Горячая линия

8 (351) 778-67-38

Версия для
слабовидящих
Работа с обращениями граждан и организаций
 

Политика информационной безопасности

Прослушать

Приложение № 1
к Приказу № 21
от «07» февраля 2014г.

Положение об обработке персональных данных
в ФКУ "ГБ МСЭ по Челябинской области" Минтруда России

 

  1. Цели
    1.1. Цель разработки Положения — определение порядка обработки персональных данных сотрудников Учреждения и иных субъектов персональных данных, персональные данные которых подлежат обработке; обеспечение защиты прав и свобод человека и гражданина, в т.ч. работника Учреждения, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных; определение комплекса организационных, технических и правовых мер защиты информации.
    Информационные ресурсы Учреждения, содержащие персональные данные и другую конфиденциальную информацию, независимо от способа их формирования, являются государственными и мероприятия по их защите должны соответствовать требованиям нормативно-правовых документов ФСТЭК России и ФСБ России.
    2. Общие положения
    2.1 Настоящее Положение по обработке персональных данных (далее — Положение) ФКУ "Главное бюро медико-социальной экспертизы по Челябинской области" Минтруда России (далее - Учреждения) разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации» №149 от 27.07.2006г., Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ, Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", правилами внутреннего трудового распорядка Учреждения, с целью определения единого порядка организации работы по обеспечению безопасности конфиденциальной информации при ее обработке с использованием средств автоматизации или без использования таких средств, если обработка информации соответствует характеру действий, совершаемых с использованием средств автоматизации.
    2.2 Настоящее Положение вступает в силу с момента его утверждения руководителем Учреждения (далее - Руководителем) и действует бессрочно, до замены его новым Положением.
    2.3 Все изменения в Положение вносятся приказом Руководителя.
    2.4 Все работники Учреждения должны быть ознакомлены с настоящим Положением под подпись.
    2.5 Режим конфиденциальности персональных данных снимается в случаях их обезличивания, либо если персональные данные признаны общедоступными или продлевается на основании заключения экспертной комиссии Учреждения.
    3. Основные понятия
    3.1 Основные понятия, используемые в настоящем Положении:
    - Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
    - Объектом информатизации в Учреждении является комплекс средств автоматизации, включающий в себя помещение с системами коммуникаций и размещенные в нем рабочие места с оборудованием, используемым для обработки информации.
    - Обработкой информации является любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
    - Носителями информации признаются: гибкие магнитные диски, съемные накопители информации, съемные пакеты дисков, иные магнитные оптические или магнитооптические диски, магнитные ленты и тому подобное, а также распечатки текстовой, графической и иной информации на бумажной или пластиковой основе.
    - Несанкционированный доступ к информации - действия, нарушающие установленный порядок доступа или правила разграничения, установленные в Учреждении.
    - Безопасность информации - защищенность информации от ее перехвата, утечки по техническим и иным каналам, модификации, блокирования, уничтожения, несанкционированного доступа к ней, а также защищенность технических и программных средств сбора, обработки, накопления, хранения, поиска и передачи информации, информационных и телекоммуникационных систем от нарушения их функционирования или от вывода их из строя.
    - Операторами являются работники Учреждения, в чьи должностные обязанности входит работа на автоматизированном рабочем месте (АРМ), и которые в соответствии с установленным порядком могут быть допущены к персональным данным и иной конфиденциальной информации.
    - Пользователь системы - субъект, обращающийся к информационной системе за получением необходимой ему информации либо вводящих в систему данных, в соответствии со своими должностными или служебными обязанностями.
    - Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
    4. Состав персональных данных
    4.1 Состав персональных данных, обрабатываемых в информационной системе персональных данных (далее - ИСПДн) Учреждения, определяется «Перечнем сведений, содержащих персональные данные».
    4.1 Комплекс документов, сопровождающий процесс оформления трудовых отношений работника в Учреждении при его приеме, переводе и увольнении.
    4.1.1 Информация, представляемая работником при поступлении на работу в Учреждение, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
    - паспорт или иной документ, удостоверяющий личность;
    - трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
    - страховое свидетельство государственного пенсионного страхования;
    - документы воинского учета — для военнообязанных и лиц, подлежащих воинскому
    учету;
    - документ об образовании, о квалификации или наличии специальных знаний — при поступлении на работу, требующую специальных знаний или специальной подготовки;
    - свидетельство о присвоении ИНН (при его наличии у работника).
    4.1.2 При оформлении работника в Учреждение, специалистом отдела кадров заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
    - общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
    - сведения о воинском учете;
    - данные о приеме на работу;
    В дальнейшем в личную карточку вносятся:
    - сведения о переводах на другую работу;
    - сведения об аттестации;
    - сведения о повышении квалификации;
    - сведения о профессиональной переподготовке;
    - сведения о наградах (поощрениях), почетных званиях;
    - сведения об отпусках;
    - сведения о социальных гарантиях;
    - сведения о месте жительства и контактных телефонах.
    4.1.3 В отделе кадров создаются и хранятся следующие группы документов, содержащие персональные данные работников в единичном или сводном виде:
    4.1.3.1 Документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Учреждения; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).
    4.1.3.2 Организационно-распорядительная документация Учреждения (Положения, должностные инструкции работников, приказы руководителя); документы по планированию, учету, анализу и отчетности в части работы с персоналом Учреждения.
    4.2 Комплекс документов, сопровождающий процесс проведения медико-социальной экспертизы лиц, нуждающихся в этом.
    4.2.1 Информация, представляемая в Учреждение обратившимися гражданами, должна иметь документальную форму. Гражданин предъявляет следующие документы: паспорт или иной документ, удостоверяющий личность; направление на медико-социальную экспертизу; личное заявление и иные документы необходимые для проведения медико-социальной экспертизы;
    - При определение степени утраты профессиональной трудоспособности: акт о несчастном случае на производстве; заключение органа государственной экспертизы условий труда о характере и условиях труда пострадавших, которые предшествовали несчастному случаю на производстве и профессиональному заболеванию.
    - При предоставлении государственной услуги, результатом которой является установление причины смерти инвалида в случаях, когда законодательством Российской Федерации предусматривается предоставление мер социальной поддержки семье умершего: копия медицинского свидетельства о смерти; выписка из протокола (карты) патологоанатомического исследования; копия справки, подтверждающей факт установления инвалидности умершему инвалиду, выданной федеральным государственным учреждением медико-социальной экспертизы; медицинские документы умершего инвалида, имеющиеся в наличии у заявителя.
    - Для установления причины инвалидности заявителем представляются: заключение, выданное организацией, оказывающей лечебно-профилактическую помощь, о наличии у инвалида в возрасте до 18 лет (до 1 января 2000 года - в возрасте до 16 лет) признаков стойких ограничений жизнедеятельности - для установления инвалидности с детства; заключение, выданное организацией, оказывающей лечебно-профилактическую помощь, о подтверждении факта наступления инвалидности с детства вследствие ранения, контузии или увечья, связанных с боевыми действиями в период Великой Отечественной войны - для установления инвалидности с детства вследствие ранения (контузии, увечья), связанной с боевыми действиями в период Великой Отечественной войны; заключение, выданное организацией, оказывающей лечебно-профилактическую помощь, о наличии оснований для отнесения начала заболевания бывшего военнослужащего к периоду пребывания на фронте (к периоду выполнения интернационального долга в Республике Афганистан) - для установления причины инвалидности военная травма без военно-медицинских документов; заключение военно-врачебной комиссии о причинной связи увечий (травм, ранений, контузий), заболеваний - для установления причин инвалидности: военная травма, заболевание, полученное в период военной службы, инвалидность, связанной с катастрофой на Чернобыльской АЭС, последствиями радиационных воздействий и непосредственным участием в деятельности подразделений особого риска; справка о получении увечья (ранения, травмы, контузии), заболевания в период прохождения военной службы, в том числе в действующих частях, выданная военно-медицинскими учреждениями, а также Центральным архивом Министерства обороны Российской Федерации, Архива военно-медицинских документов Военно-медицинского музея Министерства обороны Российской Федерации, Российского государственного военного архива, - для установления причин инвалидности: военная травма, заболевание, полученное в период военной службы, инвалидность, связанная с катастрофой на Чернобыльской АЭС, последствиями радиационных воздействий и непосредственным участием в деятельности подразделений особого риска; заключение межведомственного экспертного совета о связи развившихся заболеваний с радиационным воздействием - для установления инвалидности, связанной с катастрофой на Чернобыльской АЭС, с аварией на ПО "Маяк", последствиями радиационных воздействий и непосредственным участием в деятельности подразделений особого риска.
    4.2.2 При проведении меди ко-социальной экспертизы создаются и хранятся следующие документы:
    - Акт медико-социальной экспертизы
    - Выписка из акта освидетельствования
    - Индивидуальная программа реабилитации
    - Программа дополнительного обследования
    - Программа реабилитации пострадавшего
    - Протокол заседания бюро МСЭ
    - Справка, подтверждающая факт установления инвалидности
    - Справка об установлении причины смерти инвалида
    - Справка о результатах медико-социальной экспертизы.
    В дальнейшем в ИСПДн Учреждения обрабатываются персональные данные согласно Перечню сведений, содержащих персональные данные.
    5. Сбор, обработка, передача персональных данных
    5.1 Порядок получения персональных данных.
    5.1.1 Все персональные данные сотрудников Учреждения и прочих физических лиц следует получать у них самих. Если персональные данные возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо Учреждения должно сообщить о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.
    5.1.2 Обработка персональных данных допускается в случаях:
    - обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
    - персональные данные сделаны общедоступными субъектом персональных данных;
    - обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
    - обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
    - обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия.
    5.2 Порядок обработки персональных данных.
    5.2.1 Субъект предоставляет должностному лицу Учреждения достоверные сведения о себе. Должностное лицо проверяет достоверность сведений, сверяя данные, предоставленные субъектом, с имеющимися у субъекта документами.
    5.2.2 Руководитель и сотрудники Учреждения (операторы) при обработке персональных данных сотрудника должны соблюдать следующие общие требования:
    5.2.2.1 Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, проведения медико-социальной экспертизы, трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности сотрудников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
    5.2.2.2 При определении объема и содержания обрабатываемых персональных данных оператор должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ и иными федеральными законами.
    5.2.2.3 Защита персональных данных субъекта от неправомерного их использования или утраты обеспечивается Учреждением в порядке, установленном федеральным законом.
    5.2.2.4 Сотрудники и их представители должны быть ознакомлены под подпись с документами Учреждения, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
    6 Передача и хранение персональных данных
    6.1 При передаче персональных данных субъекта Учреждение должно соблюдать следующие требования:
    6.1.1 Не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника, а также в случаях, установленных федеральным законом.
    6.1.2 Предупредить лиц, получивших персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные субъекта, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными субъектов в порядке, установленном федеральными законами.
    6.1.3 Осуществлять передачу персональных данных субъектов другим операторам на основании порядка установленного законодательством, а в пределах Учреждения в соответствии с настоящим Положением.
    6.1.4 Разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные сотрудника, которые необходимы для выполнения конкретной функции.
    6.1.5 Передавать персональные данные работников представителям в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функции. Передача указанных персональных данных осуществляется с согласия работника.
    6.2 Хранение и использование персональных данных:
    6.2.1 Персональные данные субъектов обрабатываются и хранятся в помещениях Учреждения и на учтённых машинных носителях в соответствии с Инструкцией по учёту машинных носителей.
    6.2.2 Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде — в локальной компьютерной сети, в компьютерных программах и электронных базах данных.
    6.3 При получении персональных данных не от субъекта (за исключением случаев, если персональные данные были предоставлены Учреждению на основании федерального закона или если персональные данные являются общедоступными), Учреждение до начала обработки таких персональных данных обязано предоставить субъекту информацию на основании ст. 18 п.З ФЗ №152 «О персональных данных».
    7. Цели обеспечения безопасности информации и основные меры по ее защите
    7.1 Целью обеспечения безопасности информации в Учреждении являются:
    - защита информации в условиях возможного случайного или преднамеренного воздействия на информацию, обрабатываемую в Учреждении, либо при попытках несанкционированного доступа к ней;
    - обеспечение достоверности информации, передаваемой по каналам связи;
    - защиты информации в Учреждении организационными и техническими мерами от несанкционированного доступа, в том числе и по каналам связи, а также от воздействия в целях уничтожения, искажения или блокирования доступа к сведениям;
    - обеспечение прав граждан на неразглашение их персональных данных.
    7.2 Безопасность информации в Учреждении обеспечивается средствами защиты информации и комплексом организационных, технических и правовых мер.
    К организационным мерам относятся:
    - назначение должностных лиц, ответственных за организацию работы по обеспечению безопасности информации в Учреждении;
    - планирование и разработка мероприятий, проводимых с целью обеспечения безопасности информации в Учреждении;
    - сертификация АРМ и средств защиты в порядке, установленном федеральным з аконодательством;
    - исключение несанкционированного доступа к информационным ресурсам Учреждении;
    - применение утвержденной в установленном порядке эксплуатационной документации; организация и проведение работ по обеспечению сохранности и работоспособности
    комплексов средств автоматизации;
    - соблюдение установленных правил обеспечения безопасности информации при работе с программными и техническими средствами, в том числе со средствами антивирусной защиты, а также контроль за их функционированием;
    - подготовка работников к эксплуатации комплекса средств автоматизации;
    - установление ответственности за нарушение порядка обращения с конфиденциальной информацией и правил эксплуатации АРМ.
    - Определение мест хранения и установление перечня должностей осуществляющих обработку персональных данных для каждой категории персональных данных.
    - Организация раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
    - Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к материальным носителям при их хранении.
    К техническим мерам относятся:
    - применение сертифицированных специальных программных средств и лицензионных программных средств общего назначения, а также сертифицированных технических средств и средств связи;
    обеспечение подлинности и ценности информации;
    - защита информации при передаче по сетям связи.
    Правовые меры защиты реализуются в соответствии с действующим законодательством Российской Федерации и нормативно-правовыми документами ФСТЭК России и ФСБ России.
    7.3 Средства защиты информации используются в Учреждении с соблюдением следующих условий:
    - каждый пользователь и специалист Учреждения наделяются полномочиями по доступу к информационным ресурсам в соответствии со своими функциональными обязанностями;
    - использование программного обеспечения осуществляется и контролируется в соответствии с эксплуатационной документацией;
    - исключается возможность использования программного обеспечения для работ, не предусмотренных документацией.
    8. Требования по обеспечению безопасности информации
    8.1 Обработка персональных данных осуществляемая без использования средств автоматизации:
    8.1.1 Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).
    8.1.2 При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
    8.1.3 Сотрудники Учреждения осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти, субъектов Российской Федерации, а также локальными правовыми актами Учреждения.
    8.1.4 При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
    8.1.4.1 типовая форма или связанные с ней документы должны содержать сведения о наименовании и адресе Учреждения, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных;
    8.1.4.2 типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
    8.1.5 При ведении журналов (журналов регистрации, журналов посещений), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных в помещение Учреждения или в иных аналогичных целях, должны соблюдаться следующие условия:
    8.1.5.1 необходимость ведения такого журнала должна быть предусмотрена актом Учреждения, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных;
    8.1.5.2 персональные данные каждого субъекта персональных данных могут заноситься в такой журнал не более одного раза в каждом случае пропуска субъекта персональных данных.
    8.1.6 Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, зачеркивание, стирание).
    8.1.7 Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, -путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
    8.2 Обработка персональных данных в информационной системе персональных
    данных
    8.2.1 Режим защиты персональных данных устанавливается уполномоченным лицом в соответствии с законодательством.
    8.2.3 Конфиденциальная информация должна обрабатываться (передаваться) с использованием защищенных систем, средств информатизации, связи или с использованием технических, программных, криптографических средств защиты конфиденциальной информации, сертифицируемых в установленном порядке.
    8.2.4 Уровень технической защиты конфиденциальной информации, а также перечень необходимых мер защиты определяется дифференцированно по результатам обследования объекта информатизации, с учетом соотношения затрат на организацию технической защиты персональных данных и величины ущерба, который может быть нанесен субъекту персональных данных при их разглашении, утрате, уничтожении и искажении.
    8.2.5 Системы и средства информатизации и связи, предназначенные для обработки (передачи) персональных данных в государственной информационной системе, должны быть аттестованы в реальных условиях эксплуатации на предмет соответствия принимаемых мер и средств защиты требуемому уровню безопасности информации.
    8.2.6 Проведение любых мероприятий и работ с персональными данными без принятия адекватных мер технической защиты информации не допускается.
    8.2.7 Сведения, содержащие персональные данные, определяются документом «Перечень персональных данных, обрабатываемых в информационных системах персональных данных».
    8.2.8 Непосредственное руководство работами по защите персональных данных осуществляется ответственным за обеспечение безопасности персональных данных.
    8.2.9 Финансирование мероприятий по технической защите персональных данных предусматривается в бюджетной смете на текущий финансовый год.
    8.2.10 В Учреждении составляются годовые планы работ по технической защите персональных данных и контролю их выполнения. Проекты планов разрабатываются ответственным за обеспечение безопасности персональных совместно с подразделениями, выполняющими работы с персональными данными. Сроки разработки, представления и утверждения планов устанавливаются руководителем Учреждения.
    8.2.11 В годовые планы по технической защите персональных данных и контролю могут включаться:
    - мероприятия по выполнению приказов и распоряжений руководителя Учреждения по вопросам технической защиты информации;
    - подготовка проектов распорядительных документов по вопросам организации технической защиты информации, инструкций, рекомендаций и других документов по обеспечению безопасности персональных данных при использовании конкретных технических средств обработки и передачи информации, на автоматизированных рабочих местах;
    - аттестация вводимых в эксплуатацию основных технических средств и систем и защищаемых помещений, а также периодическая переаттестация находящихся в эксплуатации основных технических средств и систем и защищаемых помещений на соответствие требованиям по технической защите конфиденциальной информации;
    - проведение периодического контроля состояния технической защиты информации;
    - мероприятия по устранению нарушений и выявленных недостатков по результатам контроля;
    - мероприятия по совершенствованию технической защиты информации на объектах Учреждения.
    8.2.12 Контроль выполнения планов и отчетность по ним возлагается на ответственного за обеспечение безопасности персональных данных.
    9. Обязанности пользователей и специалистов Учреждения по обеспечению безопасности информации
    9.1 Сотрудники Учреждения осуществляющие работу с персональными данными обязаны исполнять требования Инструкции пользователя информационной системы персональных данных.
    9.2 Ответственный за обеспечение безопасности персональных данных обязан исполнять требования Инструкции ответственного за обеспечение безопасности персональных данных.
    9.3 Руководители структурных подразделений, пользователи основных технических средств и систем обязаны вносить предложения о приостановке работ с использованием сведений, содержащих персональные данные, в случае обнаружения утечки (или предпосылок к утечке) этих сведений. Предложения вносятся на имя ответственного за обеспечение безопасности персональных данных.
    9.4 Руководитель Учреждения и руководители структурных подразделений Учреждения осуществляют контроль за соблюдением требований по обеспечению безопасности информации в соответствующих подразделениях.
    9.5 Федеральные органы государственной власти, государственные органы, наделенные в соответствии с действующим законодательством Российской Федерации правом контроля и проверки обеспечения защиты персональных данных и иной конфиденциальной информации, могут осуществлять соответствующие проверки при наличии у уполномоченных этих органов официальных письменных разрешений, предписаний или других соответствующих актов.
    10. Доступ к персональным данным
    10.1 Доступ сотрудников Учреждения к информационным системам содержащим персональные данные граждан осуществляется в объеме, необходимом для исполнения служебных обязанностей, определенных должностным регламентом.
    10.2Перечень лиц, имеющих право доступа к информационной системе персональных данных, определяется «Список должностей, которым необходим доступ к ПДн, для выполнения служебных (трудовых) обязанностей», утверждённым Руководителем Учреждения.
    10.3 Порядок доступа пользователей к информационным ресурсам Учреждения, содержащим персональные данные, устанавливается соответствующей Инструкцией по разграничению доступа пользователей к средствам защиты и информационным ресурсам, утверждаемой руководителем Учреждения.
    10.4 Рассмотрение письменных мотивированных запросов, полученных от должностных лиц и запросы граждан о своих персональных данных, производится в соответствии с законодательством Российской Федерации при строгом соблюдении требований по обеспечению защиты персональных данных от любых неправомерных действий в отношении таких данных.
    10.5 Субъект персональных данных, чьи персональные данные обрабатываются в информационной системе Учреждения имеет право:
    10.5.1 Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
    10.5.2 Сведения, указанные в пункте 10.5.7, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
    10.5.3 Сведения, указанные в пункте 10.5.7, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
    10.5.4 В случае, если сведения, указанные в пункте 10.5.7, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 7, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого является субъект персональных данных.
    10.5.5 Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 10.5.7, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 10.5.4, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 10.5.3, должен содержать обоснование направления повторного запроса.
    10.5.6 Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пункте 10.5.4 и 10.5.5. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
    10.5.7 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
    10.5.7.1 подтверждение факта обработки персональных данных оператором;
    10.5.7.2 правовые основания и цели обработки персональных данных;
    10.5.7.3 цели и применяемые оператором способы обработки персональных данных;
    10.5.7.4 наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
    10.5.7.5 обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
    10.5.7.6 сроки обработки персональных данных, в том числе сроки их хранения;
    10.5.7.7 порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
    10.5.7.8 информацию об осуществленной или о предполагаемой трансграничной передаче данных;
    10.5.7.9 наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
    10.5.7.10 иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
    Ю.бПередача информации третьей стороне возможна только при письменном согласии субъектов.
    11 Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
    11.1 Ответственность за организацию и состояние защиты информации в Учреждении возлагается на ответственного за обеспечение безопасности персональных данных. Должностные лица, организующие работу с персональными данными, несут персональную ответственность за соблюдение требований настоящего Положения.
    11.2 Сотрудники Учреждения, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут дисциплинарную, административную,, гражданско-правовую и уголовную ответственность в соответствии с федеральными законами.
    11.3 Руководитель за нарушение норм, регулирующих получение, обработку и защиту персональных данных субъектов, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации.
    11.4 Сотрудники Учреждения, работающие с информационной системой персональных данных, должны быть ознакомлены с обязанностями по обеспечению безопасности информации и ответственностью за их нарушение.
    11.5 Ответственность за утрату документов или машиночитаемых носителей с конфиденциальной информацией или разглашение сведений, содержащихся в них, персонально несет работник, допустивший их утрату (разглашение).
    11.6 Разглашение конфиденциальной информации или утрата документов, машиночитаемых носителей информации, содержащих персональные данные и иную конфиденциальную информацию, влечет за собой последствия, предусмотренные действующим законодательством Российской Федерации, а также договорными обязательствами между работодателем и принятым на работу работником, закрепленным служебным контрактом (трудовым договором).
    11.7 По факту разглашения сведений или утраты документов распоряжением руководителя Учреждения назначается комиссия для проведения служебного расследования.
    11.8 Комиссия, проводившая служебное расследование, принимает меры по локализации нежелательных последствий разглашения конфиденциальной информации, устанавливает обстоятельства происшествия и виновных в утрате (разглашении), а также причины и условия, способствующие этому.
    11.9 Служебное расследование проводится в 2-недельный срок со дня обнаружения факта разглашения (утраты). По результатам расследования руководителем Учреждения принимается решение о привлечении виновных лиц к ответственности, предусмотренной законодательством Российской Федерации.
    11.10 Законодательством Российской Федерации за нарушение правил зашиты информационных ресурсов при их использовании предусмотрена уголовная, административная и дисциплинарная ответственность.
    Уголовная ответственность предусмотрена за неправомерный доступ к компьютерной информации (ст. 272 УК РФ) за создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК РФ), за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274 УК РФ).
    Административная ответственность установлена за нарушение установленного законом порядка сбора, хранение, использования или распространения информации о гражданах (персональных данных), за нарушение правил защиты информации, за незаконную деятельность в области защиты информации, за разглашение информации с ограниченным доступом (ст. 13.11, 13.12, 13.13, 13.14 КоАП РФ).
    Дисциплинарная ответственность применяется к лицу, в должностные (трудовые) обязанности которого входило соблюдение или обеспечение соблюдения правил работы с конфиденциальной информацией. Виды дисциплинарных взысканий предусмотрены ст. 192 Трудового кодекса Российской Федерации.