- Главная
- Органы власти
- Отдел по информационным технологиям
- Политика обработки персональных данных
- Положение о порядке обработки персональных данных
Положение о порядке обработки персональных данных
ПОЛОЖЕНИЕ О ПОРЯДКЕ (ЗАЩИТЕ) ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ «ГАГАРИНСКИЙ РАЙОН» СМОЛЕНСКОЙ ОБЛАСТИ
Утверждено распоряжением Администрации муниципального образования «Гагаринский район» Смоленской области от___26.08.2016___ № _327-р_
1Общие положения
1.1Настоящее Положение по обработке персональных данных (далее - Положение) в Администрации муниципального образования «Гагаринский район» Смоленской области (далее – Администрация) разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», Регламента Администрации муниципального образования «Гагаринский район» Смоленской области.
1.2Цель разработки Положения - определение порядка обработки персональных данных работников Администрации и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий Администрации; обеспечение защиты прав и свобод человека и гражданина, в т.ч. работника Администрации, при обработке его персональных данных, в т.ч. защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3Положение обязательно для исполнения всеми работниками, непосредственно осуществляющими обработку персональных данных. Нарушение порядка обработки персональных данных, определенного Положением, влечет материальную, дисциплинарную, гражданскую, административную и уголовную ответственность в соответствии с нормами действующего законодательства Российской Федерации.
1.4Порядок ввода в действие и изменения Положения.
1.5Настоящее Положение вступает в силу с момента его утверждения Главой Администрации и действует бессрочно, до замены его новым Положением.
1.5.1Все изменения в Положение вносятся на основании решения главы Администрации в установленном порядке.
1.6Положение распространяется, в том числе, на обработку обезличенных данных, а также персональных данных, сделанных общедоступными субъектом персональных данных.
1.7Все работники Администрации должны быть ознакомлены с настоящим Положением под роспись.
1.8Все персональные данные, обрабатываемые Администрацией, за исключением обезличенных персональных данных и персональных данных, сделанных общедоступными субъектом персональных данных, признаются информацией ограниченного доступа.
1.9Режим конфиденциальности персональных данных работников снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии Администрации, если иное не определено законом.
1.10Данное Положение не принимается для оформления работников на допуск к документам и работам со сведениями, составляющими государственную тайну.
2Основные понятия
2.1Для целей настоящего Положения используются следующие основные понятия:
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Доступ к персональным данным – возможность получения персональных данных и их использования.
Запись персональных данных – ввод персональных данных в ЭВМ и (или) фиксация персональных данных на материальном носителе.
Извлечение персональных данных – действия, направленные на построение структурированных персональных данных из неструктурированных или слабоструктурированных машиночитаемых документов.
Изменение персональных данных – действия, направленные на модификацию значений персональных данных.
Информация - сведения (сообщения, данные) независимо от формы их представления;
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
[Информационный] поиск персональных данных – действия, методы и процедуры, позволяющие осуществлять отбор определенных персональных данных из массива данных.
Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Материальный носитель информации (носитель документированной информации) – материальный объект, используемый для закрепления и хранения на нем речевой, звуковой или изобразительной информации, в том числе в преобразованном виде.
Конфиденциальность персональных данных - обязательное для соблюдения назначенным ответственным лицом, получившим доступ к персональным данным работников, требований не допускать их распространения без согласия работника или иного законного основания;
Накопление персональных данных – действия, направленные на формирование исходного, несистематизированного массива персональных данных.
Неавтоматизированная обработка персональных данных (обработка персональных данных без использования средств автоматизации) – обработка персональных данных, при которой такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого субъекта персональных данных осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в ИСПДн, либо были извлечены из нее.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обновление персональных данных – действия, направленные на приведение записанных персональных данных в соответствие с состоянием отображаемых объектов предметной области.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (оператор - Администрация);
Передача персональных данных – распространение, предоставление или доступ к персональным данным.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Раскрытие персональных данных – обеспечение доступа к персональным данным неограниченного круга лиц независимо от цели получения указанных персональных данных.
Сбор персональных данных – действия, направленные на получение оператором персональных данных от субъектов этих данных.
Систематизация персональных данных – действия, направленные на объединение и расположение персональных данных в определенной последовательности.
Специальные категории персональных данных – персональные данные, в том числе, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, о судимости.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти.
Удаление персональных данных – изъятие персональных данных из информационных систем с сохранением последующей возможности их восстановления.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Уточнение персональных данных – действия, направленные на обновление или изменение персональных данных.
Хранение персональных данных – процесс передачи персональных данных во времени, связанный с обеспечением неизменности состояний материального носителя персональных данных.
3Основные правила обработки персональных данных
3.1Утверждаются решением главы Администрации и являются приложениями к настоящему Положению:
3.1.1Перечень обрабатываемых Администрацией персональных данных.
3.1.2Перечень информационных систем персональных данных Администрации.
3.2Цели обработки персональных данных Администрации определены в пункте 2.2 «Политика в отношении обработки персональных данных в Администрации, утверждённой главой Администрации.
3.3Обработка персональных данных Администрацией включает действия (операции), перечисленные в разделе 10 настоящего Положения, но не ограничивается ими.
3.4Администрацией не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.5Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.
3.6Администрацией не допускается объединение баз данных, содержащих персональных данных, обработка которых осуществляется в целях, несовместимых между собой.
4Состав персональных данных работников
4.1В состав персональных данных работников Администрации входят документы, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, а также о предыдущих местах их работы.
4.2Комплект документов, сопровождающий процесс оформления трудовых отношений работника Администрации при его приеме, переводе и увольнении.
4.2.1Информация, представляемая работником при поступлении на работу в Администрацию должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
-
паспорт или иной документ, удостоверяющий личность;
-
заявление с просьбой о поступлении на муниципальную службу и замещении должности муниципальной службы;
-
собственноручно заполненную и подписанную анкету по форме, установленной уполномоченным Правительством Российской Федерации федеральным органом исполнительной власти;
-
трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые;
-
страховое свидетельство обязательного пенсионного страхования, за исключением случаев, когда трудовой договор (контракт) заключается впервые;
-
документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
-
документ об образовании и (или) о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
-
заключение медицинской организации об отсутствии заболевания, препятствующего поступлению на муниципальную службу;
-
свидетельство ИНН (индивидуальный налоговый номер);
-
сведения о доходах за год, предшествующий году поступления на муниципальную службу, об имуществе и обязательствах имущественного характера.
4.2.2При оформлении субъекта на работу, уполномоченным работником Администрации заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
-
общие сведения (Ф.И.О. работника, паспортные данные, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке,);
-
сведения о воинском учете;
-
данные о приеме на работу.
В дальнейшем в личную карточку вносятся:
-
сведения о переводах на другую работу;
-
сведения об аттестации;
-
сведения о повышении квалификации;
-
сведения о профессиональной переподготовке;
-
сведения о наградах (поощрениях), почетных званиях;
-
сведения об отпусках;
-
сведения о социальных гарантиях;
-
сведения о месте жительства и контактных телефонах.
4.2.3В Администрации создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
-
Документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Администрации руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).
-
Документация о структурных подразделений (положения о структурных подразделениях, должностные инструкции работников, приказы, распоряжения, указания Главы Администрации); документы по планированию, учету, анализу и отчетности в части работы с персоналом.
5Принципы обработки персональных данных.
5.1Обработка персональных данных должна осуществляться на основе принципов:
-
законности целей и способов обработки персональных данных и добросовестности;
-
соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Администрации;
-
обработки подлежат только персональные данные, которые отвечают целям их обработки;
-
соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
-
достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
-
недопустимости обработки персональных данных, несовместимых с целями сбора персональных данных;
-
недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;
-
Администрация должна принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
-
обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
-
обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
-
соблюдения принципов и правил обработки персональных данных при поручении такой обработки другому лицу;
-
соблюдения конфиденциальности персональных данных;
-
обработки персональных данных (в том числе при обработке общедоступных персональных данных, специальных категорий персональных данных, биометрических персональных данных, при принятии решений на основании исключительно автоматизированной обработки персональных данных, при трансграничной передаче персональных данных) с письменного согласия субъектов персональных данных либо на ином законом основании;
-
соблюдения законности при осуществлении трансграничной передачи персональных данных;
-
соблюдения обязанностей, возлагаемых на Администрацию, действующим законодательством и иными нормативными актами по обработке персональных данных;
-
принятия мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством в области персональных данных;
-
принятия необходимых правовых, организационных и технических мер или обеспечении их принятия для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
-
личной ответственности должностных лиц, осуществляющих обработку персональных данных.
Нарушение указанных принципов обработки персональных данных категорически запрещается!
5.2Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
5.3Работник является собственником своих персональных данных и самостоятельно решает вопрос передачи Администрации своих персональных данных.
5.4Держателем персональных данных является Администрация, которой работник добровольно передает во владение свои персональные данные. Администрация выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.
5.5Право доступа к персональным данным работника имеют лица, уполномоченные Главой Администрации.
5.6Потребителями (пользователями) персональных данных являются юридические и физические лица, обращающиеся к собственнику или держателю персональных данных за получением необходимых сведений и пользующиеся ими без права передачи, разглашения.
5.7Получение, хранение, комбинирование, передача или любое другое использование персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
6Способы и правила обработки персональных данных в информационных системах персональных данных в зависимости от применения средств автоматизации
Способы обработки персональных данных в информационных системах персональных данных:
-
обработка персональных данных без использования средств автоматизации;
-
обработка персональных данных с использованием средств автоматизации;
-
исключительно автоматизированная обработка персональных данных;
-
смешанная обработка персональных данных.
6.1Правила обработки персональных данных без использования средств автоматизации.
Обработка персональных данных без использования средств автоматизации (далее – неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации.
6.1.1При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.
6.1.2При неавтоматизированной обработке персональных данных на бумажных носителях:
-
не допускается фиксация на одном бумажном носителе персональных данных, цели, обработки которых заведомо не совместимы;
-
персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
-
документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
-
дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.
6.1.2.1При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия:
-
типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес Администрации, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Администрацией способов обработки персональных данных;
-
типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, - при необходимости получения письменного согласия на обработку персональных данных;
-
типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
-
типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели, обработки которых заведомо не совместимы.
6.1.3Неавтоматизированная обработка персональных данных в электронном виде осуществляется на внешних электронных носителях информации.
6.1.3.1При отсутствии технологической возможности осуществления неавтоматизированной обработки персональных данных в электронном виде на внешних носителях информации необходимо принимать организационные (охрана помещений) и технические меры (установка сертифицированных средств защиты информации), исключающие возможность несанкционированного доступа к персональным данным лиц, не допущенных к их обработке.
6.1.3.2Электронные носители информации, содержащие персональные данные, учитываются в журнале учета электронных носителей персональных данных, составленном по форме.
6.1.3.3При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном электронном носителе, если электронный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
-
при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
-
при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
6.1.3.4Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
6.1.3.5Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
6.2Правила обработки персональных данных средствами автоматизации.
Обработка персональных данных средствами автоматизации в Администрации допускается только в следующих случаях:
-
обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
-
обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на Администрацию функций, полномочий и обязанностей;
-
обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);
-
обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
-
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
-
обработка персональных данных необходима для осуществления прав и законных интересов Администрации или третьих лиц либо для достижения Администрацией значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
-
обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;
-
осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных);
-
осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Обработка персональных данных средствами автоматизации должна осуществляться на основании правил, инструкций, руководств, регламентов и иных документов, определяющих технологический процесс обработки информации, содержащих такие данные, определенный для выполнения конкретных операций с заранее определенными целями, с учетом требований настоящего Положения.
6.2.1Обработка персональных данных с согласия субъекта персональных данных.
6.2.1.1Все персональные данные работника Администрации следует получать у него самого. Если персональные данные работника, возможно, получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо работодателя должно сообщить работнику Администрации о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
6.2.1.2Работодатель не имеет права получать и обрабатывать персональные данные работника Администрации о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
6.2.1.3Обработка указанных персональных данных работников работодателем возможна только с их согласия либо без их согласия в следующих случаях:
-
персональные данные являются общедоступными;
-
персональные данные относятся к состоянию здоровья работника и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
-
по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.
6.2.1.4Работодатель вправе обрабатывать персональные данные работника только с его письменного согласия.
Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Администрацией.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
6.2.1.5Письменное согласие работника на обработку своих персональных данных должно включать в себя:
-
фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
-
наименование (фамилию, имя, отчество) и адрес Администрации, получающего согласие субъекта персональных данных;
-
цель обработки персональных данных;
-
перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
-
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Администрации, если обработка будет поручена такому лицу;
-
перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Администрацией способов обработки персональных данных;
-
срок, в течение которого действует согласие, а также порядок его отзыва;
-
дата предоставления согласия;
-
подпись субъекта персональных данных.
Форма согласия работника на обработку персональных данных в Приложении 1 к настоящему Положению.
Согласие субъекта персональных данных оформляется в двух экземплярах, один из которых передается субъекту персональных данных, а второй Администрации.
При документальном оформлении действий (операций) с персональными данными необходимо обратить особое внимание на использование термина «распространение» персональных данных, так как это действия, направленные на раскрытие персональных данных неопределенному кругу лиц, что при обработке персональных данных чаще всего является запрещенным. Указанный термин «распространение» необходимо указывать только при обработке общедоступных данных.
6.2.1.6Согласие работника не требуется в следующих случаях:
-
обработка персональных данных осуществляется на основании Трудового кодекса Российской Федерации или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;
-
обработка персональных данных осуществляется в целях исполнения трудового договора;
-
обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
-
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.
6.3Правила исключительно автоматизированной обработки персональных данных.
При исключительно автоматизированной обработке персональных данных должны выполняться правила обработки персональных данных средствами автоматизации (пункт 5.2 настоящего Положения).
Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
В остальных случаях принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы запрещается.
При исключительно автоматизированной обработке персональных данных необходимо:
-
разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных;
-
разъяснить возможные юридические последствия такого решения;
-
предоставить возможность заявить возражение против такого решения;
-
рассмотреть возражение;
-
уведомить субъекта персональных данных о результатах рассмотрения такого возражения в порядке определенном в пункте 13.2 настоящего Положения в сроки, предусмотренные пунктом 13.1 настоящего Положения.
6.4Правила смешенной обработки персональных данных.
При смешанной обработке персональных данных необходимо выполнять правила объединяющие правила обработки персональных данных при их обработке каждым из используемых при смешанной обработке персональных данных способов (пункты 5.1-5.2 настоящего Положения).
6.5Правила обработки персональных данных средствами автоматизации при поручении обработки персональных данных
6.5.1Правила обработки персональных данных средствами автоматизации при поручении обработки персональных данных другому лицу.
Администрация вправе поручить обработку персональных данных другому лицу (поручение оператора):
-
с согласия субъекта персональных данных;
-
если иное не предусмотрено федеральным законом;
-
на основании заключаемого с этим лицом договора.
Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Положением.
В поручении оператора:
-
должен быть определен перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных;
-
должны быть определены цели обработки персональных данных;
-
должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных;
-
должна быть установлена обязанность такого лица обеспечивать безопасность персональных данных при их обработке;
-
должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с настоящими Правилами и техническим заданием на создание системы защиты персональных данных;
-
установлена ответственность такого лица перед Администрацией, в случаях нарушений установленных требований и законодательства Российской Федерации в области персональных данных;
-
при необходимости получения согласий на обработку персональных данных от субъектов персональных данных, предусмотрен порядок сбора и передачи в Администрацию таких согласий субъектов персональных данных.
В случае если Администрация поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Администрация.
В случае необходимости получения согласия на обработку персональных данных от субъекта персональных данных обязанность получения таких согласий возлагается на Администрацию.
6.5.2Правила обработки персональных данных средствами автоматизации при поручении обработки персональных данных другим лицом.
В случае поручения обработки персональных данных средствами автоматизации Администрации другим лицом, такое лицо своим поручением оператору обязано:
-
определить перечень действий (операций) с персональными данными, которые будут совершаться Администрацией при осуществлении обработки персональных данных;
-
определить цели обработки персональных данных ;
-
указать требования к защите обрабатываемых персональных данных.
В случае не определения такой информации и требований другим лицом, Администрация обязана добиться их определения и документального оформления.
В случае принятия поручения оператора от другого лица Администрация без указанной информации и требований, такая обработка не считается обработкой осуществляемой по поручению оператора, Администрация будет являться оператором персональных данных. При этом обработка персональных данных должна выполняться в соответствии с настоящим Положением за исключением пункта 5.5.
Администрация обязана выполнить все требования установленные другим лицом в поручении оператора и за все нарушения в обработке персональных данных несет ответственность перед таким лицом.
Администрация при осуществлении обработки персональных данных по поручению оператора не обязан получать согласие субъекта персональных данных на обработку его персональных данных.
6.6Особые правила обработки персональных данных в информационных системах персональных данных в зависимости от категории обрабатываемых персональных данных
В Администрации устанавливаются следующие особые правила обработки персональных данных в зависимости от категории обрабатываемых персональных данных:
-
обработка специальных категорий персональных данных;
-
обработка биометрических персональных данных;
-
обработка общедоступных персональных данных.
Особые правила обработки персональных данных в информационных системах персональных данных в зависимости от категории обрабатываемых персональных данных являются дополнительными способам и правилам обработки персональных данных в информационных системах персональных данных в зависимости от применения средств автоматизации указанным в пункте 5.2 настоящего Положения.
6.6.1Правила обработки специальных категорий персональных данных
К специальным категориям персональных данных относятся сведения касающиеся:
-
расовой принадлежности;
-
национальной принадлежности;
-
политических взглядов;
-
религиозных убеждений;
-
философских убеждений;
-
состояния здоровья;
-
интимной жизни;
-
судимости.
В Администрации категорически запрещается обработка специальных категорий персональных данных касающихся:
-
расовой принадлежности;
-
национальной принадлежности;
-
политических взглядов;
-
религиозных убеждений;
-
философских убеждений;
-
интимной жизни.
В Администрации разрешается обработка сведений специальных категорий персональных данных касающиеся состояния здоровья и судимости в минимально необходимом объеме, при обязательном соблюдении любого из следующих условий:
-
субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
-
обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
-
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
-
обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
-
обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, о противодействии терроризму, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
-
обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
-
обработка персональных данных о судимости осуществляется в пределах полномочий, предоставленных Администрации в соответствии с законодательством Российской Федерации.
Обработка специальных категорий персональных данных в остальных случаях в Администрации не допускается.
Обработка специальных категорий персональных данных, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.
6.6.2Правила обработки биометрических персональных данных.
К биометрическим персональным данным относятся условия, на основании которых можно установить его личность, и которые используются Администрацией для установления личности субъекта персональных данных.
Обработка биометрических персональных данных в Администрации осуществляется без использования средств автоматизации.
В случае принятия решения об обработке биометрических персональных данных, такие данные могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.
6.6.3Правила обработки общедоступных персональных данных.
Общедоступные персональные данные физических лиц, полученные из сторонних общедоступных источников персональных данных, в Администрации обрабатываются в исключительных случаях в сроки, не превышающие необходимых для их использования. При этом совместно с такими данными должны собираться реквизиты их источника и подтверждение согласия субъекта персональных данных на включение такой информации в общедоступные источники персональных данных, так как в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на Администрацию. По достижении целей обработки общедоступных персональных данных они подлежат немедленному уничтожению.
С целью информационного обеспечения и осуществления взаимодействия как внутри Администрации, так и со сторонними физическими и юридическими лицами в Администрации могут создаваться общедоступные источники персональных данных. Создание общедоступного источника персональных данных осуществляется по решению Главы Администрации. В решении о создании общедоступного источника персональных данных должны быть указаны:
-
цель создания общедоступного источника персональных данных;
-
перечень персональных данных, которые вносятся в общедоступный источник персональных данных;
-
порядок включения персональных данных в общедоступный источник персональных данных;
-
порядок получения письменного согласия субъекта персональных данных на включение персональных данных в общедоступный источник персональных данных;
-
ссылка на нормативный акт, устанавливающий порядок исключения персональных данных из общедоступного источника персональных данных.
В общедоступный источник персональных данных с письменного согласия субъекта персональных данных могут включаться: должность, фамилия, имя, отчество, абонентский номер рабочего телефона, место получения образования, достигнутые результаты и другая информация.
Включение в общедоступные источники персональных данных персональных данных субъекта персональных данных допускается только на основании его письменного согласия.
Исключение персональных данных из указанного общедоступного источника осуществляется при утрате необходимости в обработке таких данных, либо на основании заявления субъекта персональных данных в установленном настоящим Положением (пункт 13.2.10) и действующим законодательством Российской Федерации порядке.
6.7Особые правила обработки персональных данных в информационных системах персональных данных в зависимости от цели обработки персональных данных.
Особые правила обработки персональных данных в информационных системах персональных данных в зависимости от цели обработки персональных данных являются дополнительными способами и правилами обработки персональных данных в информационных системах персональных данных в зависимости от применения средств автоматизации указанным в пункте 5.2 настоящего Положения.
6.7.1Правила обработки персональных данных с целью однократного пропуска субъекта персональных данных на охраняемую территорию.
При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию Администрации, должны соблюдаться следующие условия:
-
необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена локальным актом Администрации, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (по должностям), имеющих доступ к материальным носителям и перечень лиц, ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных;
-
копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;
-
персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на охраняемую территорию.
7Необходимость обработки персональных данных
Необходимость обработки персональных данных определяется заранее определенной и документированной целью обработки персональных данных и может устанавливаться (требоваться) нормативно-правовым актом (например, федеральным законом) или определяется принятым в Администрации порядком выполнения определенных операций по обработке информации, в рамках, заявленных в Уставе Администрации основных полномочий и прав, либо в рамках перечня задач или функций структурных подразделений (должностных лиц) Администрации, указанных в положениях о таких структурных подразделениях (должностных обязанностях).
Принятый в Администрации порядок выполнения определенных операций по обработке информации, в рамках которых производится обработка персональных данных, должен быть отражен в локальном нормативном акте Администрации.
Обработка персональных данных без определения правового основания ее необходимости категорически запрещается.
8Перечни персональных данных, используемые для решения задач и функций структурными подразделениями
Для решения тех или иных задач и функций структурными подразделениями Администрации определяются наборы персональных данных, обработка которых вызвана заранее определенной и документированной целью обработки персональных данных.
Обработка персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных недопустима.
Перечень персональных данных, используемых для решения конкретных задач и функций структурными подразделениями в Администрации утверждается Главой Администрации.
9Правовое основание обработки персональных данных
Правовое основание обработки персональных данных включает в себя:
-
определение законности целей обработки персональных данных;
-
оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных;
-
определение заданных характеристик безопасности персональных данных;
-
определение сроков обработки, в том числе хранения персональных данных, осуществление контроля за соблюдением сроков обработки персональных данных и фактов достижения целей обработки персональных данных.
9.1Определение законности целей обработки персональных данных.
Заявляемые в качестве целей обработки персональных данных цели должны быть законны. Законность целей обработки персональных данных в Администрации определяется их соответствием случаям, указанным в пункте 5.2 настоящего Положения.
Причем, кроме самого факта обработки персональных данных, должны рассматриваться, и соответственно иметь правовое основание, особые правила обработки определенных наборов персональных данных (таких как специальные категории персональных данных, биометрические персональные данные и др.), особые способы обработки персональных данных (обработка без использования средств автоматизации, исключительно автоматизированная обработка персональных данных и др.), а так же особые цели обработки персональных данных (однократный пропуск на охраняемую территорию, трансграничная передача персональных данных и др.).
При определении правовых оснований обработки персональных данных должны определяться реквизиты федерального закона, а также иных подзаконных актов, и документов органов государственной власти, которые требуют обработку персональных данных или иных документов, являющихся такими основаниями.
Обработка персональных данных без документально определенного и оформленного правового основания обработки персональных данных не допускается.
Правовые основания обработки персональных данных оформляются в порядке, установленном пунктом 5.7 настоящего Положения.
9.2Заданные характеристики безопасности персональных данных.
Всеми лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных.
Конфиденциальность персональных данных это обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Вне зависимости от необходимости обеспечения конфиденциальности персональных данных, при обработке персональных данных должно определяться наличие требований по обеспечению иных характеристик безопасности персональных данных, отличных от нее.
К таким характеристикам относятся:
-
требование по обеспечению защищенности от уничтожения персональных данных;
-
требование по обеспечению защищенности от изменения персональных данных;
-
требование по обеспечению защищенности от блокирования персональных данных;
-
требование по обеспечению защищенности от иных несанкционированных действий.
Обеспечение указанных характеристик безопасности персональных данных может устанавливаться:
-
федеральным законом, а также иным подзаконным актом, документом органов государственной власти;
-
локальным актом Администрации.
9.3Определение сроков обработки, в том числе хранения персональных данных, осуществление контроля за соблюдением сроков обработки персональных данных и фактов достижения целей обработки персональных данных.
На основании определенных целей обработки персональных данных, способов обработки и образующихся в процессе такой обработки различных видов документов устанавливаются сроки такой обработки персональных данных, в том числе хранения.
Указанные сроки должны быть определены и документально оформлены в порядке, установленном пунктом 5.7 настоящего Положения.
Определение сроков хранения осуществляется в соответствии с требованиями архивного законодательства Российской Федерации, в том числе, в соответствии с перечнями типовых архивных документов с указанием сроков их хранения.
При использовании документов, содержащих персональные данные, в различных целях, определение сроков обработки, в том числе хранения, таких документов устанавливается по максимальному сроку. При этом в случае наличия персональных данных в таких документах, обработка которых более не требуется, производятся действия по уничтожению таких данных в порядке, определяемым настоящим Положением.
Включение в состав Архивного фонда Российской Федерации документов, содержащих персональные данные, осуществляется на основании экспертизы ценности документов и оформляется договором между Администрацией и государственным или муниципальным архивом. При этом объем передаваемых документов и условия передачи определяется условиями такого договора и действующим требованиями архивного законодательства Российской Федерации.
На документы, включенные в состав Архивного фонда Российской Федерации, действие настоящего Положения не распространяется.
Обработка персональных данных без документально определенных и оформленных сроков обработки, в том числе хранения персональных данных не допускается.
С целью выполнения требования по уничтожению либо обезличиванию персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом в Администрации создается комиссия, определяющая факт достижения целей обработки персональных данных и достижение предельных сроков хранения документов, содержащих персональные данные. Порядок работы данной комиссии устанавливается отдельным положением. Правила, устанавливаемые таким положением, не должны противоречить настоящему Положению.
10Действия (операции) с персональными данными
Обработкой персональных данных называется любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая:
-
сбор персональных данных,
-
запись персональных данных,
-
систематизацию персональных данных,
-
накопление персональных данных,
-
хранение персональных данных,
-
уточнение (обновление) персональных данных,
-
уточнение (изменение) персональных данных,
-
извлечение персональных данных,
-
использование персональных данных,
-
передачу (распространение) персональных данных,
-
передачу (предоставление) персональных данных,
-
передачу (доступ) персональных данных,
-
блокирование персональных данных,
-
удаление персональных данных,
-
уничтожение персональных данных.
Указанные действия (операции) с персональными данными в информационных системах персональных данных должны быть определены и документально оформлены в порядке, установленном пунктом 5.7 настоящего Положения. При документальном оформлении действий (операций) с персональными данными рекомендуется использовать только указанные термины.
Обработка персональных данных без определенных и документально оформленных действий (операций) совершаемых с персональными данными не допускается.
10.1Осуществление сбора персональных данных.
10.1.1Способы сбора персональных данных и источники их получения.
В Администрации применяются следующие способы получения персональных данных субъектов персональных данных:
-
заполнение субъектом персональных данных соответствующих форм (в том числе для заключения договора);
-
получение персональных данных от третьих лиц;
-
получение данных на основании запроса третьих лиц;
-
сбор данных из общедоступных источников.
Получение персональных данных в Администрации допускается только:
-
непосредственно от субъекта персональных данных;
-
из общедоступных источников;
-
от третьих лиц по основаниям, указанным в пункте 5 настоящего Положения.
Получение персональных данных из иных источников не допускается.
В связи с необходимостью постоянного контроля за наличием персональных данных в общедоступных источниках персональных данных, получение и использование таких данных является не рекомендуемым и должно осуществляться только в исключительных случаях в сроки, не превышающие необходимых для принятия соответствующего решения.
10.1.2Правила сбора персональных данных.
При сборе персональных данных Администрация обязана предоставить субъекту персональных данных по его просьбе информацию:
-
наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
-
цель обработки персональных данных и ее правовое основание;
-
предполагаемые пользователи персональных данных;
-
установленные права субъекта персональных данных;
-
источник получения персональных данных.
Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Администрация обязана разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные (пункт 8 настоящего Положения).
Если основания на обработку персональных данных без согласия отсутствуют, то необходимо получение согласия субъекта персональных данных на обработку его персональных данных в соответствии с пунктом 6.2.1 настоящего Положения. Обработка персональных данных без получения такого согласия категорически запрещается.
Сбор персональных данных должен осуществляться с учетом правил и особых правил обработки персональных данных, предусмотренных пунктами 5 – 8 настоящего Положения.
Если персональные данные получены не от субъекта персональных данных, Администрация до начала обработки таких персональных данных обязано предоставить субъекту персональных данных следующую информацию:
-
наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
-
цель обработки персональных данных и ее правовое основание;
-
предполагаемые пользователи персональных данных;
-
установленные права субъекта персональных данных;
-
источник получения персональных данных.
Администрация освобождается от обязанности предоставить субъекту персональных данных сведения, в случаях, если:
-
субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
-
персональные данные получены Администрацией на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
-
персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
-
Администрация осуществляет обработку персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных;
-
предоставление субъекту персональных данных сведений, которые Администрация обязана предоставить субъекту персональных данных до начала обработки таких персональных данных, если персональные данные получены не от субъекта персональных данных, нарушает права и законные интересы третьих лиц.
10.2Осуществление систематизации, накопления, уточнения и использования персональных данных.
Систематизация, накопление, уточнение, использование персональных данных могут осуществляться любыми законными способами в соответствии с правилами, инструкциями, руководствами, регламентами и иными документами, определяющими технологический процесс обработки информации.
В Администрации могут быть установлены особенности учета персональных данных в информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей информационной системе персональных данных, конкретному субъекту персональных данных.
Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в информационных системах персональных данных, конкретному субъекту персональных данных.
Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в информационных системах персональных данных, конкретному субъекту персональных данных.
Уточнение персональных данных должно производиться только на основании законно полученной в установленном порядке информации.
Решение об уточнении персональных данных субъекта персональных данных принимается лицом, ответственным за организацию обработки персональных данных в Администрации.
Использование персональных данных должно осуществляться исключительно в заявленных целях. Использование персональных данных в заранее не определенных и не оформленных установленным образом целях категорически не допускается.
10.3Осуществление записи и извлечения персональных данных.
Запись персональных данных в информационные системы персональных данных Администрации может осуществляться с любых носителей информации или из других информационных систем персональных данных.
Извлечение персональных данных из информационных систем персональных данных может осуществляться с целью:
-
вывода персональных данных на бумажный или иной носитель информации, не предназначенный для его обработки средствами вычислительной техники;
-
вывода персональных данных на носители информации, предназначенные для их обработки средствами вычислительной техники.
При извлечении персональных данных должен проводиться учет и обозначение носителей информации.
При осуществлении записи и извлечения персональных данных должны соблюдаться условия обработки персональных данных, конфиденциальность персональных данных и иные требования, указанные в настоящем Положении.
10.4Осуществление передачи персональных данных.
Передача персональных данных в Администрации должна осуществляться с соблюдением настоящего Положения и действующего законодательства Российской Федерации.
В Администрации приняты следующие способы передачи персональных данных субъектов персональных данных:
-
передача персональных данных на электронных носителях информации посредством нарочного;
-
передача персональных данных на бумажных носителях посредством нарочного;
-
передача персональных данных на электронных носителях посредством почтовой связи;
-
передача персональных данных на бумажных носителях посредством почтовой связи;
-
передача персональных данных по каналам электрической связи.
Перед осуществлением передачи персональных данных проверяется основание на осуществление такой передачи и наличие согласия на передачу персональных данных в согласии субъекта персональных данных на обработку персональных данных или наличие иных законных оснований.
Передача персональных данных должна осуществляться на основании:
-
договора с третьей стороной, которой осуществляется передача персональных данных;
-
запроса, полученного от третьей стороны, которой осуществляется передача персональных данных;
-
исполнения возложенных законодательством Российской Федерации на Администрацию полномочий и обязанностей.
Передача персональных данных без согласия или иных законных оснований категорически запрещается.
Передача персональных данных должна осуществляться с учетом правил и особых правил обработки персональных данных, предусмотренных пунктами 6 - 10 настоящего Положения и по форме (Приложение 2).
10.5Осуществление хранения персональных данных
Хранение персональных данных в Администрации допускается только в форме документов – зафиксированной на материальном носителе информации (содержащей персональные данные) с реквизитами, позволяющими ее идентифицировать и определить субъекта персональных данных. При этом предусматриваются следующие виды документов:
-
изобразительный документ – документ, содержащий информацию, выраженную посредством изображения какого-либо объекта
-
фотодокумент – изобразительный документ, созданный фотографическим способом;
-
текстовой документ – документ, содержащий речевую информацию, зафиксированную любым типом письма или любой системой звукозаписи;
-
письменный документ – текстовой документ, информация которого зафиксирована любым типом письма;
-
рукописный документ – письменный документ, при создании которого знаки письма наносят от руки;
-
машинописный документ – письменный документ, при создании которого знаки письма наносят техническими средствами;
-
документ на машинном носителе – документ, созданный с использованием носителей и способов записи, обеспечивающих обработку его информации электронно-вычислительной машиной.
Хранение персональных данных в Администрации осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Хранение персональных данных в информационных системах персональных данных и вне таких систем Администрации осуществляется только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного:
-
доступа к ним;
-
их уничтожения;
-
изменения;
-
блокирования;
-
копирования;
-
предоставления;
-
распространения.
10.6Осуществление блокирования персональных данных.
Блокированием персональных данных называется временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Блокирование персональных данных конкретного субъекта персональных данных должно осуществляться во всех информационных системах персональных данных Администрации, включая архивы баз данных, содержащих такие персональные данные, информационных систем персональных данных.
Блокирование персональных данных в Администрации осуществляется:
-
в случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных с момента такого обращения или получения указанного запроса на период проверки;
-
в случае отсутствия возможности уничтожения персональных данных в установленные сроки до их уничтожения.
После устранения выявленной неправомерной обработки персональных данных Администрация осуществляет снятие блокирования персональных данных.
Решение о блокировании и снятии блокирования персональных данных субъекта персональных данных принимается ответственным за организацию обработки персональных данных в Администрации.
10.7Осуществление обезличивания персональных данных.
Обезличивание персональных данных в Администрации при обработке персональных данных с использованием средств автоматизации осуществляется с помощью специализированного программного обеспечения на основании нормативно правовых актов, правил, инструкций, руководств, регламентов, инструкций на такое программное обеспечение и иных документов для достижения заранее определенных и заявленных целей.
Допускается обезличивание персональных данных при обработке персональных данных без использования средств автоматизации производить способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
10.8Осуществление удаления и уничтожения персональных данных
Уничтожение персональных данных это действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Уничтожение персональных данных в Администрации производится только в следующих случаях:
-
обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
-
персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
-
в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
-
в случае достижения цели обработки персональных данных;
-
в случае отзыва субъектом персональных данных согласия на обработку его персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных.
По факту уничтожения персональных данных обязательно проверяется необходимость уведомления об этом и в случае наличия такого требования, осуществляется уведомление указанных в таком требовании лиц, в порядке, приведенном в пункте 13.2 данных необходимо:
-
убедиться в необходимости уничтожения персональных данных;
-
убедиться в том, что уничтожаются те персональные данные, которые предназначены для уничтожения;
-
уничтожить персональные данные подходящим способом, в соответствии с настоящими Правилами или способом, указанным в соответствующем требовании или распорядительном документе;
-
проверить необходимость уведомления об уничтожении персональных данных;
-
при необходимости, уведомить об уничтожении персональных данных требуемых лиц.
При уничтожении персональных данных применяются следующие способы:
-
измельчение в бумагорезательной (бумагоуничтожительной) машине – для документов, исполненных на бумаге;
-
тщательное вымарывание (с проверкой тщательности вымарывания) – для сохранения возможности обработки иных данных, зафиксированных на материальном носителе, содержавшем персональные данные;
-
измельчение в специальной бумагорезательной (бумагоуничтожительной) машине или физическое уничтожение (разрушение) носителей информации – для носителей информации на оптических дисках;
-
физическое уничтожение частей носителей информации – разрушение или сильная деформация – для носителей информации на жестком магнитном диске (уничтожению подлежат внутренние диски и микросхемы); SSD-дисках, USB- и Flash-носителях (уничтожению подлежат модули и микросхемы долговременной памяти);
-
стирание с помощью сертифицированных средств уничтожения информации – для записей в базах данных и отдельных документов на машинном носителе.
При уничтожении персональных данных необходимо учитывать их наличие в архивных базах данных и производить уничтожение во всех копиях базы данных, если иное не установлено действующим законодательством Российской Федерации.
При необходимости уничтожения части персональных данных допускается уничтожать материальный носитель одним из указанных в настоящем Положении способов, с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению.
Уничтожение персональных данных производится лицами, обрабатывающими персональные данные в соответствующей информационной системе персональных данных, в которой производится уничтожение персональных данных, только в присутствии лица, ответственного за организацию обработки персональных данных в Администрации.
По факту уничтожения персональных данных составляется Акт уничтожения персональных данных, по форме, приведенной в Приложении 4, который подписывается лицами, производившими уничтожение, заверяется лицом, ответственным за организацию обработки персональных данных в Администрации, присутствовавшим при уничтожении и утверждается Главой Администрации.
Хранение актов уничтожения персональных данных осуществляется в течение срока исковой давности, если иное не установлено нормативно-правовыми актами Российской Федерации.
10.9Способы обозначения документов содержащих персональные данные.
С целью доведения до уполномоченных лиц Администрации фактов работы с документами, содержащими персональные данные, все такие документы (в том числе машинные носители и документы в электронном виде) подлежат специальному обозначению (маркированию или визуальному выделению).
На документах в правом верхнем углу проставляется:
-
в первой строке: Содержит персональные данные;
-
во второй строке: Администрация муниципального образования «Гагаринский район» Смоленской области
В третьей строке, при необходимости, дополнительно могут проставляться иные реквизиты документа, в том числе его регистрационный номер по журналам учета.
Ответственным за специальное обозначение документов является их исполнитель.
Специальное обозначение осуществляется при печати документов машинным способом или путем проставления штампа (клише) на ранее созданных документах и машинных носителях (в свободном месте на имеющихся наклейках или на специально наклеенном листе или корпусе носителя).
Специальное обозначение ранее созданных документов должно производиться при обращении к ним.
11Круг субъектов, персональные данные которых подлежат обработке
Круг субъектов, персональные данные которых подлежат обработке в информационных системах персональных данных Администрации, определяется целью обработки персональных данных в каждой информационной системе персональных данных.
12Перечни должностей работников, замещение которых предусматривает осуществление обработки персональных данных
12.1Лицо, ответственное за организацию обработки персональных данных в Администрации готовит и уточняет:
-
перечень должностей работников Администрации, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, в котором указываются должности работников Администрации, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным для каждой информационной системы персональных данных Администрации, а также уровень полномочий в них;
-
перечень должностей работников Администрации, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных.
Указанные перечни должностей работников Администрации подписываются лицом, ответственным за организацию обработки персональных данных в Администрации и утверждаются Главой Администрации.
12.2Право доступа к персональным данным работников имеют:
-
Глава Администрации
-
Первый заместитель Главы Администрации
-
Заместитель Главы Администрации
-
Управляющий делами
-
Начальник отдела бухгалтерского учёта и отчётности — главный бухгалтер
-
Начальник юридического отдела
-
Главный специалист по муниципальной службе, кадровой работе и секретному делопроизводству
-
Начальник отдела
-
и другие работники в соответствии с утвержденным Перечнем Главы Администрации
13Права и обязанности при обработке персональных данных
13.1Права и обязанности субъекта персональных данных.
13.1.1Права субъекта персональных данных.
Субъект персональных данных, чьи персональные данные обрабатываются в Администрации, имеет право:
-
на получение сведений о подтверждении факта обработки персональных данных Администрацией;
-
на получение сведений о правовых основаниях и цели обработки персональных данных;
-
на получение сведений о цели и применяемых Администрацией способов обработки персональных данных;
-
на получение сведений о наименовании и месте нахождения Администрации, сведений о лицах (за исключением сведений о работниках Администрации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Администрацией или на основании федерального закона;
-
на получение сведений об обрабатываемых персональных данных, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
-
на получение сведений о сроках обработки персональных данных, в том числе сроках их хранения;
-
на получение сведений о порядке осуществления субъектом персональных данных своих прав, предусмотренных законодательством в области персональных данных;
-
на получение информации об осуществленной или о предполагаемой трансграничной передаче данных;
-
на получение сведений о наименовании и адресе лица, осуществляющего обработку персональных данных по поручению Администрации, если обработка поручена или будет поручена такому лицу;
-
на получение иных сведений, предусмотренных законодательством в области персональных данных и другими федеральными законами;
-
требовать от Администрации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
-
принимать предусмотренные законом меры по защите своих прав;
-
требовать от Администрации предоставления ему персональных данных в доступной форме;
-
повторного обращения и запроса в целях получения сведений и ознакомления с его персональными данными;
-
требовать разъяснения порядка принятия решения на основании исключительно автоматизированной обработки его персональных данных;
-
заявить возражение против принятия решения на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы;
-
требовать разъяснения порядка принятия и возможные юридические последствия принятия решения на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, а также разъяснения порядка защиты субъектом персональных данных своих прав и законных интересов;
-
обжаловать действия или бездействие Администрации в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что Администрация осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы;
-
на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
-
требовать предоставления безвозмездно субъекту персональных данных или его представителю возможности ознакомления с персональными данными, относящимися к этому субъекту персональных данных;
-
принимать решение о предоставлении его персональных данных и давать согласие на их обработку свободно, своей волей и в своем интересе;
-
отзывать согласие на обработку персональных данных.
Кроме указанных прав в вопросах обработки его персональных данных субъект персональных данных обладает другими правами, предоставляемыми ему действующим законодательством Российской Федерации.
13.1.2Обязанности субъекта персональных данных.
Субъект персональных данных, чьи персональные данные обрабатываются в Администрации, обязан:
-
предоставлять свои персональные данные в случаях, когда федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных;
-
с целью соблюдения его законных прав и интересов подавать только достоверные персональные данные.
Кроме указанных обязанностей в вопросах обработки его персональных данных на субъекта персональных данных налагаются иные обязанности, предусмотренные действующим законодательством Российской Федерации.
13.2Права и обязанности Администрации при обработке персональных данных субъектов персональных данных
13.2.1Права Администрации при обработке персональных данных субъектов персональных данных.
Администрация при обработке персональных данных субъектов персональных данных имеет право:
-
обрабатывать персональные данные в соответствии с настоящим Положением;
-
поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора;
-
мотивированно отказать субъекту персональных данных в выполнении повторного запроса в целях получения сведений касающейся обработки его персональных данных, при нарушении субъектом персональных данных своих обязанностей по подаче такого запроса;
-
ограничить право субъекта персональных данных на доступ к его персональным данным в соответствии с федеральными законами, в том числе, если обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
-
ограничить право субъекта персональных данных на доступ к его персональным данным в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
-
отказать субъекту персональных данных в выполнении запроса в целях получения сведений касающейся обработки его персональных данных в случае, если субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором или Администрацией;
-
отказать субъекту персональных данных в выполнении запроса в целях получения сведений касающейся обработки его персональных данных в случае, если персональные данные получены на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
-
отказать субъекту персональных данных в выполнении запроса в целях получения сведений касающейся обработки его персональных данных в случае, если персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
-
отказать субъекту персональных данных в выполнении запроса в целях получения сведений касающейся обработки его персональных данных в случае, если оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных;
-
отказать субъекту персональных данных в выполнении запроса в целях получения сведений касающейся обработки его персональных данных в случае, если предоставление субъекту персональных данных таких сведений, нарушает права и законные интересы третьих лиц;
-
самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных действующим законодательством в области персональных данных, если иное не предусмотрено указанным законом и другими федеральными законами;
-
если обеспечить правомерность обработки персональных данных невозможно, осуществлять или обеспечивать осуществление блокирования или уничтожения персональных данных в сроки, указанные в пункте 13.1 настоящего Положения;
-
в случае достижения цели обработки персональных данных осуществлять или обеспечивать осуществление уничтожения персональных данных в сроки, указанные в пункте 13.1 настоящего Положения;
-
в случае достижения цели обработки персональных данных продолжить обработку персональных данных, если это предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Администрацией и субъектом персональных данных;
-
в случае достижения цели обработки персональных данных продолжить обработку персональных данных, если обработка персональных данных осуществляется без согласия субъекта персональных данных на основаниях, предусмотренных пунктом 5.2 настоящего Положения или федеральными законами;
-
в случае отзыва субъектом персональных данных согласия на обработку его персональных данных продолжить обработку персональных данных, если это предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Администрацией и субъектом персональных данных;
-
в случае отзыва субъектом персональных данных согласия на обработку его персональных данных продолжить обработку персональных данных, если обработка персональных данных осуществляется без согласия субъекта персональных данных на основаниях, предусмотренных пунктом 5.2 настоящего Положения или федеральными законами;
-
в случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пункте 13.1 настоящего Положения, осуществить блокирование таких персональных данных и обеспечить уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
Кроме указанных прав в вопросах обработки персональных данных субъектов персональных данных Администрация обладает другими правами, предоставляемыми ему действующим законодательством Российской Федерации.
13.2.2Обязанности Администрации при обработке персональных данных субъектов персональных данных.
Администрация при обработке персональных данных субъектов персональных данных обязано:
-
строго соблюдать принципы обработки персональных данных, указанные в настоящем Положении;
-
строго соблюдать правила обработки персональных данных, указанные в настоящем Положении;
-
в случае если, обработка персональных данных осуществляется по поручению оператора, строго соблюдать и выполнять требования поручения оператора ;
-
не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
-
по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов исключить из общедоступных источников персональных данных сведения о субъекте персональных данных;
-
обеспечить конкретность и информированность согласия на обработку персональных данных;
-
получать согласие на обработку персональных данных в форме, указанной в пункте 5.2.1.4 настоящего Положения;
-
в случае получения согласия на обработку персональных данных от представителя субъекта персональных данных проверять полномочия данного представителя на дачу согласия от имени субъекта персональных данных;
-
предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований обработки персональных данных без получения согласия;
-
незамедлительно прекратить обработку специальных категорий персональных данных, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом;
-
предоставить субъекту персональных данных сведения по запросу субъекта персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных;
-
мотивировать и представить доказательства обоснованности отказа в выполнении повторного запроса субъекта персональных данных;
-
доказывать, что от субъекта персональных данных было получено предварительное согласие на обработку персональных данных в целях политической агитации;
-
немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в целях политической агитации;
-
предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
-
разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные, если предоставление персональных данных является обязательным в соответствии с федеральным законом;
-
опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
-
по запросу уполномоченного органа по защите прав субъектов персональных данных представить документы и локальные акты, определяющие политику в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных;
-
принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
-
в случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя дать в письменной форме мотивированный ответ;
-
предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных;
-
внести в персональные данные необходимые изменения или уничтожить такие персональные данные в случае предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными по утвержденной форме (Приложение 6);
-
строго соблюдать сроки по уведомлениям, блокированию и уничтожению персональных данных в соответствии с пунктом 13.1 настоящего Положения;
-
уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы ;
-
сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию;
-
в случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц;
-
уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и снять блокирование персональных данных в случае подтверждения факта неточности персональных данных на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов;
-
прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора в случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора;
-
уничтожить персональные данные или обеспечить их уничтожение в случае, если обеспечить правомерность обработки персональных данных невозможно;
-
уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган об устранении допущенных нарушений или об уничтожении персональных данных;
-
прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в случае достижения цели обработки персональных данных, если обработка персональных данных осуществляется без согласия субъекта персональных данных на основаниях, предусмотренных пунктом 5.2 настоящего Положения или федеральными законами;
-
уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных;
-
уведомить уполномоченный орган по защите прав субъектов персональных данных в случае изменения сведений, указанных в уведомлении о своем намерении осуществлять обработку персональных данных;
-
назначить лицо, ответственное за организацию обработки персональных данных;
-
предоставлять лицу, ответственному за организацию обработки персональных данных, необходимые сведения, указанные в пункте 13.3 настоящего Положения;
-
неукоснительно соблюдать все требования настоящего Положения;
-
ознакомить работников Администрации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучить таких работников;
Кроме указанных обязанностей в вопросах обработки персональных данных субъектов персональных данных на Администрацию налагаются иные обязанности, предусмотренные действующим законодательством Российской Федерации.
13.2.2.1Меры, направленные на обеспечение выполнения оператором своих обязанностей.
Администрация принимает меры, необходимые и достаточные для обеспечения выполнения своих обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных:
-
назначает ответственного за организацию обработки персональных данных;
-
создает комиссию, в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям;
-
утверждает Положение о порядке (защите) обработки персональных данных, включающее в себя:
-
процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
-
порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
-
правила рассмотрения запросов субъектов персональных данных или их представителей;
-
правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных и локальным актам Администрации;
-
типовую форму согласия на обработку персональных данных субъектов персональных данных;
-
типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные (Приложение 7);
-
утверждает перечень информационных систем персональных данных;
-
утверждает перечень должностей работников Администрации, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
-
утверждает типовое обязательство работника Администрации о неразглашении персональных данных, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей (Приложение 3 и 3а настоящего Положения);
-
утверждает порядок доступа работников Администрации в помещения, в которых ведется обработка персональных данных;
-
принимает правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке, предусмотренные законодательством Российской Федерации в области персональных данных;
-
осуществляет ознакомление работников Администрации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организуют обучение указанных работников;
-
уведомляет уполномоченный орган по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных.
Политика в отношении обработки персональных данных в Администрации подлежат опубликованию на официальном сайте Администрации в течение 10 дней после его утверждения.
К указанному документу обеспечивается неограниченный доступ.
13.2.2.2Процедуры, направленные на предотвращение и выявление нарушений законодательства в отношении обработки персональных данных и устранение таких последствий.
К процедурам, направленным на предотвращение и выявление нарушений законодательства в отношении обработки персональных данных и устранение таких последствий относятся:
-
реализация мер, направленных на обеспечение выполнения оператором своих обязанностей;
-
выполнение предусмотренных законодательством в области персональных данных обязанностей, возложенных на Администрацию;
-
личная ответственность работников Администрации, осуществляющих обработку либо осуществление доступа к персональным данным;
-
организация рассмотрения запросов субъектов персональных данных или их представителей и ответов на такие запросы;
-
организация внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным действующим законодательством в области персональных данных и локальными актами Администрации;
-
сокращение объема обрабатываемых данных;
-
сокращение должностей работников, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
-
стандартизация операций осуществляемых с персональными данными;
-
определение порядка доступа работников Администрации в помещения, в которых ведется обработка персональных данных;
-
проведение необходимых мероприятий по обеспечению безопасности персональных данных и носителей их содержащих;
-
проведение периодических проверок условий обработки персональных данных;
-
повышение осведомленности работников, занимающих должности, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, путем их ознакомления, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами Администрации по вопросам обработки персональных данных и (или) организация обучения указанных работников;
-
блокирование, внесение изменений и уничтожение персональных данных в предусмотренных действующим законодательством в области персональных данных случаях;
-
оповещение субъектов персональных данных в предусмотренных действующим законодательством в области персональных данных случаях;
-
разъяснение прав субъектам персональных данных в вопросах обработки и обеспечения безопасности их персональных данных;
-
оказание содействия правоохранительным органам, в случаях нарушений законодательства в отношении обработки персональных данных;
-
публикация на официальном сайте Администрации документа, определяющего политику в отношении обработки персональных данных.
Указанный перечень процедур, направленных на предотвращение и выявление нарушений законодательства в отношении обработки персональных данных и устранение таких последствий может дополняться мероприятиями в конкретных случаях.
14Порядок взаимодействия с субъектами персональных данных и иными лицами
Настоящее Положение при определении порядка взаимодействия Администрации с субъектами персональных данных устанавливает:
-
сроки выполнения действий по защите прав субъектов персональных данных;
-
требования по уведомлениям/предоставлению информации субъектов персональных данных и в иных случаях;
-
требования к лицам, ответственным за организацию обработки персональных данных;
-
порядок разъяснения субъектам персональных данных особенностей обработки персональных данных и порядка защиты их прав;
-
порядок реагирования на обращения субъектов персональных данных;
-
порядок действий при обращениях субъектов персональных данных;
-
требования к форме запроса на предоставления персональных данных и сведений об операторе субъектом персональных данных;
-
порядок и основание отказа субъекту персональных данных в предоставлении сведений о его персональных данных;
-
порядок, форма предоставления персональных данных и сведений об операторе и объем предоставляемой информации;
-
действия в случае выявления фактов нарушения законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных;
-
порядок реализации права субъекта персональных данных на обжалование действий или бездействия Администрации;
-
порядок действий при достижении целей обработки персональных данных и отзыве согласия на обработку персональных данных;
-
порядок действий при отзыве согласия субъекта персональных данных на обработку его персональных данных.
14.1Установленные сроки выполнения действий по защите прав субъектов персональных данных.
В Администрации устанавливаются следующие сроки по защите прав субъектов персональных данных:
-
в случае если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Администрацию или направить ему повторный запрос в целях получения таких сведений, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных ;
-
в случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Администрация обязана дать в письменной форме мотивированный ответ, содержащий ссылку на положение федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя;
-
в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Администрация обязана внести в них необходимые изменения;
-
в срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Администрация обязана уничтожить такие персональные данные;
-
в случае выявления неправомерной обработки персональных данных, осуществляемой Администрацией или лицом, действующим по его поручению, Администрация в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по его поручению;
-
в случае если обеспечить правомерность обработки персональных данных невозможно, Администрация в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязана уничтожить такие персональные данные или обеспечить их уничтожение;
-
в случае достижения цели обработки персональных данных Администрация обязана прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по его поручению) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по его поручению) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Администрацией и субъектом персональных данных, либо если Администрация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами;
-
в случае отзыва субъектом персональных данных согласия на обработку его персональных данных Администрация обязана прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по его поручению) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по его поручению) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если Администрация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами;
-
в случае отсутствия возможности уничтожения персональных данных в течение указанных сроков, Администрация осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по его поручению) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами;
-
Администрация обязана рассмотреть возражение субъекта персональных данных о принятии на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении него или иным образом затрагивающих его права и законные интересы, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения;
-
Администрация обязана сообщить в установленном порядке, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя;
-
Администрация обязана сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса;
-
в случае подтверждения факта неточности персональных данных Администрация на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по его поручению) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
Установленные сроки обязательны к исполнению всеми должностными лицами Администрации:
-
в случае изменения сведений, указанных в уведомлении об обработке персональных данных, а также в случае прекращения обработки персональных данных Администрация обязана уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
14.1.1Лица, ответственные за организацию обработки персональных данных.
В Администрации назначается лицо, ответственное за организацию обработки персональных данных. Лицо, ответственное за организацию обработки персональных данных в Администрации, получает указания непосредственно от Главы Администрации и подотчетно ему.
Администрация предоставляет лицу, ответственному за организацию обработки персональных данных в Администрации сведения об обработке персональных в соответствии с требованиями действующего законодательства в области персональных данных.
Основными обязанностями ответственного лица за организацию обработки персональных данных в Администрации являются:
-
осуществление внутреннего контроля за соблюдением Администрацией и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
-
доведение до сведения работников Администрации положений законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
-
организация приема и обработки обращений и запросов субъектов персональных данных или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов.
14.1.2Порядок разъяснения субъектам персональных данных особенностей обработки персональных данных и порядка защиты их прав.
Уполномоченные лица Администрации обязаны разъяснять субъектам персональных данных особенности обработки персональных данных и порядок защиты их прав.
Разъяснение субъектам персональных данных особенностей обработки персональных данных и порядка защиты их прав осуществляется уполномоченными лицами Администрации, осуществляющими непосредственные операции по обработке персональных данных или лицом, ответственным за организацию обработки персональных данных в Администрации.
14.1.3Порядок реагирования на обращения субъектов персональных данных.
Все обращения субъектов персональных данных принимаются в письменном виде и подлежат учету, наряду с остальными входящими документами.
С целью соблюдения сроков по реагированию на обращения субъектов персональных данных они должны незамедлительно передаваться лицу, ответственному за организацию обработки персональных данных в Администрации.
Ответы на обращения, не отвечающие требованиям, предъявляемым к ним действующим законодательством в области персональных данных, не производятся.
Передача ответов субъекту персональных данных осуществляется требуемым им способом, или, если такой способ не указан, посредством отправки заказного письма с уведомлением.
Передача ответов на обращения субъектов персональных данных осуществляется в установленном в Администрации для исходящей корреспонденции порядке с соблюдением указанных в пункте 14.1 настоящего Положения сроков.
14.1.4Порядок действий при обращениях субъектов персональных данных.
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, при личном обращении в Администрацию, либо путем направления запроса, в том числе в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации.
14.1.5Требования к форме запроса на предоставления персональных данных и сведений об операторе субъектом персональных данных.
Письменный запрос субъекта персональных данных на получение информации, касающейся обработки его персональных данных Администрации должен содержать:
-
номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
-
сведения о дате выдачи указанного документа и выдавшем его органе ;
-
сведения, подтверждающие участие субъекта персональных данных в отношениях с Администрацией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Администрацией;
-
подпись субъекта персональных данных или его представителя.
Письменные запросы, не отвечающие указанным требованиям и форме (Приложение 5), обработке не подлежат.
При личном обращении в Администрацию субъект персональных данных обязан предъявить документ, удостоверяющий его личность, а его представитель – документ, удостоверяющий личность представителя и документы, подтверждающие полномочия этого представителя, и сообщить сведения, подтверждающие участие субъекта персональных данных в отношениях с Администрацией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Администрацией.
Данные предоставляемые субъектом персональных данных при личном обращении в Администрацию фиксируется в Журнале учета обращений субъектов персональных данных о выполнении их законных прав при обработке персональных данных в Администрации и Журнале учета выданных персональных данных.
14.1.6Порядок действий при достижении целей обработки персональных данных и отзыве согласия на обработку персональных данных.
В случае достижения цели обработки персональных данных Администраций обязана прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Администрации) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Администрации).
При совершении указанных действий должны соблюдаться сроки, установленные в пункте 14.1 настоящего Положения.
14.1.7Порядок действий при отзыве согласия субъекта персональных данных на обработку его персональных данных
В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Администрация обязана прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Администрации) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Администрации).
При совершении указанных действий должны соблюдаться сроки, установленные в пункте 14.1 настоящего Положения.
14.2Уведомление об обработке (о намерении осуществлять обработку) персональных данных.
Администрация уведомляет уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
При этом должны соблюдаться установленные настоящим Положением сроки подачи уведомлений.
Уведомление готовится лицом, ответственным за организацию обработки персональных данных в Администрации, подписывается Главой Администрации и направляется в виде документа на бумажном носителе или в форме электронного документа.
Письменная форма уведомления устанавливается уполномоченным органом по защите прав субъектов персональных данных.
Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения в реестр операторов.
Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
В случае предоставления неполных или недостоверных сведений, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от Администрации уточнения предоставленных сведений до их внесения в реестр операторов.
В случае изменения сведений, а также в случае прекращения обработки персональных данных Администрация обязана уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в сроки, указанные в настоящем Положении.
В случае изменения сведений, содержащихся в уведомлении об обработке персональных данных, структурное подразделение Администрации, являющееся инициатором таких изменений в обработке персональных данных, готовит изменения в уведомление и передает такие изменения лицу, ответственному за организацию обработки персональных данных в Администрации. Дальнейшие действия по подготовке изменений в уведомление для передачи в уполномоченный орган по защите прав субъектов персональных данных осуществляются аналогично действиям при первоначальной подаче уведомления.
14.3Требования к работникам, осуществляющим доступ к персональным данным или их обработку.
Администрация осуществляет ознакомление своих работников, непосредственно осуществляющих обработку персональных данных или осуществляющих доступ к ним, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами Администрации по вопросам обработки персональных данных, включая настоящие Положение:
-
при оформлении договора, в том числе трудового;
-
после каждого перерыва в исполнении своих обязанностей на срок более 28 рабочих дней;
-
при первоначальном допуске к обработке персональных данных в информационной системе персональных данных;
-
при назначении на новую должность, связанную с обработкой персональных данных или доступом к ним;
-
после внесения изменений в действующее законодательство Российской Федерации о персональных данных, локальные акты Администрации по вопросам обработки персональных данных, включая настоящие Положение.
Работники Администрации, непосредственно осуществляющие обработку персональных данных или осуществляющие доступ к ним обязаны:
-
неукоснительно следовать принципам обработки персональных данных;
-
знать и строго соблюдать положения действующего законодательства Российской Федерации в области персональных данных;
-
знать и строго соблюдать положения локальных актов Администрации в области обработки и обеспечения безопасности персональных данных;
-
знать и строго соблюдать инструкции, руководства и иные эксплуатационные документы на применяемые средства автоматизации, в том числе программное обеспечение, и средства защиты информации;
-
соблюдать конфиденциальность персональных данных, то есть не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
-
не допускать нарушений требований и правил обработки и обеспечения безопасности персональных данных;
-
обо всех подозрениях и ставших известными случаях нарушений требований и правил обработки и обеспечения безопасности персональных данных сообщать лицу, ответственному за обработку персональных данных в Администрации.
Работники Администрации несут личную ответственность за соблюдение указанных обязанностей в предусмотренном действующим законодательством Российской Федерации объеме.
14.4Порядок доступа работников в помещения, в которых ведется обработка персональных данных.
Доступ работников Администрации в помещения, в которых ведется обработка персональных данных, осуществляется по Спискам работников Администрации допущенных в помещения, в которых ведется обработка персональных данных. Такие списки готовятся и уточняются лицом, ответственным за организацию обработки персональных данных в Администрации и утверждаются Главой Администрации.
Допуск в помещения, в которых ведется обработка персональных данных, иных лиц, осуществляется работниками, указанными в Списках работников Администрации допущенных в помещения, в которых ведется обработка персональных данных. Пребывание таких посторонних лиц в помещениях, в которых ведется обработка персональных данных, допускается только в присутствии работников, указанных в Списках работников Администрации допущенных в помещения, в которых ведется обработка персональных данных.
15Конфиденциальность персональных данных
Запрет раскрытия третьим лицам и распространения персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом Администрацией и иными лицами, получившим доступ к персональным данным называется конфиденциальностью персональных данных.
15.1Режим ограниченного доступа к персональным данным.
С целью реализации требований действующего законодательства Российской Федерации в области персональных данных по обеспечению конфиденциальности персональных данных в Администрации вводится режим ограниченного доступа к персональным данным.
Создание режима ограниченного доступа к персональным данным включает в себя:
-
создание и уточнение Перечня информационных систем персональных данных в Администрации;
-
создание и уточнение настоящего Положения в части касающейся обеспечения конфиденциальности персональных данных и обеспечения безопасности персональных данных;
-
создание и уточнение Перечня помещений, предназначенных для обработки персональных данных;
-
перечень должностей работников Администрации, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
-
определение технических средств обработки персональных данных, путем разработки, оформления и уточнения Технического паспорта (или Технических паспортов) информационных систем персональных данных Администрации;
-
разработки, оформления и уточнения Перечня информационных ресурсов, содержащих персональные данные (мест расположения баз данных или иных документов и массивов содержащих персональные данные);
-
создание комиссии по классификации и обследованию помещений, предназначенных для обработки персональных данных;
-
создание классификации помещений, предназначенных для обработки персональных данных на предмет соответствия требованиям к инженерно-технической укрепленности по защите объектов от преступных посягательств;
-
дополнение в гражданско-правовые договоры с контрагентами по вопросам обязательства по обеспечению охраны конфиденциальности информации и ответственности за обеспечение охраны ее конфиденциальности;
-
внесение изменений в должностные обязанности (дополнения в трудовой договор работников), предусматривающие регулирование отношений по использованию информации, ограниченного доступа;
-
получение обязательства о неразглашении информации, содержащей персональные данные от работников Администрации, допущенных к обработке персональных данных;
-
передаче (возврате) работниками Администрации при прекращении или расторжении трудового договора, имеющихся в пользовании такого работника материальных носителей информации, содержащих персональные данные;
-
проведение начальных и периодических занятий и иных мероприятий по повышению уровня знаний работников Администрации, допущенных к обработке персональных данных по вопросам обработки и обеспечения безопасности персональных данных;
-
создание и ведение Журнала регистрации машинных носителей информации;
-
создание и ведение Журнала учета сейфов, металлических шкафов, спецхранилищ и ключей от них;
-
создание и ведение списков лиц, имеющих доступ в помещения, в которых обрабатываются персональные данные;
-
создание и ведение Журнала (-ов) приема (сдачи) под охрану помещений, в которых осуществляется обработка персональных данных;
-
проектирование и реализация системы защиты персональных данных;
-
документирование и реализация разрешительной системы доступа (матриц доступа) к информационным (программным) ресурсам в автоматизированных системах информационных систем персональных данных Администрации;
-
разработка инструкций о действиях работников Администрации в отношении носителей персональных данных при возникновении чрезвычайных ситуаций (стихийных бедствий, техногенных катастроф, наводнений, пожаров, нарушениях правопорядка и др.);
-
разработка инструкций для работников Администрации по вопросам обеспечения безопасности персональных данных.
Организация и контроль за выполнением указанных мероприятий возлагается на лицо, ответственное за организацию обработки персональных данных в Администрации. Разрабатываемые документы подлежат утверждению Главой Администрации.
15.2Порядок учета и маркирования материальных носителей информации, образующихся в процессе обработки персональных данных.
С целью реализации режима ограниченного доступа к персональным данным в Администрации и недопущению бесконтрольного использования машинных носителей, содержащих персональные данные вводится их поэкземплярный учет.
Организация и контроль за выполнением учета машинных носителей, содержащих персональные данные, возлагается на лицо, ответственное за организацию обработки персональных данных в Администрации.
Учет машинных носителей, содержащих персональные данные, осуществляется по Журналу учета машинных носителей информации.
16Обеспечение безопасности персональных данных при их обработке
В соответствии с требованиями действующего законодательства в области персональных данных при обработке персональных данных Администрация обязана принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
Работы по обеспечению безопасности персональных данных при их обработке в информационных системах Администрации являются неотъемлемой частью работ по созданию информационных систем.
16.1Принципы обеспечения безопасности персональных данных при их обработке.
Обеспечение безопасности персональных данных в Администрации должно осуществляться на основе следующих принципов:
-
соблюдение конфиденциальности персональных данных и иных характеристик их безопасности;
-
реализация права на доступ к персональным данным лиц, доступ которых к таким данным разрешается в рамках действующего законодательства Российской Федерации и локальными нормативными актами Администрации;
-
обеспечение защиты информации, содержащей персональные данные, от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
-
проведение мероприятий, направленных на предотвращение несанкционированной передачи их лицам, не имеющим права доступа к такой информации;
-
своевременное обнаружение фактов несанкционированного доступа к персональным данным;
-
недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
-
возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
-
постоянный контроль за обеспечением уровня защищенности персональных данных;
-
применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия.
Категорически запрещается нарушать указанные принципы по обеспечению безопасности персональных данных.
16.2Требования по уровню обеспечения безопасности.
С целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных, информационные системы персональных данных классифицируются в зависимости от:
-
категории персональных данных;
-
объема обрабатываемых ими персональных данных;
-
угроз безопасности жизненно важным интересам личности, Администрации и государства.
Проведение классификации информационных систем включает в себя следующие этапы:
-
сбор и анализ исходных данных по информационной системе;
-
присвоение информационной системе соответствующего класса и его документальное оформление.
При проведении классификации информационной системы учитываются следующие исходные данные:
-
категория обрабатываемых в информационной системе персональных данных;
-
объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе);
-
заданные характеристики безопасности персональных данных, обрабатываемых в информационной системе;
-
структура информационной системы;
-
наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;
-
режим обработки персональных данных;
-
режим разграничения прав доступа пользователей информационной системы;
-
местонахождение технических средств информационной системы;
-
актуальность угроз.
В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.
Классификация информационных систем проводится на этапе создания информационных систем или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем).
Результаты классификации информационных систем оформляются соответствующим Актом классификации.
16.3Система защиты персональных данных
16.3.1Система защиты персональных данных (СЗПДн) строится на основании:
-
Перечня персональных данных, подлежащих защите;
-
Акта классификации информационной системы персональных данных;
-
Акта классификации объекта информатизации автоматизированной системы;
-
Модели угроз безопасности персональных данных;
-
Положения о разграничении прав доступа к обрабатываемым персональным данным;
-
Руководящих документов ФСТЭК и ФСБ России.
На основании этих документов определяется необходимый уровень защищенности персональных данных Администрации. На основании анализа актуальных угроз безопасности персональных данных, описанного в модели угроз, делается заключение о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности персональных данных. Выбранные необходимые мероприятия отражаются в плане мероприятий по обеспечению защиты персональных данных.
16.3.2Для каждой информационной системы персональных данных (ИСПДн) должен быть составлен список используемых технических средств защиты, а так же программного обеспечения, участвующего в обработке персональных данных (ПДн), на всех элементах ИСПДн:
-
АРМ пользователей;
-
сервер приложений;
-
СУБД;
-
граница ЛВС;
-
каналы передачи в сети общего пользования и (или) международного обмена, если по ним передаются ПДн.
16.3.3В зависимости от уровня защищенности ИСПДн и актуальных угроз СЗПДн может включать следующие технические средства:
-
антивирусные средства для рабочих станций пользователей и серверов;
-
средства защиты от несанкционированного доступа;
-
средства межсетевого экранирования;
-
средства криптографической защиты информации при передаче защищаемой информации по каналам связи.
16.3.4Технические меры защиты информации реализуются посредством применения средств защиты информации, имеющих необходимые функции безопасности.
16.3.5Состав и содержание мер по обеспечению безопасности персональных данных.
Организационные и технические меры защиты информации, реализуемые в информационной системе в рамках ее системы защиты информации, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик информационной системы должны обеспечивать:
-
идентификацию и аутентификацию субъектов доступа и объектов доступа;
-
управление доступом субъектов доступа к объектам доступа;
-
ограничение программной среды;
-
защиту машинных носителей информации;
-
регистрацию событий безопасности;
-
антивирусную защиту;
-
обнаружение (предотвращение) вторжений;
-
контроль (анализ) защищенности информации;
-
целостность информационной системы и информации;
-
доступность информации;
-
защиту среды виртуализации;
-
защиту технических средств;
-
защиту информационной системы, ее средств, систем связи и передачи данных.
16.3.5.1Меры по идентификации и аутентификации субъектов доступа и объектов доступа.
Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).
16.3.5.2Меры по управлению доступом субъектов доступа к объектам доступа.
Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль соблюдения этих правил.
16.3.5.3Меры по ограничению программной среды.
Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения.
16.3.5.4Меры по защите машинных носителей информации (средства обработки (хранения) персональных данных, съемные машинные носители информации).
Меры по защите машинных носителей информации (средства обработки (хранения) информации, съемные машинные носители информации) должны исключать возможность несанкционированного доступа к машинным носителям и хранящейся на них информации, а также несанкционированное использование съемных машинных носителей информации.
16.3.5.5Меры по регистрации событий безопасности.
Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.
16.3.5.6Меры по антивирусной защите
Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.
16.3.5.7Меры по обнаружению (предотвращению) вторжений.
Меры по обнаружению (предотвращению) вторжений должны обеспечивать обнаружение действий в информационной системе, направленных на преднамеренный несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) информацию в целях ее добывания, уничтожения, искажения и блокирования доступа к информации, а также реагирование на эти действия.
16.3.5.8Меры по контролю (анализу) защищенности информации.
Меры по контролю (анализу) защищенности информации должны обеспечивать контроль уровня защищенности информации, содержащейся в информационной системе, путем проведения мероприятий по анализу защищенности информационной системы и тестированию ее системы защиты информации.
16.3.5.9Меры по обеспечению целостности информационной системы и информации
Меры по обеспечению целостности информационной системы и информации должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащейся в ней информации, а также возможность восстановления информационной системы и содержащейся в ней информации.
16.3.5.10Меры по обеспечению доступности информации
Меры по обеспечению доступности информации должны обеспечивать авторизованный доступ пользователей, имеющих права по такому доступу, к информации, содержащейся в информационной системе, в штатном режиме функционирования информационной системы.
16.3.5.11Меры по защите среды виртуализации
Меры по защите среды виртуализации должны исключать несанкционированный доступ к информации, обрабатываемой в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры, а также воздействие на информацию и компоненты, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.
16.3.5.12Меры по защите технических средств
Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим информацию, средствам, обеспечивающим функционирование информационной системы (далее - средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту информации, представленной в виде информативных электрических сигналов и физических полей.
16.3.5.13Меры по защите информационной системы, ее средств, систем связи и передачи данных.
Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту информации при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы, проектных решений по ее системе защиты информации, направленных на обеспечение защиты информации.
16.3.5.14Выбор мер защиты информации для их реализации в информационной системе в рамках ее системы защиты информации включает
-
определение базового набора мер защиты информации для установленного класса защищенности информационной системы в соответствии с базовыми наборами мер защиты информации, приведенными в Приложении 8 к настоящему документу;
-
адаптацию базового набора мер защиты информации применительно к структурно-функциональным характеристикам информационной системы, информационным технологиям, особенностям функционирования информационной системы (в том числе предусматривающую исключение из базового набора мер защиты информации мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе);
-
уточнение адаптированного базового набора мер защиты информации с учетом не выбранных ранее мер защиты информации, приведенных в Приложении 8 к настоящему документу, в результате чего определяются меры защиты информации, обеспечивающие блокирование (нейтрализацию) всех угроз безопасности информации, включенных в Модель угроз безопасности информации;
-
дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований о защите информации, установленными иными нормативными правовыми актами в области защиты информации, в том числе в области защиты персональных данных.
При невозможности реализации в информационной системе в рамках ее системы защиты информации отдельных выбранных мер защиты информации на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации могут разрабатываться иные (компенсирующие) меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации.
В этом случае в ходе разработки системы защиты информации информационной системы должно быть проведено обоснование применения компенсирующих мер защиты информации, а при аттестационных испытаниях оценена достаточность и адекватность данных компенсирующих мер для блокирования (нейтрализации) угроз безопасности информации.
16.3.6Контроль эффективности системы защиты Администрации.
16.3.6.1Контроль эффективности СЗПДн должен осуществляется на периодической основе. Целью контроля эффективности является своевременное выявление ненадлежащих режимов работы СЗПДн (отключение средств защиты, нарушение режимов защиты, несанкционированное изменение режима защиты и т.п.), а так прогнозирование и превентивное реагирование на новые угрозы безопасности ПДн.
Контроль может проводиться как работниками Администрации (оперативный контроль в процессе информационного взаимодействия в ИСПДн), так и привлекаемыми для этой цели компетентными организациями, имеющими лицензию на этот вид деятельности, а также ФСТЭК России и/или ФСБ России в пределах их компетенции.
Контроль и надзор за соблюдением требований по обработке и обеспечению безопасности персональных данных в Администрации состоит из следующих направлений:
-
внешний контроль и надзор за соблюдением требований по обработке и обеспечению безопасности персональных данных;
-
внутренний контроль и надзор за соблюдением требований по обработке и обеспечению безопасности персональных данных.
16.3.6.2Порядок внешнего контроля над соблюдением требований по обработке и обеспечению безопасности данных.
-
Внешний контроль и надзор за выполнением требований законодательства в области персональных данных осуществляется федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере информационных технологий и связи, федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий .
-
Внешний контроль и надзор за выполнением требований законодательства в области персональных данных осуществляется в соответствии с действующим законодательством Российской Федерации в области защиты прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля, подзаконных нормативных актов Правительства Российской Федерации, ведомственных нормативных актов и административных регламентов.
Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи .
Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных .
16.3.6.3Порядок внутреннего контроля за соблюдением требований по обработке и обеспечению безопасности данных.
В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Администрации организуется проведение периодических проверок условий обработки персональных данных. Проверки осуществляются ответственным за организацию обработки персональных данных в Администрации либо комиссией, образуемой Главой Администрации не реже одного раза в год.
При осуществлении внутреннего контроля соответствия обработки персональных данных установленным требованиям в Администрации производится проверка:
-
соблюдения принципов обработки персональных данных в Администрации;
-
соответствия локальных актов в области персональных данных Администрации действующему законодательству Российской Федерации;
-
выполнения работниками Администрации требований и правил (в том числе особых) обработки персональных данных в информационных системах персональных данных Администрации;
-
перечней персональных данных, используемых для решения задач и функций структурными подразделениями Администрации и необходимости обработки персональных данных в информационных системах персональных данных Администрации;
-
актуальности содержащихся в правилах обработки персональных данных в каждой информационной системе персональных данных Администрации информации о законности целей обработки персональных данных и оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных.
-
правильность осуществления сбора, систематизации, сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения персональных данных в каждой информационной системе персональных данных Администрации;
-
актуальность перечня должностей работников Администрации, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
-
актуальность перечня должностей работников Администрации, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
-
соблюдение прав субъектов персональных данных, чьи персональные данные обрабатываются в информационных системах персональных данных Администрации;
-
соблюдение обязанностей Администрацией, предусмотренных действующим законодательством в области персональных данных;
-
порядка взаимодействия с субъектами персональных данных, чьи персональные данные обрабатываются в информационных системах персональных данных Администрации, в том числе соблюдения сроков предусмотренных действующим законодательством в области персональных данных, соблюдения требований по уведомлениям, порядка разъяснения субъектам персональных данных необходимой информации, порядка реагирования на обращения субъектов персональных данных, порядка действий при достижении целей обработки персональных данных и отзыве согласий субъектами персональных данных;
-
наличие необходимых согласий субъектов персональных данных, чьи персональные данные обрабатываются в информационных системах персональных данных Администрации;
-
актуальность сведений, содержащихся в уведомлении Администрации об обработке персональных данных;
-
актуальность перечня информационных систем персональных данных в Администрации;
-
наличие и актуальность сведений, содержащихся в правилах обработки персональных данных для каждой информационной системы персональных данных Администрации;
-
знания и соблюдение работниками Администрации положений действующего законодательства Российской Федерации в области персональных данных;
-
знания и соблюдение работниками Администрации положений локальных актов Администрации в области обработки и обеспечения безопасности персональных данных;
-
знания и соблюдение работниками Администрации инструкций, руководств и иные эксплуатационных документов на применяемые средства автоматизации, в том числе программное обеспечение, и средства защиты информации;
-
соблюдение работниками Администрации конфиденциальности персональных данных;
-
актуальность локальных актов Администрации в области обеспечения безопасности персональных данных, в том числе в Технических паспортах информационных систем персональных данных;
-
соблюдение работниками Администрации требований по обеспечению безопасности персональных данных;
-
наличие локальных актов Администрации, технической и эксплуатационной документации технических и программных средств информационных систем персональных данных Администрации;
-
иных вопросов.
О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, Главе Администрации докладывает ответственный за организацию обработки персональных данных в Администрации либо председатель комиссии.
17Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.
17.1Персональная ответственность является одним из главных требований к организации функционирования системы защиты персональных данных и обязательным условием обеспечения эффективности функционирования данной системы.
17.2Руководитель, разрешающий доступ работника к персональным данным, несет персональную ответственность за данное разрешение.
Работники Администрации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта персональных данных, привлекаются к дисциплинарной и материальной ответственности, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами, в том числе:
-
Трудовой кодекс Российской Федерации:
-
подп. "в" п. 6 ст. 81 «разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника»;
-
ст. 90 «ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника»;
-
ст. 192 «неисполнение или ненадлежащее исполнение работником по его вине возложенных на него трудовых обязанностей»;
-
п. 7 ст. 243 «разглашения сведений, составляющих охраняемую законом тайну (государственную, служебную, коммерческую или иную), в случаях, предусмотренных федеральными законами»;
-
Кодекс Российской Федерации об административных правонарушениях:
-
ст. 13.11 «нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)»;
-
ст. 13.12 «нарушение правил защиты информации»;
-
ст. 13.14 «разглашение информации с ограниченным доступом».
-
Гражданский кодекс Российской Федерации:
-
ст. 151 «компенсация морального вреда»;
-
ст. 152 «защита чести, достоинства и деловой репутации».
-
Уголовный кодекс Российской Федерации:
-
ст. 137 «нарушение неприкосновенности частной жизни»;
-
ст. 272 «неправомерный доступ к компьютерной информации»;
-
ст. 293 «халатность».
Приложение 1
к Положению о порядке (защите)
обработки персональных данных
в Администрации муниципального образования
«Гагаринский район» Смоленской области
СОГЛАСИЕ
на обработку персональных данных работника
Я (далее - Субъект), _______________________________________________________________,
(фамилия, имя, отчество)
документ, удостоверяющий личность ________________________серия ___________ №____________,
(вид документа)
выдан __________________________________________________________________________________,
(кем и когда)
Зарегистрированный (ая)по адресу:_________________________________________________________,
в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ "О персональных данных" даю свое согласие даю свое согласие ________________________________________________________________
________________________________________________________________________(далее - Оператор),
ОГРН _________________________, ИНН ______________________________, зарегистрированному
по адресу: РФ, ______ ____________________________________________________________________
на обработку своих персональных данных (далее ПДн), на следующих условиях:
- Оператор осуществляет обработку персональных данных (далее ПДн) Субъекта исключительно в целях:
- обеспечения соблюдения законов и иных нормативных правовых актов, содействия Субъекту в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности Субъекта, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
- Перечень ПДн передаваемых Оператору на обработку:
- фамилия, имя, отчество;
- место, год и дата рождения;
- адрес по прописке;
- паспортные данные (серия, номер паспорта, кем и когда выдан);
- информация об образовании (наименование образовательного Учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);
- информация о трудовой деятельности до приема на работу;
- информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения);
- адрес проживания (реальный);
- телефонный номер (домашний, рабочий, мобильный);
- семейное положение и состав семьи (муж/жена, дети);
- занимаемая должность;
- оклад;
- данные о трудовом договоре (№ трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, № и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);
- сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);
- ИНН;
- данные об аттестации работников;
- данные о повышении квалификации;
- данные о наградах, медалях, поощрениях, почетных званиях;
- информация о приеме на работу, перемещении по должности, увольнении;
- информация об отпусках;
- информация о командировках;
- информация о негосударственном пенсионном обеспечении;
- декларации, подаваемой в налоговую инспекцию;
- копии приказов по личному составу;
- основания к приказам по личному составу;
- копии приказов, изданных в Администрации, и относящиеся к субъекту персональных данных;
- копии отчетов, направляемые в органы статистики;
- код страхового свидетельства пенсионного фонда;
- сведения о состоянии здоровья работника, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- информация о судимости;
- другие сведения, предусмотренные унифицированной формой № т-2.
- фотография.
- Способом обработки является смешанная обработка ПДн автоматизированным и неавтоматизированным способами с передачей полученной информации по внутренней сети юридического лица строго определенными работниками Оператора.
- Субъект дает свое согласие на обработку Оператором своих ПДн, то есть на совершение, в том числе, следующих действий:
- обработку (включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание и блокирование) ПДн; При этом, общее описание вышеуказанных способов обработки данных приведено в Федеральном законе № 152-ФЗ от 27.07.2006 г. «О персональных данных»;
- передачу ПДн третьим лицам, включая налоговые органы, органы статистики, Пенсионный фонд и его отделения, страховые организации, органы социального страхования, военкоматы, кредитные учреждения, аутсорсинг (бухгалтерского и кадрового учета), а также в случаях, установленных нормативными правовыми актами государственных органов и законодательством.
- Субъект дает свое согласие на обработку биометрических персональных данных (фотографического изображения) для обеспечения однократного и/или многократного прохода на охраняемую территорию.
- Субъект ПДн вправе:
- получать сведения об Операторе, о месте его нахождения, о наличии у оператора ПДн, относящихся к соответствующему субъекту ПДн, а также на ознакомление с такими персональными данными, за исключением случаев, указанных в Федеральном законе № 152-ФЗ, путем обращения либо направления запроса. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Субъекта или его законного представителя.
Запрос может быть направлен в следующих формах:
- в письменном виде по адресу Оператора;
- в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
- требовать от Оператора уточнения своих ПДн их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
- Настоящим Субъект подтверждает свое согласие на включение в общедоступные источники следующих ПДн:
- фамилия, имя, отчество;
- место работы;
- должность;
- рабочий телефон;
- адрес электронной почты;
- фотография.
- Настоящее согласие действует с момента его подписания и до окончания действия трудового договора между Субъектом и Оператором.
- Настоящее согласие может быть отозвано письменным заявлением Субъекта, посредством составления соответствующего письменного документа, который может быть направлен Субъектом в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора.
- В случае отзыва Субъектом согласия на обработку своих ПДн Оператор обязан прекратить обработку ПДн и уничтожить ПДн в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и Субъектом ПДн. Об уничтожении ПДн Оператор обязан уведомить Субъекта.
- ПДн Субъекта подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
- Субъект ПДн подтверждает, что он ознакомлен с Положением о порядке (защите) обработки ПДн.
«___» _________20__ г | __________________ | ____________________ |
Дата
|
Подпись
|
ФИО
|
11. Данный документ составлен « ___» ___________20___г.
Подтверждаю, что ознакомлен (а) с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», права и обязанности в области защиты ПДн мне разъяснены.
«___» _________20__ г | __________________ | ______________________ |
Дата
|
Подпись
|
ФИО
|
Приложение 2
к Положению о порядке (защите)
обработки персональных данных
в Администрации муниципального образования
«Гагаринский район» Смоленской области
АКТ
приема-передачи документов (иных материальных носителей),
содержащих персональные данные субъекта.
г. Гагарин «___» _______________ г.
Во исполнение договора № _____ от ______________ г. Администрация муниципального образования «Гагаринский район» Смоленской области, в лице Главы Администрации, действующего на основании Устава, передал, а (наименование организации), в лице (должность Фамилия Имя Отчество), действующего на основании Устава, принял документы и иные материальные носители, содержащие персональные данные субъекта персональных данных – (ФИО) в целях:
- _________________________________________________________________;
- _________________________________________________________________;
- _________________________________________________________________;
- ….
Перечень документов (иных материальных носителей), содержащих персональные данные субъекта
№
п/п
|
Наименование
|
Количество
|
Полученные персональные данные могут быть использованы лишь в целях, для которых они сообщены. Незаконное использование предоставленных персональных данных путем их разглашения, уничтожения и другими способами, установленными федеральными законами, может повлечь соответствующую гражданско-правовую, материальную, дисциплинарную, административно-правовую и уголовную ответственность.
Передал __________________ /__________________/
Принял _________________ /___________________/
Приложение 3
к Положению о порядке (защите)
обработки персональных данных
в Администрации муниципального образования
«Гагаринский район» Смоленской области
Обязательство
о неразглашении персональных данных субъектов (третьих лиц)
Администрации муниципального образования «Гагаринский район» Смоленской области
Я, ______________________________________________________________________,
(Фамилия Имя Отчество)
в качестве работника Администрации муниципального образования «Гагаринский район» Смоленской области в период трудовых отношений с Администрацией муниципального образования «Гагаринский район» Смоленской области и в течение двух лет после их окончания обязуюсь не разглашать сведения, составляющие персональные данные субъектов (третьих лиц) Администрации муниципального района «Гагаринский район» Смоленской области, которые будут мне доверены или станут мне известны по работе.
Настоящим добровольно принимаю на себя обязательства:
1. Не передавать и не разглашать третьим лицам информацию, содержащую персональные данные, которая мне доверена (будет доверена) или станет известной в связи с исполнением должностных обязанностей.
2. В случае попытки третьих лиц получить от меня информацию, содержащую персональные данные, сообщать непосредственному начальнику.
3. Не использовать информацию, содержащую персональные данные, с целью получения выгоды.
4. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты персональных данных.
5. В течение года после прекращения права на допуск к информации, содержащей персональные данные, не разглашать и не передавать третьим лицам известную мне информацию, содержащую персональные данные
До моего сведения доведено с разъяснениями действующее Положение о защите персональных данных субъектов (третьих лиц) Администрации муниципального образования «Гагаринский район» Смоленской области.
Я предупрежден(а) о том, что в случае нарушения данного обязательства буду привлечен (а) к дисциплинарной ответственности и/или иной ответственности в соответствии с законодательством Российской Федерации.
«____»____________20___ г.
Приложение 3а
к Положению о порядке (защите)
обработки персональных данных
в Администрации муниципального образования
«Гагаринский район»
Смоленской области
ОБЯЗАТЕЛЬСТВО
о неразглашении информации, содержащей персональные данные
Я,______________________________________________________________________________,
(Ф.И.О.)
исполняющий (ая) должностные обязанности (по замещаемой должности)
________________________________________________________________________________
________________________________________________________________________________ ,
(должность, наименование структурного подразделения)
предупрежден (а) о том, что на период исполнения должностных обязанностей в соответствии с должностным регламентом мне будет предоставлен допуск к информации, содержащей персональные данные. Настоящим добровольно принимаю на себя обязательства:
1. Не передавать и не разглашать третьим лицам информацию, содержащую персональные данные, которая мне доверена (будет доверена) или станет известной в связи с исполнением должностных обязанностей.
2. В случае попытки третьих лиц получить от меня информацию, содержащую персональные данные, сообщать непосредственному начальнику.
3. Не использовать информацию, содержащую персональные данные, с целью получения выгоды.
4. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты персональных данных.
5. В течение года после прекращения права на допуск к информации, содержащей персональные данные, не разглашать и не передавать третьим лицам известную мне информацию, содержащую персональные данные.
Я предупрежден (а) о том, что в случае нарушения данного обязательства буду привлечен (а) к дисциплинарной ответственности и/или иной ответственности в соответствии с законодательством Российской Федерации.
_________________________________ ______________________
(фамилия, инициалы) (подпись)
«_________»______________20___г.
Приложение 4
к Положению о порядке (защите)
обработки персональных данных
в Администрации муниципального образования
«Гагаринский район» Смоленской области
АКТ
уничтожения персональных данных
Комиссия, в составе:
Председатель комиссии - __________________________
Члены комиссии:
- ______________________________
- ______________________________
- ______________________________
…
провела отбор документов и иных материальных носителей, содержащих персональные данные, не подлежащие дальнейшему хранению:
№
п/п
|
Дата
|
Вид носителя, Ф.И.О. субъекта ПД
|
Причина уничтожения
|
1
|
2
|
3
|
4
|
Всего носителей_______________________________________________________
(цифрами и прописью)
Перечисленные документы и иные материальные носители, содержащие персональные данные уничтожены путем: ___________________________________
Председатель комиссии: |
|
|
Члены комиссии: | ||
Приложение 5
к Положению о порядке (защите)
обработки персональных данных
в Администрации муниципального образования
«Гагаринский район»
Смоленской области
ФОРМА
запроса об обрабатываемых персональных данных
Я (далее - Субъект), _______________________________________________________,
(фамилия, имя, отчество)
документ, удостоверяющий личность ________________________________________________
(вид документа)
серия____№____________, выдан ________________________________________
(кем и когда)
________________________________________________________________________________
Примечание: в случае законного представительства включить следующий абзац:
(выступая в качестве законного представителя) _____________________________
_____________________________________________________________________,
(фамилия, имя, отчество)
документ, удостоверяющий личность ________________________________________________
(вид документа)
серия____№____________, выдан ________________________________________
(кем и когда)
________________________________________________________________________________
прошу _______________________ (как Оператора моих персональных данных, далее ПДн) предоставить информацию, касающуюся обработки моих ПДн, в том числе содержащую:
- подтверждение факта обработки ПДн Субъекта Оператором, а также цель такой обработки;
- способы обработки ПДн, применяемые Оператором;
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых ПДн и источник их получения;
- сроки обработки ПДн, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для меня может повлечь за собой обработка моих ПДн;
- сведений об Операторе, о месте его нахождения.
Ответ прошу направить по адресу (e-mail):___________________________
«___» _________20__ г. | __________________ | __________________ |
Подпись | ФИО |
Приложение 6
к Положению о порядке (защите)
обработки персональных данных
в Администрации муниципального образования
«Гагаринский район» Смоленской области
ФОРМА
запроса о блокировании, уничтожении, изменении персональных данных
Я (далее - Субъект), _______________________________________________________,
(фамилия, имя, отчество)
документ, удостоверяющий личность ________________________________________________
(вид документа)
серия____№____________, выдан ________________________________________
(кем и когда)
________________________________________________________________________________
Примечание: в случае законного представительства включить следующий абзац: (выступая в качестве законного представителя ___________________________________________________________________________________________,
(фамилия, имя, отчество)
документ, удостоверяющий личность ________________________________________________
(вид документа)
серия____№____________, выдан ________________________________________
(кем и когда)
________________________________________________________________________________
прошу _______________________________(как Оператора моих ПДн) изменить (уничтожить, блокировать) следующие ПДн:__________________________________
в связи с ________________________________________________________________
_________________________________________________________________________
указать причину ПДн являются неполными, устаревшими, недостоверными, незаконно полученными, не являются
необходимыми для заявленной цели обработки
О внесенных изменениях и предпринятых мерах прошу уведомить меня путем направления (письма, электронного письма) по адресу: ________________________
Ответ прошу направить по адресу (e-mail): ______________________________
«___» _________20__ г. | __________________ | __________________ |
Дата
|
Подпись
|
ФИО
|
Приложение 7
к Положению о порядке (защите)
обработки персональных данных
в Администрации муниципального образования
«Гагаринский район»
Смоленской области
Типовая форма разъяснения субъекту персональных данных юридических
последствий отказа предоставить свои персональные данные
Уважаемый (-ая), [Имя Отчество]!
В соответствии со статьями 26, 42 Федерального закона от 27 июля 2004 года № 79-ФЗ «О государственной гражданской службе Российской Федерации», Положением о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденным Указом Президента Российской Федерации от 30 мая 2005 года № 609, определен перечень персональных данных, которые субъект персональных данных обязан предоставить Администрации муниципального образования «Гагаринский район» Смоленской области в связи с поступлением или прохождением государственной гражданской службы.
Без предоставления субъектом персональных данных обязательных для заключения служебного контракта сведений служебный контракт не может быть заключен.
На основании пункта 11 части 1 статьи 33 Федерального закона от 27 июля 2004 года № 79-ФЗ «О государственной гражданской службе Российской Федерации» служебный контракт прекращается вследствие нарушения установленных обязательных правил его заключения, если это нарушение исключает возможность замещения должности гражданской службы.
С Уважением
[должность работника Администрации]
[фамилия и инициалы работника Администрации]
[дата]
Мне, ____________________________________________________________________
разъяснены юридические последствия отказа предоставить свои персональные Администрации муниципального образования «Гагаринский район» Смоленской области.
«___» _________20__ г. | __________________ | __________________ |
Дата
|
Подпись
|
ФИО
|