Образовательная автономная некоммерческая организация высшего образования
Образовательная автономная некоммерческая организация высшего образования "Московский институт технологий и управления"
115114, г. Москва, наб. Дербеневская, д. 11
+7(495)648-6226 , +7(800)444-2462
info@mitu.msk.ru
  2. Комплексная безопасность
  3. Работа с персональными данными

Работа с персональными данными

РЕГЛАМЕНТ

ПО УЧЕТУ, ХРАНЕНИЮ И УНИЧТОЖЕНИЮ НОСИТЕЛЕЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

 1.    ТЕРМИНЫ И СОКРАЩЕНИЯ

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных– обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача персональных данных– передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Типовая информационная система– информационная система, в которой требуется обеспечение только конфиденциальности персональных данных.

Специальная информационная система– информационная система, в которой вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

2.    ОБЩИЕ ПОЛОЖЕНИЯ

Целью данного Регламента является определение правил учета, хранения и уничтожения машинных и бумажных носителей персональных данных (далее – ПДн) в ОАНО ВО «МИТУ».

Настоящий Регламент утверждается и вводится в действие приказом ректора ОАНО ВО «МИТУ» (далее – Оператор) и является обязательным для исполнения всеми сотрудниками, осуществляющими обработку ПДн с применением машинных и бумажных носителей персональных данных.

Ответственными за выполнение требований данного документа и реализацию указанных в нем процедур являются Администратор безопасности информационных систем персональных данных (далее – Администратор безопасности ИСПДн) и Менеджер обработки ПДн.

3.ОРГАНИЗАЦИЯ РАБОТЫ С БУМАЖНЫМИ НОСИТЕЛЯМИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1  ПОРЯДОК    ОРГАНИЗАЦИИ     УЧЕТА    БУМАЖНЫХ НОСИТЕЛЕЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

Любой документ, содержащий ПДн, является конфиденциальным документом и подлежит обязательному учету. Учет документов, содержащих ПДн, осуществляется в соответствии с установленными у Оператора правилами документооборота.

Ответственность за ведение учета документов возлагается на Менеджера обработки ПДн.

3.2   ПОРЯДОК ОРГАНИЗАЦИИ ХРАНЕНИЯ БУМАЖНЫХ НОСИТЕЛЕЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

Для обеспечения физической сохранности бумажных носителей персональных данных (далее – документов), предотвращения их хищения, а также для недопущения разглашения содержащихся в них сведений, Документы должны храниться в сейфах, шкафах или тумбах, запираемых на ключ.

Хранение открытых документов вместе с конфиденциальными документами разрешено только в случаях, когда они являются приложениями к конфиденциальным документам.

Рабочее место сотрудников, обрабатывающих ПДн, должно быть организовано таким способом, чтобы исключить просмотр документов с ПДн, лицами, которые не допущены к обработке ПДн.

Не разрешается хранение документов с ПДн в местах, не запираемых на ключ.

На столе сотрудников, обрабатывающих ПДн, должны быть только те документы, с которыми ведется непосредственно работа, все остальные должны быть убраны в сейф и шкафы.

Все документы, содержащие ПДн, после окончания рабочего дня, должны убираться в запираемые сейфы и шкафы. Перечень мест хранения носителей ПДн приведен в Приложении 1 к настоящему Регламенту. За ведение Перечня мест хранения носителей ПДн отвечает Менеджер обработки ПДн.

Документы передаются на архивное хранение в Правовое управление По достижении целей обработки. Сроки хранения бумажных носителей персональных данных указаны в Приложении 2.

Ответственность за соблюдение норм, описанных в данном разделе, ложится на всех сотрудников, обрабатывающих ПДн, а периодический контроль за выполнением правил хранения возлагается на их непосредственных руководителей.

3.3  ПОРЯДОК УНИЧТОЖЕНИЯ БУМАЖНЫХ НОСИТЕЛЕЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

Основанием для уничтожения документов является:

-      достижение целей обработки;

-      отзыв согласия субъекта на обработку его ПДн;

-      получение соответствующего запроса от субъекта ПДн;

-      получение соответствующего указания от уполномоченного органа по защите прав субъектов.

Локальные документы, содержащие ПДн, уничтожаются по мере необходимости.

Уничтожение документов производится с помощью шредера, сжигания документов или ручным способом, путем разрыва документа на малые части или иными методами, принятыми у Оператора.

Уничтожение документов производиться в присутствии работников Отдела документооборота и архива.

В случае поломки шредера руководителем подразделения, в чьем ведении он находится, пишется заявка на его ремонт или замену, а все документы, подлежащие уничтожению, уничтожаются в других подразделениях.

   3.4 УНИЧТОЖЕНИЕ МАССИВОВ БУМАЖНЫХ НОСИТЕЛЕЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

Массивы документов (архивы, библиотеки и т.п.) уничтожаются под контролем Комиссии по приведению в соответствие с требования российского законодательства в области персональных данных (далее – Комиссия) после проведения экспертизы документов.

Экспертиза документов и массивов документов проводится раз в год путем изучения содержания документов. Цель проведения экспертизы – определить возможность уничтожения документов либо дальнейшие сроки их хранения. Экспертиза проводиться Комиссией, по итогам работы составляется Протокол проведения экспертизы бумажных носителей персональных данных. Форма Протокола приведена в Приложении 3 настоящего Регламента.

Уничтожение массивов документов производится с помощью шредера или путем сжигания.

Если уничтожение массивов документов производит третья сторона, с которой заключен соответствующий договор, Комиссией заблаговременно подготавливаются документы, выделенные для уничтожения. Подготовленные документы помещаются в короба, после чего эти короба запечатываются и передаются третьей стороне.

После уничтожения документов или массива документов всеми членами Комиссии подписывается Акт об уничтожении бумажных носителей ПДн. Форма Акта приведена в Приложении 4 настоящего Регламента.

4. ОРГАНИЗАЦИЯ РАБОТЫ С МАШИННЫМИ НОСИТЕЛЯМИ

Учету подлежат следующие типы машинных носителей ПДн:

-               отчуждаемые носители информации (внешние жесткие магнитные диски, гибкие магнитные диски, магнитные ленты, USB-флеш-накопители, карты флеш-памяти, оптические носители (CD, DVD, Blu-ray и прочее);

-               неотчуждаемые носители информации (жесткие магнитные диски).

4.1  ПОРЯДОК ОРГАНИЗАЦИИ УЧЕТА МАШИННЫХ НОСИТЕЛЕЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

Все машинные носители ПДн, используемые при работе со средствами вычислительной техники (далее – СВТ) для обработки и хранения ПДн, обязательно регистрируются и учитываются в Журнале учета выдачи машинных носителей данных, содержащих ПДн (далее – Журнал). Допускается ведение Журнала в электронной форме. Форма Журнала приведена в Приложении 5 настоящего Регламента.

Ответственность за ведение Журнала у Оператора несет Администратор безопасности ИСПДн.

Каждому машинному носителю, содержащему ПДн, присваивается учетный номер согласно Журналу.

Учетный номер и гриф «Конфиденциально» наносятся на носитель информации или его корпус. Если невозможно маркировать непосредственно машинный носитель данных, то маркируется упаковка, в которой хранится носитель. В этом случае учетный номер записывается также на носитель машинным способом.

За работником, ответственным за СВТ, закрепляются установленные в данном СВТ несъемные жесткие магнитные диски.

4.2  ПОРЯДОК ИСПОЛЬЗОВАНИЯ МАШИННЫХ НОСИТЕЛЕЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

Машинные носители ПДн выдаются пользователям или другим лицам, участвующим в обработке персональных данных, для работы под расписку в Журнале. По завершении работы машинные носители данных сдаются сотруднику, ответственному за их хранение.

После стирания ПДн машинные носители продолжают использоваться наравне с другими машинными носителями конфиденциальной информации. В последующем эти носители повторно используются для записи конфиденциальной информации.

В случае повреждения машинных носителей ПДн, работник, за которым закреплен носитель, сообщает о случившемся Администратору безопасности ИСПДн.

Передача съемного машинного носителя ПДн третьим лицам производится в соответствии с требованиями договора между Оператором и третьим лицом.

Машинные носители ПДн пересылаются в том же порядке, что и документы.

При фиксации ПДн на машинных носителях не допускается фиксация на одном машинном носителе ПДн, цели обработки которых заведомо не совместимы.

Вынос машинных носителей ПДн за пределы контролируемой зоны Оператора запрещается без соответствующего разрешения руководства.

4.3  ПОРЯДОК ХРАНЕНИЯ МАШИННЫХ НОСИТЕЛЕЙ, СОДЕРЖАЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Хранение носителей, содержащих ПДн, осуществляется в условиях, исключающих возможность хищения, изменения целостности или уничтожения содержащейся на них информации.

Отчуждаемые съемные носители ПДн после окончания работы с ними должны убираться в сейфы или шкафы, запираемые на ключ.

Не допускается оставлять на рабочем столе или в СВТ машинные носители, содержащие ПДн.

Персональную ответственность за сохранность полученных машинных носителей и предотвращение несанкционированного доступа к записанным на них ПДн несет работник, за которым закреплен носитель.

   4.4 ХРАНЕНИЕ НОСИТЕЛЕЙ РЕЗЕРВНОГО КОПИРОВАНИЯ

Организация и осуществление правил хранения носителей резервного копирования производятся в соответствии с Регламентом по резервному копированию персональных данных.

4.5  ПОРЯДОК УНИЧТОЖЕНИЯ МАШИННЫХ НОСИТЕЛЕЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

Основанием для уничтожения машинных носителей ПДн является повреждение машинного носителя, исключающее его дальнейшее использование, или потеря практической ценности носителя. Решение об уничтожении машинного носителя принимает Администратор безопасности ИСПДн.

Списанные машинные носители, подлежащие уничтожению, хранятся у Администратора безопасности ИСПДн в месте, запираемом под ключ и отделенном от других машинных носителей. Уничтожение производится раз в год.

Уничтожение носителей производится путем их физического разрушения с предварительным уничтожением содержащейся на них ПДн, если это позволяют физические принципы работы носителя.

Уничтожение машинных носителей производится Комиссией. После уничтожения всех машинных носителей составляется Акт об уничтожении материальных носителей персональных данных. Форма Акта приведена в Приложении 6 к настоящему Регламенту.

При уничтожении машинные носители данных снимаются с учета. Отметка об уничтожении носителей проставляется в Журнале.

   4.6  ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ С МАШИННОГО НОСИТЕЛЯ

Основанием для уничтожения записей или части записей с машинного носителя являются следующие случаи:

-               возврат носителя работником;

-               передача носителя в ремонт;

-               списание носителя.

Хранящиеся на машинных носителях и потерявшие актуальность ПДн своевременно уничтожаются. Администратор безопасности ИСПДн принимает окончательное решение о необходимости их уничтожения.

Администратор безопасности ИСПДн при получении носителя должен обеспечить уничтожение записей или части записей с носителя и подготовить Акт об уничтожении

персональных данных с материального носителя. Форма Акта приведена в Приложении 7 настоящего Регламента.

5.ПЕРЕСМОТР И ВНЕСЕНИЕ ИЗМЕНЕНИЙ

Пересмотр положений настоящего документа проводится в следующих случаях, указанных в Регламенте по проведению контрольных мероприятий и реагированию на инциденты информационной безопасности.

Ответственным за пересмотр настоящего Регламента являются Администратор безопасности ИСПДн и Менеджер обработки ПДн.

Внесение изменений проводится на основании соответствующего приказа начальника Оператора.