Приказ комитета дорожного хозяйства Саратовской области от 02.08.2013 N 147 "О работе с персональными данными"
ПРАВИТЕЛЬСТВО САРАТОВСКОЙ ОБЛАСТИ
КОМИТЕТ ДОРОЖНОГО ХОЗЯЙСТВА
ПРИКАЗ
от 2 августа 2013 г. № 147
О РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
В соответствии с постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" приказываю:
1. Утвердить:
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям защиты персональных данных в комитете дорожного хозяйства области (далее - Комитет) согласно приложению № 1;
Должностную инструкцию ответственного за организацию обработки персональных данных в Комитете согласно приложению № 2;
Обязательство служащего Комитета, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, согласно приложению № 3;
Форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные согласно приложению № 4;
Порядок доступа служащих Комитета в помещения, в которых ведется обработка персональных данных, согласно приложению № 5;
Перечень информационных систем персональных данных согласно приложению № 6 (не приводится).
2. Отделу правовой работы, государственной службы и кадров направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации.
3. Отделу организационной и административно-хозяйственной работы разместить настоящий приказ на сайте Комитета.
4. Ответственному за обработку персональных данных довести до сведения должностных лиц, функциональные обязанности которых связаны с осуществлением обработки персональных данных либо имеющих доступ к персональным данным с настоящим приказом.
Первый заместитель председателя
комитета дорожного хозяйства области
Г.В.РУДЫКИН
Приложение № 1
к приказу
комитета дорожного хозяйства Саратовской области
от 2 августа 2013 г. № 147
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
В КОМИТЕТЕ ДОРОЖНОГО ХОЗЯЙСТВА ОБЛАСТИ
1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - Правила) в комитете дорожного хозяйства области (далее - Комитет) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона "О персональных данных".
2. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Комитете организовывается проведение периодических проверок условий обработки персональных данных.
Проверки проводятся ответственным за организацию обработки персональных данных в Комитете (далее - ответственный за организацию обработки персональных данных).
Общее руководство по выполнению мероприятий, связанных с организацией и проведением проверок, возлагается на ответственного за организацию обработки персональных данных в Комитете.
3. В проведении проверки не может участвовать служащий Комитета, прямо или косвенно заинтересованный в ее результатах.
Проверки соответствия обработки персональных данных установленным требованиям проводятся на основании утвержденного приказом Комитета ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего письменного заявления субъекта персональных данных о нарушениях правил обработки персональных данных (внеплановые проверки).
4. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
5. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
порядок и условия применения средств защиты информации;
эффективность принимаемых мер по обеспечению безопасности персональных данных;
состояние учета машинных носителей персональных данных;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
осуществление мероприятий по обеспечению целостности персональных данных.
6. Ответственные за организацию обработки персональных данных при проведении проверки условий обработки персональных данных имеют право:
запрашивать у сотрудников Комитета информацию, необходимую для реализации полномочий;
требовать от должностных лиц Комитета, непосредственно осуществляющих обработку персональных данных, уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
вносить Председателю Комитета предложения по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить председателю Комитета предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке, а также предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
7. Ответственные за организацию обработки персональных данных при проведении проверки условий обработки персональных данных должны обеспечивать конфиденциальность ставших им известными в ходе проведения мероприятий внутреннего контроля персональных данных.
8. Проверка условий обработки персональных данных должна быть завершена не позднее чем через 30 календарных дней со дня принятия решения о ее проведении.
9. По результатам проведенной проверки условий обработки персональных данных ответственные за организацию обработки персональных данных представляют председателю Комитета письменное заключение о результатах проведенной проверки с указанием мер, необходимых для устранения выявленных нарушений.
Приложение № 2
к приказу
комитета дорожного хозяйства Саратовской области
от 2 августа 2013 г. № 147
ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ
ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В КОМИТЕТЕ ДОРОЖНОГО ХОЗЯЙСТВА ОБЛАСТИ
1. Должностная инструкция ответственного за организацию обработки персональных данных в Комитете дорожного хозяйства области (далее - Комитет) разработана в соответствии с Федеральным законом "О персональных данных", Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации", постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", другими нормативными правовыми актами.
2. Инструкция определяет ответственность, обязанности и права лица, назначенного ответственным за организацию обработки персональных данных в Комитете.
3. Ответственный за организацию обработки персональных данных отвечает за осуществление внутреннего контроля за соблюдением законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, доведению до сведений служащих соответствующих структурных подразделений положений законодательства Российской Федерации и Саратовской области о персональных данных, правовых актов Комитета по вопросам обработки персональных данных, требований к защите персональных данных, организации приема и обработки обращений и осуществлению контроля за приемом и обработкой таких обращений.
4. Ответственный за организацию обработки персональных данных обязан:
применять организационные и технические меры по обеспечению безопасности персональных данных при их обработке, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
анализировать эффективность применения мер по обеспечению безопасности персональных данных;
контролировать состояние учета машинных носителей персональных данных;
проверять соблюдение правил доступа к персональным данным;
контролировать проведение мероприятий по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
обеспечивать конфиденциальность персональных данных, ставших известными в ходе проведения мероприятий внутреннего контроля.
5. Ответственный за организацию обработки персональных данных имеет право:
осуществлять проверки по контролю соответствия обработки персональных данных требованиям к защите персональных данных;
запрашивать у сотрудников Комитета информацию, необходимую для реализации полномочий;
требовать от ответственных должностных лиц за обработку персональных данных уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
применять меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить председателю Комитета предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке, а также о привлечении к дисциплинарной ответственности служащих Комитета, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных;
осуществлять внутренний контроль за соблюдением служащими Комитета законодательства Российской Федерации о персональных данных, в том числе требований к защите информации;
доводить до сведения служащих Комитета положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
организовывать прием и обработку обращений и запросов субъектов персональных данных и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
Приложение № 3
к приказу
комитета дорожного хозяйства Саратовской области
от 2 августа 2013 г. № 147
ОБЯЗАТЕЛЬСТВО
служащего комитета дорожного хозяйства области,
непосредственно осуществляющего обработку персональных данных,
в случае расторжения с ним служебного контракта прекратить
обработку персональных данных, ставших известными ему
в связи с исполнением должностных обязанностей
Я ____________________________________________________________________,
замещающий(ая) должность __________________________________________________
__________________________________________________________________________,
предупрежден(а) о том, что на период исполнения мною должностных
обязанностей по замещаемой должности мне предоставлен доступ к персональным
данным комитета дорожного хозяйства области (далее - Комитет).
Настоящим добровольно принимаю на себя обязательства: не передавать и
не разглашать третьим лицам, служащим Комитета, не имеющим доступа к
персональным данным, информацию, содержащую персональные данные сотрудников
и граждан, за исключением их собственных персональных данных;
не использовать информацию, содержащую персональные данные, с целью
получения выгоды;
выполнять требования федерального законодательства и иных нормативных
правовых актов Российской Федерации, а также правовых актов области,
регламентирующих вопросы порядка обработки и защиты персональных данных;
прекратить обработку персональных данных, ставших известными мне в
связи с исполнением должностных обязанностей, после прекращения права на
допуск к информации, содержащей персональные данные (в случае перевода на
иную должность, не предусматривающую доступ к персональным данным, или в
случае прекращения служебного контракта).
Я предупрежден(а) о том, что в случае нарушения данного обязательства
буду привлечен(а) к дисциплинарной ответственности или иной ответственности
в соответствии с действующим законодательством Российской Федерации.
_________ ___________________
(подпись) (фамилия, инициалы)
"____" ____________ 20__ года
Приложение № 4
к приказу
комитета дорожного хозяйства Саратовской области
от 2 августа 2013 г. № 147
Разъяснение
субъекту персональных данных юридических последствий
отказа предоставить свои персональные данные
Мне, _________________________________________________________________,
претендующему(ей) на должность (замещающему(ей) должность) ________________
___________________________________________________________________________
разъяснено, что в случае моего отказа от предоставления своих персональных
данных для замещения должности в комитете дорожного хозяйства области
служебный контракт со мной может быть не заключен.
_________ ___________________
(подпись) (фамилия, инициалы)
"____" ____________ 20__ года
Приложение № 5
к приказу
комитета дорожного хозяйства Саратовской области
от 2 августа 2013 г. № 147
ПОРЯДОК
ДОСТУПА СЛУЖАЩИХ КОМИТЕТА ДОРОЖНОГО ХОЗЯЙСТВА ОБЛАСТИ В
ПОМЕЩЕНИЯ, В КОТОРЫХ ВЕДЕТСЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Настоящий Порядок доступа служащих комитета дорожного хозяйства области (далее - Комитет) в помещения, в которых ведется обработка персональных данных, разработан с учетом требований Федерального закона "О персональных данных" и постановления Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
2. В Комитете персональные данные служащих, работников и граждан хранятся в соответствующих кабинетах, в которых размещены автоматизированные рабочие места информационных систем персональных данных.
3. Помещения, в которых ведется обработка персональных данных, должны обеспечивать сохранность информации и технических средств, исключать возможность бесконтрольного проникновения в помещение и их визуального просмотра посторонними лицами.
4. Персональные данные на бумажных носителях должны находиться в недоступном для посторонних лиц месте.
5. Бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) хранятся в металлических шкафах, оборудованных опечатывающими устройствами.
6. Помещения, в которых ведется обработка персональных данных, запираются на ключ, а в нерабочее время сдаются на охранную сигнализацию.
7. Гражданские служащие и работники, имеющие доступ в помещения, в которых ведется обработка персональных данных, снимают кабинет с охранной сигнализации и самостоятельно заходят в кабинеты.
8. Вскрытие и закрытие (постановка на охранную сигнализацию) помещений, в которых ведется обработка персональных данных, производятся гражданскими служащими и работниками, имеющими право доступа в данные помещения.
9. Перед закрытием помещений, в которых ведется обработка персональных данных, по окончании служебного дня гражданские служащие и работники, имеющие право доступа в помещения, обязаны:
1) убрать бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) в шкафы, закрыть и опечатать шкафы;
2) отключить технические средства (кроме постоянно действующей техники) и электроприборы от сети, выключить освещение;
3) закрыть окна;
4) закрыть двери;
5) поставить на охранную сигнализацию помещения.
10. Перед открытием помещений, в которых ведется обработка персональных данных, гражданские служащие и работники, имеющие право доступа в помещения, обязаны:
1) снять с охранной сигнализации помещение;
2) провести внешний осмотр входной двери с целью установления целостности двери и замка;
3) открыть дверь и осмотреть помещение, проверить наличие и целостность печатей на шкафах.
11. При обнаружении неисправности двери и запирающих устройств гражданские служащие и работники обязаны:
1) не вскрывая помещение, в котором ведется обработка персональных данных, доложить об обнаруженных неисправностях непосредственному руководителю;
2) в присутствии не менее двух иных гражданских служащих, включая непосредственного руководителя, вскрыть помещение и осмотреть его;
3) составить акт о выявленных нарушениях и передать его представителю нанимателя для организации служебного расследования.
12. Право самостоятельного входа в помещения, где обрабатываются персональные данные, имеют только гражданские служащие и работники, непосредственно работающие в данном помещении.
13. Иные гражданские служащие и работники имеют право пребывать в помещениях, где обрабатываются персональные данные, только в присутствии гражданских служащих, непосредственно работающих в данных помещениях.
14. При работе с информацией, содержащей персональные данные, двери помещений должны быть всегда закрыты.
15. Присутствие гражданских служащих и работников, не имеющих права доступа к персональным данным, должно быть исключено.
16. Техническое обслуживание компьютерной и организационной техники, сопровождение программных средств, уборка помещения, в котором ведется обработка персональных данных, а также проведение других работ осуществляются в присутствии гражданского служащего или работника, работающего в данном помещении.
17. В случае необходимости принятия в нерабочее время экстренных мер при срабатывании пожарной или охранной сигнализации, авариях в системах энерго-, водо- и теплоснабжения помещение, в котором ведется обработка персональных данных, вскрывается комиссией в составе не менее двух человек.
18. Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на представителя нанимателя (работодателя) лица, обрабатывающего персональные данные.
------------------------------------------------------------------
ПРАВИТЕЛЬСТВО САРАТОВСКОЙ ОБЛАСТИ
КОМИТЕТ ДОРОЖНОГО ХОЗЯЙСТВА
ПРИКАЗ
от 2 августа 2013 г. № 147
О РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
В соответствии с постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" приказываю:
1. Утвердить:
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям защиты персональных данных в комитете дорожного хозяйства области (далее - Комитет) согласно приложению № 1;
Должностную инструкцию ответственного за организацию обработки персональных данных в Комитете согласно приложению № 2;
Обязательство служащего Комитета, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, согласно приложению № 3;
Форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные согласно приложению № 4;
Порядок доступа служащих Комитета в помещения, в которых ведется обработка персональных данных, согласно приложению № 5;
Перечень информационных систем персональных данных согласно приложению № 6 (не приводится).
2. Отделу правовой работы, государственной службы и кадров направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации.
3. Отделу организационной и административно-хозяйственной работы разместить настоящий приказ на сайте Комитета.
4. Ответственному за обработку персональных данных довести до сведения должностных лиц, функциональные обязанности которых связаны с осуществлением обработки персональных данных либо имеющих доступ к персональным данным с настоящим приказом.
Первый заместитель председателя
комитета дорожного хозяйства области
Г.В.РУДЫКИН
Приложение № 1
к приказу
комитета дорожного хозяйства Саратовской области
от 2 августа 2013 г. № 147
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
В КОМИТЕТЕ ДОРОЖНОГО ХОЗЯЙСТВА ОБЛАСТИ
1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - Правила) в комитете дорожного хозяйства области (далее - Комитет) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона "О персональных данных".
2. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Комитете организовывается проведение периодических проверок условий обработки персональных данных.
Проверки проводятся ответственным за организацию обработки персональных данных в Комитете (далее - ответственный за организацию обработки персональных данных).
Общее руководство по выполнению мероприятий, связанных с организацией и проведением проверок, возлагается на ответственного за организацию обработки персональных данных в Комитете.
3. В проведении проверки не может участвовать служащий Комитета, прямо или косвенно заинтересованный в ее результатах.
Проверки соответствия обработки персональных данных установленным требованиям проводятся на основании утвержденного приказом Комитета ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего письменного заявления субъекта персональных данных о нарушениях правил обработки персональных данных (внеплановые проверки).
4. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
5. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
порядок и условия применения средств защиты информации;
эффективность принимаемых мер по обеспечению безопасности персональных данных;
состояние учета машинных носителей персональных данных;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
осуществление мероприятий по обеспечению целостности персональных данных.
6. Ответственные за организацию обработки персональных данных при проведении проверки условий обработки персональных данных имеют право:
запрашивать у сотрудников Комитета информацию, необходимую для реализации полномочий;
требовать от должностных лиц Комитета, непосредственно осуществляющих обработку персональных данных, уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
вносить Председателю Комитета предложения по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить председателю Комитета предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке, а также предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
7. Ответственные за организацию обработки персональных данных при проведении проверки условий обработки персональных данных должны обеспечивать конфиденциальность ставших им известными в ходе проведения мероприятий внутреннего контроля персональных данных.
8. Проверка условий обработки персональных данных должна быть завершена не позднее чем через 30 календарных дней со дня принятия решения о ее проведении.
9. По результатам проведенной проверки условий обработки персональных данных ответственные за организацию обработки персональных данных представляют председателю Комитета письменное заключение о результатах проведенной проверки с указанием мер, необходимых для устранения выявленных нарушений.
Приложение № 2
к приказу
комитета дорожного хозяйства Саратовской области
от 2 августа 2013 г. № 147
ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ
ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В КОМИТЕТЕ ДОРОЖНОГО ХОЗЯЙСТВА ОБЛАСТИ
1. Должностная инструкция ответственного за организацию обработки персональных данных в Комитете дорожного хозяйства области (далее - Комитет) разработана в соответствии с Федеральным законом "О персональных данных", Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации", постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", другими нормативными правовыми актами.
2. Инструкция определяет ответственность, обязанности и права лица, назначенного ответственным за организацию обработки персональных данных в Комитете.
3. Ответственный за организацию обработки персональных данных отвечает за осуществление внутреннего контроля за соблюдением законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, доведению до сведений служащих соответствующих структурных подразделений положений законодательства Российской Федерации и Саратовской области о персональных данных, правовых актов Комитета по вопросам обработки персональных данных, требований к защите персональных данных, организации приема и обработки обращений и осуществлению контроля за приемом и обработкой таких обращений.
4. Ответственный за организацию обработки персональных данных обязан:
применять организационные и технические меры по обеспечению безопасности персональных данных при их обработке, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
анализировать эффективность применения мер по обеспечению безопасности персональных данных;
контролировать состояние учета машинных носителей персональных данных;
проверять соблюдение правил доступа к персональным данным;
контролировать проведение мероприятий по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
обеспечивать конфиденциальность персональных данных, ставших известными в ходе проведения мероприятий внутреннего контроля.
5. Ответственный за организацию обработки персональных данных имеет право:
осуществлять проверки по контролю соответствия обработки персональных данных требованиям к защите персональных данных;
запрашивать у сотрудников Комитета информацию, необходимую для реализации полномочий;
требовать от ответственных должностных лиц за обработку персональных данных уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
применять меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить председателю Комитета предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке, а также о привлечении к дисциплинарной ответственности служащих Комитета, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных;
осуществлять внутренний контроль за соблюдением служащими Комитета законодательства Российской Федерации о персональных данных, в том числе требований к защите информации;
доводить до сведения служащих Комитета положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
организовывать прием и обработку обращений и запросов субъектов персональных данных и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
Приложение № 3
к приказу
комитета дорожного хозяйства Саратовской области
от 2 августа 2013 г. № 147
ОБЯЗАТЕЛЬСТВО
служащего комитета дорожного хозяйства области,
непосредственно осуществляющего обработку персональных данных,
в случае расторжения с ним служебного контракта прекратить
обработку персональных данных, ставших известными ему
в связи с исполнением должностных обязанностей
Я ____________________________________________________________________,
замещающий(ая) должность __________________________________________________
__________________________________________________________________________,
предупрежден(а) о том, что на период исполнения мною должностных
обязанностей по замещаемой должности мне предоставлен доступ к персональным
данным комитета дорожного хозяйства области (далее - Комитет).
Настоящим добровольно принимаю на себя обязательства: не передавать и
не разглашать третьим лицам, служащим Комитета, не имеющим доступа к
персональным данным, информацию, содержащую персональные данные сотрудников
и граждан, за исключением их собственных персональных данных;
не использовать информацию, содержащую персональные данные, с целью
получения выгоды;
выполнять требования федерального законодательства и иных нормативных
правовых актов Российской Федерации, а также правовых актов области,
регламентирующих вопросы порядка обработки и защиты персональных данных;
прекратить обработку персональных данных, ставших известными мне в
связи с исполнением должностных обязанностей, после прекращения права на
допуск к информации, содержащей персональные данные (в случае перевода на
иную должность, не предусматривающую доступ к персональным данным, или в
случае прекращения служебного контракта).
Я предупрежден(а) о том, что в случае нарушения данного обязательства
буду привлечен(а) к дисциплинарной ответственности или иной ответственности
в соответствии с действующим законодательством Российской Федерации.
_________ ___________________
(подпись) (фамилия, инициалы)
"____" ____________ 20__ года
Приложение № 4
к приказу
комитета дорожного хозяйства Саратовской области
от 2 августа 2013 г. № 147
Разъяснение
субъекту персональных данных юридических последствий
отказа предоставить свои персональные данные
Мне, _________________________________________________________________,
претендующему(ей) на должность (замещающему(ей) должность) ________________
___________________________________________________________________________
разъяснено, что в случае моего отказа от предоставления своих персональных
данных для замещения должности в комитете дорожного хозяйства области
служебный контракт со мной может быть не заключен.
_________ ___________________
(подпись) (фамилия, инициалы)
"____" ____________ 20__ года
Приложение № 5
к приказу
комитета дорожного хозяйства Саратовской области
от 2 августа 2013 г. № 147
ПОРЯДОК
ДОСТУПА СЛУЖАЩИХ КОМИТЕТА ДОРОЖНОГО ХОЗЯЙСТВА ОБЛАСТИ В
ПОМЕЩЕНИЯ, В КОТОРЫХ ВЕДЕТСЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Настоящий Порядок доступа служащих комитета дорожного хозяйства области (далее - Комитет) в помещения, в которых ведется обработка персональных данных, разработан с учетом требований Федерального закона "О персональных данных" и постановления Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
2. В Комитете персональные данные служащих, работников и граждан хранятся в соответствующих кабинетах, в которых размещены автоматизированные рабочие места информационных систем персональных данных.
3. Помещения, в которых ведется обработка персональных данных, должны обеспечивать сохранность информации и технических средств, исключать возможность бесконтрольного проникновения в помещение и их визуального просмотра посторонними лицами.
4. Персональные данные на бумажных носителях должны находиться в недоступном для посторонних лиц месте.
5. Бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) хранятся в металлических шкафах, оборудованных опечатывающими устройствами.
6. Помещения, в которых ведется обработка персональных данных, запираются на ключ, а в нерабочее время сдаются на охранную сигнализацию.
7. Гражданские служащие и работники, имеющие доступ в помещения, в которых ведется обработка персональных данных, снимают кабинет с охранной сигнализации и самостоятельно заходят в кабинеты.
8. Вскрытие и закрытие (постановка на охранную сигнализацию) помещений, в которых ведется обработка персональных данных, производятся гражданскими служащими и работниками, имеющими право доступа в данные помещения.
9. Перед закрытием помещений, в которых ведется обработка персональных данных, по окончании служебного дня гражданские служащие и работники, имеющие право доступа в помещения, обязаны:
1) убрать бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) в шкафы, закрыть и опечатать шкафы;
2) отключить технические средства (кроме постоянно действующей техники) и электроприборы от сети, выключить освещение;
3) закрыть окна;
4) закрыть двери;
5) поставить на охранную сигнализацию помещения.
10. Перед открытием помещений, в которых ведется обработка персональных данных, гражданские служащие и работники, имеющие право доступа в помещения, обязаны:
1) снять с охранной сигнализации помещение;
2) провести внешний осмотр входной двери с целью установления целостности двери и замка;
3) открыть дверь и осмотреть помещение, проверить наличие и целостность печатей на шкафах.
11. При обнаружении неисправности двери и запирающих устройств гражданские служащие и работники обязаны:
1) не вскрывая помещение, в котором ведется обработка персональных данных, доложить об обнаруженных неисправностях непосредственному руководителю;
2) в присутствии не менее двух иных гражданских служащих, включая непосредственного руководителя, вскрыть помещение и осмотреть его;
3) составить акт о выявленных нарушениях и передать его представителю нанимателя для организации служебного расследования.
12. Право самостоятельного входа в помещения, где обрабатываются персональные данные, имеют только гражданские служащие и работники, непосредственно работающие в данном помещении.
13. Иные гражданские служащие и работники имеют право пребывать в помещениях, где обрабатываются персональные данные, только в присутствии гражданских служащих, непосредственно работающих в данных помещениях.
14. При работе с информацией, содержащей персональные данные, двери помещений должны быть всегда закрыты.
15. Присутствие гражданских служащих и работников, не имеющих права доступа к персональным данным, должно быть исключено.
16. Техническое обслуживание компьютерной и организационной техники, сопровождение программных средств, уборка помещения, в котором ведется обработка персональных данных, а также проведение других работ осуществляются в присутствии гражданского служащего или работника, работающего в данном помещении.
17. В случае необходимости принятия в нерабочее время экстренных мер при срабатывании пожарной или охранной сигнализации, авариях в системах энерго-, водо- и теплоснабжения помещение, в котором ведется обработка персональных данных, вскрывается комиссией в составе не менее двух человек.
18. Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на представителя нанимателя (работодателя) лица, обрабатывающего персональные данные.
------------------------------------------------------------------