Организационное и правовое обеспечение информационной безопасности. Для студентов и специалистов

– сбор персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности субъекта персональных данных, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

– при определении объема и содержания обрабатываемых персональных данных работодатель (уполномоченное лицо) должен руководствоваться Конституцией Российской Федерации, Федеральным законом от 27 июля 2004 года №79-ФЗ «О государственной гражданской службе Российской Федерации», Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года «О персональных данных» №152-ФЗ, Указом Президента Российской Федерации от 30 мая 2005 года №609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела» и другими нормативными актами;

– все персональные данные следует получать лично у субъекта персональных данных, если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (работодатель должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение);

– запрещается требовать от лиц, поступающих на работу, документы, помимо предусмотренных Трудовым кодексом Российской Федерации, иными федеральными законами, указами Президента РФ и постановлениями Правительства РФ;

– запрещается запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

– работодатель не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его политических, религиозных и иных убеждениях, а также частной жизни – сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются;

– при принятии решений, затрагивающих интересы субъекта персональных данных, работодатель не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных средств доставки;

– субъекты персональных данных и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области;

– все документы, содержащие персональные данные, должны быть уничтожены установленным порядком по достижении цели, для которой они собирались и использовались;

– дела, содержащие персональные данные субъектов персональных данных, должны вестись в соответствии с требованиями действующих инструкций.

3.3. Обработка документов внутреннего пользования.

3.3.1. В Организации могут создаваться документы внутреннего использования, содержащие персональные данные работников, предназначенные для общего внутреннего пользования (телефонные справочники, справочники с днями рождений, объявления, поздравления, бирки на служебных кабинетах и т. П.). Эти документы должны уничтожаться по окончании срока их действия. Ответственность за организацию своевременного уничтожения возлагается на должностных лиц, в интересах которых они созданы, и (или) на лиц, изготовивших и разместивших их.

3.3.2. Внутренние телефонные справочники выдаются в отделы под роспись с указанием количества выданных в подразделение экземпляров. При этом старые справочники возвращаются и уничтожаются лицами, ответственными за их изготовление и выдачу.

3.3.3. Копировать и представлять посторонним лицам полученные справочники и другие документы внутреннего использования, содержащие персональные данные, запрещается.

3.3.4. Обработка персональных данных ведется работниками на рабочих местах, выделенных для исполнения ими должностных обязанностей. Членами общественных организаций и комиссий обработка персональных данных может производиться в помещениях, где происходит заседание данной общественной организации или комиссии. По окончании заседания документы, содержащие персональные данные, возвращаются в места их постоянного хранения.

3.4. Передача персональных данных:

– не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законодательством;

– внутри Организации без письменного согласия субъекта персональных данных разрешается передача (представлять) персональных данных в структурные подразделения, общественные организации и комиссии, созданные для защиты прав работников и предоставления им установленных условий труда, гарантий и компенсаций в соответствии с законодательством, необходимые им для выполнения своих функций;

– предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено; лица, получающие персональные данные, обязаны соблюдать режим конфиденциальности (данное требование не распространяется на обмен персональными данными субъектов персональных данных в порядке, установленном федеральным законодательством);

– разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения ими конкретных функций;

– передавать персональные данные представителям субъектов персональных данных в порядке, установленном существующим законодательством, и ограничивать эту информацию данными, необходимыми для выполнения указанными представителями их функций;

– разрешать доступ к персональным данным представителям третьей стороны, ответственным за оповещение работников организации в соответствии с Инструкцией по оповещению организации, исключительно в случаях получения распоряжения на проведение оповещения;

– не передавать кому-либо персональные данные субъектов персональных данных в коммерческих целях без их письменного согласия;

– по заявлению субъекта персональных данных (в случае необходимости – письменному), не позднее трех дней со дня подачи этого заявления, выдавать заявителю справки и копии документов, в случаях, предусмотренных законодательством (копии документов должны быть заверены надлежащим образом и выдаваться работнику бесплатно);

– вести учет передачи персональных данных субъектов персональных данных третьим лицам путем ведения соответствующего журнала, содержащего сведения о поступившем запросе (кто является отправителем запроса, дата его поступления работодателю), дату ответа на запрос, данные, какая именно информация была передана, или отметку об отказе в ее предоставлении, либо ограничиваться помещением в личное дело работника выписок, копий документов и т. п., отражающих сведения о поступившем запросе и результатах его рассмотрения;

– учет передачи персональных данных разрешается не производить при передаче их в случае, установленном законом, а также при внутренних передачах, которые осуществляются в соответствии с настоящим положением.

Ответ на запрос подписывается (визируется) начальником того структурного подразделения, который отвечает за достоверность содержащихся в них сведений, если иное не предусмотрено законодательством.

3.5. Общедоступные персональные данные.

3.5.1. К общедоступным источникам персональных данных в организации относятся:

– информация о должностных лицах, размещаемая в средствах массовой информации;

– информация, размещаемая на интернет-сайте.

3.5.2. Обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом производится в объеме, согласованном с работником, и с его письменного согласия.

3.5.3. Уполномоченным лицам запрещается предоставлять сведения о работниках для общедоступных источников персональных данных.

3.6. Обязанности лиц, допущенных к обработке персональных данных.

Работники, допущенные к обработке персональных данных, обязаны:

– знать и выполнять требования настоящего Положения;

– осуществлять обработку персональных данных в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, приказов Минфина России и Федерального казначейства, содействия работнику в прохождении государственной гражданской службы Российской Федерации, в обучении и должностном росте, обеспечения личной безопасности работников и членов его семьи, а также в цепях обеспечения сохранности принадлежащего ему имущества и имущества организации, учета результатов исполнения работником должностных обязанностей;

– получать персональные данные лично у работника, в случае возникновения необходимости получения персональных данных у третьей стороны следует известить об этом работника заранее, получить его письменное согласие и сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных;

– знакомиться только с теми персональными данными, к которым получен доступ;

– хранить в тайне известные им сведения о персональных данных, информировать своего непосредственного начальника о фактах нарушения порядка обработки персональных данных и о попытках несанкционированного доступа к ним;

– предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены;

– выполнять требования по защите полученных персональных данных работника;

– соблюдать правила пользования документами, содержащими персональные данные, порядок их обработки и защиты;

– предоставлять письменные объяснения о допущенных нарушениях установленного порядка обработки персональных данных, а также о фактах их разглашения.

4. Защита персональных данных

4.1. Уполномоченные лица Организации обеспечивают конфиденциальность (защиту) персональных данных ограниченного доступа.

4.2. Защита персональных данных осуществляется выполнением комплекса организационных, организационно-технических и программных мер, определенных в «Положении о порядке организации и проведении работ по обеспечению безопасности персональных данных при их обработке в ППО «Администрации президента» по г. Москва.

4.3. Доступ к документам, содержащим персональные данные ограниченного доступа, с выдачей таковых на рабочие места без специального разрешения имеют работники, занимающие следующие должности:

– начальник Организации;

– заместители начальника Организации;