МКУ «УПРАВЛЕНИЕ ПО КУЛЬТУРЕ ТАЛОВСКОГО МУНИЦИПАЛЬНОГО РАЙОНА» ПРИКАЗ от 22 февраля 2017 года № 24 р.п. Таловая О назначении ответственного за организацию обработки и обеспечение безопасности персональных данных и утверждении его должностной инструкции В соответствии с частью 1 статьи 22.1 Федерального закона от 27.06.2006 года № 152-ФЗ «О персональных данных», подпунктами «а», «б» пункта 1 «Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утвержденного постановлением Правительства Российской Федерации от 21.03.2012 № 211 и пункта 9 «Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденных приказом ФСТЭК России от 11.02.2013 года № 17: 1. Назначить Кулакову Е.И. – заместителя руководителя МКУ «Управление по культуре Таловского муниципального района» ответственным за организацию обработки персональных данных в МКУ «Управление по культуре Таловского муниципального района». 2. Назначить Гончарову Галину Николаевну – главного бухгалтера МКУ «Управление по культуре Таловского муниципального района» ответственным за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных МКУ «Управление по культуре Таловского муниципального района». 3. Утвердить должностную инструкцию ответственного за организацию обработки персональных данных в МКУ «Управление по культуре Таловского муниципального района». 4. Утвердить должностную инструкцию ответственного за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных в МКУ «Управление по культуре Таловского муниципального района». 5. Кулаковой Е.И., в срок до 01.09.2017 года организовать проведение работ по организации обработки и обеспечению безопасности персональных данных в МКУ «Управление по культуре Таловского муниципального района»в соответствии с требованиями действующего законодательства и представить на утверждение документы определяющие политику в отношении обработки персональных данных и регламентирующие обработку и обеспечение безопасности персональных данных МКУ «Управление по культуре Таловского муниципального района». 6. Контроль за исполнением настоящего приказа оставляю за собой. Руководитель Н.В. Литвинова Ознакомлен: Е.И. Кулакова Г.Н. Гончарова Приложение № 1 к приказу МКУ «Управление по культуре Таловского муниципального района» от 22 февраля 2017 г. № 24 Должностная инструкция ответственного за организацию обработки персональных данных в МКУ «Управление по культуре Таловского муниципального района» Общие положения Настоящая должностная инструкция определяет права, обязанности и ответственность лица, ответственного за организацию обработки персональных данных в МКУ «Управление по культуре Таловского муниципального района» (далее – учреждение). Ответственный за организацию обработки персональных данных назначается руководителем МКУ. Ответственный за организацию обработки персональных данных в своей деятельности руководствуется: • Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных». • Постановлением Правительства Российской Федерации от 12 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами». • Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». • Приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 года № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». • Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». • Иными действующими нормативными правовыми актами в сфере организации обработки и обеспечения безопасности персональных данных, а также приказами руководителя МКУ. Обязанности ответственного за организацию обработки персональных данных Ответственный за организацию обработки персональных данных в учреждении обязан: 1. Организовать подготовку документов определяющих политику в отношении обработки персональных данных и регламентирующих обработку и обеспечение безопасности персональных данных и обеспечивать их актуальность. 2. Привлекать при необходимости специалистов из числа сотрудников учреждения в целях выполнения работ по организации обработки и обеспечению безопасности персональных данных в учреждении. 3. Организовать определение уровней защищенности персональных данных, обрабатываемых в информационных системах персональных данных учреждения и классификацию информационных систем персональных данных учреждения. 4. Организовывать прием и обработку обращений и запросов субъектов персональных данных (их представителей), уполномоченного органа по защите прав субъектов персональных данных и осуществлять контроль за приемом и обработкой таких обращений и запросов. 5. Доводить до сведения сотрудников учреждения положения законодательства Российской Федерации в области персональных данных, документов учреждения по вопросам обработки и обеспечения безопасности персональных данных, требований к защите персональных данных. 6. Готовить предложения по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных учреждения, обоснованию такой необходимости и способам обезличивания. 7. Осуществлять внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных, установленным действующим законодательством Российской Федерации, вести учёт и анализ результатов контроля. 8. Организовывать расследование причин и условий появления нарушений в процессе обработки и обеспечении безопасности персональных данных и разработке предложений по устранению недостатков и нарушений и их предупреждению, а также осуществлении контроля за устранением этих нарушений. 9. Готовить отчеты о состоянии работ по организации обработки и обеспечению безопасности персональных данных в учреждении. Права ответственного за организацию обработки персональных данных Ответственный за организацию обработки персональных данных в учреждении имеет право: 1. Требовать от сотрудников учреждения выполнения документов, определяющих политику в отношении обработки персональных данных и регламентирующих обработку и обеспечение безопасности персональных данных в учреждении. 2. Участвовать в разработке мероприятий по совершенствованию мер по организации обработки и обеспечению безопасности персональных данных в учреждении. 3. Инициировать проведение служебных расследований по фактам нарушения установленных требований по защите персональных данных, нарушению конфиденциальности персональных данных, утраты технических средств из состава информационных систем персональных данных, машинных носителей персональных данных в учреждении. 4. Обращаться к руководителю МКУ с предложением о приостановке процесса обработки персональных данных в информационных системах персональных данных или отстранению от работы с персональными данными сотрудников учреждения в случаях нарушения установленной технологии обработки персональных данных или нарушения требований по защите персональных данных. Ответственность Ответственный за организацию обработки персональных данных в учреждении несет персональную ответственность, предусмотренную действующим законодательством за: • выполнение возложенных на него обязанностей, предусмотренных настоящей инструкцией; • качество проводимых работ по организации обработки персональных данных в соответствии с функциональными обязанностями; • разглашение персональных данных, ставшими известными ему по роду своей работы. Должностная инструкция согласована: Руководитель МКУ «Управление по культуре Таловского муниципального района» Н.В. Литвинова «___»____________20___г. С должностной инструкцией ознакомлен: «___» ___________ 20___г. Приложение № 2 к приказу МКУ «Управление по культуре Таловского муниципального района» от 22 февраля 2017 г. № 24 Должностная инструкция ответственного за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных МКУ «Управление по культуре Таловского муниципального района» Общие положения Настоящая должностная инструкция определяет права, обязанности и ответственность лица, ответственного за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных МКУ «Управление по культуре Таловского муниципального района» (далее – учреждение). Ответственный за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных назначается руководителем МКУ. Ответственный за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных в своей деятельности руководствуется: • Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных». • Постановлением Правительства Российской Федерации от 12 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами». • Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». • Приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 года № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». • Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». • Иными действующими нормативными правовыми актами в сфере организации обработки и обеспечения безопасности персональных данных, а также приказами руководителя МКУ. Обязанности ответственного за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных Ответственный за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных учреждения обязан: 1. Организовать и координировать работу по обеспечению безопасности персональных данных в информационных системах персональных данных учреждения. 2. Проводить единую техническую политику по обеспечению безопасности персональных данных в учреждении. 3. Проводить мероприятия по организационному обеспечению безопасности персональных данных. 4. Участвовать в определении уровней защищенности персональных данных, обрабатываемых в информационных системах персональных данных учреждения и классификации информационных систем персональных данных учреждения. 5. Разрабатывать организационно-распорядительные документы по обеспечению безопасности персональных данных в учреждения. 6. Проводить мероприятия по техническому обеспечению безопасности персональных данных, в том числе по: • размещению, охране, организации режима допуска в помещения, в которых ведется обработка персональных данных; • закрытию технических каналов утечки персональных данных при их обработке; • защите от несанкционированного доступа к персональным данным; • выбору средств защиты информации. 7. Обеспечивать возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. 8. Проводить мероприятия, направленные на предотвращение несанкционированного доступа к персональным данным или передаче их лицам, не имеющим права доступа к такой информации. 9. Осуществлять постоянный контроль за обеспечением установленного уровня защищенности персональных данных. 10. Учитывать установленным порядком применяемые в учреждении машинные носители персональных данных и средства защиты информации. 11. Принимать участие во внутреннем контроле соответствия обработки персональных данных требованиям к защите персональных данных, установленным действующим законодательством Российской Федерации. 12. Принимать участие в расследование причин и условий появления нарушений в процессе обработки и обеспечении безопасности персональных данных и разработке предложений по устранению недостатков и нарушений и их предупреждению, а также осуществлении контроля за устранением этих нарушений. 13. Готовить предложения по совершенствованию системы безопасности персональных данных в учреждении. 14. Организовать повышение осведомленности руководства и сотрудников учреждения по вопросам обеспечения безопасности персональных данных. Права ответственного за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных Ответственный за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных учреждения имеет право: 1. Запрашивать и получать необходимые материалы для организации и проведения работ по вопросам обеспечения безопасности персональных данных. 2. Разрабатывать проекты организационных и распорядительных документов по обеспечению безопасности персональных данных. 3. Контролировать деятельность структурных подразделений учреждения в части выполнения ими требований в области организации обработки и обеспечения безопасности персональных данных. 4. Готовить предложения о привлечении к проведению работ по обеспечению безопасности персональных данных на договорной основе организаций, имеющих лицензии на право проведения работ в области защиты информации. 5. Участвовать в разработке мероприятий по совершенствованию мер по организации обработки и обеспечению безопасности персональных данных в учреждении. 6. Участвовать в проведении служебных расследований по фактам нарушения установленных требований по защите персональных данных, нарушению конфиденциальности персональных данных, утраты технических средств из состава информационных систем персональных данных, машинных носителей персональных данных в учреждении. 7. Обращаться к руководителю МКУ с предложением о приостановке процесса обработки персональных данных в информационных системах персональных данных или отстранению от работы с персональными данными сотрудников учреждения в случаях нарушения установленной технологии обработки персональных данных или нарушения требований по защите персональных данных. Ответственность Ответственный за обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных учреждения несет персональную ответственность, предусмотренную действующим законодательством за: • выполнение возложенных на него обязанностей, предусмотренных настоящей инструкцией; • качество проводимых работ по обеспечению безопасности персональных данных в соответствии с функциональными обязанностями; • разглашение персональных данных, ставшими известными ему по роду своей работы. Должностная инструкция согласована: Руководитель МКУ «Управление по культуре Таловского муниципального района Н.В. Литвинова «___»____________20___г. С должностной инструкцией ознакомлен: «___» ___________ 20___г.