О выполнении перечня мер,

направленных на обеспечение выполнения обязанностей,

предусмотренных Федеральным законом «О персональных данных»,

и принятыми в соответствии с ним нормативными правовыми актами,

операторами, являющимися государственными или муниципальными органами,

утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211.

Во исполнение Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»:

1. Утвердить:

1.1 Правила рассмотрения запросов субъектов персональных данных или их представителей (Приложение 1);

1.2 Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Исполнительном комитете Спасского муниципального района (Приложение № 2);

1.2.1 План внутренних проверок контроля соответствия обработки персональных   данных требованиям к защите персональных данных (Приложение 1 к Правилам)

1.2.2 Типовую форму Протокола проведения внутренних проверок контроля соответствия обработки персональных данных требованиям к защите персональных данных в Исполнительном комитете Спасского муниципального района (Приложение 2 к Правилам)

1.3 Правила работы с обезличенными данными в случае обезличивания персональных данных (Приложение № 3);

1.4  Перечень  должностей служащих Исполнительного комитета, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных (Приложение № 4).

1.5 Инструкцию по опечатыванию кабинетов Исполнительного комитета Спасского  муниципального района Республики Татарстан (Приложение № 5).

2. Контроль за исполнением настоящего Распоряжения возложить на управляющего делами исполнительного комитета Спасского муниципального района Кобенячкину Е.А.

Руководитель

исполнительного комитета

         Спасского муниципального района РТ                                      В.А. Осокин

 Приложение № 1

к распоряжению руководителя

Исполнительного комитета

Спасского муниципального района РТ

№_20_ от 05.02.2019

ПРАВИЛА

рассмотрения запросов субъектов персональных данных или их представителей в  Исполнительном комитете Спасского муниципального района

1. Настоящие Правила рассмотрения запросов субъектов персональных данных или их представителей в Исполнительном комитете Спасского муниципального района (далее – Исполнительный комитет) разработаны в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

2. Субъектами персональных данных в Исполнительном комитете являются сотрудники Исполнительного комитета, граждане, претендующие на замещение должностей, и лица, состоящие с ними в родстве (свойстве), а также граждане, персональные данные которых обрабатываются в Исполнительном комитете.

3. Представитель субъекта персональных данных - лицо, действующее от имени субъекта персональных данных в силу полномочия, основанного на доверенности, указании закона, либо акте уполномоченного на то государственного органа или органа местного самоуправления Исполнительного комитета.

4. Субъект персональных данных или его представитель имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании Федерального закона № 152-ФЗ;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные Федеральным законом № 152-ФЗ и другими нормативными правовыми актами.

5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

6. Субъект персональных данных вправе требовать от Исполнительного комитета уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7. Основанием для предоставления сведений, предусмотренных пунктом 5 настоящих Правил, является обращение субъекта персональных данных или его представителя в Исполнительном комитете лично либо получение Исполнительным комитетом запроса субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

8. Запрос должен содержать:

1) номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;

2) сведения о дате выдачи указанного документа и выдавшем его органе;

3) сведения, подтверждающие участие субъекта персональных данных в отношениях с Исполнительным комитетом (реквизиты акта о назначении на должность либо увольнении с должности, решения конкурсной комиссии о зачислении в кадровый резерв и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Исполнительным комитетом;

4) подпись субъекта персональных данных или его представителя.

9. Информация  должна быть предоставлена субъекту персональных данных или его представителю Исполнительным комитетом в доступной форме, и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

10. В случае если информация, указанная в пункте 5 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения информации, указанной в пункте 5 настоящих Правил, и ознакомления с  ней, не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса.

11. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения информации, указанной в пункте 5 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного выше, в случае, если такая информация и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения.

Повторный запрос наряду с информацией, указанной ранее, должен содержать обоснование направления повторного запроса.

12. В случае отказа субъекту персональных данных или его представителю в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 10, 11 настоящих Правил, Исполнительном комитете дает мотивированный ответ, в котором указывает основания для отказа.

Приложение № 2

к распоряжению руководителя

Исполнительного комитета

Спасского муниципального района РТ

 № 20 от 05.02.2019 

ПРАВИЛА

осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Исполнительном комитете Спасского муниципального района

1. Общие положения
   1. Настоящие правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее  – Правила) в Исполнительном комитете Спасского муниципального района, определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных (далее – ПДн); основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки ПДн, необходимой для предоставления государственных и муниципальных услуг, требованиям к защите ПДн.
   2. Настоящие Правила разработаны на основании Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных», в соответствии с частью 1 «Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утвержденных постановлением Правительства РФ от 21 марта 2012 г. № 211.
   3. Пользователем ИСПДн (далее – Пользователь) является сотрудник администрации, участвующий в рамках выполнения своих функциональных обязанностей в процессах автоматизированной обработки ПДн и имеющий доступ к аппаратным средствам, ПО, данным и средствам защиты информации (далее – СЗИ) ИСПДн.
   4. Контрольные мероприятия за обеспечением уровня защищенности персональных данных и соблюдений условий использования средств защиты информации, а также соблюдением требований законодательства Российской Федерации по обработке персональных данных в ИСПДн администрации проводятся в следующих целях:
      1. проверка выполнения требований организационно-распорядительной документации по защите информации в Исполнительном комитете действующего законодательства Российской Федерации в области обработки и защиты персональных данных;
      2. оценка уровня осведомленности и знаний работников Исполнительного комитета в области обработки и защиты персональных данных;
      3. оценка обоснованности и эффективности применяемых мер и средств защиты.
2. Тематика внутреннего контроля

Тематика внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн:

1. Проверки соответствия обработки ПДн установленным требованиям в администрации разделяются на следующие виды:
2. регулярные;
3. плановые;
4. внеплановые.
5. Регулярные контрольные мероприятия проводятся Администратором АИС периодически в соответствии с утвержденным Планом проведения контрольных мероприятий (далее – План, приложение 1) и предназначены для осуществления контроля выполнения требований в области защиты информации в администрации.
6. Плановые контрольные мероприятия проводятся постоянной комиссией периодически в соответствии с утвержденным Планом проведения контрольных мероприятий (далее – План, приложение 1) и направлены на постоянное совершенствование системы защиты персональных данных ИСПДн.
7. Внеплановые контрольные мероприятия проводятся на основании решения комиссии по информационной безопасности. Решение о проведении внеплановых контрольных мероприятий и созданию комиссии по информационной безопасности может быть принято в следующих случаях:
   1. по результатам расследования инцидента информационной безопасности;
   2. по результатам внешних контрольных мероприятий, проводимых регулирующими органами;

3. Планирование контрольных мероприятий
   1. Для проведения плановых внутренних контрольных мероприятий лицо, ответственное за обеспечение безопасности персональных данных, разрабатывает План внутренних контрольных мероприятий на текущий год.
   2. План проведения внутренних контрольных мероприятий включает следующие сведения по каждому из мероприятий:
      1. цели проведения контрольных мероприятий;
      2. задачи проведения контрольных мероприятий,
      3. объекты контроля (процессы, подразделения, информационные системы и т.п.);
      4. состав участников, привлекаемых для проведения контрольных мероприятий;
      5. сроки и этапы проведения контрольных мероприятий.
   3. Общий срок контрольных мероприятий не должен превышать пяти рабочих дней. При необходимости срок проведения контрольных мероприятий может быть продлен, но не более чем на десять рабочих дней, соответствующие изменения отображаются в Отчете, выполняемом по результатам проведенных контрольных мероприятий.
4. Оформление результатов контрольных мероприятий
   1. По итогам проведения регулярных контрольных мероприятий результаты проверок фиксируется в Журнале учета событий информационной безопасности.
   2. По итогам проведения плановых и внеплановых контрольных мероприятий лицо, комиссия, разрабатывает отчет, в котором указывается:
      1. описание проведенных мероприятий по каждому из этапов;
      2. перечень и описание выявленных нарушений;
      3. рекомендации по устранению выявленных нарушений;
      4. заключение по итогам проведения внутреннего контрольного мероприятия.
   3. отчет передается на рассмотрение руководству Исполнительного комитета.
   4. Общая информации о проведенном контрольном мероприятий фиксируется в Журнале учета событий информационной безопасности.
   5. Результаты проведения мероприятий по внеплановому контролю заносятся в протокол проведения внутренних проверок контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации (приложение 2).
5. Порядок проведения плановых и внеплановых контрольных мероприятий
   1. Плановые и внеплановые контрольные мероприятия проводятся при обязательном участии лица, ответственному за обеспечение безопасности ПДн, ответственный за обеспечение безопасности персональных данных информационных систем персональных данных администрации.
   2. Лицо, ответственное за обеспечение безопасности ПДн, не позднее чем за три рабочих дня до начала проведения контрольных мероприятий уведомляет всех руководителей подразделений, в которых планируется проведение контрольных мероприятий, и направляет им для ознакомления План проведения контрольных мероприятий. При проведении внеплановых контрольных мероприятий уведомление не требуется.
   3. Во время проведения контрольных мероприятий, в зависимости от целей мероприятий, могут выполнятся следующие проверки:

- Соответствие полномочий Пользователя правилам доступа.

- Соблюдение Пользователями требований инструкций по организации антивирусной и парольной политики, инструкции по обеспечению безопасности ПДн.

- Соблюдение инструкций и регламентов по обеспечению безопасности информации в Исполнительном комитете.

- Соблюдение Порядка доступа в помещения Исполнительного комитета, где ведется обработка персональных данных.

- Знание Пользователей положений Инструкции пользователя по обеспечению безопасности обработки ПДн при возникновении внештатных ситуаций.

- Знание инструкций и регламентов по обеспечению безопасности информации в Исполнительном комитете.

- Порядок и условия применения средств защиты информации.

- Состояние учета машинных носителей персональных данных.

- Наличие (отсутствие) фактов несанкционированного доступа к ПДн и принятие необходимых мер.

- Проведенные мероприятия по восстановлению ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

- Технические мероприятия, связанные с штатным и нештатным функционированием средств защиты.

- Технические мероприятия, связанные с штатным и нештатным функционированием подсистем системы защиты информации.

Приложение 1

к Правилам осуществления внутреннего контроля

соответствия обработки персональных данных

требованиям к защите персональных данных

в Исполнительном комитете Спасского

муниципального района

ПЛАН

внутренних проверок контроля соответствия обработки персональных данных требованиям к защите персональных данных

Приложение 2

к Правилам осуществления внутреннего контроля

соответствия обработки персональных данных

требованиям к защите персональных данных

в Исполнительном комитете Спасского

муниципального района

Типовая форма

ПРОТОКОЛ № ____

проведения внутренних проверок контроля соответствия обработки персональных данных требованиям к защите персональных данных в Исполнительном комитете Спасского муниципального района

Настоящий Протокол составлен в том, что «______»___________201___ г.

_______________________________________________________ (комиссией)

(должность, Ф.И.О. сотрудника)

проведена проверка _________________________________________________

(тема проверки)

Проверка осуществлялась в соответствии с требованиями:

__________________________________________________________________

(название документа)

__________________________________________________________________

В ходе проверки проверено:

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

Выявленные нарушения:

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

Рекомендации по устранению нарушений:

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

Срок устранения нарушений: ____________________________________

Управляющий делами 

Исполнительного комитета

Спасского муниципального района    ___________  Кобенячкина Е.А.

Главный специалист общего отдела

Исполнительного комитета

Спасского муниципального района    ____________  Иванова И.Г.

Приложение № 3

к распоряжению руководителя

Исполнительного комитета

Спасского муниципального района РТ

№ __20_ от 05.02.2019 

ПРАВИЛА

работы с обезличенными персональными данными, обрабатываемыми в Исполнительном комитете Спасского муниципального района

       1. Настоящие Правила работы с обезличенными персональными данными, обрабатываемыми в Исполнительном комитете Спасского муниципального района (далее - Правила) разработаны в соответствии Федеральным законом от 27 июля 2006 года N 152-Фз "О персональных данных" (далее - Федеральный закон), постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и определяют порядок работы с обезличенными персональными данными Исполнительного комитета Спасского муниципального района (далее – Исполнительный комитет).

2. В соответствии с Федеральным законом:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

3. Обезличивание персональных данных в Исполнительном комитете проводится с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных.

4. Способами обезличивания персональных данных при условии их дальнейшей обработке является:
- уменьшение перечня обрабатываемых сведений;
- замена части сведений идентификаторами;
- обобщение - понижение точности некоторых сведений;
- понижение точности некоторых сведений (например, "Место жительства" может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);

- деление сведений на части и обработка в разных информационных системах;
- другие способы.

5.Способом обезличивания персональных данных в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.

6.Перечень должностей Исполнительного комитета, ответственных за проведение мероприятий по обезличиванию персональных данных (далее - Перечень должностей), приведен в Приложении к настоящим Правилам.

7. В соответствии с Перечнем должностей:
- Руководитель Исполнительного комитета принимает решение о необходимости обезличивания персональных данных;
- заместители, начальники отделов готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания

- государственные гражданские служащие, осуществляющие обработку персональных данных в связи с реализацией трудовых отношений, совместно с ответственным за организацию обработки персональных данных в связи с реализацией трудовых отношений, осуществляют непосредственное обезличивание персональных данных;

- государственные гражданские служащие, осуществляющие обработку персональных данных в связи с предоставлением государственных услуг и исполнением государственных функций, совместно с ответственными за организацию обработки персональных данных осуществляют непосредственное обезличивание персональных данных.

8. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.

9. Обезличенные персональные данные обрабатываются с использованием и без использования средств автоматизации.

10. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:

- парольной политики;

- антивирусной политики;

- правил работы со съемными носителями (если они используется);

- правил резервного копирования;

- правил доступа в помещения, где расположены элементы информационных систем.

11. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
- правил хранения бумажных носителей;

- правил доступа к ним и в помещения, где они хранятся.

Приложение № 4

к распоряжению руководителя

Исполнительного комитета

Спасского муниципального района РТ

№ __20___ от _05.02.2019 

Перечень должностей Исполнительного комитета, ответственных за проведение мероприятий по обезличиванию персональных данных

Приложение № 5

к распоряжению руководителя

Исполнительного комитета

Спасского муниципального района РТ

№ _20_ от 05.02.2019 

ИНСТРУКЦИЯ

ПО ОПЕЧАТЫВАНИЮ КАБИНЕТОВ ИСПОЛНИТЕЛЬНОГО КОМИТЕТА СПАССКОГО МУНИЦИПАЛЬНОГО РАЙОНА РЕСПУБЛИКИ ТАТАРСТАН

В целях организации режима обеспечения безопасности помещений, где обрабатываются персональные данные, конфиденциальная информация и иные служебные информационные документы (далее - документы), согласно требованиям к уровням защищенности, определенным в Постановлении Правительства Российской Федерации за № 1119 от 01.11.2012 г и иных нормативно-правовых актах,

все работники Исполнительного комитета обязаны по окончании рабочего дня, а также на время длительного отсутствия во время рабочего дня опечатывать шкафы, сейфы и.т.п., где хранятся документы, входную дверь своим персональным опечатывающим устройством. Ключ от дверей помещается в тубус (пенал), который также опечатывается. Тубус (пенал) сдается на хранение службе охраны здания. Сдача тубусов под охрану фиксируется в специальном учетном журнале приема (сдачи).

Вскрытие дверей и шкафов разрешено только тем работникам, которые закреплены за данным кабинетом.

Запасные ключи от кабинетов, помещенные в  опечатанный контейнер, хранятся в  металлическом шкафу организационного отдела.

При увольнении работник сдает опечатывающее устройство начальнику организационного отдела.

При обнаружении сорванной пломбы работник данного кабинета обязан оповестить о данном факте руководителя Исполнительного комитета. Решение об оповещении органов полиции принимает руководитель Исполнительного комитета.

Сотрудники, утерявшие опечатывающее устройство, обязаны оповестить руководство о факте потери. Утерянное опечатывающее устройство признается недействительным согласно  Акта комиссии по классификации информационных систем персональных данных, при необходимости списывается с учета. Сотрудник, утерявший опечатывающее устройство, должен возместить его стоимость. Новому опечатывающему устройству взамен утерянного присваивается новый порядковый номер.