Инструкция ответственного за организацию обработки персональных данных
Данная Инструкция разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет основные обязанности и права ответственного за организацию обработки персональных данных в Администрации сельского поселения Максимовский сельсовет МР Стерлитамакский район РБ (далее – Оператор).
- Лицо, ответственное за организацию обработки персональных данных назначается распоряжением руководителя.
- Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от руководителя и подотчетно ему.
- Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, следующие сведения:
1) наименование, адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, направленные на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных;
10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
- Лицо, ответственное за организацию обработки персональных данных обязано:
1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) представлять на утверждение список лиц, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения служебных (трудовых) обязанностей, а также изменений к нему;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и осуществлять контроль за приемом и обработкой таких обращений и запросов;
4) знать и выполнять требования действующих нормативных и руководящих документов, а также внутренних инструкций по защите информации и прочих нормативных правовых актов, регламентирующих порядок действий по защите информации;
5) обеспечивать установку, настройку и своевременное обновление элементов информационных систем персональных данных:
программного обеспечения автоматизированных рабочих мест и серверов (операционные системы, прикладное и специальное программное обеспечение);
6) обеспечивать работоспособность элементов информационных систем персональных данных и локальной вычислительной сети;
7) осуществлять контроль за порядком учета, создания, хранения и использования резервных и архивных копий массивов данных, машинных (выходных) документов;
8) обеспечивать функционирование и поддерживать работоспособность средств защиты информационных систем персональных данных;
9) в случае отказа работоспособности технических средств и программного обеспечения элементов ИСПДн, в том числе средств защиты информации, принимать меры по их своевременному восстановлению и выявлению причин, приведших к отказу работоспособности;
10) проводить периодический контроль принятых мер по защиты, в пределах, возложенных на него функций;
11) проводить опечатывание (опломбирование) аппаратных средства, с которыми осуществляется штатное функционирование СКЗИ, а также аппаратные и аппаратно ‑ программные СКЗИ. Место опечатывания (опломбирования) СКЗИ, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать. Факты опечатывания и вскрытия аппаратных средств отражать в Журнале учета нештатных ситуаций, фактов вскрытия и опечатывания ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств информационной системы персональных данных;
12) хранить, осуществлять прием и выдачу персональных паролей пользователей, осуществлять контроль за правильностью использования персонального пароля Пользователем информационных систем персональных данных;
13) обеспечивать постоянный контроль за выполнением пользователями установленного комплекса мероприятий по обеспечению безопасности информации;
14) требовать прекращения обработки информации, как в целом, так и для отдельных пользователей, в случае выявления нарушений установленного порядка работ или нарушения функционирования информационных систем персональных данных или средств защиты;
15) присутствовать при выполнении технического обслуживания элементов информационных систем персональных данных сторонними физическими лицами и организациями;
16) обеспечивать строгое выполнение требований по безопасности персональных данных при организации обслуживания технических средств и отправке их в ремонт;
17) принимать меры по реагированию, в случае возникновения внештатных ситуаций и аварийных ситуаций, с целью ликвидации их последствий. Факты внештатных ситуаций отражать в Журнале учета нештатных ситуаций, фактов вскрытия и опечатывания ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств информационной системы персональных данных;
18) при проведении технического обслуживания и ремонта не передавать ремонтным организациям узлы и блоки с элементами накопления и хранения информации;
19) факты проведения ремонтно-восстановительных работ отразить в Журнале учета ремонтно-восстановительных работ на основных технических средствах информационной системы персональных данных.
- Лицо, ответственное за организацию обработки персональных данных имеет право:
1) требовать от оператора и его работников выполнения принятых мер по обеспечению безопасности персональных данных при их обработке;
2) проводить служебные расследования по фактам нарушения установленных требований обеспечения информационной безопасности, несанкционированного доступа, утраты, порчи защищаемой информации и технических компонентов информационной системы персональных данных;
3) вносить свои предложения по совершенствованию мер защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
4) приостанавливать предоставление персональных данных лицам, допущенных к работе с персональными данными, при обнаружении нарушений порядка обработки персональных данных.
- Лицо, ответственное за организацию обработки персональных данных, несет ответственность, предусмотренную законодательством Российской Федерации, за нарушение требований законодательства Российской Федерации о персональных данных.
- Ответственный за организацию обработки персональных данных отвечает за обеспечение устойчивой работоспособности элементов и средств защиты информационных систем персональных данных при обработке персональных данных в соответствии с законодательством Российской Федерации.
- Ответственный за организацию обработки персональных данных готовит проекты организационно-распорядительных документов, необходимых для обеспечения защиты персональных данных, при их обработке в информационных системах Организации. Разрабатывает предложения по основным направлениям развития технической защиты информационных систем персональных данных.
С инструкцией ознакомлен(а)________________________________________________