Политика Управления Роскомнадзора по Омской области в отношении обработки персональных данных
Утверждена
приказом руководителя Управления Роскомнадзора
по Омской области
от 03.12.2012 года № 01-02/726
Политика
Управления Роскомнадзора по Омской области в отношении обработки персональных данных
Общие положения
Политика Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Омской области (далее - Управление Роскомнадзора по Омской области) в отношении обработки персональных данных (далее - Политика) определяет порядок, условия обработки персональных данных и реализацию требований по защите персональных данных в Управлении Роскомнадзора по Омской области.
Законодательной основой настоящей Политики является Конституция Российской Федерации, Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных», федеральные законы, Указы Президента Российской Федерации, постановления Правительства Российской Федерации, другие нормативные правовые акты в области обработки и обеспечения безопасности персональных данных, а также руководящие документы ФСТЭК России и ФСБ России.
В настоящей Политике используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных".
Вопросы деятельности Управления Роскомнадзора по Омской области изложены в «Положении о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций», утвержденном постановлением Правительства Российской Федерации от 16 марта 2009 года № 228.
Управление Роскомнадзора по Омской области является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, а также функции по организации деятельности радиочастотной службы. Управление Роскомнадзора по Омской области является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных.
Персональные данные являются конфиденциальной информацией.
Обеспечение необходимого и достаточного уровня безопасности персональных данных и другой конфиденциальной информации является важнейшим условием деятельности Управления Роскомнадзора по Омской области.
Принципы обработки персональных данных
Обработка персональных данных осуществляется Управлением Роскомнадзора по Омской области на законной и справедливой основе.
При обработке персональных данных Управлением Роскомнадзора по Омской области соблюдаются следующие принципы:
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки; не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных; принимаются необходимые меры по удалению или уточнению неполных или неточных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Сроки хранения документов, в том числе электронных документов, содержащих персональные данные, определены Номенклатурой дел Управления Роскомнадзора по Омской области. Порядок уничтожения документов, содержащих персональные данные, установлен Инструкцией по делопроизводству.
Обработка персональных данных и реализация требований
по защите персональных данных
С целью осуществления своих полномочий Управление Роскомнадзора по Омской области обрабатывает персональные данные следующих субъектов:
- государственных гражданских служащих, заключивших служебный контракт с Управлением Роскомнадзора по Омской области, а также их близких родственников;
- работников, заключивших трудовой договор с Управлением Роскомнадзора по Омской области, а также их близких родственников;
- руководителей и (или) представителей юридических лиц и индивидуальных предпринимателей (при подготовке и рассмотрении дел об административных правонарушениях);
- физических лиц, участвующих в конкурсе на замещение вакантных должностей государственной гражданской службы;
- физических лиц или их уполномоченных представителей, обратившиеся в Управление Роскомнадзора по Омской области с обращением, заявлением или жалобой, а также за информацией о деятельности государственного органа;
- индивидуальных предпринимателей и физических лиц, являющихся владельцами средств массовой информации;
- индивидуальных предпринимателей и физических лиц, их уполномоченных представителей, представивших уведомление об обработке персональных данных, заявление о выписке из реестра операторов, обрабатывающих персональные данные, заявление об исключении из реестра операторов, обрабатывающих персональные данные;
- индивидуальных предпринимателей, физических лиц, представителей операторов, обрабатывающих персональные данные - субъектов государственного контроля (надзора) за соблюдением требований законодательства РФ в области обработки персональных данных;
- физических лиц, персональные данные которых были получены в результате проведения мероприятий государственного контроля (надзора) за соблюдением требований законодательства Российской Федерации в области персональных данных;
- индивидуальных предпринимателей и физических лиц, обратившихся в Управление Роскомнадзора по Омской области с заявлением о регистрации принадлежащих им радиоэлектронных средств (далее - РЭС) и (или) высокочастотных устройств (далее - ВЧУ);
- индивидуальных предпринимателей и физических лиц - владельцев РЭС и (или) ВЧУ;
- индивидуальных предпринимателей и физических лиц, представивших заявку для участия в торгах на поставку товаров, выполнение работ, оказание услуг для государственных нужд Управления Роскомнадзора по Омской области;
- индивидуальных предпринимателей и физических лица - провайдеров хостинга, оказывающих услуги по предоставлению вычислительной мощности и для размещения информации в информационной системе, постоянно подключенной к сети Интернет.
С целью обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами Управлением Роскомнадзора по Омской области приняты следующие меры:
- приняты правовые, организационные и технические меры, установленные законодательством Российской Федерации в области персональных данных, по обеспечению безопасности обрабатываемых персональных данных;
- назначено лицо, ответственное за организацию обработки персональных данных;
- приказом руководителя Управления Роскомнадзора по Омской области утверждены следующие документы:
- правила обработки персональных данных;
- правила рассмотрения запросов субъектов персональных данных или их представителей;
- правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Управления Роскомнадзора по Омской области;
- правила работы с обезличенными персональными данными Управления Роскомнадзора по Омской области;
- перечень информационных систем персональных данных Управления Роскомнадзора по Омской области;
- перечень персональных данных, обрабатываемых в Управлении Роскомнадзора по Омской области в связи с реализацией трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций;
- перечень должностей государственных гражданских служащих Управления Роскомнадзора по Омской области, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
- перечень должностей государственной гражданской службы Управления Роскомнадзора по Омской области, замещение которых предусматривает осуществление обработки персональных данных, либо осуществление доступа к персональным данным;
- должностная инструкция ответственного за организацию обработки персональных данных в Управлении Роскомнадзора по Омской области;
- типовое обязательство гражданского служащего Управления Роскомнадзора по Омской области, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
- типовая форма согласия на обработку персональных данных государственных гражданских служащих и работников Управления Роскомнадзора по Омской области, иных субъектов персональных данных;
- порядок доступа гражданских служащих Управления Роскомнадзора по Омской области в помещения, в которых ведется обработка персональных данных;
- типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные в Управление Роскомнадзора по Омской области;
- список гражданских служащих Управления Роскомнадзора по Омской области, ответственных за обеспечение безопасности персональных данных и сохранность носителей персональных данных в служебных помещениях;
- список гражданских служащих Управления Роскомнадзора по Омской области, допущенных к обработке персональных данных;
- инструкции администратору безопасности информации и пользователям;
- выполнены требования по обработке персональных данных, осуществляемой без использования средств автоматизации;
- с целью осуществления внутреннего контроля за соответствием обработки персональных данных обязательным требованиям в Управлении Роскомнадзора по Омской области организовано проведение периодических проверок условий обработки персональных данных;
- государственные гражданские служащие Управления Роскомнадзора по Омской области, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных.
В Управлении Роскомнадзора по Омской области разработана частная модель угроз безопасности персональных данных, на основании которой выполнено построение системы защиты персональных данных. При этом, использовались следующие основные принципы построения системы безопасности персональных данных:
- законность;
- системность,
- комплексный подход;
- непрерывность защиты;
- своевременность;
- преемственность и совершенствование;
- разумная достаточность (экономическая целесообразность);
- минимизация полномочий;
- персональная ответственность;
- гибкость системы защиты;
- применение только сертифицированных средств защиты информации;
- обоснованность и реализуемость;
- специализация и профессионализм обслуживающего персонала;
- обязательность контроля.
Объектами защиты являются:
- персональные данные, обрабатываемые и хранящиеся на серверах, на автоматизированных рабочих местах пользователей (далее - АРМ), на отчуждаемых (съемных) носителях информации, на выносных терминалах, мониторах, в средствах звукозаписи, звуковоспроизведения;
- персональные данные, передаваемые по каналам и линиям связи;
- персональные данные, хранящиеся в документированном виде на бумажных носителях;
- прикладное и системное программное обеспечение серверов, АРМ, используемых для обработки персональных данных;
- аппаратные средства программно-технических комплексов, оборудование серверов, АРМ, коммуникационное оборудование;
- средства защиты информации информационных систем персональных данных;
- съемные (отчуждаемые) машинные носители информации - накопители на гибких и жестких магнитных дисках, Flash-накопители, оптические диски (CD-R, CD-RW, DVD-R, DVD-RW), аудио-, видеокассеты, магнитные ленты и т.д.
В 2012 году аттестованы автоматизированные рабочие места и служебные помещения бухгалтерии и кадров, в которых ведется обработка персональных данных.
Здание и служебные помещения Управления Роскомнадзора по Омской области находятся под охраной. Доступ посетителей в служебные помещения Управления Роскомнадзора по Омской области, в которых ведется обработка персональных данных, разрешен только после регистрации в книге учета посетителей, находящейся у охранника.
Компоненты информационных систем персональных данных Управления Роскомнадзора по Омской области размещаются в помещениях, находящихся под охраной и наблюдением, исключающим возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ресурсов (документов, АРМ и т.д.). По окончании рабочего дня служебные помещения сдаются под охрану в соответствии с приказом руководителя Управления Роскомнадзора по Омской области.
Заключительные положения
Сведения об Управлении Роскомнадзора по Омской области, как об операторе, осуществляющем обработку персональных данных, внесены в Реестр операторов, осуществляющих обработку персональных данных, под регистрационным номером 08-0000034, дата внесения записи - 31 марта 2008 года.
Ответственность должностных лиц Управления Роскомнадзора по Омской области, допущенных к обработке персональных данных, за невыполнение обязательных требований определяется в соответствии с законодательством Российской Федерации и локальными актами в области обработки персональных данных.
_____________________________________________________________________________________
Время публикации: 11.12.2012 19:14
Последнее изменение: 14.04.2014 17:46