Четверг, 02.05.2024, 18:12
Приветствую Вас, Гость

 

 

ИНСТРУКЦИЯ

ответственного за организацию обработки

персональных данных

 

 

2013

 

 

 

Содержание

Обозначения и сокращения.…………………………………………………

 

Термины и определения……………………………………………………..

 

1. Основные положения……………………………………………………...

 

2. Обязанности ответственного за организацию обработки ПДн………

 

 

 


 

Обозначения и сокращения

ИСПДн – информационная система персональных данных.

ПДнперсональные данные.

 

Термины и определения

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1.     Основные положения

1.1.             Настоящая инструкция определяет обязанности ответственного за организацию обработки ПДн при организации и проведении работ по защите информации в ИСПДн, создаваемых и эксплуатируемых в образовательных учреждениях.

1.2.     Ответственный за организацию обработки ПДн, получает указания по вопросам обеспечения обработки ПДн непосредственно от руководителя образовательного учреждения и подотчетен ему.

1.3.     В своей практической деятельности Ответственный за организацию обработки ПДн должен руководствоваться:

-               Федеральным Законом Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных».

-               Федеральным Законом Российской Федерации от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

-               Указом Президента Российской Федерации от 06.03.97 № 188 «О перечне сведений конфиденциального характера».

-               Постановлением Правительства РФ от 01 ноября 2012 г. N 1119 «Об утверждении  требований к защите персональных данных при их обработке в информационных системах персональных данных».

-               «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждено Постановлением Правительства РФ от 15.09.2008 г. № 687.

-               «Перечнем мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утверждено Постановлением Правительства РФ от 21.03.2012 г. № 211.

-               Трудовым кодексом РФ.

-               «Положением о методах и способах защиты информации в информационных системах персональных данных», утверждено приказом ФСТЭК России от 05.02.2010 г. N 58.

-               Руководящими документами по защите информации Гостехкомиссии России:

·      «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».

·      «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».

·      «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».

-               «Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. N 149/54-144.

-                              «Типовыми требованиями по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены руководством 8 Центра ФСБ России 21 февраля 2008 г. N 149/6/6-622.

-                              «Политикой в отношении обработки ПДн» образовательного учреждения.

-                              «Положением о порядке обработки и защиты персональных данных» в образовательном учреждении.

-                              Другими действующими в образовательном учреждении документами, регламентирующими работу с ПДн.

1.4.             Оператор обязан предоставить ответственному за организацию обработки ПДн, следующие сведения:

1.4.1.      Наименование (фамилия, имя, отчество), адрес оператора.

1.4.2.      Цель обработки ПДн.

1.4.3.      Категории ПДн.

1.4.4.      Категории субъектов, ПДн которых обрабатываются.

1.4.5.      Правовое основание обработки ПДн.

1.4.6.      Перечень действий с ПДн, общее описание используемых оператором способов обработки ПДн.

1.4.7.      Описание применяемых оператором мер по защите ПДн, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств.

1.4.8.      Фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки ПДн, и номера их контактных телефонов, почтовые адреса и адреса электронной почты.

1.4.9.      Дата начала обработки ПДн.

1.4.10.  Срок или условие прекращения обработки ПДн.

1.4.11.  Сведения о наличии или об отсутствии трансграничной передачи ПДн в процессе их обработки.

1.4.12.  Сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите ПДн, установленными Правительством Российской Федерации.

1.5.     Возложение на сотрудника обязанностей ответственного за организацию обработки ПДн оформляется приказом по образовательному учреждению.

2.     Обязанности ответственного за организацию обработки ПДн

2.1.       Ответственный за организацию обработки ПДн обязан:

2.1.1.           Осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн.

2.1.2.           Доводить до сведения работников оператора положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн.

2.1.3. Обеспечить организацию приема и обработки обращений и запросов субъектов ПДн или их представителей и осуществлять контроль за приемом и обработкой таких обращений и запросов.

2.1.4.           Обеспечить контроль за эксплуатацией ИСПДн в полном соответствии с утвержденной проектной, организационно-распорядительной и эксплуатационной документацией ИСПДн.