Приказ №221
МКУ «УПРАВЛЕНИЕ ПО КУЛЬТУРЕ ТАЛОВСКОГО МУНИЦИПАЛЬНОГО РАЙОНА»
ПРИКАЗ
от 29 декабря 2017 года № 221
р.п. Таловая
О внесении изменений в приказ № 23 от 22.02.2017 года «Об обработке и защите персональных данных в МКУ «Управление по культуре Таловского муниципального района»
В связи с реорганизацией МКУ «Управление по культуре Таловского муниципального района»
приказываю:
п. 1 Внести изменения в приложение к Правилам осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в МКУ «Управление по культуре Таловского муниципального района» «Протокол проверки соответствия обработки персональных данных требованиям к защите персональных данных в МКУ «Управление по культуре Таловского муниципального района» согласно приложению.
п. 2 Внести изменения в раздел 5 «Перечень должностей работников учреждения, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных» Правил работы с обезличенными персональными данными в МКУ «Управление по культуре Таловского муниципального района» п. 5.1. согласно приложению № 1.
п. 3. Контроль за исполнением приказа оставляю за собой.
Руководитель Н.В. Литвинова
Приложение
к Правилам осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в МКУ «Управление по культуре Таловского муниципального района»
Протокол
проверки соответствия обработки персональных данных требованиям к защите персональных данных в МКУ «Управление по культуре Таловского муниципального района»
Настоящий протокол составлен о том, что «____» ___________ 20__ года руководителем и заместителем руководителя МКУ «Управление по культуре Таловского муниципального района» проведена проверка соответствия обработки персональных данных в МКУ «Управление по культуре Таловского муниципального района» (далее - учреждении) требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами.
1. Поверка осуществлялась в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 12 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», постановления Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказа ФСТЭК России от 11 февраля 2013 года № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
2. В ходе проверки контролировались следующие вопросы:
а) наличие у работников учреждения допуска к обработке персональных данных;
б) наличие согласий субъектов на обработку их персональных данных;
в) соблюдение целей, состава и сроков обработки персональных данных;
г) соблюдение правил по обезличиванию персональных данных;
д) соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных;
е) соблюдение работниками учреждения правил парольной политики;
ж) соблюдение работниками учреждения правил антивирусной защиты;
з) соблюдение работниками учреждения правил работы с машинными носителями персональных данных;
е) соблюдение порядка работы со средствами защиты информации.
3. В ходе проверки выявлены следующие нарушения:
_______________________________________________________________,
_______________________________________________________________,
_______________________________________________________________.
4. Меры по устранению выявленных нарушений:
________________________________________________________________,
_______________________________________________________________,
_______________________________________________________________.
5. Срок устранения нарушений: «____» ___________ 20__ года.
Руководитель МКУ «Управление
по культуре Таловского
муниципального района» _________ ____________
(подпись) (Ф.И.О.)
Приложение № 1
к приказу МКУ «Управление
по культуре Таловского
муниципального района»
от 29 декабря 2017 года № 221
Правила
работы с обезличенными персональными данными
в МКУ «Управление по культуре Таловского муниципального района»
1. Общие положения
1.1. Настоящие Правила работы с обезличенными персональными данными МКУ «Управление по культуре Таловского муниципального района» (далее – учреждение) разработаны с учетом Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и постановления Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
1.2. Настоящие Правила определяют порядок работы с обезличенными данными в учреждении.
2. Термины и определения
2.1. В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»:
1) Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
3) Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
3. Условия обезличивания
3.1. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения уровня информационных систем персональных данных учреждения и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.2. Способы обезличивания при условии дальнейшей обработки персональных данных:
1) уменьшение перечня обрабатываемых сведений;
2) замена части сведений идентификаторами;
3) обобщение – понижение точности некоторых сведений;
4) понижение точности некоторых сведений (например, «Место жительства» может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);
5) деление сведений на части и обработка в разных информационных системах;
6) другие способы.
3.3. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
3.4. Для обезличивания персональных данных годятся любые способы явно не запрещенные законодательно:
1) заместитель руководителя МКУ принимает решение о необходимости обезличивания персональных данных;
2) работники учреждения, непосредственно осуществляющие обработку персональных данных, готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания;
3) работники учреждения, обслуживающих базы данных с персональными данными, совместно с ответственным за организацию обработки персональных данных, осуществляют непосредственное обезличивание выбранным способом.
4. Порядок работы с обезличенными персональными данными
4.1. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
4.2. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
4.3. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
а) парольной политики;
б) антивирусной политики;
в) правил работы со съемными носителями (если они используется);
г) правил резервного копирования;
д) правил доступа в помещения, где расположены элементы информационных систем.
4.4. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
а) правил хранения бумажных носителей;
б) правил доступа к ним и в помещения, где они хранятся.
5. Перечень должностей работников учреждения, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
5.1. Руководитель МКУ (далее - ответственный за организацию работ по защите персональных данных).
5.2. Главный бухгалтер МКУ (далее - администратор информационной безопасности).
Руководитель МКУ «Управление по культуре
Таловского муниципального района» Н.В. Литвинова
