Приказ Департамента развития информационного общества Ивановской обл. от 13.04.2015 N 33/15 "Об утверждении Положения Департамента развития информационного общества Ивановской области в отношении обработки персональных данных, полученных из информационно-телекоммуникационной сети "Интернет", и сведений о реализуемых требованиях к защите персональных данных" Свод законодательства
ДЕПАРТАМЕНТ РАЗВИТИЯ ИНФОРМАЦИОННОГО ОБЩЕСТВА
ИВАНОВСКОЙ ОБЛАСТИ
ПРИКАЗ
от 13 апреля 2015 г. № 33/15
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ДЕПАРТАМЕНТА РАЗВИТИЯ
ИНФОРМАЦИОННОГО ОБЩЕСТВА ИВАНОВСКОЙ ОБЛАСТИ В ОТНОШЕНИИ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПОЛУЧЕННЫХ
ИЗ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ "ИНТЕРНЕТ",
И СВЕДЕНИЙ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии с частью 2 статьи 18.1 Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ "О персональных данных" и пунктом 2 постановления Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" приказываю:
1. Утвердить прилагаемое Положение Департамента развития информационного общества Ивановской области в отношении обработки персональных данных, полученных из информационно-телекоммуникационной сети "Интернет", и сведений о реализуемых требованиях к защите персональных данных.
2. Настоящий приказ вступает в силу с момента его подписания.
3. Контроль за выполнением настоящего приказа осуществляю лично.
Начальник Департамента
Д.В.КОСАРЕВ
ПОЛОЖЕНИЕ
ДЕПАРТАМЕНТА РАЗВИТИЯ ИНФОРМАЦИОННОГО ОБЩЕСТВА
ИВАНОВСКОЙ ОБЛАСТИ В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ
ДАННЫХ, ПОЛУЧЕННЫХ ИЗ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННОЙ
СЕТИ "ИНТЕРНЕТ", И СВЕДЕНИЙ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ
К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
1.1. Настоящее Положение Департамента развития информационного общества Ивановской области (далее - Департамент) в отношении обработки персональных данных, полученных из информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), и сведений о реализуемых требованиях к защите персональных данных (далее - Положение) разработано в соответствии с частью 2 статьи 18.1 Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ "О персональных данных" и пунктом 2 постановления Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
1.2. Настоящее Положение определяет порядок обработки персональных данных граждан - субъектов персональных данных, обратившихся в Департамент с использованием сети "Интернет", персональные данные которых подлежат обработке, на основании полномочий и функций Департамента; обеспечение защиты прав и свобод человека и гражданина, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц Департамента, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. Срок обработки персональных данных, полученных Департаментом из сети "Интернет", не превышает трех лет с даты их получения.
1.4. Режим конфиденциальности персональных данных сохраняется в течение всего срока их обработки, если иное не определено законодательством Российской Федерации.
2. Основные понятия
2.1. В настоящем Положении используются следующие основные понятия:
2.1.1. Субъект персональных данных - физическое лицо, обратившееся в Департамент с использованием сети "Интернет" с предложением, заявлением или жалобой.
2.1.2. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.1.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.1.4. Конфиденциальность персональных данных - обязанность сотрудников Департамента, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3. Принципы обработки персональных данных
3.1. Департамент в своей деятельности при обработке персональных данных руководствуется следующими принципами:
3.1.1. Обработка персональных данных осуществляется на законной и справедливой основе.
3.1.2. Цели обработки персональных данных соответствуют функциям и полномочиям Департамента.
3.1.3. Содержание и объем обрабатываемых персональных данных соответствуют целям обработки персональных данных.
В состав персональных данных граждан, полученных по сети "Интернет" и обрабатываемых Департаментом, входят: фамилия, имя, отчество (последнее - при наличии), номер телефона, адрес электронной почты, если ответ должен быть направлен в форме электронного документа, и почтовый адрес, если ответ должен быть направлен в письменной форме. Изложение сути предложения, заявления или жалобы, а также документы и материалы либо их копии, подтверждающие доводы гражданина (если содержатся сведения, события и информация личного характера, позволяющие идентифицировать субъекта персональных данных и использование, предоставление и распространение которых могут нарушить права и законные интересы субъекта персональных данных).
3.1.4. Достоверность персональных данных, их актуальность и достаточность для целей обработки, недопустимость обработки избыточных по отношению к целям сбора персональных данных.
3.1.5. Ограничение обработки персональных данных при достижении конкретных и законных целей, запрет обработки персональных данных, несовместимых с целями сбора персональных данных.
3.1.6. Запрет объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.1.7. Осуществление хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством.
4. Перечень мер по обеспечению безопасности
персональных данных при их обработке
4.1. Департамент при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
4.1.1. Назначением лица, ответственного за организацию обработки персональных данных, и других лиц, ответственных за обеспечение бесперебойной работы информационной системы, за обеспечение безопасности персональных данных, обрабатываемых в информационной системе, за использование средств защиты информации и учет машинных носителей информации.
4.1.2. Утверждением начальником Департамента локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
4.1.3. Осуществлением внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных.
4.1.4. Ознакомлением сотрудников Департамента, непосредственно осуществляющих обработку персональных данных, с требованиями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и обучением указанных сотрудников.
4.1.5. Выполнением требований, установленных постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", при обработке персональных данных, осуществляемой без использования средств автоматизации.
4.1.6. Применением прошедших в установленном порядке процедур оценки соответствия средств защиты информации.
4.1.7. Учетом машинных носителей персональных данных.
4.1.8. Выявлением фактов несанкционированного доступа к персональным данным и принятием мер.
4.1.9. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
4.1.10. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых в информационной системе персональных данных.
4.2. Сотрудники Департамента, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
5. Заключительные положения
5.1. Настоящее Положение утверждается приказом Департамента.
5.2. Изменения в Положение вносятся приказом Департамента.
5.3. Положение обязательно для соблюдения и подлежит доведению до всех сотрудников Департамента, обрабатывающих персональные данные субъектов персональных данных.
------------------------------------------------------------------
ДЕПАРТАМЕНТ РАЗВИТИЯ ИНФОРМАЦИОННОГО ОБЩЕСТВА
ИВАНОВСКОЙ ОБЛАСТИ
ПРИКАЗ
от 13 апреля 2015 г. № 33/15
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ДЕПАРТАМЕНТА РАЗВИТИЯ
ИНФОРМАЦИОННОГО ОБЩЕСТВА ИВАНОВСКОЙ ОБЛАСТИ В ОТНОШЕНИИ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПОЛУЧЕННЫХ
ИЗ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННОЙ СЕТИ "ИНТЕРНЕТ",
И СВЕДЕНИЙ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии с частью 2 статьи 18.1 Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ "О персональных данных" и пунктом 2 постановления Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" приказываю:
1. Утвердить прилагаемое Положение Департамента развития информационного общества Ивановской области в отношении обработки персональных данных, полученных из информационно-телекоммуникационной сети "Интернет", и сведений о реализуемых требованиях к защите персональных данных.
2. Настоящий приказ вступает в силу с момента его подписания.
3. Контроль за выполнением настоящего приказа осуществляю лично.
Начальник Департамента
Д.В.КОСАРЕВ
ПОЛОЖЕНИЕ
ДЕПАРТАМЕНТА РАЗВИТИЯ ИНФОРМАЦИОННОГО ОБЩЕСТВА
ИВАНОВСКОЙ ОБЛАСТИ В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ
ДАННЫХ, ПОЛУЧЕННЫХ ИЗ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННОЙ
СЕТИ "ИНТЕРНЕТ", И СВЕДЕНИЙ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ
К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
1.1. Настоящее Положение Департамента развития информационного общества Ивановской области (далее - Департамент) в отношении обработки персональных данных, полученных из информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), и сведений о реализуемых требованиях к защите персональных данных (далее - Положение) разработано в соответствии с частью 2 статьи 18.1 Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ "О персональных данных" и пунктом 2 постановления Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
1.2. Настоящее Положение определяет порядок обработки персональных данных граждан - субъектов персональных данных, обратившихся в Департамент с использованием сети "Интернет", персональные данные которых подлежат обработке, на основании полномочий и функций Департамента; обеспечение защиты прав и свобод человека и гражданина, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц Департамента, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. Срок обработки персональных данных, полученных Департаментом из сети "Интернет", не превышает трех лет с даты их получения.
1.4. Режим конфиденциальности персональных данных сохраняется в течение всего срока их обработки, если иное не определено законодательством Российской Федерации.
2. Основные понятия
2.1. В настоящем Положении используются следующие основные понятия:
2.1.1. Субъект персональных данных - физическое лицо, обратившееся в Департамент с использованием сети "Интернет" с предложением, заявлением или жалобой.
2.1.2. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.1.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.1.4. Конфиденциальность персональных данных - обязанность сотрудников Департамента, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3. Принципы обработки персональных данных
3.1. Департамент в своей деятельности при обработке персональных данных руководствуется следующими принципами:
3.1.1. Обработка персональных данных осуществляется на законной и справедливой основе.
3.1.2. Цели обработки персональных данных соответствуют функциям и полномочиям Департамента.
3.1.3. Содержание и объем обрабатываемых персональных данных соответствуют целям обработки персональных данных.
В состав персональных данных граждан, полученных по сети "Интернет" и обрабатываемых Департаментом, входят: фамилия, имя, отчество (последнее - при наличии), номер телефона, адрес электронной почты, если ответ должен быть направлен в форме электронного документа, и почтовый адрес, если ответ должен быть направлен в письменной форме. Изложение сути предложения, заявления или жалобы, а также документы и материалы либо их копии, подтверждающие доводы гражданина (если содержатся сведения, события и информация личного характера, позволяющие идентифицировать субъекта персональных данных и использование, предоставление и распространение которых могут нарушить права и законные интересы субъекта персональных данных).
3.1.4. Достоверность персональных данных, их актуальность и достаточность для целей обработки, недопустимость обработки избыточных по отношению к целям сбора персональных данных.
3.1.5. Ограничение обработки персональных данных при достижении конкретных и законных целей, запрет обработки персональных данных, несовместимых с целями сбора персональных данных.
3.1.6. Запрет объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.1.7. Осуществление хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством.
4. Перечень мер по обеспечению безопасности
персональных данных при их обработке
4.1. Департамент при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
4.1.1. Назначением лица, ответственного за организацию обработки персональных данных, и других лиц, ответственных за обеспечение бесперебойной работы информационной системы, за обеспечение безопасности персональных данных, обрабатываемых в информационной системе, за использование средств защиты информации и учет машинных носителей информации.
4.1.2. Утверждением начальником Департамента локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
4.1.3. Осуществлением внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных.
4.1.4. Ознакомлением сотрудников Департамента, непосредственно осуществляющих обработку персональных данных, с требованиями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и обучением указанных сотрудников.
4.1.5. Выполнением требований, установленных постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", при обработке персональных данных, осуществляемой без использования средств автоматизации.
4.1.6. Применением прошедших в установленном порядке процедур оценки соответствия средств защиты информации.
4.1.7. Учетом машинных носителей персональных данных.
4.1.8. Выявлением фактов несанкционированного доступа к персональным данным и принятием мер.
4.1.9. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
4.1.10. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых в информационной системе персональных данных.
4.2. Сотрудники Департамента, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
5. Заключительные положения
5.1. Настоящее Положение утверждается приказом Департамента.
5.2. Изменения в Положение вносятся приказом Департамента.
5.3. Положение обязательно для соблюдения и подлежит доведению до всех сотрудников Департамента, обрабатывающих персональные данные субъектов персональных данных.
------------------------------------------------------------------