Республика Беларусь, 224016 г. Брест, Карбышева, д.35
8 (0162) 53-09-48 info@brestplem.by
Электронное обращение
By Ru En
Положение о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные, в РСУП «Брестплемпредприятие»
Положение о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные, в РСУП «Брестплемпредприятие»

Республиканское сельскохозяйственное унитарное предприятие

«Брестплемпредприятие»

(РСУП «Брестплемпредприятие»)

Утверждено приказом

генерального директора

РСУП «Брестплемпредприятие»

от 15.10.2021 № 192



ПОЛОЖЕНИЕ

г. Брест

О порядке обеспечения

конфиденциальности при обработке информации, содержащей персональные данные 



ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящее Положение устанавливает применяемые в республиканском сельскохозяйственном унитарном предприятии «Брестплемпредприятие» (далее – РСУП «Брестплемпредприятие») способы обеспечения безопасности при обработке персональных данных, которыми являются любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.

2. Настоящее Положение разработано на основании:

Конституции Республики Беларусь;

Трудового кодекса Республики Беларусь,

Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28.01.1981;

Хартии Европейского союза об основных правах от 12.12.2007;

Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных»;

Закона Республики Беларусь от 21.07.2008 № 418-З «О регистре населения»;

Закона Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;

Закона Республики Беларусь от 28.05.2021 № 114-З «Об изменении законов по вопросам трудовых отношений»;

иных нормативных правовых актов Республики Беларусь.

3. В соответствии с законодательством Республики Беларусь под персональными данными понимается любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая РСУП «Брестплемпредприятие» в связи с трудовыми отношениями.

4. Требование обеспечения конфиденциальности при обработке персональных данных означает обязательное для соблюдения должностными лицами РСУП «Брестплемпредприятие», допущенными к обработке персональных данных, иными получившими доступ к персональным данным лицами требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

5. Обеспечение конфиденциальности персональных данных не требуется в случае:

обезличивания персональных данных (действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных);

для общедоступных персональных данных (персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов).

6. Перечни персональных данных и ответственных за хранение и обработку персональных данных утверждается приказом генерального директора РСУП «Брестплемпредприятие».

Обработка и хранение конфиденциальных данных лицами, не указанными в приказе, запрещается.

7. В целях обеспечения требований соблюдения конфиденциальности и безопасности при обработке персональных данных РСУП «Брестплемпредприятие» предоставляет должностным лицам, работающим с персональными данными, необходимые условия для выполнения указанных требований:

знакомит работника под подпись с требованиями Политики оператора в отношении обработки персональных данных РСУП «Брестплемпредприятие», с Положением о работе с персональными данными в РСУП «Брестплемпредприятие», с настоящим Положением о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные, с должностной инструкцией и иными локальными правовыми актами РСУП «Брестплемпредприятие» в сфере обеспечения конфиденциальности и безопасности персональных данных;

представляет хранилища для документов, средства для доступа к информационным ресурсам (ключи, пароли и т. п.);

обучает правилам эксплуатации средств защиты информации;

проводит иные необходимые мероприятия.

8. Должностным лицам РСУП «Брестплемпредприятие», работающим с персональными данными, запрещается сообщать их устно или письменно кому бы то ни было, если это не вызвано служебной необходимостью. После подготовки и передачи документа файлы черновиков и вариантов документа переносятся подготовившим их сотрудником на маркированные носители, предназначенные для хранения персональных данных.

         Без согласования с руководителем структурного подразделения формирование и хранение баз данных (картотек, файловых архивов и др.), содержащих конфиденциальные данные, запрещается.

9. Должностные лица РСУП «Брестплемпредприятие», работающие с персональными данными, обязаны использовать информацию о персональных данных исключительно для целей, связанных с исполнением своих трудовых обязанностей.

10. При прекращении выполнения трудовой функции, связанной с обработкой персональных данных, все носители информации, содержащие персональные данные (оригиналы и копии документов, машинные и бумажные носители и пр.), которые находились в распоряжении должностного лица в связи с исполнением должностных обязанностей, данный работник должен передать своему непосредственному руководителю.

11. Передача персональных данных третьим лицам допускается только в случаях, установленных законодательством Республики Беларусь, Политикой оператора в отношении обработки персональных данных РСУП «Брестплемпредприятие», Положением о работе с персональными данными в РСУП «Брестплемпредприятие», Положением о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные РСУП «Брестплемпредприятие», должностной инструкцией и иными локальными правовыми актами РСУП «Брестплемпредприятие» в сфере обеспечения конфиденциальности и безопасности персональных данных

         Передача персональных данных осуществляется ответственными за обработку персональных данных должностными лицами РСУП «Брестплемпредприятие» на основании письменного или устного поручения руководителя структурного подразделения.

12. Передача сведений и документов, содержащих персональные данные, оформляется путем составления акта по установленной форме.

13. Должностное лицо, предоставившее персональные данные третьим лицам, направляет письменное уведомление субъекту персональных данных о факте передачи его данных третьим лицам.

14. Запрещается передача персональных данных по телефону, факсу, электронной почте, за исключением случаев, установленных законодательством и действующими в РСУП «Брестплемпредприятие» локальными правовыми актами.

         Ответы на запросы граждан и организаций даются в том объеме, который позволяет не разглашать в ответах персональные данные, за исключением данных, содержащихся в материалах заявителя или опубликованных в общедоступных источниках.

15. Должностные лица РСУП «Брестплемпредприятие», работающие с персональными данными, обязаны немедленно сообщать своему непосредственному руководителю либо лицам, ответственным за осуществление внутреннего контроля за обработкой персональных данных, обо всех ставших им известными фактах получения третьими лицами несанкционированного доступа либо попытки получения доступа к персональным данным, об утрате или недостаче носителей информации, содержащих персональные данные, удостоверений, пропусков, ключей от сейфов (хранилищ), личных печатей, электронных ключей и других фактах, которые могут привести к несанкционированному доступу к персональным данным, а также о причинах и условиях возможной утечки этих сведений.

16. Должностные лица, осуществляющие обработку персональных данных, за невыполнение требований конфиденциальности, защиты персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Республики Беларусь.

17. Отсутствие контроля со стороны РСУП «Брестплемпредприятие» за надлежащим исполнением работником своих обязанностей в области обеспечения конфиденциальности и безопасности персональных данных не освобождает работника от таких обязанностей и предусмотренной законодательством Республики Беларусь ответственности.


ГЛАВА 2
ПОРЯДОК ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ

18. Обработка персональных данных, в том числе содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такая обработка осуществляется при непосредственном участии человека.

19. Руководитель структурного подразделения, осуществляющего обработку персональных данных без использования средств автоматизации:

определяет места хранения персональных данных (материальных носителей);

осуществляет контроль наличия в структурном подразделении условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;

информирует лиц, осуществляющих обработку персональных данных без использования средств автоматизации, о перечне обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки;

организует раздельное, то есть не допускающее смешение, хранение материальных носителей персональных данных (документов, дисков, дискет, USB флеш-накопителей, пр.), обработка которых осуществляется в различных целях.

20. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

21. При несовместимости целей обработки персональных данных руководитель структурного подразделения должен обеспечить раздельную обработку персональных данных.

22. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, должно производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

23. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе.


ГЛАВА 3
ПОРЯДОК ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ
ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ АВТОМАТИЗАЦИИ

24. Обработка персональных данных с использованием средств автоматизации означает совершение действий (операций) с такими данными с помощью объектов вычислительной техники в компьютерной сети (далее – КС) РСУП «Брестплемпредприятие».

Безопасность персональных данных при их обработке в КС обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в КС информационные технологии.

Технические и программные средства защиты информации должны удовлетворять устанавливаемым в соответствии с законодательством Республики Беларусь требованиям, обеспечивающим защиту информации. Средства защиты информации, применяемые в КС, в установленном порядке проходят процедуру оценки соответствия.

25. Допуск лиц к обработке персональных данных с использованием средств автоматизации осуществляется на основании приказа генерального директора РСУП «Брестплемпредприятие» при наличии паролей доступа.

Работа с персональными данными, содержащимися в КС, осуществляется в соответствии с Регламентом действий пользователя в компьютерной сети РСУП «Брестплемпредприятие», с которыми работник, в должностные обязанности которого входит обработка персональных данных, знакомится под подпись.

26. Работа с персональными данными в КС должна быть организована таким образом, чтобы обеспечивалась сохранность носителей персональных данных и средств защиты информации, а также исключалась возможность неконтролируемого пребывания в этих помещениях посторонних лиц.

27. Компьютеры и (или) электронные папки, в которых содержатся файлы с персональными данными, для каждого пользователя должны быть защищены индивидуальными паролями доступа, соответствующими требованиям Регламента парольной защиты РСУП «Брестплемпредприятие».

28. Пересылка персональных данных без использования специальных средств защиты по общедоступным сетям связи, в том числе Интернета, запрещается.

29. При обработке персональных данных в КС пользователями должно быть обеспечено:

использование предназначенных для этого разделов (каталогов) носителей информации, встроенных в технические средства, или съемных маркированных носителей;

недопущение физического воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

постоянное использование антивирусного обеспечения для обнаружения зараженных файлов и незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

недопущение несанкционированных выноса из помещений, установки, подключения оборудования, а также удаления, инсталляции или настройки программного обеспечения.

30. При обработке персональных данных в КС разработчиками и администраторами информационных систем должны обеспечиваться:

обучение лиц, использующих средства защиты информации, применяемые в КС, правилам работы с ними;

учет лиц, допущенных к работе с персональными данными в КС, прав и паролей доступа;

учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;

контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

описание системы защиты персональных данных.

31. Специфические требования по защите персональных данных в отдельных автоматизированных системах РСУП «Брестплемпредприятие» определяются утвержденными в установленном порядке инструкциями по их использованию и эксплуатации.


ГЛАВА 4
ПОРЯДОК УЧЕТА, ХРАНЕНИЯ И ОБРАЩЕНИЯ
СО СЪЕМНЫМИ НОСИТЕЛЯМИ ПЕРСОНАЛЬНЫХ ДАННЫХ,
ТВЕРДЫМИ КОПИЯМИ И ИХ УТИЛИЗАЦИИ

32. Все находящиеся на хранении и в обращении в РСУП «Брестплемпредприятие» съемные носители (диски, дискеты, USB флеш-накопители, пр.), содержащие персональные данные, подлежат учету. Каждый съемный носитель с записанными на нем персональными данными должен иметь этикетку, на которой указывается его уникальный учетный номер.

33. Учет и выдачу съемных носителей персональных данных осуществляет ведущий программист отдела по оценке быков и информационному обеспечению РСУП «Брестплемпредприятие».

Работники РСУП «Брестплемпредприятие» получают учтенный съемный носитель от уполномоченного сотрудника (п. 33 настоящего Положения) для выполнения работ на конкретный срок.

34. При получении делаются соответствующие записи в журнале персонального учета съемных носителей персональных данных (далее – журнал учета), который ведется в отделе по оценке быков и информационному обеспечению.

35. По окончании работ пользователь сдает съемный носитель для хранения уполномоченному сотруднику, о чем делается соответствующая запись в журнале учета.

36. При работе со съемными носителями, содержащими персональные данные, запрещается:

хранить съемные носители с персональными данными вместе с носителями открытой информации, на рабочих столах либо оставлять их без присмотра или передавать на хранение другим лицам;

выносить съемные носители с персональными данными из служебных помещений для работы с ними на дому, в гостиницах и т. д.

37. При отправке или передаче персональных данных адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка персональных данных адресатам на съемных носителях осуществляется в порядке, установленном для документов для служебного пользования. Вынос съемных носителей персональных данных для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя структурного подразделения РСУП «Брестплемпредприятие».

38. О фактах утраты съемных носителей, содержащих персональные данные, либо разглашения содержащихся в них сведений должно быть немедленно сообщено генеральному директору РСУП «Брестплемпредприятие».

39. На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы учета.


ГЛАВА 5
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

37. С настоящим Положением должны быть ознакомлены под роспись все работники РСУП «Брестплемпредприятие», имеющие допуск к работе с персональными данными, а также лица, выполняющие работы по договорам и контрактам, имеющие отношение к обработке персональных данных работников РСУП «Брестплемпредприятие». Ответственный за инструктаж – лицо, назначенное ответственным за техническую защиту персональных данных в РСУП «Брестплемпредприятие».