Приложение к Постановлению от 28.01.2014 г № 38-П Правила

Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных в администрации приволжского муниципального района (в новой редакции) 1. общие положения


1.1.Правила обработки персональных данных (далее - Правила) разработаны с учетом требований федеральных законов от 27.07.2006 N 152-ФЗ "О персональных данных", от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", приказа Минкомсвязи РФ от 25.08.2009 N 104 "Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования", приказа Мининформсвязи РФ "Об утверждении Порядка проведения классификации информационных систем персональных данных", постановления Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
1.2.Правила предназначены для установления единообразной организации обращения с персональными данными в администрации Приволжского муниципального района (далее - Администрация):
муниципальных служащих и работников Администрации;
лиц, имеющих договорные отношения гражданско-правового характера с Администрацией;
руководителей предприятий, учреждений, подведомственных Администрации;
физических лиц и их представителей (лица, действующие по доверенности физических лиц), подающих заявления (обращающихся) в Администрацию за предоставлением муниципальных услуг;
граждан из числа соискателей вакантных должностей в Администрации.
1.3.Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе документированная, в традиционной (бумажной) или электронной форме, и необходимая Администрации в связи с трудовыми отношениями, их предполагаемым возникновением или рассмотрением обращения.
1.4.Сведения о персональных данных относятся к числу конфиденциальных.
1.5.Организация обращения с персональными данными предусматривает выполнение следующих действий со сведениями, перечисленными в Перечне персональных данных, обрабатываемых в Администрации:
сбор сведений;
запись сведений на материальный носитель;
систематизацию сведений;
хранение сведений;
накопление сведений;
обновление ранее полученных сведений;
извлечение сведений из состава других сведений;
передачу сведений;
обезличивание сведений;
блокирование сведений;
удаление и уничтожение (удаление, исключающее возможность восстановления в первоначальном виде) сведений;
выполнение иных действий.
1.6.Выполнение действий, перечисленных в п. 1.5, допускается с использованием средств автоматизации (средств вычислительной техники) или без использования таких средств.
1.7.При обработке персональных данных должны соблюдаться следующие требования:
наличие законных оснований для обработки;
ограничение (конкретизация) цели обработки;
соответствие содержания, объема, иных характеристик персональных данных цели обработки;
раздельная обработка несовместимых персональных данных, в т.ч. в связи с различным целевым назначением соответствующих групп (массивов) персональных данных;
обеспечение точности, полноты (достаточности) и актуальности персональных данных в процессе обработки;
соответствие срока хранения персональных данных с целью их обработки.
1.8.Обработка персональных данных допускается при наличии у Администрации полученного в установленном порядке согласия субъекта персональных данных на их обработку (за исключением случаев, когда получение такого согласия не требуется), а также если:
1.8.1.Обработка персональных данных производится во исполнение международного договора или закона Российской Федерации для осуществления и выполнения возложенных законодательством на Администрацию функций, полномочий и обязанностей.
1.8.2.Обработка персональных данных необходима:
для осуществления правосудия, исполнения судебного акта, акта другого органа (должностного лица), подлежащих исполнению в соответствии с законодательством об исполнительном производстве;
для предоставления муниципальной услуги;
для обеспечения предоставления муниципальной услуги;
для исполнения договора, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных;
для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
для осуществления прав и законных интересов Администрации или третьих лиц;
для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации;
для научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.
1.8.3.Обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.
1.8.4.Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.
1.8.5.Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
1.9.Администрация вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом гражданско-правового договора. В соответствии с договором устанавливаются:
перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим их обработку;
цели обработки;
обязанность лица, осуществляющего обработку персональных данных, соблюдать их конфиденциальность и безопасность;
требования к защите обрабатываемых персональных данных.
2.Получение согласия на обработку персональных данных.
Документы, содержащие персональные данные
2.1.Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и в своих интересах. Такое согласие должно быть конкретным, информированным и сознательным.
2.2.Согласие на обработку персональных данных дается субъектом персональных данных (его представителем) в письменной форме (далее - письменное согласие).
2.3.Письменное согласие должно включать:
фамилию, имя, отчество, адрес субъекта персональных данных, серию и номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
фамилию, имя, отчество, адрес представителя субъекта персональных данных, серию и номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя, если в случае недееспособности субъекта персональных данных письменное согласие дает законный представитель субъекта персональных данных или в случае смерти субъекта персональных данных письменное согласие дают наследники субъекта персональных данных, если такое согласие не было дано им при жизни;
наименование и адрес Администрации;
цель обработки и перечень персональных данных, на обработку которых дается письменное согласие;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Администрации, если обработка поручена такому лицу;
перечень действий с персональными данными, на совершение которых дается письменное согласие;
общее описание используемых Администрацией способов обработки персональных данных;
срок, в течение которого действует согласие субъекта персональных данных;
подпись субъекта персональных данных либо его представителя.
2.4.Согласие на обработку персональных данных может быть отозвано субъектом персональных в письменной форме.
2.5.В состав персональных данных, обрабатываемых в Администрации, могут входить:
- анкетные данные;
- сведения об образовании;
- сведения о трудовом и общем стаже;
- сведения о составе семьи;
- паспортные данные;
- сведения о воинском учете;
- сведения о заработной плате;
- сведения о социальных льготах;
- специальность;
- занимаемая должность;
- адрес места жительства;
- домашний телефон;
- место работы или учебы членов семьи и родственников;
- содержание трудового договора (служебного контракта), гражданско-правового договора;
- сведения о доходах и наличии материальных ценностей;
- личные дела и трудовые книжки муниципальных служащих;
- другие сведения.
Конкретный состав персональных данных определяется перечнем, утверждаемым постановлением Администрации (приложение N 4).
3.Обязанности Администрации по соблюдению требований
к обработке персональных данных
3.1.Администрация обязана предоставить субъекту персональных данных по его просьбе информацию:
о подтверждении факта обработки персональных данных Администрацией;
о правовых основаниях и цели обработки персональных данных;
о применяемых Администрацией способах обработки персональных данных;
о наименовании и месте нахождения Администрации;
о лицах (за исключением работников Администрации), которые имеют доступ к персональным данным или которым они могут быть раскрыты на основании договора с Администрацией или федерального закона;
об обрабатываемых персональных данных, относящихся к соответствующему субъекту персональных данных, источнике их получения, если иной порядок их предоставления не предусмотрен федеральным законом;
о сроках обработки персональных данных, в т.ч. сроках их хранения;
о наименовании или фамилии, имени, отчестве и адресе лица, осуществляющего обработку персональных данных по поручению Администрации, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные федеральными законами в связи с выполнением Администрацией обработки персональных данных;
о юридических последствиях отказа субъекта персональных данных представить персональные данные, если их представление является обязательным в соответствии с федеральным законом.
3.2.Администрация обязана принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных нормативными правовыми актами, регламентирующими порядок обработки персональных данных.
3.2.1.Администрация назначает ответственного за организацию обработки персональных данных посредством издания соответствующего распоряжения. Ответственный за организацию обработки персональных данных обязан:
осуществлять внутренний контроль за соблюдением Администрацией законодательства Российской Федерации о персональных данных;
доводить до сведения работников Администрации положения законодательства Российской Федерации о персональных данных, локальных нормативных актов, распоряжений по вопросам обработки персональных данных;
организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, касающихся обработки персональных данных.
3.2.2.Администрация определяет круг лиц, допущенных к обработке персональных данных.
3.2.3.Администрация принимает с соблюдением установленного порядка локальные нормативные акты, определяющие организацию обработки персональных данных, издает распоряжения, нормативно-технические и нормативно-методические акты, устанавливающие единые требования к обработке персональных данных и процедуры, направленные на предотвращение и выявление нарушений, а также устранение последствий нарушений таких требований (процедур).
3.2.4.Администрация доводит до сведения ответственного за организацию обработки персональных данных, иных работников, допущенных к обращению с персональными данными, требования к организации обработки персональных данных, содержащихся в нормативных актах, распоряжениях.
3.2.5.Администрация обеспечивает профессиональную подготовку (обучение) работников, допущенных к обращению с персональными данными, для надлежащего выполнения ими соответствующих полномочий.
3.3.Администрация обязана обеспечить неограниченный доступ:
к документу, определяющему организацию обработки персональных данных;
к сведениям о реализуемых требованиях к защите персональных данных.
3.4.До начала обработки персональных данных Администрация обязана уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением персональных данных:
обрабатываемых в соответствии с трудовым законодательством;
полученных Администрацией в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются Администрацией исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
относящихся к членам (участникам) общественного объединения (организации) и обрабатываемых соответствующим общественным объединением (организацией), действующим в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться и раскрываться третьим лицам без письменного согласия субъектов персональных данных;
сделанных субъектом персональных данных общедоступными;
включающих только фамилии, имена и отчества субъектов персональных данных;
необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится Администрация, или в иных аналогичных целях;
включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем (ГАИС), а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
обрабатываемых без использования средств автоматизации в соответствии с нормативными правовыми актами, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
3.5.Уведомление направляется в виде бумажного или электронного документа и подписывается ответственным за организацию обработки персональных данных и его непосредственным начальником. Уведомление должно содержать следующие сведения:
наименование и адрес Администрации;
цель обработки персональных данных;
категории персональных данных;
категории субъектов, персональные данные которых обрабатываются;
правовое основание обработки персональных данных;
перечень действий с персональными данными;
общее описание используемых Администрацией способов обработки персональных данных;
описание мер по защите персональных данных от несанкционированного доступа;
фамилию, имя, отчество ответственного за организацию обработки персональных данных и его непосредственного начальника, номера их контактных телефонов, почтовые адреса и адреса электронной почты;
дату начала обработки персональных данных;
срок или условие прекращения обработки персональных данных;
сведения о наличии или отсутствии трансграничной передачи персональных данных в процессе их обработки.
4.Ответственность за нарушение требований
к обработке персональных данных
4.1.Лица, виновные в нарушении требований к обработке персональных данных, несут за это ответственность, в том числе:
дисциплинарную - в порядке, установленном Трудовым кодексом РФ;
материальную - в порядке, установленном Трудовым и Гражданским кодексами РФ;
административную - в порядке, установленном Кодексом РФ об административных правонарушениях;
гражданско-правовую - в порядке, установленном Гражданским кодексом РФ;
уголовную - в порядке, установленном Уголовным кодексом РФ.
4.2.Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения требований к обработке персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
5.Выявление и предотвращение нарушений законодательства
Российской Федерации в сфере персональных данных
5.1.К принимаемым Администрацией мерам по выявлению и защите персональных данных субъектов персональных данных относятся:
- назначение работника, ответственного за организацию обработки персональных данных;
- ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства о персональных данных и иными документами по вопросам обработки персональных данных;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
- осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
- осуществление контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
6.Сроки обработки и хранения персональных данных
6.1.Сроки обработки персональных данных должны ограничиваться достижением конкретных, заранее определенных и законных целей.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является субъект персональных данных.
Определение сроков хранения осуществляется в соответствии с требованиями законодательства об архивном деле Российской Федерации, в том числе в соответствии с перечнями типовых архивных документов с указанием сроков их хранения.
7.Порядок уничтожения персональных данных
при достижении целей обработки или при наступлении
иных законных оснований
7.1.Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации в сфере обработки персональных данных.
Уничтожение документов, содержащих персональные данные, осуществляется в порядке, утверждаемом постановлением Администрации.