Приложение к Распоряжению от 09.01.2013 г № 1-Р Положение
Положение по организации работы по обработке и защите персональных данных в совете кинешемского муниципального района I. общие положения
1.Настоящим Положением определяется порядок обращения с персональными данными нижеперечисленных лиц (далее - субъекты персональных данных):
Глава Кинешемского муниципального района;
депутаты Совета Кинешемского муниципального района;
Глава Администрации Кинешемского муниципального района;
сотрудники аппарата Совета Кинешемского муниципального района;
лица, являющиеся кандидатами на замещение вакантных должностей муниципальной службы в Совете Кинешемского муниципального района;
лица, представляемые в Совет Кинешемского муниципального района для утверждения членом Избирательной комиссии Кинешемского муниципального района;
лица, представляемые к наградам Совета Кинешемского муниципального района (Главы Кинешемского муниципального района).
Положение определяет порядок и условия обработки персональных данных в Совете Кинешемского муниципального района (далее по тексту - Совет) с использованием средств автоматизации и без использования таких средств.
2.Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов Совета, депутатов Совета, сотрудников аппарата Совета, иных лиц, предоставляющих персональные данные в Совет, в связи с необходимостью получения (сбора), систематизации (комбинирования), хранения и передачи сведений, составляющих персональные данные.
3.Основные понятия:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
3) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
4) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
5) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
6) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
7) иные понятия, используемые в Положении, применяются в значениях, определенных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ).
II.Принципы и условия обработки персональных данных
4.Обработка персональных данных в Совете должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
5.Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
6.Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом.
7.Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом N 152-ФЗ.
8.Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
4) в иных случаях, установленных Федеральным законом N 152-ФЗ.
9.Обработка персональных данных осуществляется на основании Федерального закона N 152-ФЗ, Трудового кодекса Российской Федерации.
10.Обработка персональных данных субъектов персональных данных - сотрудников аппарата Совета осуществляется с учетом особенностей, определенных статьей 29 Федерального закона от 2 марта 2007 года N 25-ФЗ "О муниципальной службе в Российской Федерации" (далее - Федеральный закон N 25-ФЗ) и Указом Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела".
11.Совет в соответствии со статьями 28 и 33 Федерального закона N 25 вправе осуществлять обработку (в том числе автоматизированную) персональных данных муниципальных служащих при формировании кадрового резерва Совета.
12.Совет в соответствии со статьей 17 Федерального закона N 25-ФЗ и Положением о проведении конкурса на замещение вакантной должности муниципальной службы в органах местного самоуправления Кинешемского муниципального района вправе осуществлять обработку (в том числе автоматизированную) персональных данных кандидатов на замещение вакантных должностей муниципальной службы в Совете.
III.Обеспечение прав субъектов персональных данных на защиту персональных данных
13.В целях обеспечения защиты персональных данных субъектов персональных данных, субъекты персональных данных вправе:
а) получать полную информацию о своих персональных данных и способе обработки этих данных (в том числе автоматизированной);
б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона N 152-ФЗ;
в) требовать внесения необходимых изменений, уничтожения или блокирования соответствующих персональных данных, которые являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
г) обжаловать в порядке, установленном законодательством Российской Федерации, действия (бездействие) уполномоченных должностных лиц.
14.Совет обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не установлено Федеральным законом N 152-ФЗ.
15.Лицо, ответственное за обработку и хранение персональных данных в Совете, обязано принять обязательство в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, по форме согласно приложению N 2 к настоящему Положению.
IV.Порядок получения и обработки персональных данных в совете кинешемского муниципального района
16.Получение всех персональных данных осуществляется непосредственно у субъекта персональных данных или у третьих лиц.
17.Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
18.Руководитель аппарата Совета должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.
19.Согласие субъекта персональных данных на обработку его персональных данных оформляется по форме согласно приложению N 1 к настоящему Положению.
Разъяснение субъекту персональных данных юридических последствий отказа предоставить свои персональные данные в связи с поступлением на муниципальную службу, ее прохождением и увольнением с муниципальной службы оформляется по форме согласно приложению N 3 к настоящему Положению.
20.В случае достижения цели обработки персональных данных Совет обязан незамедлительно прекратить обработку персональных данных и уничтожить их в срок, не превышающий трех рабочих дней с даты достижения указанной цели, если иное не предусмотрено федеральными законами.
21.Персональные данные хранятся на бумажном носителе и (или) в электронном виде в аппарате Совета в течение установленного срока с дальнейшей их передачей в установленном порядке в Кинешемский городской архив.
Сведения о персональных данных субъектов персональных данных относятся к числу конфиденциальных (составляющих охраняемую законом тайну). Режим конфиденциальности в отношении персональных данных снимается:
в случае их обезличивания;
по истечении 75 лет срока их хранения;
в других случаях, предусмотренных федеральными законами.
22.Защита персональных данных от несанкционированного доступа, неправомерного использования или утраты обеспечивается Советом за его счет в порядке, установленном законодательством Российской Федерации.
V.Создание в совете кинешемского муниципального района общедоступных источников персональных данных
23.В целях информационного обеспечения в Совете могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
24.Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
VI.Порядок обработки персональных данных субъектов персональных данных, осуществляемой без использования средств автоматизации
25.При обработке персональных данных без использования средств автоматизации уполномоченными должностными лицами не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.
26.Уничтожение или обезличивание персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
27.Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем изготовления нового материального носителя с уточненными персональными данными.
VII.Порядок обработки персональных данных субъектов персональных данных в информационных системах
28.Обработка персональных данных в Совете осуществляется:
1) в информационной системе "1С: Бухгалтерия бюджетного учреждения 8", включающей:
фамилию, имя, отчество субъекта персональных данных;
дату рождения субъекта персональных данных;
место рождения субъекта персональных данных;
серию и номер основного документа, удостоверяющего личность субъекта персональных данных;
сведения о дате выдачи указанного документа и выдавшем его органе;
адрес регистрации субъекта персональных данных;
адрес проживания субъекта персональных данных;
телефон субъекта персональных данных;
ИНН субъекта персональных данных;
должность субъекта персональных данных;
номер распоряжения и дату приема на работу (увольнения) субъекта персональных данных;
номер полиса обязательного медицинского страхования;
номер страхового свидетельства обязательного пенсионного страхования;
сведения о денежных выплатах субъекта персональных данных;
2) в системе электронного документооборота со Сбербанком России при передаче реестра по зачислению зарплаты субъектов персональных данных на электронные карты, включающей:
фамилию, имя, отчество субъекта персональных данных;
сведения о денежных выплатах субъекта персональных данных;
3) в программном обеспечении "СБиС++" при передаче индивидуальных сведений субъекта персональных данных в Управление Пенсионного фонда РФ в г.о. Кинешма и Кинешемском муниципальном районе и Межрайонную ИФНС России N 5 по Ивановской области, включающем:
фамилию, имя, отчество субъекта персональных данных;
дату рождения субъекта персональных данных;
место рождения субъекта персональных данных;
серию и номер основного документа, удостоверяющего личность субъекта персональных данных;
сведения о дате выдачи указанного документа и выдавшем его органе;
адрес регистрации субъекта персональных данных;
адрес проживания субъекта персональных данных;
ИНН субъекта персональных данных;
должность субъекта персональных данных;
номер страхового свидетельства обязательного пенсионного страхования;
сведения о денежных выплатах субъекта персональных данных.
29.Безопасность персональных данных, обрабатываемых с использованием средств автоматизации, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным.
30.Уполномоченными должностными лицами при обработке персональных данных в информационных системах персональных данных должна быть обеспечена их безопасность с помощью системы защиты, включающей организационные меры и средства защиты информации, в том числе шифровальные (криптографические) средства.
31.Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
32.Самостоятельное подключение средств вычислительной техники, применяемых для хранения, обработки или передачи персональных данных, к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к информационно-телекоммуникационной сети Интернет, не допускается.
33.Доступ пользователей (операторов информационной системы) к персональным данным в информационных системах персональных данных Совета должен требовать обязательного прохождения процедуры идентификации и аутентификации.
VIII.Обеспечение безопасности персональных данных в информационных системах совета
Кинешемского муниципального района
34.Лицами, ответственными за обеспечение безопасности персональных данных при их обработке в информационных системах, должно быть обеспечено:
1) своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до Главы Кинешемского муниципального района и руководителя аппарата Совета;
2) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
3) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
4) постоянный контроль за обеспечением уровня защищенности персональных данных;
5) знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
6) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
7) при обнаружении нарушений порядка предоставления персональных данных - незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;
8) в случае выявления нарушений порядка обработки персональных данных в информационных системах Совета уполномоченными должностными лицами принимаются меры по установлению причин нарушений и их устранению, привлечению виновных лиц к ответственности в соответствии с действующим законодательством.