Информационная система персональных данных – это совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств (п. 10 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Муниципальные органы могут создавать в пределах своих полномочий муниципальные информационные системы персональных данных (ч. 1 ст. 13 Закона № 152-ФЗ).

Скорее всего, Вы не закупали и не создавали муниципальные информационные системы – только пользуетесь государственными информационными системами (например, порталом «Госуслуги», ЕИС в сфере закупок, ГИС ЖКХ), т. е. в ответе нужно перечислить, какими ГИС пользуется администрация.

База персональных данных – это упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных) (ст. 2 Модельного закона СНГ о персональных данных от 16.10.1999).

Прежде всего, речь идет о персональных данных муниципальных служащих (личные дела). Персональные данные также содержатся в бухгалтерских документах (расчетные листки заработной платы, контракты, акты сдачи-приемки и т. д.), обращениях граждан, документах воинского учета. Администрации нужно ответить, как хранятся документы, содержащие персональные данные, и приложить муниципальные нормативные акты по персональным данным.

Требования к защите персональных данных при их обработке в информационных системах персональных данных утверждены постановлением Правительства РФ от 01.11.2012 № 1119 (далее – Требования). В соответствии с данным документом существует 4 уровня защищенности персональных данных. В ОМС сельских поселений должен быть 4-й уровень (самый низкий).

Согласно п. 13 Требований для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

б) обеспечение сохранности носителей персональных данных;

в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

Вернемся к предыдущим пунктам: как правило у администрации поселения нет муниципальных информационных систем, но отдельные сотрудники работают в государственных информационных системах (с использованием ЭЦП, ключей доступа) + администрация хранит документы, содержащие персональные данные, на бумажных и, возможно, на электронных носителях.

Обычно соблюдение п. 13 Требований достигается с помощью следующих мер:

- помещения, где хранятся персональные данные, запираются на ключ по окончании рабочего дня (у нас есть клиенты, которые дополнительно опечатывают помещение). Наиболее важные документы хранятся в сейфах. На окнах помещений 1-го этажа могут устанавливаться решетки;

- на компьютерах устанавливаются пароли, антивирусы, ведется Журнал учета электронных подписей;

- утверждается перечень сотрудников, которые имеют доступ к различным категориям персональных данных;

- для доступа к государственным информационным системам используются специальные сертификаты, это требование по умолчанию, так что не соответствующих законодательству РФ сертификатов у Вас не может быть.

Организационные и технические меры по обеспечению безопасности персональных данных – это те самые меры, которые принимаются во исполнение п. 13 Требований. Более подробно они описаны в приказе ФСТЭК от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»).

Оценка эффективности мер по обеспечению безопасности персональных данных проводится оператором персональных данных самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации, не реже 1 раза в 3 года (п. 17 Требований).

Форма оценки эффективности принимаемых мер по обеспечению безопасности персональных данных законом не определена и, как правило, определяется внутренними документами оператора, т. е. при самостоятельной оценке Вы можете сами определить, как именно она будет проводиться и оформляться.

С оформлением прав на использование компонентов ГИС, которые являются объектами интеллектуальной собственности, мы не сталкивались. Вряд ли здесь нужно какое-то особое оформление, поскольку органы местного самоуправления получают доступ к ГИС в силу закона. Например, в п. 2 ст. 2 Федерального закона от 21.07.2014 № 209-ФЗ «О государственной информационной системе жилищно-коммунального хозяйства» прямо указано, что органы местного самоуправления относятся к субъектам, размещающим информацию в системе.

Должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе, назначается при наличии 3-го уровня защищенности персональных данных, а структурное подразделение создается при наличии 2-го уровня (п. 14 и 15 Требований). Скорее всего, у администрации должен быть 4-й уровень, т. е. выделять ответственного за безопасность персональных данных не требуется.

Обычно достаточно просто назначить сотрудника, ответственного за организацию обработки персональных данных.