Приказ от 10.03.2016 г №№ 01-02, 1

О внесении изменений в приказ аппарата Губернатора и Правительства Ленинградской области от 9 октября 2015 года N 01-02/10 "Об утверждении организационно-распорядительных документов аппарата Губернатора и Правительства Ленинградской области как оператора персональных данных и о признании утратившими силу отдельных приказов аппарата Губернатора и Правительства Ленинградской области"


Внести в приказ аппарата Губернатора и Правительства Ленинградской области от 9 октября 2015 года N 01-02/10 "Об утверждении организационно-распорядительных документов аппарата Губернатора и Правительства Ленинградской области как оператора персональных данных и о признании утратившими силу отдельных приказов аппарата Губернатора и Правительства Ленинградской области" следующие изменения:
1.Подпункт 13 пункта 1 изложить в следующей редакции:
"Порядок доступа в помещения аппарата Губернатора и Правительства Ленинградской области, в которых ведется обработка персональных данных, согласно приложению 13;".

2.Дополнить пунктом 2.1 следующего содержания:
"2.1. Установить, что организационно-распорядительные документы, предусмотренные пунктом 1 настоящего приказа, применяются в аппарате Губернатора и Правительства Ленинградской области в зависимости от категории персональных данных, условий их обработки, а также полномочий и функций аппарата Губернатора и Правительства Ленинградской области.".

3.В Правилах обработки персональных данных в аппарате Губернатора и Правительства Ленинградской области (далее - аппарат) (приложение 1):
наименование изложить в следующей редакции:
"Правила обработки персональных данных в аппарате Губернатора и Правительства Ленинградской области";

пункт 1 изложить в следующей редакции:
"1. Настоящие Правила определяют политику аппарата Губернатора и Правительства Ленинградской области (далее - аппарат) как оператора, осуществляющего обработку персональных данных.";

Пункт 9 изложить в следующей редакции:
"9. Обеспечение безопасности персональных данных в аппарате достигается:
1) определением угроз безопасности персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, а также при обработке персональных данных без использования средств автоматизации, необходимых для выполнения требований к защите персональных данных, установленных Правительством Российской Федерации;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных, входящих в состав автоматизированных рабочих мест работников аппарата;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер в соответствии с законодательством;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных, а также правил доступа к персональным данным при их обработке без использования средств автоматизации.";

в абзаце десятом пункта 10 слова "комитет по телекоммуникациям и информатизации Ленинградской области" заменить словами "комитет по связи и информатизации Ленинградской области".
4.В Правилах рассмотрения запросов субъектов персональных данных или их представителей в аппарате Губернатора и Правительства Ленинградской области (далее - аппарат) (приложение 2):
наименование изложить в следующей редакции:
"Правила рассмотрения запросов субъектов персональных данных или их представителей в аппарате Губернатора и Правительства Ленинградской области";

подпункт 4 пункта 1 изложить в следующей редакции:
"4) наименование и место нахождения аппарата Губернатора и Правительства Ленинградской области (далее - аппарат), сведения о лицах (за исключением работников аппарата), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с аппаратом или на основании федерального закона;".

5.В Правилах осуществления внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, правовым актам аппарата Губернатора и Правительства Ленинградской области (далее - аппарат) (приложение 3):
наименование изложить в следующей редакции:
"Правила осуществления внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27 июля 2006 года N 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, правовым актам аппарата Губернатора и Правительства Ленинградской области";

пункт 1 изложить в следующей редакции:
"1. Внутренний контроль соответствия обработки персональных данных требованиям Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, правовым актам аппарата Губернатора и Правительства Ленинградской области (далее - внутренний контроль) организуется в форме периодических проверок (далее - проверки).";

пункт 2 изложить в следующей редакции:
"2. Проверки осуществляются должностным лицом, ответственным за организацию обработки персональных данных в аппарате Губернатора и Правительства Ленинградской области (далее - аппарат), либо комиссией, образуемой распоряжением аппарата.";

в абзаце втором пункта 4 слово "включает" заменить словами "должен включать";
пункт 5 изложить в следующей редакции:
"5. При проведении проверки должны быть полностью, объективно и всесторонне определены:
1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
2) применение средств защиты информации;
3) эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
4) состояние учета машинных носителей персональных данных, входящих в состав автоматизированных рабочих мест работников аппарата;
5) соблюдение правил доступа к персональным данным;
6) наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
7) мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) мероприятия по обеспечению целостности персональных данных.".

6.В Правилах работы с обезличенными персональными данными в случае обезличивания персональных данных в аппарате Губернатора и Правительства Ленинградской области (далее - аппарат) (приложение 4):
наименование изложить в следующей редакции:
"Правила работы с обезличенными персональными данными в случае обезличивания персональных данных в аппарате Губернатора и Правительства Ленинградской области";

пункт 3 изложить в следующей редакции:
"3. Решение о необходимости обезличивания персональных данных принимает вице-губернатор Ленинградской области - руководитель аппарата Губернатора и Правительства Ленинградской области (далее - вице-губернатор Ленинградской области - руководитель аппарата).";

пункт 4 изложить в следующей редакции:
"4. Должностные лица аппарата Губернатора и Правительства Ленинградской области (далее - аппарат), ответственные за организацию обработки персональных данных, подготавливают предложения вице-губернатору Ленинградской области - руководителю аппарата по обезличиванию персональных данных, обоснование такой необходимости с указанием метода (методов) обезличивания.";

в пункте 5 после слова "Работники" дополнить словом "аппарата".
7.Наименование Перечня персональных данных, обрабатываемых в аппарате Губернатора и Правительства Ленинградской области (далее - аппарат) (приложение 6), изложить в следующей редакции:
"Перечень персональных данных, обрабатываемых в аппарате Губернатора и Правительства Ленинградской области".

8.Перечень должностей работников аппарата Губернатора и Правительства Ленинградской области, ответственных за проведение мероприятия по обезличиванию обрабатываемых персональных данных (приложение 7), изложить в редакции согласно приложению 1 к настоящему приказу.
9.Перечень должностей работников аппарата Губернатора и Правительства Ленинградской области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (Приложение 8), изложить в редакции согласно приложению 2 к настоящему приказу.
10.В Требованиях к содержанию должностного регламента должностного лица, ответственного за организацию обработки персональных данных в аппарате Губернатора и Правительства Ленинградской области (далее - аппарат) (приложение 9):
наименование изложить в следующей редакции:
"Требования к содержанию должностного регламента должностного лица, ответственного за организацию обработки персональных данных в аппарате Губернатора и Правительства Ленинградской области";

абзац первый пункта 2 ("Должностные обязанности") изложить в следующей редакции:
"В соответствии с правовым актом аппарата Губернатора и Правительства Ленинградской области (далее - аппарат) исполнять обязанности ответственного за обработку персональных данных в аппарате:";

в подпункте 2.2 пункта 2 абзац второй исключить.
11.В Порядке доступа работников аппарата Губернатора и Правительства Ленинградской области (далее - аппарат) в помещения, в которых ведется обработка персональных данных (приложение 13):
наименование изложить в следующей редакции:
"Порядок доступа в помещения аппарата Губернатора и Правительства Ленинградской области, в которых ведется обработка персональных данных";

пункт 2 изложить в следующей редакции:
"2. Перечень должностей работников аппарата Губернатора и Правительства Ленинградской области (далее - аппарат), замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утверждается вице-губернатором Ленинградской области - руководителем аппарата.";

в абзаце первом пункта 5 после слова "Работники" дополнить словом "аппарата".
12.Ежегодный план правовых, организационных и технических мер по обеспечению безопасности персональных данных в аппарате Губернатора и Правительства Ленинградской области (далее - аппарат) (приложение 14) изложить в редакции согласно приложению 3 к настоящему приказу.
Вице-губернатор Ленинградской области -
руководитель аппарата Губернатора
и Правительства Ленинградской области
М.Е.Лебединский