Приложение к Приказу от 25.11.2015 г № 783/ОД Правила
Правила обработки персональных данных в министерстве строительства и жилищно-коммунального хозяйства пензенской области
1.Обработка персональных данных в Министерстве строительства и жилищно-коммунального хозяйства Пензенской области (далее - Министерство) должна осуществляться на законной основе.
2.Обработка персональных данных в Министерстве должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4.Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5.Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6.Необходимыми мерами, принимаемые для обеспечения выполнения Министерством обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон) и принятыми в соответствии с ним нормативными правовыми актами, являются:
а) назначение лица, ответственного за организацию обработки персональных данных;
б) издание документов, определяющих политику Министерства в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
в) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с пунктом 7 настоящих Правил;
г) осуществление внутреннего контроля соответствия обработки персональных данных нормам Федерального закона и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
д) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых Министерством мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;
е) ознакомление работников Министерства, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Министерства в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
ж) устранение нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных в соответствии со статьей 21 Федерального закона;
з) выполнение иных мер, установленных постановлением Правительства Российской Федерации от 24.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
7.При обработке персональных данных Министерство обязано принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах Министерства включают в себя:
а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) учет лиц, допущенных к работе с персональными данными в информационной системе;
з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
к) описание системы защиты персональных данных.
8.Целями обработки персональных данных в Министерстве являются:
а) обеспечение соблюдения законов и иных нормативных правовых актов;
б) использование персональных данных в деятельности с применением средств автоматизации или без таких средств, включая хранение этих данных в архивах и размещение в информационно-телекоммуникационных сетях с целью предоставления доступа к ним;
в) заполнение базы данных автоматизированной информационной системы в целях повышения эффективности и быстрого поиска, проведения мониторинговых исследований, формирования статистических и аналитических отчетов в вышестоящие органы.
9.Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели их обработки, со сроком хранения, определенным частью 7 статьи 5 Федерального закона.
Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.