Постановление Местной администрации Эльбрусского муниципального района КБР от 18.08.2015 N 121 "Об утверждении Правил обработки и защиты персональных данных"
МЕСТНАЯ АДМИНИСТРАЦИЯ ЭЛЬБРУССКОГО МУНИЦИПАЛЬНОГО РАЙОНА
КАБАРДИНО-БАЛКАРСКОЙ РЕСПУБЛИКИ
ПОСТАНОВЛЕНИЕ
от 18 августа 2015 г. № 121
ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОБРАБОТКИ
И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии с Федеральным законом от 6 октября 2003 года № 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации", Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" местная администрация Эльбрусского муниципального района постановляет:
1. Утвердить прилагаемые Правила обработки и защиты персональных данных в местной администрации Эльбрусского муниципального района КБР.
2. Опубликовать настоящее постановление в газете "Эльбрусские новости" и разместить на официальном сайте местной администрации Эльбрусского муниципального района.
3. Контроль за исполнением настоящего постановления оставляю за собой.
Глава местной администрации
Эльбрусского муниципального района КБР
К.УЯНАЕВ
Приложение
Утверждены
постановлением
Местной администрации
Эльбрусского муниципального района КБР
от 18 августа 2015 г. № 121
ПРАВИЛА
ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В МЕСТНОЙ
АДМИНИСТРАЦИИ ЭЛЬБРУССКОГО МУНИЦИПАЛЬНОГО РАЙОНА
I. Общие положения
1. Настоящие Правила обработки и защиты персональных данных в местной администрации Эльбрусского муниципального района (далее - Правила) определяют политику местной администрации Эльбрусского муниципального района КБР (далее - Местная администрация) как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных (далее - ПДн), и устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере ПДн, а также определяют для каждой цели обработки ПДн содержание обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в Местной администрации.
2. Настоящие Правила разработаны в соответствии с Трудовым кодексом Российской Федерации (далее - Трудовой кодекс Российской Федерации), Федеральным законом от 2 мая 2006 г. № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (далее - Федеральный закон "О порядке рассмотрения обращений граждан Российской Федерации"), Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"), Федеральным законом от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 2 марта 2007 г. № 25-ФЗ "О муниципальной службе в Российской Федерации" (далее - Федеральный закон "О муниципальной службе в Российской Федерации"), Федеральным законом от 25 декабря 2008 г. № 273-ФЗ "О противодействии коррупции" (далее - Федеральный закон "О противодействии коррупции"), Федеральным законом от 27 июля 2010 г. № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" (далее - Федеральный закон "Об организации предоставления государственных и муниципальных услуг"), Указом Президента Российской Федерации от 30 мая 2005 г. № 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", распоряжением Правительства Российской Федерации от 26 мая 2005 г. № 667-р "Об утверждении формы анкеты, подлежащей представлению в государственный орган гражданином Российской Федерации, изъявившим желание участвовать в конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации", Приказом ФСТЭК России от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
3. Местная администрация является оператором, организующим и осуществляющим обработку ПДн, а также определяющим цели и содержание обработки ПДн.
4. Обработка ПДн в Местной администрации осуществляется с соблюдением принципов и условий, предусмотренных настоящими Правилами и законодательством Российской Федерации в области ПДн.
5. Обработка ПДн в Местной администрации осуществляется смешанным путем: с использованием вычислительной техники и без нее на бумажных носителях.
6. Местная администрация предоставляет обрабатываемые ею ПДн государственным органам и организациям, имеющим в соответствии с федеральным законом право на получение соответствующих ПДн.
Полученные в ходе обработки информации данные передаются:
- по внутренней сети, с доступом строго определенных работников Местной администрации;
- по сети общего пользования "Интернет" с использованием сертифицированных программных и технических средств криптографической защиты информации.
7. Если иное не предусмотрено федеральным законом, по окончании обработки ПДн в Местной администрации, в том числе при достижении целей их обработки или утрате необходимости в достижении этих целей, обрабатывавшиеся Местной администрацией ПДн уничтожаются или обезличиваются.
II. Процедуры, направленные на выявление
и предотвращение нарушений законодательства
Российской Федерации в сфере персональных данных
8. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере ПДн, в Местной администрации используются следующие процедуры:
1) осуществление внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн;
2) оценка вреда, который может быть причинен субъектам ПДн;
3) ознакомление сотрудников Местной администрации, непосредственно осуществляющих обработку ПДн, с законодательством Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, настоящими Правилами, и (или) обучение сотрудников Местной администрации;
4) ограничение обработки ПДн достижением конкретных, заранее определенных и законных целей;
5) осуществление обработки ПДн в соответствии с принципами и условиями обработки ПДн, установленными законодательством Российской Федерации в области ПДн;
6) недопущение обработки ПДн, не совместимых с целями сбора ПДн;
7) недопущение объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, не совместимых между собой;
8) соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;
9) обеспечение при обработке ПДн точности ПДн, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки ПДн;
10) запрет на обработку ПДн лицами, не допущенными к их обработке;
11) запрет на обработку ПДн под диктовку.
III. Цели обработки персональных данных,
категории субъектов, персональные данные
которых обрабатываются
9. В Местной администрации ПДн обрабатываются в целях:
9.1. Обеспечения кадровой работы при реализации служебных и трудовых отношений, в том числе в целях содействия муниципальным служащим Местной администрации в прохождении муниципальной службы, формирования кадрового резерва муниципальной службы, обучения и должностного роста, учета результатов исполнения муниципальными служащими Местной администрации должностных обязанностей, обеспечения личной безопасности муниципальных служащих Местной администрации и членов их семьи, обеспечения муниципальным служащим Местной администрации установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества, а также в целях противодействия коррупции.
9.2. Заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами в случаях, предусмотренных действующим законодательством Российской Федерации и Уставом Прохладненского муниципального района КБР.
9.3. Выполнения возложенных на Местную администрацию функций, полномочий и обязанностей.
9.4. Исполнения полномочий органов местного самоуправления и функций организаций, участвующих в предоставлении муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на Едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг.
9.5. Обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, обеспечения безопасности физических лиц и представителей юридических лиц, обеспечения безопасности информации, обрабатываемой на объектах и в помещениях Местной администрации.
10. Сведениями, составляющими ПДн, в Местной администрации является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
11. Местная администрация обрабатывает ПДн следующих категорий субъектов ПДн:
11.1. Муниципальных служащих и иных работников, состоящих в отношениях, регулируемых трудовым законодательством.
11.2. Граждан, являющихся претендентами на замещение вакантных должностей.
11.3. Муниципальных служащих (граждан), включенных в кадровый резерв Местной администрации.
11.4. Лиц, замещавших должности муниципальной службы Местной администрации и получающих пенсию за выслугу лет на муниципальной службе.
11.5. Граждан, обращающихся к должностным лицам Местной администрации в соответствии с Федеральным законом от 02.05.2006 № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации".
11.6. Граждан, являющихся стороной гражданско-правового договора.
11.7. Граждан, обращающихся для получения муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта ПДн на Едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг.
12. В связи с трудовыми и иными непосредственно связанными с ними отношениями, в которых Местная администрация выступает в качестве работодателя, обрабатываются ПДн лиц, претендующих на трудоустройство в Местную администрацию; муниципальных служащих (граждан), включенных в кадровый резерв Местной администрации; муниципальных служащих и иных работников Местной администрации (далее - Работники) и бывших Работников.
13. В связи с реализацией своих прав и обязанностей Местной администрацией обрабатываются ПДн граждан, письменно обращающихся в Местную администрацию по вопросам ее деятельности.
14. ПДн получаются и обрабатываются Местной администрацией на основании федеральных законов, а в необходимых случаях - при наличии письменного согласия субъекта ПДн.
15. В целях исполнения возложенных на Местную администрацию функций Местная администрация в установленном порядке вправе поручить обработку ПДн третьим лицам.
В договоры с лицами, которым Местная администрация поручает обработку ПДн, включаются условия, обязывающие таких лиц соблюдать предусмотренные законом о ПДн и правилами требования к обработке ПДн.
IV. Содержание обрабатываемых персональных
данных для целей обработки персональных данных
16. Перечень ПДн, обрабатываемых в Местной администрации, формируется в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" и требованиями внутренних документов Местной администрации.
Местной администрацией обрабатываются биометрические ПДн.
17. В Местной администрации для каждой цели обработки ПДн определяется содержание обрабатываемых ПДн:
1) для цели обработки ПДн, указанной в подпункте 9.1 Правил, определяются: содержание ПДн, перечисленное в Перечне ПДн, утвержденном приложением № 1 к настоящим Правилам, и соответствующие категории субъектов, ПДн которых обрабатываются в Местной администрации, указанные в подпунктах 11.1 (за исключением иных Работников), 11.2, 11.3 Правил;
2) для цели обработки ПДн, указанной в подпункте 9.1 Правил, определяются: содержание ПДн, перечисленное в пунктах 1 - 16 Перечня ПДн, утвержденного приложением к настоящим Правилам, и соответствующие категории субъектов, ПДн которых обрабатываются в Местной администрации, указанные в подпункте 11.1 Правил (за исключением муниципальных служащих Местной администрации);
3) для целей обработки ПДн, указанных в подпунктах 9.2 - 9.5 Правил, определяются: содержание ПДн, регламентированное соответствующим законодательством, и соответствующие категории субъектов, ПДн которых обрабатываются в Местной администрации, указанные в подпунктах 11.4, 11.7 Правил.
18. В рамках рассмотрения обращений граждан подлежат обработке следующие ПДн заявителей:
- фамилия, имя, отчество (последнее при наличии);
- почтовый адрес;
- адрес электронной почты;
- указанный в обращении контактный телефон;
- иные персональные данные, указанные заявителем в обращении (жалобе), а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения.
V. Принципы и условия обработки персональных данных
19. Под обработкой ПДн понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
20. Принципы обработки Местной администрацией ПДн:
- обработка ПДн осуществляется на законной и справедливой основе;
- обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей, не допускается обработка ПДн, не совместимая с целями сбора ПДн;
- не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, не совместимых между собой;
- обработке подлежат только ПДн, которые отвечают целям их обработки;
- содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки, избыточность обрабатываемых данных Местной администрацией не допускается;
- при обработке ПДн обеспечиваются точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн, Местная администрация принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных или неточных данных;
- хранение ПДн осуществляется в соответствии с п. 4.2 Правил;
- Местная администрация не размещает ПДн субъекта персональных данных в общедоступных источниках без его предварительного согласия.
21. Обработка ПДн осуществляется Местной администрацией на основании условий, определенных законодательством Российской Федерации.
VI. Принципы обеспечения безопасности
персональных данных
22. Основной задачей обеспечения безопасности ПДн при их обработке в Местной администрации является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПДн, разрушения (уничтожения) или искажения их в процессе обработки.
23. Для обеспечения безопасности ПДн Местная администрация руководствуется следующими принципами:
1) законность: защита ПДн основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПДн;
2) системность: обработка ПДн в Местной администрации осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн;
3) комплексность: защита ПДн строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Местной администрации (далее - ИС) и других имеющихся в Местной администрации систем и средств защиты;
4) непрерывность: защита ПДн обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки ПДн, в том числе при проведении ремонтных и регламентных работ;
5) своевременность: меры, обеспечивающие надлежащий уровень безопасности ПДн, принимаются до начала их обработки;
6) преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты ПДн осуществляются на основании результатов анализа практики обработки ПДн в Местной администрации с учетом выявления новых способов и средств реализации угроз безопасности ПДн, отечественного и зарубежного опыта в сфере защиты информации;
7) персональная ответственность: ответственность за обеспечение безопасности ПДн возлагается на Работников в пределах их обязанностей, связанных с обработкой и защитой ПДн;
8) минимизация прав доступа: доступ к ПДн предоставляется Работникам только в объеме, необходимом для выполнения их должностных обязанностей;
9) гибкость: обеспечение выполнения функций защиты ПДн при изменении характеристик функционирования информационных систем персональных данных Местной администрации (далее - ИСПДн), а также объема и состава обрабатываемых ПДн;
10) открытость алгоритмов и механизмов защиты: структура, технологии и алгоритмы функционирования системы защиты ПДн Местной администрации (далее - СЗПДн) не дают возможности преодоления имеющихся в Местной администрации систем защиты возможными нарушителями безопасности ПДн;
11) научная обоснованность и техническая реализуемость: уровень мер по защите ПДн определяется современным уровнем развития информационных технологий и средств защиты информации;
12) специализация и профессионализм: реализация мер по обеспечению безопасности ПДн и эксплуатация СЗПДн осуществляются Работниками, имеющими необходимые для этого квалификацию и опыт;
13) эффективность процедур отбора кадров: кадровая политика Местной администрации предусматривает тщательный подбор персонала и мотивацию Работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности ПДн; минимизация вероятности возникновения угрозы безопасности ПДн, источники которых связаны с человеческим фактором, обеспечивается получением наиболее полной информации о Работниках до заключения договоров;
14) наблюдаемость и прозрачность: меры по обеспечению безопасности ПДн должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;
15) непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты ПДн, а результаты контроля регулярно анализируются.
VII. Доступ к обрабатываемым персональным данным
24. Доступ к обрабатываемым в Местной администрации ПДн имеют лица, уполномоченные актом Местной администрации, а также лица, чьи ПДн подлежат обработке.
25. В целях разграничения полномочий при обработке ПДн полномочия по реализации каждой определенной законодательством муниципальной функции и предоставлению муниципальной услуги Местной администрации закрепляются за соответствующими структурными подразделениями Местной администрации.
Доступ к ПДн, обрабатываемым в ходе реализации полномочий, закрепленных за конкретным структурным подразделением Местной администрации, могут иметь только Работники этого структурного подразделения. Работники допускаются к ПДн, связанным с деятельностью другого структурного подразделения, только для чтения и подготовки обобщенных материалов в части вопросов, касающихся структурного подразделения этих Работников.
26. Доступ Работников к обрабатываемым ПДн осуществляется в соответствии с их должностными обязанностями и требованиями внутренних документов Местной администрации.
Допущенные к обработке ПДн Работники под роспись знакомятся с документами Местной администрации, устанавливающими порядок обработки ПДн, включая документы, устанавливающие права и обязанности конкретных Работников.
27. Факты получения доступа к ИСПДн, а также факты обработки ПДн регистрируются, в том числе с использованием средств обеспечения информационной безопасности. Информация о фактах обработки ПДн хранится в Местной администрации, включая ИС, в течение трех лет.
28. Порядок доступа субъекта ПДн к его ПДн, обрабатываемым Местной администрацией, осуществляется в соответствии с Законом о ПДн и определяется внутренними документами Местной администрации.
VIII. Основные мероприятия по обеспечению
безопасности персональных данных
29. Мероприятия по защите ПДн реализуются в Местной администрации в следующих направлениях:
1) предотвращение утечки информации, содержащей ПДн, по техническим каналам связи и иными способами;
2) предотвращение несанкционированного доступа к содержащей ПДн информации, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней;
3) защита от вредоносных программ;
4) обеспечение безопасного межсетевого взаимодействия;
5) обеспечение безопасного доступа к сетям международного информационного обмена;
6) анализ защищенности ИСПДн;
7) обеспечение защиты информации с использованием шифровальных (криптографических) средств при передаче ПДн по каналам связи;
8) обнаружение вторжений и компьютерных атак;
9) осуществление контроля за реализацией системы защиты ПДн.
30. Мероприятия по обеспечению безопасности ПДн включают в себя:
1) реализацию разрешительной системы допуска пользователей (Работников) к информационным ресурсам ИС и связанным с их использованием работам, документам;
2) разграничение доступа пользователей ИСПДн и обслуживающих ИСПДн Работников к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
3) регистрацию действий пользователей и обслуживающих ИСПДн Работников, контроль несанкционированного доступа и действий пользователей и обслуживающих Работников, а также третьих лиц;
4) использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
5) предотвращение внедрения в ИС вредоносных программ и программных закладок, анализ принимаемой по информационно-телекоммуникационным сетям (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов;
6) ограничение доступа в помещения, где размещены технические средства, позволяющие осуществлять обработку ПДн, а также хранятся носители информации, содержащие ПДн;
7) размещение технических средств, позволяющих осуществлять обработку ПДн, в пределах охраняемой территории;
8) организацию физической защиты помещений и технических средств, позволяющих осуществлять обработку ПДн;
9) учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
10) резервирование технических средств, дублирование массивов и носителей информации;
11) реализацию требований по безопасному межсетевому взаимодействию ИС;
12) использование защищенных каналов связи, защита информации при ее передаче по каналам связи;
13) межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры ИС;
14) обнаружение вторжений в ИС, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности ПДн;
15) периодический анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на ИС;
16) активный аудит безопасности ИС на предмет обнаружения в режиме реального времени несанкционированной сетевой активности;
17) анализ защищенности ИС с применением специализированных программных средств (сканеров безопасности);
18) централизованное управление системой защиты ПДн в ИС.
31. В целях организации работ по обеспечению информационной безопасности ПДн в Местной администрации определяются структурные подразделения, на которые возлагаются задачи:
1) по классификации, паспортизации и аттестации ИСПДн;
2) организации разработки модели угроз для каждой ИСПДн;
3) организации разработки технического проекта системы защиты информации для каждой ИСПДн;
4) закупки, установки, эксплуатации и администрирования средств защиты информации;
5) организации разрешительной системы допуска к информации, содержащей ПДн, и разработке внутренних документов Местной администрации по этому вопросу;
6) организации реагирования на события безопасности;
7) по контролю состояния системы защиты информации и планирования соответствующих мероприятий.
32. С целью поддержания состояния защиты ПДн на надлежащем уровне в Местной администрации осуществляется внутренний контроль за эффективностью системы защиты ПДн и соответствием порядка и условий обработки и защиты ПДн установленным требованиям.
Внутренний контроль включает:
1) мониторинг состояния технических и программных средств, входящих в состав СЗПДн;
2) контроль соблюдения требований по обеспечению безопасности ПДн (требований нормативных правовых актов и внутренних регулятивных документов в области обработки и защиты ПДн, требований договоров).
33. В целях осуществления внутреннего контроля в Местной администрации проводятся периодические проверки условий обработки ПДн. Такие проверки осуществляются ответственным за организацию обработки ПДн в Местной администрации.
О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, докладывается руководителю Местной администрации.
IX. Условия и порядок обработки персональных данных
субъектов в связи с реализацией служебных и трудовых
отношений в Местной администрации
34. Обработка ПДн и биометрических (специальных) ПДн муниципальных служащих и иных работников Местной администрации, граждан, претендующих на замещение должностей муниципальной службы Местной администрации, осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 9.1 Правил, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона "О персональных данных" и положениями Федерального закона "О муниципальной службе в Российской Федерации", Федерального закона "О противодействии коррупции", Трудовым кодексом Российской Федерации.
35. Обработка специальных категорий ПДн муниципальных служащих и иных работников Местной администрации, граждан, претендующих на замещение должностей муниципальной службы Местной администрации, осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 9.1 Правил, в соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 Федерального закона "О персональных данных" и положениями Трудового кодекса Российской Федерации, за исключением случаев получения ПДн работника у третьей стороны.
36. Обработка ПДн муниципальных служащих и иных работников Местной администрации, граждан, претендующих на замещение должностей муниципальной службы Местной администрации, лиц, состоящих в кадровом резерве Местной администрации, осуществляется при условии получения согласия указанных лиц в следующих случаях:
1) при передаче (распространении, предоставлении) ПДн третьим лицам в случаях, не предусмотренных действующим трудовым законодательством и законодательством Российской Федерации о муниципальной службе;
2) при трансграничной передаче персональных данных;
3) при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
37. В случаях, предусмотренных пунктом 36 Правил, согласие субъекта ПДн оформляется в письменной форме, если иное не установлено Федеральным законом "О персональных данных".
38. Обработка ПДн муниципальных служащих и иных Работников Местной администрации; граждан, претендующих на замещение должностей муниципальной службы Местной администрации; муниципальных служащих (граждан), включенных в кадровый резерв Местной администрации, осуществляется отделом организационно-контрольной и кадровой работы Местной администрации (далее - кадровое подразделение Местной администрации) и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение ПДн.
39. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПДн муниципальных служащих и иных Работников Местной администрации, граждан, претендующих на замещение должностей муниципальной службы Местной администрации, осуществляется путем:
1) получения оригиналов необходимых документов (заявление, трудовая книжка, иные документы, предоставляемые в кадровое подразделение Местной администрации);
2) копирования оригиналов документов и заверения копий документов;
3) внесения сведений в учетные формы (на бумажных и электронных носителях);
4) формирования ПДн в ходе кадровой работы;
5) внесения ПДн в информационные системы Местной администрации, используемые кадровым подразделением Местной администрации.
40. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПДн осуществляются путем получения непосредственно от муниципальных служащих и иных Работников Местной администрации, граждан, претендующих на замещение должностей муниципальной службы Местной администрации, а также лиц, состоящих в кадровом резерве Местной администрации.
В целях обеспечения достоверности ПДн муниципальные служащие и иные Работники обязаны представлять в кадровое подразделение достоверные сведения о себе в порядке и объеме, предусмотренных законодательством Российской Федерации.
В случае изменения ПДн муниципальных служащих и иных Работников, обрабатываемых в Местной администрации в связи с реализацией трудовых отношений, а также обусловленных трудовым договором (контрактом), они в 3-дневный срок обязаны сообщать о таких изменениях в кадровое подразделение Местной администрации.
41. В случае возникновения необходимости получения ПДн муниципального служащего и иных Работников Местной администрации у третьей стороны, следует известить об этом муниципального служащего и иных Работников Местной администрации заранее, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения ПДн.
42. Запрещается получать, обрабатывать и приобщать к личному делу муниципального служащего Местной администрации ПДн, не предусмотренные пунктом 17 Правил, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
43. При сборе ПДн сотрудник кадрового подразделения Местной администрации, осуществляющий сбор (получение) ПДн непосредственно от муниципальных служащих Местной администрации, граждан, претендующих на замещение должностей муниципальной службы Местной администрации, лиц, состоящих в кадровом резерве Местной администрации, обязан разъяснить указанным субъектам ПДн юридические последствия отказа предоставить их ПДн.
44. Передача (распространение, предоставление) и использование ПДн муниципальных служащих и иных Работников Местной администрации, граждан, претендующих на замещение должностей муниципальной службы Местной администрации, лиц, состоящих в кадровом резерве Местной администрации, осуществляются лишь в случаях и в порядке, предусмотренных федеральными законами.
45. ПДн муниципальных служащих и иных работников Местной администрации поступают в кадровое подразделение Местной администрации, хранятся на бумажных носителях, в т.ч. в личном деле, в электронном виде, в информационной системе, передаются внутри Местной администрации на бумажных носителях и в электронном виде по локальным сетям.
46. Формирование, ведение и хранение личных дел муниципальных служащих и иных документов, содержащих ПДн муниципального служащего:
1) личное дело муниципального служащего формируется согласно Указу Президента Российской Федерации от 30.05.2005 № 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";
2) формирование, ведение и хранение в течение установленного срока личных дел муниципальных служащих, проходящих муниципальную службу в Местной администрации (уволенных с муниципальной службы), иных материалов, содержащих их персональные данные, ведение и хранение личных карточек муниципальных служащих и иных Работников Местной администрации (унифицированная форма № Т-2ГС(МС), Т-2) осуществляются кадровой службой Местной администрации;
3) передача документов в архив осуществляется в порядке, определенном Федеральным законом от 22.10.2004 № 125-ФЗ "Об архивном деле в Российской Федерации", положением о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденным Указом Президента Российской Федерации от 30.05.2005 № 609;
4) ПДн и иные сведения, содержащиеся в личных делах муниципальных служащих, относятся к сведениям конфиденциального характера (за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - сведениям, составляющим государственную тайну;
5) сведения о доходах, расходах, об имуществе и обязательствах имущественного характера муниципальных служащих Местной администрации, их супругов и несовершеннолетних детей подлежат размещению на официальном сайте Местной администрации в соответствии с нормативным актом органа местного самоуправления;
6) при переводе или назначении муниципального служащего на должность муниципальной службы в другом муниципальном (государственном) органе его личное дело передается в муниципальный (государственный) орган по новому месту замещения должности муниципальной службы по письменному запросу соответствующего органа.
X. Условия и порядок обработки персональных данных
субъектов в связи с предоставлением муниципальных услуг
и исполнением муниципальных функций
47. В Местной администрации обработка ПДн физических лиц осуществляется в целях организации приема граждан, обеспечения своевременного и в полном объеме рассмотрения устных и письменных обращений граждан по вопросам, относящимся к компетенции Местной администрации, а также предоставления муниципальных услуг и исполнения муниципальных функций, определенных органом местного самоуправления Эльбрусского муниципального района.
48. ПДн граждан, обратившихся в Местную администрацию лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением заявителей о результатах рассмотрения.
49. В соответствии с законодательством Российской Федерации в Местной администрации подлежат рассмотрению обращения граждан Российской Федерации, иностранных граждан и лиц без гражданства.
50. Обработка ПДн, необходимых в связи с предоставлением муниципальных услуг и исполнением муниципальных функций, указанных в пункте 47 настоящих Правил, осуществляется без согласия субъектов ПДн в соответствии с пунктом 4 части 1 статьи 6 Федерального закона "О персональных данных", Федеральными законами "Об организации предоставления государственных и муниципальных услуг", "О порядке рассмотрения обращений граждан Российской Федерации" и иными нормативными правовыми актами, определяющими предоставление муниципальных услуг и исполнение муниципальных функций в установленной сфере ведения Местной администрации.
51. Обработка ПДн, необходимых в связи с предоставлением муниципальных услуг и исполнением муниципальных функций, указанных в пункте 47 настоящих Правил, осуществляется структурными подразделениями Местной администрации, предоставляющими соответствующие муниципальные услуги и (или) исполняющими муниципальные функции, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, удаление, уничтожение ПДн.
52. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПДн субъектов, обратившихся в Местную администрацию для получения муниципальной услуги или в целях исполнения муниципальной функции, осуществляются путем:
1) получения оригиналов необходимых документов (заявления);
2) копирования оригиналов документов;
3) заверения копий документов;
4) внесения сведений в учетные формы (на бумажных носителях).
53. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПДн осуществляются путем получения ПДн непосредственно от субъектов ПДн (заявителей).
54. При предоставлении муниципальной услуги или исполнении муниципальной функции Местной администрации запрещается запрашивать у субъектов ПДн и третьих лиц, а также обрабатывать ПДн в случаях, не предусмотренных законодательством Российской Федерации.
55. При сборе ПДн уполномоченное должностное лицо структурного подразделения Местной администрации, осуществляющее получение ПДн непосредственно от субъектов ПДн, обратившихся за предоставлением муниципальной услуги или в связи с исполнением муниципальной функции, обязано разъяснить указанным субъектам ПДн юридические последствия отказа предоставить персональные данные.
56. Передача (распространение, предоставление) и использование ПДн заявителей (субъектов ПДн) Местной администрации осуществляются лишь в случаях и в порядке, предусмотренных федеральными законами.
XI. Порядок обработки персональных данных субъектов
персональных данных в информационных системах
и меры по обеспечению их безопасности
57. В соответствии с требованиями нормативных правовых актов в области обработки и защиты ПДн, обработки ПДн с использованием средств автоматизации в Местной администрации создаются ИСПДн.
Все ИСПДн проходят периодическую классификацию и аттестацию в соответствии с требованиями нормативных правовых актов в области обеспечения безопасности ПДн.
Для каждой ИСПДн формируется модель угроз безопасности ПДн и на ее основе проводятся мероприятия по обеспечению безопасности информации в соответствии с требованиями, предъявляемыми к установленному классу ИСПДн.
Пересмотр моделей угроз для каждой ИСПДн осуществляется:
а) в плановом порядке для существующих ИСПДн - ежегодно;
б) в случае существенных изменений в инфраструктуре или порядке обработки ПДн в ИСПДн - в течение трех месяцев с даты фиксации изменений;
в) в случае создания новой ИСПДн (выделения части из существующей ИСПДн) - в течение одного месяца с даты создания (выделения) ИСПДн.
58. Обработка ПДн в Местной администрации с использованием средств автоматизации ведется только в ИСПДн. В Местной администрации запрещаются обработка ПДн с целями, не соответствующими целям создания ИСПДн, эксплуатация ИСПДн в составе, отличном от указанного при создании ИСПДн.
59. Ввод в эксплуатацию ИСПДн оформляется актом ввода в эксплуатацию.
60. В целях обеспечения управления информационной безопасностью ПДн в Местной администрации создается СЗПДн.
Объектами защиты СЗПДн являются информация, обрабатываемая Местной администрацией и содержащая ПДн, а также инфраструктура, содержащая и поддерживающая указанную информацию.
61. СЗПДн реализуется комплексом правовых, режимных, организационных и программно-технических мер, которые включают:
1) подготовку внутренних документов Местной администрации по вопросам обработки и защиты ПДн, контроль за исполнением в Местной администрации требований нормативных правовых актов и внутренних документов Местной администрации в области обработки и защиты ПДн, а также внесение соответствующих изменений в имеющиеся внутренние документы;
2) оформление письменных обязательств Работников о неразглашении ПДн;
3) доведение до сведения Работников информации об установленных законодательством Российской Федерации санкциях за нарушения, связанные с обработкой и защитой ПДн;
4) обеспечение наличия в положениях о структурных подразделениях Местной администрации и должностных обязанностях Работников требований по соблюдению установленного порядка обработки и защиты ПДн;
5) разработку и введение в действие внутренних документов Местной администрации по обеспечению информационной безопасности ИСПДн;
6) регламентацию процедур создания и осуществления документирования действующих инженерных и информационных систем, программных комплексов, порядка внесения в них изменений и своевременной актуализации эксплуатационной документации;
7) ознакомление Работников с положениями нормативных правовых актов и внутренних документов Местной администрации в области обработки и защиты ПДн, а также обучение Работников правилам обработки и защиты ПДн;
8) проведение мероприятий по регламентации, установлению, поддержанию и осуществлению контроля за состоянием:
а) физической охраны, контрольно-пропускного режима, перемещения технических средств и носителей информации;
б) защиты технологических процессов, информационных ресурсов, информации и поддерживающей их инфраструктуры от угроз техногенного характера и внешних неинформационных воздействий;
9) регламентацию обработки ПДн, в том числе хранения и передачи информации как внутри Местной администрации, так и при взаимодействии с государственными органами и организациями, обращения с документами (включая электронные документы) и носителями, порядка их учета, хранения и уничтожения;
10) установление правил доступа на объекты, в помещения, в ИС, применение в этих целях систем охраны и управления доступом;
11) организацию технического оснащения объектов и ИСПДн в соответствии с существующими требованиями к информационной безопасности;
12) формирование условий и технологических процессов обработки, хранения и передачи информации в Местной администрации (включая условия хранения документов в архивах), обеспечивающих реализацию требований нормативных правовых актов, методических документов уполномоченных государственных органов и внутренних документов Местной администрации в области обработки и защиты ПДн;
13) установление полномочий пользователей и форм представления информации пользователям ИСПДн;
14) организацию непрерывного процесса контроля (мониторинга) событий безопасности для своевременного выявления и пресечения попыток несанкционированного доступа к защищаемой информации;
15) организацию необходимых мероприятий с Работниками, а также собеседование с лицами, претендующими на работу в Местной администрации, изучение их биографии и проверку предоставляемых сведений; обучение Работников требованиям информационной безопасности;
16) осуществление контроля эффективности организационных мер защиты;
17) разработку защитных технических решений:
а) при стратегическом планировании архитектуры ИС;
б) выборе технических средств обработки информации;
в) разработке и (или) приобретении программного обеспечения;
18) применение следующих компонентов программно-технических мер защиты:
а) защищенных средств (систем) обработки информации, содержащей ПДн;
б) системы криптографической защиты информации при ее передаче по каналам связи;
в) межсетевых экранов для логического разделения подсетей и защиты от несанкционированного доступа из внешних (открытых) информационных систем;
г) аппаратных и программных средств защиты и контроля, устройств, технических систем и средств, используемых для обеспечения информационной безопасности, в том числе для обнаружения и нейтрализации попыток несанкционированного доступа к информации.
62. Муниципальным служащим Местной администрации, имеющим право осуществлять обработку ПДн в информационных системах Местной администрации, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе Местной администрации. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными инструкциями муниципальных служащих Местной администрации.
63. Классификация информационных систем ПДн осуществляется в порядке, установленном законодательством Российской Федерации.
64. Информация может вноситься как в автоматическом режиме, при получении ПДн с Единого портала государственных услуг или официального сайта Местной администрации, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
XII. Порядок обработки персональных данных
без использования средств автоматизации
65. Обработка ПДн без использования средств автоматизации (далее - неавтоматизированная обработка ПДн) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации.
66. При неавтоматизированной обработке различных категорий ПДн должен использоваться отдельный материальный носитель для каждой категории ПДн.
67. При неавтоматизированной обработке ПДн на бумажных носителях:
1) не допускается фиксация на одном бумажном носителе ПДн, цели обработки которых заведомо несовместимы;
2) ПДн должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
3) документы, содержащие ПДн, формируются в дела в зависимости от цели обработки ПДн;
4) дела с документами, содержащими ПДн, должны иметь внутренние описи документов с указанием цели обработки и категории ПДн.
68. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее - типовые формы), должны соблюдаться следующие условия:
1) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки ПДн, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн;
2) типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на неавтоматизированную обработку ПДн, - при необходимости получения письменного согласия на обработку ПДн;
3) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;
4) типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо несовместимы.
69. Документы и внешние электронные носители информации, содержащие ПДн, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
70. Уничтожение или обезличивание части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
71. При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн, должны быть приняты меры по обеспечению раздельной обработки ПДн, в частности:
1) при необходимости использования или распространения определенных ПДн отдельно от находящихся на том же материальном носителе других ПДн осуществляется копирование ПДн, подлежащих распространению или использованию, способом, исключающим одновременное копирование ПДн, не подлежащих распространению и использованию, и используется (распространяется) копия ПДн;
2) при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
72. Уточнение ПДн при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными ПДн.
73. Обработка ПДн, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.
74. Необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.
XIII. Сроки обработки, хранения и условия
прекращения обработки персональных данных
75. Сроки обработки ПДн определяются в соответствии со сроками, установленными федеральными законами и нормативно-правовыми актами.
С учетом положений законодательства Российской Федерации устанавливаются следующие сроки обработки и хранения ПДн муниципальных служащих и иных работников:
1) ПДн, содержащиеся в распоряжениях по личному составу Местной администрации (о приеме, переводе, увольнении, установлении надбавок, присвоении чинов, поощрениях, оказании материальной помощи, изменении фамилии, отпусках по уходу за ребенком), подлежат хранению в кадровом подразделении Местной администрации в течение двух лет с последующим формированием и передачей указанных документов в архив Местной администрации в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 лет.
2) ПДн, содержащиеся в личных делах муниципальных служащих Местной администрации, а также личных карточках муниципальных служащих и иных работников Местной администрации, хранятся в кадровом подразделении Местной администрации в течение десяти лет с последующим формированием и передачей указанных документов в архив Местной администрации или государственный архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 лет.
3) ПДн, содержащиеся в распоряжениях о предоставлении отпусков, о краткосрочных внутрироссийских и зарубежных командировках, о дисциплинарных взысканиях муниципальных служащих и иных работников Местной администрации, подлежат хранению в кадровом подразделении Местной администрации в течение пяти лет с последующим уничтожением.
76. ПДн, содержащиеся в документах претендентов на замещение вакантной должности муниципальной службы в Местной администрации, не допущенных к участию в конкурсе, и кандидатов, участвовавших в конкурсе, хранятся в кадровом подразделении Местной администрации в течение 3 лет со дня завершения конкурса, после чего подлежат уничтожению.
77. Сроки обработки и хранения ПДн, предоставляемых субъектами ПДн в Местную администрацию в связи с получением муниципальных услуг и исполнением муниципальных функций, указанных в пункте 47 настоящих Правил, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.
78. ПДн граждан, обратившихся в Местную администрацию лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет.
79. ПДн, предоставляемые субъектами на бумажном носителе в связи с предоставлением Местной администрацией муниципальных услуг и исполнением муниципальных функций, хранятся на бумажных носителях в структурных подразделениях Местной администрации, к полномочиям которых относится обработка ПДн в связи с предоставлением муниципальной услуги или исполнением муниципальной функции, в соответствии с утвержденными положениями о соответствующих структурных подразделениях Местной администрации.
80. ПДн при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях ПДн, в специальных разделах или на полях форм (бланков).
81. Необходимо обеспечивать раздельное хранение ПДн на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящими Правилами.
82. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
83. Основанием для прекращения обработки ПДн является прекращение деятельности Местной администрацией, изменение действующего законодательства Российской Федерации, другие предусмотренные законодательством Российской Федерации основания.
84. Контроль за хранением и использованием материальных носителей ПДн, не допускающий несанкционированное использование, уточнение, распространение и уничтожение ПДн, находящихся на этих носителях, осуществляют руководители структурных подразделений Местной администрации.
XIV. Порядок уничтожения персональных данных
при достижении целей обработки или при наступлении
иных законных оснований
85. ПДн подлежат уничтожению в течение тридцати дней по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не установлено действующим законодательством.
86. Структурным подразделением Местной администрации, ответственным за документооборот и архивирование, осуществляется систематический контроль и выделение документов, содержащих ПДн с истекшими сроками хранения, подлежащих уничтожению.
87. Вопрос об уничтожении выделенных документов, содержащих ПДн, рассматривается на заседании экспертной комиссии Местной администрации (далее - ЭК Местной администрации), состав которой утверждается распоряжением Местной администрации.
По итогам заседания составляются протокол и Акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем и членами ЭК Местной администрации и утверждается главой Местной администрации.
88. Местной администрацией в порядке, установленном законодательством Российской Федерации, определяется подрядная организация, имеющая необходимую производственную базу для обеспечения установленного порядка уничтожения документов. Должностное лицо Местной администрации, ответственное за архивную деятельность, сопровождает документы, содержащие ПДн, до производственной базы подрядчика и присутствует при процедуре уничтожения документов (сжигание или химическое уничтожение).
89. По окончании процедуры уничтожения подрядчиком и должностным лицом Местной администрации, ответственным за архивную деятельность, составляется соответствующий акт об уничтожении документов, содержащих ПДн.
90. Уничтожение по окончании срока обработки ПДн на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление ПДн, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации.
XV. Лицо, ответственное за организацию обработки
персональных данных в Местной администрации
91. Ответственный за организацию обработки ПДн в Местной администрации назначается главой Местной администрации из числа муниципальных служащих, относящихся к высшей группе должностей Местной администрации в соответствии с распределением обязанностей.
92. Ответственный за организацию обработки ПДн в Местной администрации в своей работе руководствуется законодательством Российской Федерации в области ПДн и настоящими Правилами.
93. Ответственный за организацию обработки ПДн в Местной администрации обязан:
1) организовывать принятие правовых, организационных и технических мер для обеспечения защиты ПДн, обрабатываемых в Местной администрации от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;
2) осуществлять внутренний контроль за соблюдением муниципальными служащими Местной администрации требований законодательства Российской Федерации в области ПДн, в том числе требований к защите ПДн;
3) доводить до сведения муниципальных служащих Местной администрации положения законодательства Российской Федерации в области ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
4) организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в Местную администрацию;
5) в случае нарушения в Местной администрации требований к защите ПДн принимать необходимые меры по восстановлению нарушенных прав субъектов ПДн.
94. Ответственный за обработку ПДн вправе:
1) иметь доступ к информации, касающейся обработки ПДн в Местной администрации и включающей:
а) цели обработки ПДн;
б) категории обрабатываемых ПДн;
в) категории субъектов, ПДн которых обрабатываются;
г) правовые основания обработки ПДн;
д) перечень действий с ПДн, общее описание используемых в Местной администрации способов обработки ПДн;
е) описание мер, предусмотренных статьями 18.1 и 19 Федерального закона "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
ж) дату начала обработки ПДн;
з) срок или условия прекращения обработки ПДн;
и) сведения о наличии или об отсутствии трансграничной передачи ПДн в процессе их обработки;
к) сведения об обеспечении безопасности ПДн в соответствии с требованиями к защите ПДн, установленными Правительством Российской Федерации;
2) привлекать к реализации мер, направленных на обеспечение безопасности ПДн, обрабатываемых в Местной администрации, иных муниципальных служащих Местной администрации с возложением на них соответствующих обязанностей и закреплением ответственности.
95. Ответственный за организацию обработки ПДн в Местной администрации несет ответственность за надлежащее выполнение возложенных функций по организации обработки ПДн в Местной администрации в соответствии с положениями законодательства Российской Федерации в области ПДн.
XVI. Рассмотрение запросов субъектов
персональных данных или их представителей
96. Муниципальные служащие и иные Работники Местной администрации, граждане, претендующие на замещение должностей муниципальной службы Местной администрации и подавшие документы на участие в конкурсе, а также граждане, персональные данные которых обрабатываются в Местной администрации в связи с предоставлением муниципальных услуг и осуществлением муниципальных функций, имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных в Местной администрации;
2) правовые основания и цели обработки персональных данных;
3) применяемые в Местной администрации способы обработки персональных данных;
4) наименование и место нахождения Местной администрации, сведения о лицах (за исключением муниципальных служащих Местной администрации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Местной администрацией или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения в Местной администрации;
7) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;
8) информацию об осуществленной или предполагаемой трансграничной передаче данных;
9) наименование организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Местной администрации, если обработка поручена или будет поручена такой организации или лицу;
10) иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.
97. Лица, указанные в п. 96 настоящих Правил (далее - субъекты персональных данных), вправе требовать от Местной администрации уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
98. Сведения, указанные в подпунктах 1 - 10 пункта 96 настоящих Правил, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
99. Сведения, указанные в подпунктах 1 - 10 пункта 96 настоящих Правил, предоставляются субъекту персональных данных или его представителю уполномоченным должностным лицом структурного подразделения Местной администрации, осуществляющего обработку соответствующих персональных данных, при обращении либо при получении запроса субъекта персональных данных или его представителя по форме согласно приложению № 5 к настоящим Правилам. Запрос оформляется по форме согласно приложениям № 2, № 3, № 4 к настоящим Правилам и должен содержать:
1) номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
2) сведения, подтверждающие участие субъекта персональных данных в правоотношениях с Местной администрацией (документ, подтверждающий прием документов на участие в конкурсе на замещение вакантных должностей муниципальной службы, оказание Местной администрацией муниципальной услуги или осуществление муниципальной функции), либо сведения, иным образом подтверждающие факт обработки персональных данных в Местной администрации, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
100. В случае, если сведения, указанные в подпунктах 1 - 10 пункта 96 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Местную администрацию или направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
101. Субъект персональных данных вправе обратиться повторно в Местную администрацию или направить повторный запрос в целях получения сведений, указанных в подпунктах 1 - 10 пункта 96 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 100 настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 99 настоящих Правил, должен содержать обоснование направления повторного запроса.
102. Местная администрация (уполномоченное должностное лицо Местной администрации) вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 100 и 101 настоящих Правил. Такой отказ должен быть мотивированным.
103. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
XVII. Права и обязанности Местной администрации
Эльбрусского муниципального района
103. Местная администрация как оператор ПДн имеет право:
- отстаивать свои интересы в суде;
- отказывать в предоставлении ПДн в случаях, предусмотренных законодательством Российской Федерации;
- использовать ПДн субъекта без его согласия в случаях, предусмотренных законодательством Российской Федерации.
104. Местная администрация как оператор ПДн обязана:
- не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации;
- предоставлять субъектам ПДн сведения, касающиеся обработки его ПДн при обращении либо при получении запроса субъекта ПДн или его представителя;
- предоставлять ПДн субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
- по требованию субъекта ПДн прекратить обработку его ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации;
- принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" и иными законодательными актами Российской Федерации.
XVIII. Права и обязанности субъекта персональных данных
105. Субъект/представитель субъекта ПДн имеет право:
- требовать уточнения/исправления своих ПДн (субъекта ПДн), их блокирования или уничтожения в случае, если ПДн являются неполными, неточными, устаревшими, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав (прав субъекта ПДн);
- требовать предоставления перечня своих ПДн (субъекта ПДн), обрабатываемых Местной администрацией, и информации об источнике их получения, если иное не предусмотрено законодательством Российской Федерации;
- получать информацию о сроках обработки своих ПДн (субъекта ПДн), в том числе о сроках их хранения;
- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные/неточные/неактуальные его ПДн (субъекта ПДн), обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжаловать в уполномоченном органе по защите прав субъектов ПДн или в судебном порядке неправомерные действия или бездействие Местной администрации при обработке его ПДн (субъекта ПДн);
- на защиту своих прав (субъекта ПДн) и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
- отозвать согласие на обработку своих ПДн (субъекта ПДн), за исключением случаев, предусмотренных законодательством Российской Федерации.
106. Субъект/представитель субъекта ПДн обязан своевременно предоставлять Местной администрации сведения об изменении своих ПДн (субъекта ПДн), если такая обязанность предусмотрена договором между субъектом ПДн и Местной администрацией, законодательством или внутренними документами Местной администрации.
107. Местная администрация и субъект ПДн вправе воспользоваться своими правами, не указанными в Правилах, но предоставленными им законом либо договором.
XIX. Заключительные положения
108. Настоящие Правила являются внутренним документом Местной администрации, общедоступным и подлежит размещению на официальном сайте Местной администрации.
109. Настоящие Правила подлежат изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите ПДн, а также по инициативе Местной администрации.
110. В Местной администрации назначаются лица, ответственные за организацию и (или) осуществление обработки ПДн. Каждый новый Работник Местной администрации, непосредственно осуществляющий обработку ПДн, подлежит ознакомлению с требованиями законодательства Российской Федерации по обработке и обеспечению безопасности ПДн, с настоящими Правилами и другими внутренними документами Местной администрации по вопросам обработки ПДн и обязуется их соблюдать.
111. Ответственность Работников Местной администрации, имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн, определяется в соответствии с законодательством Российской Федерации и внутренними документами Местной администрации.
Приложение № 1
к Правилам
обработки и защиты персональных
данных в местной администрации
Эльбрусского муниципального района КБР
ПЕРЕЧЕНЬ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В МЕСТНОЙ
АДМИНИСТРАЦИИ ЭЛЬБРУССКОГО МУНИЦИПАЛЬНОГО РАЙОНА
В СВЯЗИ С РЕАЛИЗАЦИЕЙ СЛУЖЕБНЫХ И ТРУДОВЫХ ОТНОШЕНИЙ,
А ТАКЖЕ В СВЯЗИ С ОКАЗАНИЕМ МУНИЦИПАЛЬНЫХ УСЛУГ
И ОСУЩЕСТВЛЕНИЕМ МУНИЦИПАЛЬНЫХ ФУНКЦИЙ
1. Фамилия, имя, отчество, дата и место рождения, гражданство.
2. Прежние фамилия, имя, отчество, дата, место и причина изменения (в случае изменения).
3. Владение иностранными языками и языками народов Российской Федерации.
4. Образование (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому).
5. Послевузовское профессиональное образование (наименование образовательного или научного учреждения, год окончания), ученая степень, ученое звание (когда присвоены, номера дипломов, аттестатов).
6. Выполняемая работа с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и т.п.).
7. Отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу).
8. Адрес регистрации и фактического проживания.
9. Дата регистрации по месту жительства.
10. Паспорт (серия, номер, кем и когда выдан).
11. Паспорт, удостоверяющий личность гражданина Российской Федерации за пределами Российской Федерации (серия, номер, кем и когда выдан).
12. Номер телефона (домашний, мобильный).
13. Идентификационный номер налогоплательщика.
14. Номер страхового свидетельства обязательного пенсионного страхования.
15. Номер расчетного счета.
16. Номер банковской карты.
17. Классный чин федеральной государственной гражданской службы, гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатический ранг, воинское, специальное звание, классный чин правоохранительной службы (кем и когда присвоены).
18. Государственные награды, иные награды и знаки отличия (кем награжден и когда).
19. Степень родства, фамилии, имена, отчества, даты рождения близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены).
20. Места рождения, места работы и домашние адреса близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены).
21. Фамилии, имена, отчества, даты рождения, места рождения, места работы и домашние адреса бывших мужей (жен).
22. Пребывание за границей (когда, где, с какой целью).
23. Близкие родственники (отец, мать, братья, сестры и дети), а также муж (жена), в том числе бывшие, постоянно проживающие за границей и (или) оформляющие документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество, с какого времени проживают за границей).
24. Наличие (отсутствие) судимости.
25. Допуск к государственной тайне, оформленный за период работы, службы, учебы (форма, номер и дата).
26. Наличие (отсутствие) заболевания, препятствующего поступлению на муниципальную службу или ее прохождению, подтвержденного заключением медицинского учреждения.
27. Наличие (отсутствие) медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну, подтвержденных заключением медицинского учреждения.
28. Сведения о доходах, расходах, имуществе и обязательствах имущественного характера, а также о доходах, расходах, имуществе и обязательствах имущественного характера супругов и несовершеннолетних детей.
29. Сведения о последнем месте государственной или муниципальной службы.
30. Иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 7 Правил.
Приложение № 2
к Правилам
обработки и защиты персональных
данных в местной администрации
Эльбрусского муниципального района КБР
Запрос
на предоставление сведений, касающихся обработки
персональных данных субъекта персональных данных
Название организации
Наименование должности руководителя
Ф.И.О. руководителя
От:
___________________________________________________________________________
(фамилия, имя, отчество субъекта персональных данных)
паспорт: ________________________, выданный _______________________________
(серия, номер) (дата выдачи)
___________________________________________________________________________
(наименование органа, выдавшего паспорт)
Сведения, подтверждающие участие субъекта в отношениях с оператором:
___________________________________________________________________________
(№ и дата заключения договора, иные сведения)
В соответствии со ст. 14 Федерального закона РФ от 27.07.2006 № 152-ФЗ
"О персональных данных" прошу предоставить следующие сведения (отметить
необходимое):
подтверждение факта обработки моих персональных данных;
правовые основания и цели обработки моих персональных данных;
способы обработки моих персональных данных;
наименование и место нахождения оператора, сведения о лицах, которые
имеют доступ к моим персональным данным или которым могут быть раскрыты мои
персональные данные;
обрабатываемые персональные данные, относящиеся ко мне, и источник их
получения;
сроки обработки моих персональных данных, в том числе сроки их
хранения;
порядок осуществления мною прав, предусмотренных Федеральным законом
РФ от 27.07.2006 № 152-ФЗ "О персональных данных";
сведения об осуществленной или предполагаемой трансграничной передаче
моих персональных данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего
обработку моих персональных данных по поручению оператора;
иные сведения:
___________________________________________________________________________
Указанные сведения прошу предоставить:
в письменном виде по адресу:
_______________________________________________________________________
по адресу электронной почты:
__________________________________________
__________________ __________________
(дата) (подпись)
Приложение № 3
к Правилам
обработки и защиты персональных
данных в местной администрации
Эльбрусского муниципального района КБР
Запрос
на предоставление сведений, касающихся обработки
персональных данных субъекта, от представителя
субъекта персональных данных
Сокращенное название организации
Наименование должности руководителя
Ф.И.О. руководителя
От:
___________________________________________________________________________
(фамилия, имя, отчество представителя субъекта персональных данных)
паспорт: __________________________, выданный ___________________________
(серия, номер) (дата выдачи)
___________________________________________________________________________
(наименование органа, выдавшего паспорт)
В соответствии со ст. 14 Федерального закона РФ от 27.07.2006 № 152-ФЗ
"О персональных данных", действуя на основании
___________________________________________________________________________
(реквизиты документа, подтверждающего полномочия представителя
субъекта персональных данных)
прошу предоставить следующие сведения (отметить необходимое):
подтверждение факта обработки персональных данных субъекта;
правовые основания и цели обработки персональных данных субъекта;
способы обработки персональных данных субъекта;
наименование и место нахождения оператора, сведения о лицах, которые
имеют доступ к персональным данным субъекта или которым могут быть раскрыты
персональные данные субъекта;
обрабатываемые персональные данные, относящиеся к субъекту, и источник
их получения;
сроки обработки персональных данных субъекта, в том числе сроки их
хранения;
порядок осуществления субъектом прав, предусмотренных Федеральным
законом РФ от 27.07.2006 № 152-ФЗ "О персональных данных";
сведения об осуществленной или предполагаемой трансграничной передаче;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего
обработку персональных данных субъекта по поручению оператора;
иные сведения: ________________________________________________________
в отношении
___________________________________________________________________________
(фамилия, имя, отчество субъекта персональных данных)
документ, удостоверяющий личность, _______________, выданный ______________
(серия, номер) (дата выдачи)
__________________________________________________________________________.
(наименование органа, выдавшего документ)
Сведения, подтверждающие участие субъекта в отношениях с оператором:
___________________________________________________________________________
(№ и дата заключения договора, иные сведения)
Указанные сведения прошу предоставить:
в письменном виде по адресу:
_______________________________________________________________________
по адресу электронной почты:
__________________________________________
________________________ ________________________
(дата) (подпись)
Приложение № 4
к Правилам
обработки и защиты персональных
данных в местной администрации
Эльбрусского муниципального района КБР
Запрос
об изменении/исключении персональных данных
субъекта персональных данных
Название организации
Наименование должности руководителя
Ф.И.О. руководителя
От:
___________________________________________________________________________
(фамилия, имя, отчество субъекта персональных данных)
паспорт: ________________________, выданный _______________________________
(серия, номер) (дата выдачи)
___________________________________________________________________________
(наименование органа, выдавшего паспорт)
Сведения, подтверждающие участие субъекта в отношениях с оператором:
___________________________________________________________________________
(№ и дата заключения договора, иные сведения)
Мною "___"____________ _____ г. в местную администрацию Эльбрусского
(дата предоставления ПДн)
муниципального района были предоставлены следующие персональные данные:
___________________________________________________________________________
(указать, какие сведения были предоставлены, например: Ф.И.О., паспортные
данные, сведения о дате и месте рождения и т.п.)
Указанные данные были предоставлены мною для ______________________________
___________________________________________________________________________
(указать, для проведения какой операции были предоставлены данные)
В настоящее время сообщаю об изменении/исключении следующих моих
персональных данных в связи с _____________________________________________
___________________________________________________________________________
(указать какие данные, каким образом поменялись, например:
изменение Ф.И.О. Иванова И.И. на Петрова И.И.)
В срок не позднее 7 (семи) рабочих дней с даты получения
документального подтверждения об изменении персональных данных прошу внести
изменение/ исключить персональные данные в связи с ________________________
___________________________________________________________________________
(прекращением отношений с местной администрацией Эльбрусского
муниципального района, утратой сведениями достоверности и т.д).
Уведомить о факте изменения прошу по телефону, номер _________________.
Приложение:
___________________________________________________________________________
______________________ ___________ _______________
(Ф.И.О.) (подпись) (дата)
Приложение № 5
к Правилам
обработки и защиты персональных
данных в местной администрации
Эльбрусского муниципального района КБР
Ответ на запрос
о предоставлении персональных данных субъекта
гр. ________________
Уважаемый ____________________________!
В ответ на Ваш запрос № ________ от ___________ местная администрация
Эльбрусского муниципального района (далее - оператор) сообщает:
"__"__________ ____ г. оператор получил от ________________________________
сведения, содержащие персональные данные:
1. Ф.И.О.: ___________________________________________________________,
2. паспортные данные: _________________________________________________
__________________________________________________________________________,
3. дата и место рождения: ____________________________________________,
4. ___________________________________________________________________.
5. ___________________________________________________________________.
Указанные данные были получены в целях _______________________________
__________________________________________________________________________,
на что предварительно было получено Ваше письменное согласие (копия
прилагается).
В настоящее время материальные носители, содержащие Ваши персональные
данные, -
__________________________________________________________________________,
хранятся в ________________________________________________________________
по адресу ________________________________________________________________.
Непосредственный доступ к ним имеют следующие лица: ___________________
__________________________________________________________________________,
обязанность работы с персональными данными субъектов которых предусмотрена
характером выполняемых трудовых обязанностей, а также распоряжением № ___
от ___________ ____ г. местной администрации Эльбрусского муниципального
района.
Необходимость хранения Ваших персональных данных связана с текущим
исполнением условий договора и/или недостижением целей обработки
персональных данных.
Вы можете безвозмездно ознакомиться с указанными персональными данными
в срок не позднее 30 дней с даты подачи заявления на ознакомление с
персональными данными по адресу __________________________________________.
____________________________________ __________________________
(должность) (подпись)
------------------------------------------------------------------