7.1. Защита персональных данных работника (обучающегося) от неправомерного их использования или утраты обеспечивается колледжем.
7.2. Защите подлежит:
• информация о персональных данных работника (обучающегося);
• документы, содержащие персональные данные работника (обучающегося);
• персональные данные, содержащиеся на электронных носителях.
7.3. В случае выявления неправомерных действий с персональными данными работника (обучающегося):
• работник, или его законный представитель, или уполномоченный органов по защите прав субъектов персональных данных обращается к директору колледжа с заявлением;
• директор издает распоряжение о блокировании персональных данных, относящихся к соответствующему работнику (обучающемуся) с момента такого обращения или получения такого запроса на период проверки и назначает ответственного для проведения служебного расследования;
• если в ходе служебного расследования подтвердился факт использования недостоверных персональных данных, то работник, ответственный за получение персональных данных, обязан уточнить персональные данные, внести соответствующие изменения и поправки в документы и снять их блокирование;
• если в ходе служебного расследования выявлен факт неправомерных действий с персональными данными, то работник, ответственный за обработку персональных данных и допустивший подобные действия в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенное нарушение. В случае невозможности устранения допущенных нарушений данный работник в срок, не превышающий трех рабочих дней с даты такого выявления, обязан уничтожить неверные персональные данные. Об устранении допущенных нарушений или об устранении персональных данных, работник, ответственный за сбор персональных данных, обязан уведомить работника (обучающегося) или его законного представителя, а в случае, если представление или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных - также указанный орган.
7.4. Специалист по кадрам обеспечивает
• ознакомление сотрудников под роспись с настоящим Положением.
При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных работника, с данными актами также производится ознакомление сотрудника под роспись.
• истребование с сотрудников (за исключением лиц, указанных в пункте 5.9 настоящего Положения) письменного обязательства о соблюдении конфиденциальности персональных данных работника (обучающегося) и соблюдении правил их обработки.
7.5. Организацию и контроль защиты персональных данных обучающихся факультетов, сотрудники которых имеют доступ к персональным данным, осуществляют их деканы.
7.6. Инженер-программист обеспечивает защиту персональных данных в компьютерных информационных системах персональных данных:
• защита сведений, хранящихся в электронных базах данных, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается разграничением прав доступа с использованием учетных записей и системы паролей;
• защита обмена персональными данными при их обработке в информационных системах обеспечивается реализацией соответствующих организационных мер;
• размещение информационных систем, специального оборудования и охрану (опечатывание) помещений, в которых находятся сервера с базами данных, содержащих персональную информацию;
• контроль за предотвращением воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их
функционирование;
• организация возможности восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
• организация обучения лиц, использующих средства защиты информации, применяемых в информационных системах, правилам работы с ними;
• обеспечение учета применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
• контроль соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
• организация разбирательств и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
7.7. Инженер-программист инициирует организационные, технические и программные мероприятия по обеспечению безопасности персональных данных в информационных системах, для чего взаимодействует с организациями или специалистами, уполномоченными на проведение работ по:
• определению возможных угроз безопасности персональных данных при их обработке в информационных системах, формированию модели угроз, определению класса информационной системы;
• разработке на основе модели угроз системы защиты информационных систем, содержащих персональные данные;
• обеспечение установки и ввода в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
• проведение проверки готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации.