Основная информация
| Дата опубликования: | 15 мая 2020г. |
| Номер документа: | RU79000202000419 |
| Текущая редакция: | 2 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Еврейская автономная область |
| Принявший орган: | Комитет по физической культуре и спорту правительства Еврейской автономной области |
| Раздел на сайте: | Нормативные правовые акты субъектов Российской Федерации |
| Тип документа: | Приказы |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
КОМИТЕТ ПО ФИЗИЧЕСКОЙ КУЛЬТУРЕ И СПОРТУ ПРАВИТЕЛЬСТВА ЕВРЕЙСКОЙ АВТОНОМНОЙ ОБЛАСТИ
ПРИКАЗ
от 15 мая 2020 года №5
О МЕРАХ, НАПРАВЛЕННЫХ НА ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМИТЕТЕ ПО ФИЗИЧЕСКОЙ КУЛЬТУРЕ И СПОРТУ ПРАВИТЕЛЬСТВА ЕВРЕЙСКОЙ АВТОНОМНОЙ ОБЛАСТИ
(В редакции приказа комитета по физической культуре и спорту правительства Еврейской автономной области от 31.07.2020 №6)
В соответствии с Федеральным законом Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
ПРИКАЗЫВАЮ:
Утвердить прилагаемые:
1.1. Правила обработки персональных данных, осуществляемой в комитете по физической культуре и спорту правительства Еврейской автономной области без использования средств автоматизации;
1.2. Правила обработки персональных данных, осуществляемой в комитете по физической культуре и спорту правительства Еврейской автономной области с использованием средств автоматизации;
1.3. Правила рассмотрения запросов субъектов персональных данных или их представителей в комитете по физической культуре и спорту правительства Еврейской автономной области;
1.4. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в комитете по физической культуре и спорту правительства Еврейской автономной области;
1.5. Правил работы с обезличенными персональными данными в комитете по физической культуре и спорту правительства Еврейской автономной области;
1.6. Порядок доступа государственных служащих по физической культуре и спорту правительства Еврейской автономной области в помещение, в котором ведется обработка персональных данных.
Назначить администратором безопасности персональных данных и ответственным за защиту информации в комитете по физической культуре и спорту правительства Еврейской автономной области Гарнагу Александра Сергеевича, председателя комитета по физической культуре и спорту правительства Еврейской автономной области.
Контроль за исполнением настоящего приказа оставляю за собой.
4. Настоящий приказ вступает в силу со дня его подписания.
(В редакции приказа комитета по физической культуре и спорту правительства Еврейской автономной области от 31.07.2020 №6)
Председатель комитета
А.С. Гарнага
УТВЕРЖДЕНЫ
Приказом комитета по физической культуре и спорту правительства Еврейской автономной области
от 15.05.2020 №5
Правила
обработки персональных данных, осуществляемой в комитете по физической культуре и спорту правительства Еврейской автономной области без использования средств автоматизации
I. Общие положения
1. Настоящие Правила обработки персональных данных, осуществляемой без использования средств автоматизации, разработаны на основании требований Федерального закона Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных» и устанавливают порядок обработки, распространения и использования персональных данных в комитете по физической культуре и спорту правительства Еврейской автономной области.
1. Правила обработки персональных данных, осуществляемой без использования средств автоматизации, в комитете по физической культуре и спорту правительства Еврейской автономной области (далее – Правила) осуществляются с учетом требований Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
II. Особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации
3. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков).
4. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели, обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
5. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), должны соблюдаться следующие условия:
5.1. типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации; имя (наименование) и адрес оператора; фамилию, имя, отчество и адрес субъекта персональных данных; источник получения персональных данных; сроки обработки персональных данных; перечень действий с персональными данными, которые будут совершаться в процессе их обработки; общее описание используемых оператором способов обработки персональных данных;
5.2. типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, – при необходимости получения письменного согласия на обработку персональных данных;
5.3. типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
5.4. типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели, обработки которых заведомо не совместимы.
6. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
6.1. при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
6.2. при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
7. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
8. Требования, предусмотренные пунктами 2.4 и 2.5 настоящих Правил, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
9. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
III. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации
10. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
11. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
12. Учет документов по обработке персональных данных без использования автоматизированных систем должен производиться отдельным делопроизводством. На документах должна указываться пометка «Персональные данные». Документы должны храниться в надежно запираемых шкафах и сейфах. Ключи от них, а также от помещений должны находиться у ответственных за данную работу лиц.
УТВЕРЖДЕНЫ
Приказом комитета по физической культуре и спорту правительства Еврейской автономной области
от 15.05.2020 №5
Правила
обработки персональных данных, осуществляемой в комитете по физической культуре и спорту правительства Еврейской автономной области с использованием средств автоматизации
I. Общие положения
1. Настоящие Правила обработки персональных данных, осуществляемой без использования средств автоматизации, разработаны на основании требований Федерального закона Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных» и устанавливают порядок обработки, распространения и использования персональных данных в комитете по физической культуре и спорту правительства Еврейской автономной области с использованием средств автоматизации.
II. Правила обработки персональных данных эксплуатации автоматизированных систем
2. При эксплуатации автоматизированных систем необходимо соблюдать следующие требования:
- к работе допускаются только лица, назначенные соответствующим распоряжением;
- на ПЭВМ, дисках, папках и файлах, на которых обрабатываются и хранятся сведения о персональных данных, должны быть установлены пароли (идентификаторы);
- на период обработки защищаемой информации в помещении могут находиться лица, допущенные в установленном порядке к обрабатываемой информации; допуск других лиц может осуществляться с разрешения представителя нанимателя (работодателя);
- в случае размещения в одном помещении нескольких технических средств отображения информации должен быть исключен несанкционированный просмотр выводимой на них информации;
- по окончании обработки информации оператор обязан произвести стирание остаточной информации на жестком диске и в оперативной памяти;
- при увольнении или перемещении оператора автоматизированной системы представитель нанимателя (работодатель) должен принять организационные меры по оперативному изменению паролей (идентификаторов);
- учет съемных носителей информации с персональными данными допускается учитывать совместно с другими документами по установленным для этого учетным формам; при этом работникам, ответственным за их учет, на этих носителях информации предварительно проставляются любым доступным способом следующие учетные реквизиты: учетный номер и дата, пометка «Персональные данные», подпись этого работника;
- носители информации должны храниться в местах, недоступных для посторонних лиц.
3. Запрещаются обработка и хранение сведений о персональных данных на ПЭВМ, подключенной к сети, имеющей доступ к Интернету без межсетевого экрана, а также их передача по незащищенным каналам связи.
УТВЕРЖДЕНЫ
Приказом комитета по физической культуре и спорту правительства Еврейской автономной области
от 15.05.2020 №5
Правила
рассмотрения запросов субъектов персональных данных или их представителей в комитете по физической культуре и спорту правительства Еврейской автономной области
1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных (далее – Сведения). Субъект персональных данных вправе требовать от комитета по физической культуре и спорту правительства Еврейской автономной области уточнения его персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. По письменному заявлению работника работодатель обязан не позднее трех рабочих дней со дня подачи этого заявления выдать работнику копии документов, связанных с работой (копии приказа о приеме на работу; приказов о переводах на другую работу; приказа об увольнении с работы; выписки из трудовой книжки, справки о заработной плате; о начисленных и фактически уплаченных страховых взносах на обязательное пенсионное страхование; о периоде работы у данного работодателя и другое). Копии документов, связанных с работой, должны быть заверены надлежащим образом и предоставляться работнику безвозмездно.
Копии документов, не относящиеся к трудовой деятельности (например, паспорт, свидетельство о рождении, свидетельство о заключении брака, свидетельство о расторжении брака, диплом об образовании, военный билет, полис обязательного медицинского страхования, страховое свидетельство обязательного пенсионного страхования, свидетельство о постановке на учет в налоговом органе (идентификационный номер налогоплательщика) субъекту персональных данных оператором не выдаются.
3. Сведения должны быть предоставлены субъекту персональных данных в доступной форме. В них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
4. Сведения предоставляются субъекту персональных данных (его представителю) при его обращении либо при получении от него или его представителя запроса. Запрос должен содержать:
- сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором, либо сведения, иным образом подтверждающие факт обработки персональных данных оператором;
- подпись субъекта персональных данных (его представителя).
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
5. Субъект персональных данных вправе обратиться повторно или направить повторный запрос в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.
6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего требованиям, предусмотренным пунктом 4 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
УТВЕРЖДЕНЫ
Приказом комитета по физической культуре и спорту правительства Еврейской автономной области
от 15.05.2020 №5
Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в комитете по физической культуре и спорту правительства Еврейской автономной области
Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в комитете по физической культуре и спорту правительства Еврейской автономной области (далее – Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
Настоящие Правила разработаны в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», постановлением Правительства Российской Федерации от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.
В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в комитете по физической культуре и спорту правительства Еврейской автономной области организовывается проведение периодических проверок условий обработки персональных данных.
Проверки осуществляются ответственным за организацию обработки персональных данных в комитете по физической культуре и спорту правительства Еврейской автономной области либо комиссией, образуемой приказом комитета тарифов и цен правительства Еврейской автономной области.
В проведении проверки не может участвовать государственный гражданский служащий комитета по физической культуре и спорту правительства Еврейской автономной области, прямо или косвенно заинтересованный в её результатах.
Проверки соответствия обработки персональных данных установленным требованиям в комитете по физической культуре и спорту правительства Еврейской автономной области проводятся на основании утвержденного председателем комитета по физической культуре и спорту правительства Еврейской автономной области ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего в комитет по физической культуре и спорту правительства Еврейской автономной области письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
- порядок и условия применения средств защиты информации;
- эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- состояние учета машинных носителей персональных данных;
- соблюдение правил доступа к персональным данным;
- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
- мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- осуществление мероприятий по обеспечению целостности персональных данных.
Ответственный за организацию обработки персональных данных в комитете по физической культуре и спорту правительства Еврейской автономной области (комиссия) имеет право:
- запрашивать у сотрудников комитета по физической культуре и спорту правительства Еврейской автономной области информацию, необходимую для реализации полномочий;
- требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
- вносить председателю комитета по физической культуре и спорту правительства Еврейской автономной области предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
- вносить председателю комитета по физической культуре и спорту правительства Еврейской автономной области предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных в комитете по физической культуре и спорту правительства Еврейской автономной области (комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о её проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, председателю комитета по физической культуре и спорту правительства Еврейской автономной области докладывает ответственный за организацию обработки персональных данных либо председатель комиссии, в форме письменного заключения.
Председатель комитета по физической культуре и спорту правительства Еврейской автономной области, назначивший внеплановую проверку, обязан контролировать своевременность и правильность её проведения.
УТВЕРЖДЕНЫ
Приказом комитета по физической культуре и спорту правительства Еврейской автономной области
от 15.05.2020 №5
Правила
работы с обезличенными персональными данными
I. Общие положения
1. Настоящие Правила работы с обезличенными персональными данными (далее – Правила) разработаны в комитете по физической культуре и спорту правительства Еврейской автономной области (далее – Комитет) с учетом Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» и постановления Правительства РФ от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
2. Настоящие Правила определяют порядок работы с обезличенными данными комитета по физической культуре и спорту правительства Еврейской автономной области.
II Термины и определения
3. В соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»:
- персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- обезличивание персональных данных – действия, в результате чего становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
(В редакции приказа комитета по физической культуре и спорту правительства Еврейской автономной области от 31.07.2020 №6)
III. Условия обезличивания персональных данных
4. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5. Способы обезличивания при условии дальнейшей обработки персональных данных:
- замена части сведений идентификаторами;
- обобщение – понижение точности некоторых сведений (например, «Место жительства» может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город)
- другие способы.
6. Решение о необходимости обезличивания персональных данных принимает председатель Комитета.
7. Ответственный за организацию обработки персональных данных в Комитете, непосредственно осуществляющий обработку персональных данных, готовит предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания.
8. Сотрудники, обслуживающих базы данных с персональными данными, совместно с ответственным за организацию обработки персональных данных, осуществляют непосредственное обезличивание выбранным способом.
IV. Порядок работы с обезличенными персональными данными
9. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
10. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
11. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение (если они используются):
- парольной политики;
- антивирусной политики;
- правил работы со съемными носителями;
- правил резервного копирования;
- правил доступа в помещения, где расположены элементы информационных систем.
12. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение (если они используются):
- правил хранения бумажных носителей;
- правил доступа к ним и в помещения, где они хранятся.
УТВЕРЖДЕНЫ
Приказом комитета по физической культуре и спорту правительства Еврейской автономной области
от 15.05.2020 №5
Порядок
доступа государственных служащих комитета по физической культуре и спорту правительства Еврейской автономной области в помещение, в котором ведется обработка персональных данных
I. Общие положения
1. Настоящий Порядок доступа государственных служащих комитета по физической культуре и спорту правительства Еврейской автономной области (далее – Комитета) в помещение, в котором ведется обработка персональных данных (далее – Порядок) разработан в соответствии с Федеральным законом от 27 июля 2006 №152 ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 15 сентября 2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21 марта 2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.
2. Персональные данные относятся к конфиденциальной информации. Должностные лица Комитета, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3. Обеспечение безопасности персональных данных от уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных достигается, в том числе, установлением настоящего порядка доступа в помещения, где обрабатываются персональные данные в информационной системе персональных данных и без использования средств автоматизации.
II. Порядок доступа
4. Размещение информационных систем, в которых обрабатываются персональные данные, осуществляется в охраняемых помещениях. Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.
5. Доступ в помещения, где осуществляется обработка персональных данных, ограничивается системой физической безопасности и организационно-распорядительными мерами. При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
6. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только гражданские служащие Комитета, уполномоченные на обработку персональных данных приказом председателя Комитета, а также государственные гражданские служащие Комитета, рабочие места которых расположены в таких помещениях.
7. В помещениях, где расположены элементы ИСПДн, запрещается фото и видеосъемка, без разрешения администратора информационной безопасности ИСПДн.
8. Хранение персональных данных на бумажных носителях должно осуществляться в специально отведенных помещениях или в установленных в помещении надежных хранилищах (металлических шкафах, пеналах, сейфах).
9. Ответственными за организацию доступа в помещение Комитета, в которых ведется обработка персональных данных, является непосредственно Оператор персональных данных и председатель Комитета.
10. Нахождения лиц в помещениях Комитета, не являющихся уполномоченными лицами на обработку персональных данных, возможно только в сопровождении уполномоченного сотрудника Комитета на время, ограниченное необходимостью решение вопросов, связанных с исполнением государственных функций (должностных обязанностей).
11. Внутренний контроль за соблюдением порядка доступа в помещение, в котором ведется обработка персональных данных, проводится лицом ответственным за организацию обработки персональных данных или комиссией, назначенной приказом председателя Комитета.
КОМИТЕТ ПО ФИЗИЧЕСКОЙ КУЛЬТУРЕ И СПОРТУ ПРАВИТЕЛЬСТВА ЕВРЕЙСКОЙ АВТОНОМНОЙ ОБЛАСТИ
ПРИКАЗ
от 15 мая 2020 года №5
О МЕРАХ, НАПРАВЛЕННЫХ НА ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМИТЕТЕ ПО ФИЗИЧЕСКОЙ КУЛЬТУРЕ И СПОРТУ ПРАВИТЕЛЬСТВА ЕВРЕЙСКОЙ АВТОНОМНОЙ ОБЛАСТИ
(В редакции приказа комитета по физической культуре и спорту правительства Еврейской автономной области от 31.07.2020 №6)
В соответствии с Федеральным законом Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
ПРИКАЗЫВАЮ:
Утвердить прилагаемые:
1.1. Правила обработки персональных данных, осуществляемой в комитете по физической культуре и спорту правительства Еврейской автономной области без использования средств автоматизации;
1.2. Правила обработки персональных данных, осуществляемой в комитете по физической культуре и спорту правительства Еврейской автономной области с использованием средств автоматизации;
1.3. Правила рассмотрения запросов субъектов персональных данных или их представителей в комитете по физической культуре и спорту правительства Еврейской автономной области;
1.4. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в комитете по физической культуре и спорту правительства Еврейской автономной области;
1.5. Правил работы с обезличенными персональными данными в комитете по физической культуре и спорту правительства Еврейской автономной области;
1.6. Порядок доступа государственных служащих по физической культуре и спорту правительства Еврейской автономной области в помещение, в котором ведется обработка персональных данных.
Назначить администратором безопасности персональных данных и ответственным за защиту информации в комитете по физической культуре и спорту правительства Еврейской автономной области Гарнагу Александра Сергеевича, председателя комитета по физической культуре и спорту правительства Еврейской автономной области.
Контроль за исполнением настоящего приказа оставляю за собой.
4. Настоящий приказ вступает в силу со дня его подписания.
(В редакции приказа комитета по физической культуре и спорту правительства Еврейской автономной области от 31.07.2020 №6)
Председатель комитета
А.С. Гарнага
УТВЕРЖДЕНЫ
Приказом комитета по физической культуре и спорту правительства Еврейской автономной области
от 15.05.2020 №5
Правила
обработки персональных данных, осуществляемой в комитете по физической культуре и спорту правительства Еврейской автономной области без использования средств автоматизации
I. Общие положения
1. Настоящие Правила обработки персональных данных, осуществляемой без использования средств автоматизации, разработаны на основании требований Федерального закона Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных» и устанавливают порядок обработки, распространения и использования персональных данных в комитете по физической культуре и спорту правительства Еврейской автономной области.
1. Правила обработки персональных данных, осуществляемой без использования средств автоматизации, в комитете по физической культуре и спорту правительства Еврейской автономной области (далее – Правила) осуществляются с учетом требований Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
II. Особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации
3. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков).
4. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели, обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
5. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), должны соблюдаться следующие условия:
5.1. типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации; имя (наименование) и адрес оператора; фамилию, имя, отчество и адрес субъекта персональных данных; источник получения персональных данных; сроки обработки персональных данных; перечень действий с персональными данными, которые будут совершаться в процессе их обработки; общее описание используемых оператором способов обработки персональных данных;
5.2. типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, – при необходимости получения письменного согласия на обработку персональных данных;
5.3. типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
5.4. типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели, обработки которых заведомо не совместимы.
6. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
6.1. при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
6.2. при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
7. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
8. Требования, предусмотренные пунктами 2.4 и 2.5 настоящих Правил, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
9. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
III. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации
10. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
11. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
12. Учет документов по обработке персональных данных без использования автоматизированных систем должен производиться отдельным делопроизводством. На документах должна указываться пометка «Персональные данные». Документы должны храниться в надежно запираемых шкафах и сейфах. Ключи от них, а также от помещений должны находиться у ответственных за данную работу лиц.
УТВЕРЖДЕНЫ
Приказом комитета по физической культуре и спорту правительства Еврейской автономной области
от 15.05.2020 №5
Правила
обработки персональных данных, осуществляемой в комитете по физической культуре и спорту правительства Еврейской автономной области с использованием средств автоматизации
I. Общие положения
1. Настоящие Правила обработки персональных данных, осуществляемой без использования средств автоматизации, разработаны на основании требований Федерального закона Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных» и устанавливают порядок обработки, распространения и использования персональных данных в комитете по физической культуре и спорту правительства Еврейской автономной области с использованием средств автоматизации.
II. Правила обработки персональных данных эксплуатации автоматизированных систем
2. При эксплуатации автоматизированных систем необходимо соблюдать следующие требования:
- к работе допускаются только лица, назначенные соответствующим распоряжением;
- на ПЭВМ, дисках, папках и файлах, на которых обрабатываются и хранятся сведения о персональных данных, должны быть установлены пароли (идентификаторы);
- на период обработки защищаемой информации в помещении могут находиться лица, допущенные в установленном порядке к обрабатываемой информации; допуск других лиц может осуществляться с разрешения представителя нанимателя (работодателя);
- в случае размещения в одном помещении нескольких технических средств отображения информации должен быть исключен несанкционированный просмотр выводимой на них информации;
- по окончании обработки информации оператор обязан произвести стирание остаточной информации на жестком диске и в оперативной памяти;
- при увольнении или перемещении оператора автоматизированной системы представитель нанимателя (работодатель) должен принять организационные меры по оперативному изменению паролей (идентификаторов);
- учет съемных носителей информации с персональными данными допускается учитывать совместно с другими документами по установленным для этого учетным формам; при этом работникам, ответственным за их учет, на этих носителях информации предварительно проставляются любым доступным способом следующие учетные реквизиты: учетный номер и дата, пометка «Персональные данные», подпись этого работника;
- носители информации должны храниться в местах, недоступных для посторонних лиц.
3. Запрещаются обработка и хранение сведений о персональных данных на ПЭВМ, подключенной к сети, имеющей доступ к Интернету без межсетевого экрана, а также их передача по незащищенным каналам связи.
УТВЕРЖДЕНЫ
Приказом комитета по физической культуре и спорту правительства Еврейской автономной области
от 15.05.2020 №5
Правила
рассмотрения запросов субъектов персональных данных или их представителей в комитете по физической культуре и спорту правительства Еврейской автономной области
1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных (далее – Сведения). Субъект персональных данных вправе требовать от комитета по физической культуре и спорту правительства Еврейской автономной области уточнения его персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. По письменному заявлению работника работодатель обязан не позднее трех рабочих дней со дня подачи этого заявления выдать работнику копии документов, связанных с работой (копии приказа о приеме на работу; приказов о переводах на другую работу; приказа об увольнении с работы; выписки из трудовой книжки, справки о заработной плате; о начисленных и фактически уплаченных страховых взносах на обязательное пенсионное страхование; о периоде работы у данного работодателя и другое). Копии документов, связанных с работой, должны быть заверены надлежащим образом и предоставляться работнику безвозмездно.
Копии документов, не относящиеся к трудовой деятельности (например, паспорт, свидетельство о рождении, свидетельство о заключении брака, свидетельство о расторжении брака, диплом об образовании, военный билет, полис обязательного медицинского страхования, страховое свидетельство обязательного пенсионного страхования, свидетельство о постановке на учет в налоговом органе (идентификационный номер налогоплательщика) субъекту персональных данных оператором не выдаются.
3. Сведения должны быть предоставлены субъекту персональных данных в доступной форме. В них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
4. Сведения предоставляются субъекту персональных данных (его представителю) при его обращении либо при получении от него или его представителя запроса. Запрос должен содержать:
- сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором, либо сведения, иным образом подтверждающие факт обработки персональных данных оператором;
- подпись субъекта персональных данных (его представителя).
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
5. Субъект персональных данных вправе обратиться повторно или направить повторный запрос в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.
6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего требованиям, предусмотренным пунктом 4 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
УТВЕРЖДЕНЫ
Приказом комитета по физической культуре и спорту правительства Еврейской автономной области
от 15.05.2020 №5
Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в комитете по физической культуре и спорту правительства Еврейской автономной области
Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в комитете по физической культуре и спорту правительства Еврейской автономной области (далее – Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
Настоящие Правила разработаны в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», постановлением Правительства Российской Федерации от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.
В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в комитете по физической культуре и спорту правительства Еврейской автономной области организовывается проведение периодических проверок условий обработки персональных данных.
Проверки осуществляются ответственным за организацию обработки персональных данных в комитете по физической культуре и спорту правительства Еврейской автономной области либо комиссией, образуемой приказом комитета тарифов и цен правительства Еврейской автономной области.
В проведении проверки не может участвовать государственный гражданский служащий комитета по физической культуре и спорту правительства Еврейской автономной области, прямо или косвенно заинтересованный в её результатах.
Проверки соответствия обработки персональных данных установленным требованиям в комитете по физической культуре и спорту правительства Еврейской автономной области проводятся на основании утвержденного председателем комитета по физической культуре и спорту правительства Еврейской автономной области ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего в комитет по физической культуре и спорту правительства Еврейской автономной области письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
- порядок и условия применения средств защиты информации;
- эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- состояние учета машинных носителей персональных данных;
- соблюдение правил доступа к персональным данным;
- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
- мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- осуществление мероприятий по обеспечению целостности персональных данных.
Ответственный за организацию обработки персональных данных в комитете по физической культуре и спорту правительства Еврейской автономной области (комиссия) имеет право:
- запрашивать у сотрудников комитета по физической культуре и спорту правительства Еврейской автономной области информацию, необходимую для реализации полномочий;
- требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
- вносить председателю комитета по физической культуре и спорту правительства Еврейской автономной области предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
- вносить председателю комитета по физической культуре и спорту правительства Еврейской автономной области предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных в комитете по физической культуре и спорту правительства Еврейской автономной области (комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о её проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, председателю комитета по физической культуре и спорту правительства Еврейской автономной области докладывает ответственный за организацию обработки персональных данных либо председатель комиссии, в форме письменного заключения.
Председатель комитета по физической культуре и спорту правительства Еврейской автономной области, назначивший внеплановую проверку, обязан контролировать своевременность и правильность её проведения.
УТВЕРЖДЕНЫ
Приказом комитета по физической культуре и спорту правительства Еврейской автономной области
от 15.05.2020 №5
Правила
работы с обезличенными персональными данными
I. Общие положения
1. Настоящие Правила работы с обезличенными персональными данными (далее – Правила) разработаны в комитете по физической культуре и спорту правительства Еврейской автономной области (далее – Комитет) с учетом Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» и постановления Правительства РФ от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
2. Настоящие Правила определяют порядок работы с обезличенными данными комитета по физической культуре и спорту правительства Еврейской автономной области.
II Термины и определения
3. В соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»:
- персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- обезличивание персональных данных – действия, в результате чего становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
(В редакции приказа комитета по физической культуре и спорту правительства Еврейской автономной области от 31.07.2020 №6)
III. Условия обезличивания персональных данных
4. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5. Способы обезличивания при условии дальнейшей обработки персональных данных:
- замена части сведений идентификаторами;
- обобщение – понижение точности некоторых сведений (например, «Место жительства» может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город)
- другие способы.
6. Решение о необходимости обезличивания персональных данных принимает председатель Комитета.
7. Ответственный за организацию обработки персональных данных в Комитете, непосредственно осуществляющий обработку персональных данных, готовит предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания.
8. Сотрудники, обслуживающих базы данных с персональными данными, совместно с ответственным за организацию обработки персональных данных, осуществляют непосредственное обезличивание выбранным способом.
IV. Порядок работы с обезличенными персональными данными
9. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
10. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
11. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение (если они используются):
- парольной политики;
- антивирусной политики;
- правил работы со съемными носителями;
- правил резервного копирования;
- правил доступа в помещения, где расположены элементы информационных систем.
12. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение (если они используются):
- правил хранения бумажных носителей;
- правил доступа к ним и в помещения, где они хранятся.
УТВЕРЖДЕНЫ
Приказом комитета по физической культуре и спорту правительства Еврейской автономной области
от 15.05.2020 №5
Порядок
доступа государственных служащих комитета по физической культуре и спорту правительства Еврейской автономной области в помещение, в котором ведется обработка персональных данных
I. Общие положения
1. Настоящий Порядок доступа государственных служащих комитета по физической культуре и спорту правительства Еврейской автономной области (далее – Комитета) в помещение, в котором ведется обработка персональных данных (далее – Порядок) разработан в соответствии с Федеральным законом от 27 июля 2006 №152 ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 15 сентября 2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21 марта 2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.
2. Персональные данные относятся к конфиденциальной информации. Должностные лица Комитета, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3. Обеспечение безопасности персональных данных от уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных достигается, в том числе, установлением настоящего порядка доступа в помещения, где обрабатываются персональные данные в информационной системе персональных данных и без использования средств автоматизации.
II. Порядок доступа
4. Размещение информационных систем, в которых обрабатываются персональные данные, осуществляется в охраняемых помещениях. Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.
5. Доступ в помещения, где осуществляется обработка персональных данных, ограничивается системой физической безопасности и организационно-распорядительными мерами. При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
6. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только гражданские служащие Комитета, уполномоченные на обработку персональных данных приказом председателя Комитета, а также государственные гражданские служащие Комитета, рабочие места которых расположены в таких помещениях.
7. В помещениях, где расположены элементы ИСПДн, запрещается фото и видеосъемка, без разрешения администратора информационной безопасности ИСПДн.
8. Хранение персональных данных на бумажных носителях должно осуществляться в специально отведенных помещениях или в установленных в помещении надежных хранилищах (металлических шкафах, пеналах, сейфах).
9. Ответственными за организацию доступа в помещение Комитета, в которых ведется обработка персональных данных, является непосредственно Оператор персональных данных и председатель Комитета.
10. Нахождения лиц в помещениях Комитета, не являющихся уполномоченными лицами на обработку персональных данных, возможно только в сопровождении уполномоченного сотрудника Комитета на время, ограниченное необходимостью решение вопросов, связанных с исполнением государственных функций (должностных обязанностей).
11. Внутренний контроль за соблюдением порядка доступа в помещение, в котором ведется обработка персональных данных, проводится лицом ответственным за организацию обработки персональных данных или комиссией, назначенной приказом председателя Комитета.
Дополнительные сведения
| Государственные публикаторы: | Портал "Нормативные правовые акты в Российской Федерации" от 25.05.2020 |
| Рубрики правового классификатора: | 020.010.050 Органы исполнительной власти субъектов Российской Федерации, 120.030.060 Информация о гражданах (персональные данные), 120.070.000 Информационная безопасность. Защита информации и прав субъектов в области информационных процессов и информатизации (см. также 160.040.030) |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
