитета.
К персональным данным, обрабатываемым в указанных целях, относятся: фамилия, имя, отчество, пол, гражданство и т.д.
Обработка персональных данных в соответствии с указанными целями осуществляется в отношении субъектов персональных данных, являющихся сотрудниками оператора, и(или) субъектов персональных данных, не являющихся сотрудниками оператора.
11. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных неправомерно обрабатываемые персональные данные, относящиеся к этому субъекту персональных данных, блокируются с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных персональные данные, относящиеся к этому субъекту персональных данных, блокируются с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
12. В случае подтверждения факта неточности персональных данных комитет на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
13. В случае выявления неправомерной обработки персональных данных в срок, не превышающий трех рабочих дней с даты выявления, неправомерная обработка персональных данных прекращается. В случае если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, такие персональные данные уничтожаются. Об устранении допущенных нарушений или об уничтожении персональных данных Комитет уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
14. В случае достижения цели обработки персональных данных обработка персональных данных прекращается и осуществляется их уничтожение в срок, не превышающий 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между комитетом и субъектом персональных данных либо если комитет не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.
15. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных обработка персональных данных прекращается и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, персональные данные уничтожаются в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между комитетом и субъектом персональных данных либо если комитет не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.
16. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 13 - 15 настоящих Правил, осуществляется блокирование таких персональных данных и уничтожение в срок не более шести месяцев, если иной срок не установлен федеральными законами.
ПРИЛОЖЕНИЕ 2
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ПРАВИЛА
РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ В КОМИТЕТЕ ПО РАЗВИТИЮ МАЛОГО,
СРЕДНЕГО БИЗНЕСА И ПОТРЕБИТЕЛЬСКОГО РЫНКА
ЛЕНИНГРАДСКОЙ ОБЛАСТИ
1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые способы обработки персональных данных;
4) наименование и место нахождения комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области (далее - комитет), сведения о лицах (за исключением работников комитета, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с комитетом или на основании федерального закона);
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению комитета, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом "О персональных данных" или другими федеральными законами.
2. Субъект персональных данных вправе требовать от комитета уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3. Сведения предоставляются субъекту персональных данных Комитетом в доступной форме без содержания персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
4. Сведения предоставляются субъекту персональных данных или его представителю комитетом при обращении либо при получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с комитетом (номер договора, дата заключения договора, условное словесное обозначение и(или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных комитетом, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
5. В случае если обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в комитет или направить повторный запрос в целях ознакомления с такими персональными данными не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом "О персональных данных", принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
6. Субъект персональных данных вправе обратиться повторно в комитет или направить повторный запрос в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 5 настоящих Правил, в случае, если такие сведения и(или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 4 настоящих Правил, должен содержать обоснование направления повторного запроса.
7. Комитет вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 5 и 6 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса возлагается на комитет.
ПРИЛОЖЕНИЕ 3
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ "О ПЕРСОНАЛЬНЫХ
ДАННЫХ", ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ
ПРАВОВЫМИ АКТАМИ И ЛОКАЛЬНЫМИ АКТАМИ КОМИТЕТА ПО РАЗВИТИЮ
МАЛОГО, СРЕДНЕГО БИЗНЕСА И ПОТРЕБИТЕЛЬСКОГО РЫНКА
ЛЕНИНГРАДСКОЙ ОБЛАСТИ
1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в комитете по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области (далее - комитет) организуется проведение периодических проверок условий обработки персональных данных.
2. Проверки осуществляются должностным лицом, ответственным за организацию обработки персональных данных в комитете, либо комиссией, образуемой распоряжением председателя комитета.
3. В проведении проверки не может участвовать должностное лицо, прямо или косвенно заинтересованное в ее результатах.
4. Проверки соответствия обработки персональных данных установленным требованиям проводятся на основании утвержденного ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего в комитет письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
5. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне определены:
1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
2) порядок и условия применения средств защиты информации;
3) эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
4) состояние учета машинных носителей персональных данных;
5) соблюдение правил доступа к персональным данным;
6) наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
7) мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) мероприятия по обеспечению целостности персональных данных.
6. Должностное лицо, ответственное за организацию обработки персональных данных (комиссия), имеет право:
1) запрашивать у должностных лиц комитета информацию, необходимую для исполнения своих обязанностей;
2) требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
3) принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
4) представлять председателю комитета предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
5) представлять председателю комитета предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в части обработки персональных данных.
7. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных (комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
8. Проверка должна быть завершена не позднее чем через десять дней со дня принятия решения о ее проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, председателю комитета докладывает должностное лицо, ответственное за организацию обработки персональных данных, либо председатель комиссии в форме письменного заключения.
ПРИЛОЖЕНИЕ 4
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ПРАВИЛА
РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ДАННЫМИ В СЛУЧАЕ ОБЕЗЛИЧИВАНИЯ
ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМИТЕТЕ ПО РАЗВИТИЮ МАЛОГО, СРЕДНЕГО
БИЗНЕСА И ПОТРЕБИТЕЛЬСКОГО РЫНКА ЛЕНИНГРАДСКОЙ ОБЛАСТИ
1. Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
2. Методы обезличивания при условии дальнейшей обработки персональных данных:
1) метод введения идентификаторов - замена части значений персональных данных (далее - сведения) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным;
2) метод изменения состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений (понижение точности некоторых сведений). Например, данные о месте жительства могут включать страну, индекс, город, улицу, номер дома и квартиры, а может быть указан только город;
3) метод декомпозиции - деление сведений на части с последующим раздельным хранением и обработкой в разных информационных системах;
4) метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).
3. Решение о необходимости обезличивания персональных данных принимает председатель комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области.
4. Руководители структурных подразделений, в которых осуществляется обработка персональных данных, подготавливают предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания.
5. Должностные лица, обслуживающие базы персональных данных, совместно с должностным лицом, ответственным за организацию обработки персональных данных, осуществляют непосредственное обезличивание выбранным способом.
6. Обезличенные персональные данные не подлежат разглашению и нарушению их конфиденциальности.
7. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
8. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
1) парольной политики, регламентирующей требования к сложности и частоте изменения паролей, к действиям пользователей при работе с паролями;
2) антивирусной политики, устанавливающей требования к пользователям и администраторам по настройке и использованию средств антивирусной защиты;
3) правил работы со съемными носителями (если они используются);
4) правил резервного копирования;
5) правил доступа в помещения, где расположены элементы информационных систем.
9. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
1) правил хранения бумажных носителей;
2) правил доступа к бумажным носителям и в помещения, где они хранятся.
ПРИЛОЖЕНИЕ 5
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ПЕРЕЧЕНЬ
ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ КОМИТЕТА
ПО РАЗВИТИЮ МАЛОГО, СРЕДНЕГО БИЗНЕСА И ПОТРЕБИТЕЛЬСКОГО
РЫНКА ЛЕНИНГРАДСКОЙ ОБЛАСТИ
№ п/п
Наименование ИСПДн (ее сегмента)
Наименование объекта (полное и сокращенное). Отраслевая принадлежность. Адрес объекта
Структура ИСПДн
Наличие подключений к информационно-телекоммуникационным сетям международного информационного обмена (Интернет)
Режим обработки персональных данных
Нахождение ИСПДн (ее составных частей) в пределах Российской Федерации
Уровень защищенности ИСПДн
1
"Подсистема сбора сводной информации торговых реестров" № рег. 1-14-0-00-01 от 01.07.2011
Комитет по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области
Автоматизированное рабочее место
Присутствует
Многопользовательский с равными правами доступа
Все технические средства находятся на территории Российской Федерации
2
2
Региональный компонент распределенной автоматизированной информационной системы "Управление государственной поддержкой"
Комитет по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области
Автоматизированное рабочее место
Присутствует
Многопользовательский с различными правами доступа
Все технические средства находятся на территории Российской Федерации
3
ПРИЛОЖЕНИЕ 6
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ПЕРЕЧЕНЬ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В КОМИТЕТЕ ПО РАЗВИТИЮ
МАЛОГО, СРЕДНЕГО БИЗНЕСА И ПОТРЕБИТЕЛЬСКОГО РЫНКА
ЛЕНИНГРАДСКОЙ ОБЛАСТИ В СВЯЗИ С РЕАЛИЗАЦИЕЙ СЛУЖЕБНЫХ
ИЛИ ТРУДОВЫХ ОТНОШЕНИЙ, А ТАКЖЕ ОКАЗАНИЕМ ГОСУДАРСТВЕННЫХ
УСЛУГ И ОСУЩЕСТВЛЕНИЕМ ГОСУДАРСТВЕННЫХ ФУНКЦИЙ
Персональные данные должностных лиц в комитете по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области (далее - комитет):
фамилия, имя, отчество
информация о смене фамилии, имени, отчества
пол
дата рождения
место рождения
гражданство
документ, удостоверяющий личность (серия, номер, когда и кем выдан)
сведения из записей актов гражданского состояния
место жительства и дата регистрации по месту жительства
номера контактных телефонов
семейное положение
состав семьи
сведения о наличии детей, их возрасте, месте учебы (работы)
сведения, содержащиеся в служебном контракте, трудовом договоре
отношение к воинской обязанности, воинское звание, состав рода войск, военный билет, приписное свидетельство, сведения о постановке на воинский учет и прохождении службы в Вооруженных Силах
сведения о получении профессионального и дополнительного образования (наименование образовательного учреждения, специальность и квалификация по документу об образовании; документ об образовании, квалификации, наименование документа об образовании, его серия и номер, дата выдачи)
сведения об уровне специальных знаний (работа на компьютере, знание иностранного языка)
сведения о профессиональной переподготовке, повышении квалификации, стажировке
сведения о трудовой деятельности, общем трудовом стаже и стаже государственной гражданской службы
сведения о замещаемой должности
сведения о классных чинах, военных и специальных званиях
сведения о состоянии здоровья и его соответствии выполняемой работе, наличии группы инвалидности и степени ограничения способности к трудовой деятельности
сведения об отпусках и командировках
сведения о прохождении аттестации и сдаче квалификационного экзамена
сведения о документах, связанных с оформлением допуска к сведениям, составляющим государственную или иную охраняемую законом тайну, если исполнение обязанностей по замещаемой должности связано с использованием таких сведений
сведения о награждении (поощрении)
материалы служебных проверок, расследований
сведения о взысканиях
реквизиты идентификационного номера налогоплательщика (ИНН)
реквизиты страхового номера индивидуального лицевого счета в Пенсионном фонде Российской Федерации (СНИЛС)
реквизиты полиса обязательного медицинского страхования
сведения о доходах, имуществе и обязательствах имущественного характера государственного гражданского служащего и членов его семьи
сведения о социальных льготах
информация о доходах, выплатах и удержаниях
номера банковских счетов
фото
Персональные данные, обрабатываемые в комитете в связи с оказанием государственных услуг и осуществлением государственных функций:
фамилия, имя, отчество
пол
дата рождения
место рождения
документ, удостоверяющий личность (серия, номер, когда и кем выдан)
ПРИЛОЖЕНИЕ 7
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ПЕРЕЧЕНЬ
ДОЛЖНОСТЕЙ СЛУЖАЩИХ КОМИТЕТА ПО РАЗВИТИЮ МАЛОГО, СРЕДНЕГО
БИЗНЕСА И ПОТРЕБИТЕЛЬСКОГО РЫНКА ЛЕНИНГРАДСКОЙ ОБЛАСТИ,
ОТВЕТСТВЕННЫХ ЗА ПРОВЕДЕНИЕ МЕРОПРИЯТИЙ ПО ОБЕЗЛИЧИВАНИЮ
ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
Название структурного подразделения
Наименование должности ответственного
Документ о назначении ответственного
Начальник отдела ресурсной поддержки
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
Начальник отдела развития малого и среднего бизнеса
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
Начальник развития потребительского рынка
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
Администратор документационного комплекса
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
ПРИЛОЖЕНИЕ 8
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ПЕРЕЧЕНЬ
ДОЛЖНОСТЕЙ СЛУЖАЩИХ КОМИТЕТА ПО РАЗВИТИЮ МАЛОГО, СРЕДНЕГО
БИЗНЕСА И ПОТРЕБИТЕЛЬСКОГО РЫНКА ЛЕНИНГРАДСКОЙ ОБЛАСТИ,
ЗАМЕЩЕНИЕ КОТОРЫХ ПРЕДУСМАТРИВАЕТ ОСУЩЕСТВЛЕНИЕ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ЛИБО ОСУЩЕСТВЛЕНИЕ ДОСТУПА
К ПЕРСОНАЛЬНЫМ ДАННЫМ
Название структурного подразделения
Наименование должности
Документ, предусматривающий осуществление обработки персональных данных должностным лицом либо доступ к персональным данным в Комитете по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области
Начальник отдела ресурсной поддержки
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
Главный специалист - главный бухгалтер отдела ресурсной поддержки
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
Главный специалист отдела ресурсной поддержки
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
Ведущий специалист отдела ресурсной поддержки
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
Начальник отдела развития малого и среднего бизнеса
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
Главный специалист отдела развития малого и среднего бизнеса
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
Ведущий специалист отдела развития малого и среднего бизнеса
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
Начальник отдела развития потребительского рынка
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
Главный специалист отдела развития потребительского рынка
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
Ведущий специалист отдела развития потребительского рынка
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
Администратор документационного комплекса
Приказ комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области от 6 июня 2017 года № 10
ПРИЛОЖЕНИЕ 9
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ТРЕБОВАНИЯ
К СОДЕРЖАНИЮ ДОЛЖНОСТНОГО РЕГЛАМЕНТА ОТВЕТСТВЕННОГО
ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Квалификационные требования
1.1. Знания:
законодательства Российской Федерации в области персональных данных и иных нормативных правовых актов Российской Федерации и Ленинградской области по вопросам обработки и защиты персональных данных;
законодательства Российской Федерации об информации, информационных технологиях и о защите информации.
2. Должностные обязанности
2.1. В соответствии с распоряжением (правовым актом) комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области (далее - комитет) исполнять обязанности ответственного за обработку персональных данных:
2.1.1. Разрабатывать проекты локальных (правовых) актов комитета по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
2.1.2. При эксплуатации информационных систем персональных данных в случае, если комитет является оператором таких информационных систем, разрабатывать и представлять на рассмотрение председателю комитета:
об установлении уровня защищенности персональных данных при их обработке;
об организационных и технических мерах по обеспечению безопасности персональных данных в соответствии с установленными Правительством Российской Федерации требованиями к защите персональных данных, рекомендациями уполномоченных федеральных органов, уполномоченных органов исполнительной власти Ленинградской области;
о методах обезличивания персональных данных в соответствии с требованиями и методами, установленными уполномоченным органом по защите прав субъектов персональных данных;
о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке.
2.1.3. При обработке персональных данных, осуществляемой комитетом без использования средств автоматизации, разрабатывать и представлять на рассмотрение председателю комитета предложения о выполнении требований, установленных постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
2.1.4. Организовывать обезличивание персональных данных в комитете в случаях, установленных нормативными правовыми актами Российской Федерации.
2.1.5. Доводить до сведения служащих комитета, непосредственно осуществляющих обработку персональных данных, положения законодательства Российской Федерации о персональных данных (в том числе о требованиях к защите персональных данных), локальных актов Комитета и(или) организовывать обучение указанных служащих.
2.1.6. Уведомлять уполномоченный орган по защите прав субъектов персональных данных о намерении комитета осуществлять обработку персональных данных, изменении сведений, указанных в уведомлении, или о прекращении обработки персональных данных.
2.1.7. Организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и(или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
2.1.8. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организовывать проведение периодических проверок условий обработки персональных данных в комитете, в том числе:
разрабатывать и представлять на рассмотрение председателю комитета план проверок условий обработки персональных данных;
докладывать председателю комитета о результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений.
3. Ответственность
3.1. За ненадлежащее исполнение или неисполнение возложенных обязанностей, связанных с выполнением требований законодательства о персональных данных, ответственный за организацию обработки персональных данных несет предусмотренную законодательством Российской Федерации ответственность.
4. Показатели эффективности и результативности профессиональной служебной деятельности
4.1. Показателями эффективности и результативности деятельности ответственного за обработку персональных данных являются в том числе:
4.1.1. Отсутствие фактов нарушения законодательства Российской Федерации о персональных данных при исполнении обязанностей ответственного за организацию обработки персональных данных в комитете.
4.1.2. Достаточность и своевременность разработки предложений о мероприятиях, направленных на обеспечение выполнения комитетом обязанностей оператора, предусмотренных законодательством Российской Федерации о персональных данных.
4.1.3. Полнота подготовки доклада председателю комитета о результатах проведенных проверок условий обработки персональных данных и мерах, необходимых для устранения выявленных нарушений.
ПРИЛОЖЕНИЕ 10
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ОБЯЗАТЕЛЬСТВО
служащего комитета по развитию малого, среднего бизнеса
и потребительского рынка Ленинградской области,
непосредственно осуществляющего обработку персональных данных,
прекратить обработку персональных данных, ставших известными
ему в связи с исполнением должностных обязанностей, в случае
расторжения с ним служебного контракта (трудового договора)
Я, ________________________________________________________________________
(фамилия, имя, отчество полностью)
___________________________________________________________________________
(наименование должности и структурного подразделения)
___________________________________________________________________________
обязуюсь прекратить обработку персональных данных, ставших известными мне в
связи с исполнением должностных обязанностей, в случае расторжения со мной
служебного контракта (трудового договора).
В соответствии со статьей 7 Федерального закона от 27 июля 2006 года
№ 152-ФЗ "О персональных данных" я уведомлен(а) о том, что персональные
данные являются конфиденциальной информацией, и обязан(а) не раскрывать
третьим лицам и не распространять персональные данные без согласия субъекта
персональных данных, ставшие известными мне в связи с исполнением
должностных обязанностей.
Я предупрежден(а) о том, что в случае нарушения данного обязательства
буду привлечен(а) к ответственности в соответствии с законодательством
Российской Федерации.
"__" ______________ 20__ года
_________ ___________________
(подпись) (фамилия, инициалы)
ПРИЛОЖЕНИЕ 11
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ФОРМА СОГЛАСИЯ
НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ
ДАННЫХ, А ТАКЖЕ РАЗЪЯСНЕНИЯ СУБЪЕКТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
ЮРИДИЧЕСКИХ ПОСЛЕДСТВИЙ ОТКАЗА ПРЕДОСТАВИТЬ СВОИ
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
СОГЛАСИЕ
на обработку персональных данных
Я, ___________________________________________________________________,
(фамилия, имя, отчество субъекта персональных данных или его представителя)
___________________________________________________________________________
(вид документа, удостоверяющего личность, серия, номер, когда и кем выдан,
___________________________________________________________________________
реквизиты доверенности или иного документа, подтверждающего полномочия
представителя)
настоящим даю согласие на обработку
___________________________________________________________________________
(орган исполнительной власти Ленинградской области)
моих персональных данных (персональных данных представляемого) и
подтверждаю, что, давая такое согласие, я действую своей волей и в своих
интересах (в интересах представляемого).
Согласие дается мною для:
___________________________________________________________________________
(цель (цели) обработки персональных данных)
Настоящее согласие предоставляется на осуществление любых действий по
обработке моих персональных данных (персональных данных представляемого)
для достижения указанных целей в соответствии с требованиями,
установленными Федеральным законом от 27 июля 2006 года № 152-ФЗ "О
персональных данных" и принятыми в соответствии с ним нормативными
правовыми актами, и действует со дня его подписания и до достижения целей
обработки персональных данных, указанных в данном согласии, либо до дня
отзыва согласия на обработку персональных данных в письменной форме.
____________ ______________ _____________________________
(дата) (подпись) (фамилия, инициалы)
Предоставленные данные соответствуют предъявленным документам,
удостоверяющим личность.
______ _________ __________________________________________________________
(дата) (подпись) (фамилия, инициалы должностного лица, принявшего документ)
ПРИЛОЖЕНИЕ 12
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ПОРЯДОК
ДОСТУПА СЛУЖАЩИХ КОМИТЕТА ПО РАЗВИТИЮ МАЛОГО, СРЕДНЕГО
БИЗНЕСА И ПОТРЕБИТЕЛЬСКОГО РЫНКА ЛЕНИНГРАДСКОЙ ОБЛАСТИ
В ПОМЕЩЕНИЯ, В КОТОРЫХ ВЕДЕТСЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Персональные данные относятся к категории конфиденциальной информации. Лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2. Перечень должностей служащих комитета по развитию малого, среднего бизнеса и потребительского рынка Ленинградской области (далее - комитет), замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утверждается председателем комитета.
3. Порядок определяет правила доступа в помещения, где хранятся и обрабатываются персональные данные, в целях исключения несанкционированного доступа к персональным данным, а также обеспечения безопасности персональных данных от уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении персональных данных.
4. В помещения, где размещены материальные носители информации, содержащие персональные данные, допускаются только должностные лица Комитета, имеющие доступ к персональным данным.
5. Должностные лица, имеющие доступ к персональным данным, не должны:
оставлять в свое отсутствие незапертым помещение, в котором размещены технические средства, позволяющие осуществлять обработку персональных данных;
оставлять в помещении посторонних лиц, не имеющих доступа к персональным данным в данном структурном подразделении, без присмотра.
6. Для помещений, в которых хранятся и обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей информации, содержащей персональные данные, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц. Указанный режим обеспечивается в том числе:
оснащением помещения охранной и пожарной сигнализацией;
обязательным запиранием помещения на ключ при выходе из него даже в рабочее время;
закрытием металлических шкафов и сейфов, где хранятся носители информации, содержащие персональные данные.
7. Доступ в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся материальные носители персональных данных, в случае возникновения непредвиденных обстоятельств в нерабочее время осуществляется сотрудником службы безопасности с записью в журнале вскрытия.
8. Ответственность за соблюдение настоящего Порядка возлагается на начальников отделов (структурных подразделений) комитета, в которых ведется обработка персональных данных и осуществляется их хранение.
9. Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных, или комиссией, образуемой председателем комитета.
ПРИЛОЖЕНИЕ 13
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ПЛАН
правовых, организационных и технических мер по обеспечению
безопасности персональных данных в органе исполнительной
власти Ленинградской области
№ п/п
Наименование мероприятия
Исполнитель
Сроки выполнения
Отметка о выполнении
1
2
3
4
5
1
Аудит соответствия обработки персональных данных Федеральному закону "О персональных данных"
Начальник отдела развития малого и среднего бизнеса
В течение года
2
Издание необходимой или актуализация имеющейся организационно-распорядительной документации, определяющей правила обработки персональных данных, а также устанавливающей процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации о персональных данных, устранение последствий таких нарушений
Начальник отдела развития малого и среднего бизнеса
В течение года по мере необходимости
3
Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"
Начальник отдела развития малого и среднего бизнеса
В течение года
4
Ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными актами по вопросам обработки персональных данных
Начальник отдела развития малого и среднего бизнеса
В течение года
5
Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных
Начальник отдела развития малого и среднего бизнеса
В течение года
6
Проведение внутреннего контроля соответствия организации и состояния работ по выполнению комитетом обязательств в отношении обработки персональных данных, в том числе обеспечению безопасности персональных данных, требованиям локальных актов комитета, законодательства Российской Федерации о персональных данных
Начальник отдела развития малого и среднего бизнеса
В течение года
7
Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных
Начальник отдела развития малого и среднего бизнеса
В течение года
Ответственный за организацию
обработки персональных данных __________________
ПРИЛОЖЕНИЕ 14
УТВЕРЖДЕНО
приказом комитета
по развитию малого,
среднего бизнеса
и потребительского рынка
Ленинградской области
от 06.06.2017 № 10
ПОРЯДОК
проведения проверок соответствия обработки персональных
данных установленным требованиям в комитете по развитию
малого, среднего бизнеса и потребительского рынка
Ленинградской области
№ п/п
Краткое описание мероприятий
Периодичность мероприятий
Результат проверки
Фамилия, имя, отчество лица, проводившего проверку, подпись
Примечание
1
2
3
4
5
6
14
Проверка знаний работниками руководящих документов, технологических инструкций, предписаний, актов, заключений и уровня овладения работниками технологией безопасной обработки информации, изложенных в инструкциях
Не реже одного раза в год
15
Проверка знаний инструкций по обеспечению безопасности информации пользователями ИСПДн
Не реже одного раза в год
Ответственный за организацию обработки персональных данных _________ ____________
Дополнительные сведения
| Государственные публикаторы: | Портал "Нормативные правовые акты в Российской Федерации" от 04.01.2019 |
| Рубрики правового классификатора: | 120.000.000 Информация и информатизация |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
