Об утверждении Правил обработки персональных данных в администрации муниципального образования Павловское

 

 

Администрация
муниципального образования Павловское
Суздальского района Владимирской области
П О С Т А Н О В Л Е Н И Е

от 12.07.2018 № 159

Об утверждении Правил обработки персональных

данных в администрации муниципального

образования Павловское

Руководствуясь Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами». п о с т а н о в л я е т:

Утвердить Правила обработки персональных данных в администрации муниципального образования Павловское согласно приложению.
Опубликовать настоящее постановление в газете «Суздальская новь» без приложения, с приложением разместить на официальном сайте администрации муниципального образования Павловское в сети «Интернет».
Настоящее постановление вступает в силу со дня его официального опубликования в газете «Суздальская новь».
Контроль за исполнением настоящего постановления возложить на заместителя главы администрации муниципального образования Павловское.

Глава администрации

муниципального образования Павловское О. К. Гусева

Приложение

к постановлению администрации

муниципального образования Павловское

от 12.07.2018 № 159

Правила обработки персональных данных

в администрации муниципального образования Павловское

Общие положения
1.1.Настоящие Правила обработки персональных данных в администрации муниципального образования Павловское (далее - Правила) разработаны на основании требований Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановления Правительства РФ от 21.03.2012 № 211 «Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и устанавливают единый порядок обработки персональных данных в администрации муниципального образования Павловское и ее структурных подразделениях (далее администрации).

1.2.В настоящих Правилах используются следующие основные понятия:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор - администрация района или уполномоченный муниципальный служащий, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых оператором с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств .

1.3. Настоящие Правила устанавливают и определяют:

1) процедуры, направленные на выявление и предотвращение нарушений законодательства

Российской Федерации в сфере персональных данных;

2) цели обработки персональных данных;

3) категории субъектов, персональные данные которых обрабатываются;

4) сроки обработки и хранения обрабатываемых персональных данных;

5) порядок уничтожения обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований;

6) правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных №152-ФЗ, принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;

7) правила работы с обезличенными данными;

8) перечень должностей муниципальных служащих администрации района, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;

9) типовую форму согласия на обработку персональных данных субъектов персональных данных;

10) типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;

11) порядок доступа в помещения, в которых ведется обработка персональных данных.

1.4. Обработка персональных данных осуществляется после принятия необходимых мер по защите персональных данных, а именно:

1) после получения согласия субъекта персональных данных, в соответствии с пунктом 16 настоящих Правил, за исключением случаев, предусмотренных частью 2 статьи 6 №152-ФЗ;

2) после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Владимирской области, за исключением случаев, предусмотренных частью 2 статьи 22 №152-ФЗ.

1.5. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящими Правилами и подписывают обязательство о неразглашении информации, содержащей персональные данные (приложение №1 к настоящим Правилам).

Процедуры, направленные на выявление и
предотвращение нарушений законодательства

в сфере персональных данных

2.1. К мерам, направленным на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных, относятся:

1) назначение ответственного за организацию обработки персональных данных в администрации и самостоятельных структурных подразделениях;

2) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с частями 1 и 2 статьи 19 №152-ФЗ;

3) осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону №152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

4) оценка вреда, который может быть причинён субъектам персональным данных в случае нарушения законодательства Российской Федерации и настоящих Правил;

5) ознакомление работников, непосредственно осуществляющих обработку персональных данных с положениями законодательства Российской Федерации о персональных данных и настоящими Правилами;

6) запрет на обработку персональных данных лицами, не допущенными к их обработке;

7) запрет на обработку персональных данных под диктовку.

2.2. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовые формы), должны соблюдаться следующие условия:

1) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

2) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, - при необходимости получения письменного согласия на обработку персональных данных;

3) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

4) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

2.3. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

1) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

2) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

3.Цели обработки персональных данных

Целями обработки персональных данных являются:

- осуществление возложенных на администрацию федеральным, областным законодательством и Уставом муниципального образования функций, полномочий и обязанностей по решению вопросов местного значения и оказанию муниципальных услуг, государственных полномочий, переданных на уровень муниципального образования;

- организация деятельности администрации для обеспечения соблюдения законов и иных нормативных правовых актов при реализации права на труд, права избирать и быть избранным в органы местного самоуправления, права на пенсионное обеспечение и медицинское страхование работников.

Категории субъектов, персональные данные которых обрабатываются

К субъектам, персональные данные которых обрабатываются, относятся:

-граждане, претендующие на замещение должностей муниципальной службы и замещающие должности муниципальной службы, а также другие должности, не связанные с прохождением муниципальной службы;

-граждане, обратившиеся в администрацию с предложениями, заявлениями, жалобами;

-граждане, обратившиеся за предоставлением муниципальной услуги.

5.Сроки обработки и хранения обрабатываемых персональных данных

Сроки обработки и хранения персональных данных определяются:

1) Приказом Минкультуры Российской Федерации от 25.08.2010 №558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»;

2) сроком исковой давности;

3) иными требованиями законодательства Российской Федерации и муниципальными нормативными правовыми актами.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Порядок уничтожения обработанных персональных данных

Под уничтожением обработанных персональных данных понимаются действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.

Правила осуществления внутреннего контроля

Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных осуществляется с целью проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных №152-ФЗ, принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора.

Внутренний контроль соответствия обработки персональных данных делится на текущий и комиссионный:

-текущий внутренний контроль осуществляется на постоянной основе ответственным за обработку персональных данных в ходе мероприятий по обработке персональных данных.

-комиссионный внутренний контроль проводится комиссией для осуществления внутреннего контроля, которая образуется распоряжением администрации из числа муниципальных служащих администрации, допущенных к обработке персональных данных. Периодичность проверки – не реже одного раза в год.

В проведении проверки не может участвовать лицо, прямо или косвенно заинтересованное в её результатах.

При проведении внутренней проверки соответствия обработки персональных данных установленным требованиям комиссией должны быть полностью, объективно и всесторонне установлены:

порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
порядок и условия применения средств защиты информации;
эффективность принимаемых мер по обеспечению безопасности персональных данных;
состояние учёта машинных носителей персональных данных;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным;
мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
осуществление мероприятий по обеспечению целостности персональных данных.
В отношении персональных данных, ставших известными комиссии в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.

Срок проведения проверки не может составлять более 30 (тридцати) дней со дня принятия решения о её проведении. Результаты проверки оформляются в виде письменного заключения, утверждаются председателем комиссии и докладываются Главе района.

Правила работы с обезличенными данными

Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса используемых информационных систем персональных данных и по достижению сроков обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством Российской Федерации.

К способам обезличивания персональных данных при условии дальнейшей обработки персональных данных относятся:

уменьшение перечня обрабатываемых сведений;
замена части сведений идентификаторами;
обобщение (понижение) точности некоторых сведений;
деление сведений на части и обработка их в разных информационных системах;
другие способы.
К способам обезличивания персональных данных в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.

Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности и могут обрабатываться с использованием и без использования средств автоматизации.

При обработке обезличенных персональных данных с использованием средств автоматизации необходимо:

использование паролей;
использование антивирусных программ;
соблюдение правил доступа в помещение, в котором ведётся обработка персональных данных.
При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:

1) хранения бумажных носителей в условиях, исключающих доступ к ним посторонних лиц;

2) соблюдение правил доступа в помещение, в котором ведётся обработка персональных данных.

9.Перечень должностей, ответственных за проведение мероприятий

по обезличиванию обрабатываемых персональных данных

Ответственными за проведение мероприятий по обезличиванию обрабатываемых

персональных данных являются руководители отделов администрации, в которых осуществляется обработка персональных данных.

Ответственный за организацию обработки персональных данных

Ответственный за организацию обработки персональных данных в администрации назначается распоряжением администрации из числа муниципальных служащих, ответственный за организацию обработки персональных данных в структурных подразделениях администрации, обладающих правом юридического лица, назначается приказом руководителя подразделения.

Ответственный за организацию обработки персональных данных под роспись знакомиться с должностной инструкцией ответственного за организацию обработки персональных данных в администрации.

Обязательство о прекращении обработки персональных данных

Лица, допущенные к обработки персональных данных, в случае расторжения с ним договора, дают письменное обязательство прекратить обработку персональных данных, ставших известными им в связи с исполнением должностных обязанностей.

Обязательство о прекращении обработки персональных данных даётся в письменной форме согласно приложению №2 к настоящим Правилам.

Согласие на обработку персональных данных

Оператор перед обработкой персональных данных получает у субъектов обработки персональных данных, указанных в пункте 4 настоящих Правил, согласие на обработку их персональных данных.

Согласие на обработку персональных данных даётся субъектом обработки персональных данных в письменной форме.

Типовая форма согласия на обработку персональных данных в целях предусмотренных частью 1 пункта 3 настоящих Правил приведена в приложении №3 к настоящим Правилам.

Типовая форма согласия на обработку персональных данных в целях предусмотренных частью 2 пункта 3 настоящих Правил приведена в приложении №4 к настоящим Правилам.

Юридические последствия отсутствия согласия
на обработку персональных данных

В случае отсутствия согласия на обработку персональных данных оператор разъясняет субъекту обработки персональных данных юридические последствия отказа предоставить свои персональные данные.

Разъяснение юридических последствий осуществляется в письменной форме согласно приложению №5 к настоящим Правилам.

Порядок доступа в помещения, в которых ведется
обработка персональных данных

Запрещается оставлять материальные носители с персональными данными без присмотра в незапертом помещении, в котором осуществляется обработка персональных данных.

Все сотрудники, постоянно работающие в помещениях, в которых ведётся обработка персональных данных, должны быть допущены к работе с соответствующими видами персональных данных.

В служебных помещениях, занимаемых администрацией, применяются административные, технические, физические и процедурные меры, направленные на защиту данных от нецелевого использования, несанкционированного доступа, раскрытия, потери, изменения и уничтожения обрабатываемых персональных данных.

К указанным мерам относятся:

1) физические меры защиты: двери, снабжённые замками; сейфы; безопасное уничтожение носителей, содержащих персональные данные;

2) технические меры защиты: применение антивирусных программ, программ защиты; установление паролей на персональных компьютерах;

3) организационные меры защиты: обучение и ознакомление с принципами безопасности и конфиденциальности; доведение до операторов обработки персональных данных важности защиты персональных данных и способов обеспечения защиты.