Приложение к Постановлению от 04.03.2013 г № 361 Правила

Правила обработки и организации защиты персональных данных, обрабатываемых в информационных системах персональных данных администрации города Искитима


1.Настоящие Правила обработки и организации защиты персональных данных, обрабатываемых в информационных системах персональных данных администрации города Искитима (далее - Правила), разработаны в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Федеральными законами от 27.07.2006 N 152-ФЗ "О персональных данных", от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации", постановлениями Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
2.Целью настоящих Правил является обеспечение защиты персональных данных граждан от несанкционированного доступа, неправомерного их использования или утраты при обработке в администрации города Искитима.
Правила устанавливают и определяют:
должностную инструкцию ответственного за организацию обработки персональных данных;
обязательство лица, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора (контракта) прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
категории субъектов, персональные данные которых обрабатываются;
содержание обрабатываемых персональных данных;
форму согласия на обработку персональных данных субъектов персональных данных;
форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
сроки обработки и хранения обрабатываемых персональных данных;
правила работы с обезличенными данными;
порядок уничтожения обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований;
процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
правила рассмотрения запросов субъектов персональных данных или их представителей.
3.Оператором, организующим и осуществляющим обработку персональных данных, является администрация города Искитима (далее - оператор).
В целях организации обработки персональных данных оператор назначает лицо, ответственное за организацию обработки персональных данных, действующее в соответствии с должностной инструкцией (приложение 1).
В структурных подразделениях администрации города Искитима назначаются лица, непосредственно осуществляющие обработку персональных данных. При назначении лица оформляется обязательство о прекращении обработки персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, в случае расторжения с ним трудового договора (контракта) (приложение 2).
Перечень должностей, замещение которых предусматривает осуществление обработки персональных данных, а также осуществление доступа к персональным данным, утверждается правовым актом администрации города Искитима.
4.К субъектам, персональные данные которых обрабатываются, относятся:
лица, замещающие муниципальные должности;
лица, претендующие на замещение должностей муниципальной службы и должностей, не отнесенных к должностям муниципальной службы, в администрации города Искитима;
лица, замещающие (замещавшие) должности муниципальной службы и должности, не отнесенные к должностям муниципальной службы, в администрации города Искитима;
лица, обратившиеся в администрацию города Искитима по вопросам, входящим в ее компетенцию;
иные лица в случаях, предусмотренных действующим законодательством.
5.Содержание обрабатываемых персональных данных включает в себя:
анкетные и биографические данные гражданина, в том числе адрес места жительства и проживания;
паспортные данные или данные иного документа, удостоверяющего личность и гражданство, включая серию, номер, дату выдачи, наименование органа, выдавшего документ;
сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки;
сведения о трудовой деятельности, опыте работы, занимаемой должности, трудовом стаже, дополнительном профессиональном образовании;
сведения о составе семьи и наличии иждивенцев, сведения о месте работы или обучения членов семьи;
сведения о состоянии здоровья и наличии заболеваний (в случаях, установленных законом);
сведения об отношении к воинской обязанности;
сведения о доходах и обязательствах имущественного характера, в том числе членов семьи;
сведения об идентификационном номере налогоплательщика;
сведения о социальных льготах и социальном статусе;
сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
иные сведения, необходимые для обработки оператором персональных данных.
6.Оператор осуществляет учет обрабатываемых персональных данных в информационных системах персональных данных администрации города Искитима.
7.Персональные данные обрабатываются с использованием и без использования средств автоматизации.
Обработка персональных данных осуществляется после получения согласия субъекта персональных данных на обработку его персональных данных в соответствии с формой (приложение 3), за исключением случаев, предусмотренных федеральным законом.
В случае если предоставление персональных данных является обязательным, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные согласно форме (приложение 4).
8.Сроки обработки и хранения персональных данных определяются исходя из целей обработки персональных данных, если иной срок не установлен федеральным законом или договором, стороной которого является субъект персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных или утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом или соглашением, стороной по которому является субъект персональных данных.
В случае если персональные данные являются неполными, неточными или неактуальными, оператор обязан в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных (его представителем) подтверждающих это сведений, внести в них соответствующие изменения. Если персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные в срок, не превышающий семи дней.
9.При передаче персональных данных оператор обязан предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать режим конфиденциальности и за счет своих средств обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном федеральным законом.
10.Предоставление сведений о персональных данных субъектов без соответствующего их согласия возможно только в случаях, предусмотренных федеральными законами.
11.В случае необходимости использования персональных данных без определения их принадлежности конкретному субъекту персональных данных производится обезличивание персональных данных.
Обезличенные данные обрабатываются с использованием и без использования средств автоматизации.
Обезличивание персональных данных осуществляется путем уменьшения обрабатываемых сведений, замены части сведений идентификаторами, обобщения (понижения) точности некоторых сведений, деления сведений на части и другими способами.
Обезличенные данные могут использоваться в статистических и других исследовательских целях.
Оператор назначает лиц, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных. Перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, утверждается правовым актом администрации города Искитима.
12.Решение о необходимости уничтожения персональных данных принимает лицо, непосредственно осуществляющее обработку персональных данных.
Уничтожение персональных данных производится путем физического уничтожения носителя персональных данных или путем удаления персональных данных без физического повреждения носителя персональных данных.
При необходимости уничтожения части персональных данных, содержащихся на бумажном носителе, с указанного носителя предварительно копируются сведения, не подлежащие уничтожению, затем уничтожается сам носитель.
13.При обработке персональных данных оператор принимает меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных, в том числе осуществляет следующие процедуры:
назначает лицо, ответственное за организацию обработки персональных данных в администрации города Искитима;
применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных;
осуществляет внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами;
производит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации и настоящих Правил;
знакомит работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и настоящими Правилами.
14.Субъект персональных данных имеет право на ознакомление с его персональными данными и получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые оператором способы обработки персональных данных;
наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные федеральным законом.
Сведения, касающиеся обработки персональных данных и относящиеся к соответствующему субъекту персональных данных, предоставляются оператором при обращении субъекта персональных данных (его представителя) либо в течение 30 дней с даты получения запроса субъекта персональных данных (его представителя).
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором, либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных (его представителя). Запрос может быть направлен в форме электронного документа и подписан электронной подписью.
В случае отказа в предоставлении информации субъекту персональных данных (его представителю), оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положения федерального закона, являющиеся основанием для такого отказа, в срок, не превышающий 30 дней со дня обращения субъекта персональных данных (его представителя) либо с даты получения запроса субъекта персональных данных (его представителя).
Сведения предоставляются субъекту персональных данных на безвозмездной основе, в доступной форме, без указания персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
15.Оборудование и охрана помещений, в которых ведется обработка и хранение персональных данных, должны обеспечивать сохранность носителей персональных данных, а также исключать возможность неконтролируемого проникновения или пребывания посторонних лиц.
Организация рабочих мест в помещениях, в которых ведется обработка персональных данных, должна соответствовать условиям, обеспечивающим персональную ответственность за сохранность обрабатываемых персональных данных.
16.Лица, виновные в нарушении требований, установленных правовыми актами, регулирующими отношения в сфере обработки персональных данных, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Российской Федерации.