Счетчик обращений граждан и организаций
ПОСТУПИЛО 480 НА РАССМОТРЕНИИ 458 РЕШЕНО 22

Инструкция лица, ответственного за организацию обработки и защиты персональных данных, обрабатываемых в информационных системах администрации Чаа-Хольского кожууна

Последнее обновление: 23.03.2021

УТВЕРЖДАЮ

И.о. председателя администрации

Чаа-Хольского кожууна

 

                                                                                                Б.Б. Чулдум  _________________

 

«22» марта 2021 г.

 

Инструкция

лица, ответственного за организацию обработки и защиты персональных данных, обрабатываемых в информационных системах администрации Чаа-Хольского кожууна

 

  1. ОБЩИЕ ПОЛОЖЕНИЯ
    1.  Должностная инструкция ответственного за организацию обработки и защиты персональных данных (далее - Инструкция) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.
    2. Инструкция определяет ответственность, обязанности и права лица, назначенного ответственным за организацию обработки и защиты персональных данных, обрабатываемых в информационной системе администрации Чаа-Хольского кожууна.
    3. Ответственный за организацию обработки персональных данных отвечает за осуществление внутреннего контроля за соблюдением законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, доведение до сведений работников соответствующих структурных подразделений положений законодательства Российской Федерации о персональных данных, правовых актов по вопросам обработки персональных данных, требований к защите персональных данных.

 

2. ЗАДАЧИ И ФУНКЦИИ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

2.1. Основными задачами Ответственного являются:

  • разработка нормативной правовой документации, регламентирующей порядок обработки и защиты ПДн;
  • организация доведения до сведения сотрудников, допущенных к ПДн, положений законодательства РФ о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
  • осуществление внутреннего контроля соблюдения требований законодательства РФ и инструкций при обработке ПДн, в том числе требований к защите ПДн;
  • организация контроля эффективности защиты ПДн.

2.2. Для выполнения поставленных задач на Ответственного возлагаются следующие функции:

  • организация допуска пользователей (разработчиков, эксплуатационного персонала) к техническим, программным средствам и информационным ресурсам ГИС в соответствии с матрицей доступа пользователей к защищаемым ПДн, обрабатываемым в ГИС на всех стадиях жизненного цикла ГИС;
  • участие на стадии проектирования (внедрения) ГИС, в разработке технологии обработки ПДн по вопросам:
  • организации порядка учета, хранения и обращения с документами и носителями информации;
  • подготовка новых инструкций и внесение изменений и дополнений в настоящую Инструкцию, определяющих задачи, функции, ответственность, права и обязанности администраторов и пользователей ГИС по вопросам защиты ПДн;
  • организация контроля выполнения требований действующих нормативных документов по вопросам защиты информации при обработке ПДн в ГИС;
  • оперативный контроль хода технологического процесса обработки ПДн;
  • методическое руководство работой пользователей ГИС в вопросах обеспечения информационной безопасности.

 

 

  1. ОБЯЗАННОСТИ ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

3.1. Ответственный за организацию обработки персональных данных обязан:

  • определить порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
  • определять порядок и условия применения средств защиты информации;
  • анализировать эффективность применения мер по обеспечению безопасности персональных данных;
  • контролировать состояние учета машинных носителей персональных данных;
  • проверять соблюдение правил доступа к персональным данным;
  • контролировать проведение мероприятий по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • поддерживать в актуальном состоянии организационно-распорядительные документы в области обеспечения защиты персональных данных;
  • осуществлять учет и периодический контроль состава и полномочий пользователей АРМ, на которых ведется обработка ПДн;
  • обеспечивать конфиденциальность персональных данных, ставших известными в ходе проведения мероприятий внутреннего контроля.

 

  1. ПРАВА ОТВЕТСТВЕННОГО ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

4.1. Ответственный за организацию обработки персональных данных имеет право:

  • осуществлять проверки по контролю соответствия обработки персональных данных требованиям к защите персональных данных;
  • запрашивать у сотрудников администрации Чаа-Хольского кожууна информацию, необходимую для реализации полномочий;
  • требовать от ответственных должностных лиц за обработку персональных данных уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
  • применять меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
  • вносить руководителю администрации Чаа-Хольского кожууна предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
  • вносить руководителю администрации Чаа-Хольского кожууна предложения о привлечении к дисциплинарной ответственности работников администрации Чаа-Хольского кожууна, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных;
  • участвовать в служебных расследованиях по фактам нарушения установленных требований обеспечения информационной безопасности, НСД, утраты, порчи защищаемой информации и технических компонентов ГИС.

 

 

  1. ПРОВЕДЕНИЕ ВНУТРЕННИХ РАССЛЕДОВАНИЙ ПО ФАКТАМ РАЗГЛАШЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

5.1 Основными целями проведения внутреннего расследования являются:

  • выявление предпосылок утраты ПДн в результате нарушения порядка их обработки;
  • выявление лиц из числа сотрудников администрации Чаа-Хольского кожууна виновных в утрате ПДн;
  • определение ущерба в результате утраты ПДн;
  • проверка полноты и качества исполнения нормативных документов по работе со средствами защиты информации;
  • документальное подтверждение соответствия обработки, хранения и передачи ПДн нормам и правилам, установленным федеральными правовыми и нормативными актами;
  • определение фактического состояния системы защиты ПДн.

5.2. Работник, по вине которого произошло нарушение, обязан по требованию Ответственного представить объяснения в письменной форме не позднее двух рабочих дней с момента получения соответствующего требования. Ответственный вправе увеличить указанный срок, а также поставить перед работником перечень вопросов, на которые работник обязан ответить.

5.3. В целях внутреннего расследования все работники администрации Чаа-Хольского кожууна, по первому требованию Ответственного, должны предъявить для проверки все числящиеся за ними материалы, содержащие ПДн, представить устные или письменные объяснения, в том числе об известных им фактах разглашения ПДн, утраты документов и изделий, содержащих ПДн.

5.4. Для проведения внутреннего расследования руководитель администрации Чаа-Хольского кожууна формирует комиссию из опытных и квалифицированных сотрудников администрации Чаа-Хольского кожууна в составе не менее трех человек. Председателем комиссии является Ответственный за организацию обработки и защиты ПДн.

5.5. До вынесения решения членам комиссии запрещается разглашать сведения остальным сотрудникам администрации Чаа-Хольского кожууна о ходе проведения внутреннего расследования и ставших известными им в связи с этим обстоятельствах.

5.6. В процессе проведения внутреннего расследования выясняются:

  • перечень разглашенных сведений, составляющих ПДн;
  • причины разглашения ПДн;
  • круг лиц, виновных в разглашении ПДн;
  • размер причиненного ущерба;
  • недостатки и нарушения, допущенные работниками администрации Чаа-Хольского кожууна при работе с ПДн;
  • иные обстоятельства.

5.7. По результатам расследования комиссией составляется акт с отражением в нем лиц, виновных в разглашении ПДн, размера причиненного ущерба администрации Чаа-Хольского кожууна, наличии ущерба субъектам персональных данных, а также иных выясненных обстоятельствах.

5.8. На основании акта комиссия выносит решение о:

  • применении мер дисциплинарного воздействия к работнику, виновному в разглашении ПДн;
  • информировании регулятора о факте нарушения;
  • информировании правоохранительных органов;
  • информировании субъектов персональных данных.
  •  
  1. ОТВЕТСТВЕННОСТЬ
    1. Ответственный несет ответственность за:
  • реализацию утвержденных в администрации Чаа-Хольского кожууна документов, регламентирующих порядок обработки и обеспечения безопасности ПДн;
  • разглашение ПДн и сведений ограниченного распространения, ставших известными Ответственному в ходе осуществления своей деятельности;
  • качество и последствия проводимых им работ по контролю действий пользователей при работе с персональными данными.