Законодательство Алтайского края: Постановление Администрации города Бийска от 04.07.2014 N 1737

Региональное
Законодательство
Алтайского края

Типы документов

Постановление

Закон

Партнеры

Постановление Администрации города Бийска от 04.07.2014 N 1737 "Об утверждении Правил обработки персональных данных в Администрации города Бийска"

АДМИНИСТРАЦИЯ ГОРОДА БИЙСКА

ПОСТАНОВЛЕНИЕ

от 4 июля 2014 г. № 1737

ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В АДМИНИСТРАЦИИ ГОРОДА БИЙСКА

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", во исполнение постановления Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" постановляю:
1. Утвердить Правила обработки персональных данных в Администрации города Бийска (приложение).
2. Признать утратившими силу постановления Администрации города Бийска от 17.02.2010 № 383 "О защите персональных данных в муниципальных учреждениях" и от 23.12.2011 № 2752 "О внесении изменений в Положение об организации работы с персональными данными в муниципальных учреждениях г. Бийска, утвержденное постановлением Администрации города Бийска от 17.02.2010 № 383".
3. Настоящее постановление опубликовать в газете "Муниципальный вестник" и разместить на официальном сайте Администрации города Бийска.
4. Контроль за исполнением настоящего постановления возложить на первого заместителя главы Администрации города Бийска С.С.Крыжановского.

Глава Администрации города
Н.М.НОНКО

Приложение
к Постановлению
Администрации города
от 4 июля 2014 г. № 1737

ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ ГОРОДА БИЙСКА

Целью Правил обработки персональных данных в Администрации города Бийска (далее - Правила) является обеспечение прав и свобод граждан в отношении их персональных данных путем определения принципов, правил и процедур, направленных на соблюдение действующего законодательства в области персональных данных, а также на выявление, предотвращение нарушений, устранение последствий таких нарушений.
Правила разработаны в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Федеральным законом от 02.03.2007 № 25-ФЗ "О муниципальной службе в Российской Федерации".
Правила определяют порядок обработки (включая сбор, хранение, передачу и любое иное использование) персональных данных в структурных подразделениях Администрации города Бийска (далее - Администрации), не являющихся юридическими лицами.
Администрация города Бийска является оператором, обрабатывающим ПДн (далее равнозначно Администрация - Оператор), сведения о котором внесены в соответствующий федеральный реестр. Структурные подразделения Администрации - юридические лица, обрабатывающие ПДн, являются самостоятельными операторами.
В настоящих Правилах не рассматриваются вопросы применяемых в Администрации способов и методов защиты персональных данных.
Данные Правила определяют политику Администрации в отношении обработки персональных данных и являются общедоступным документом.
Требования настоящих Правил являются обязательными для исполнения всеми сотрудниками Администрации, получившими доступ к персональным данным.
В сфере персональных данных, в том числе в настоящих Правилах используются следующие понятия и термины:
- персональные данные (далее - ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПДн, а также определяющее цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн. В настоящем случае оператором является Администрация;
- обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
- автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники;
- распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц;
- предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
- блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
- уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн;
- обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;
- информационная система персональных данных (ИСПДн)- совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
- конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
- несанкционированный доступ к информации - неправомерное получение, использование, утрата, уничтожение, искажение, блокирование информации.

1. Принципы обработки персональных данных

1.1. Персональные данные являются информацией ограниченного доступа, не подлежащей распространению без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
1.2. При организации технологического процесса обработки ПДн в Администрации сотрудники, допущенные к обработке ПДн, должны руководствоваться следующими основными принципами:
- соблюдение законности целей и способов обработки ПДн;
- контроль достоверности ПДн и их достаточности для достижения заявленной цели;
- соответствие объема, содержания и характера обрабатываемых ПДн, способа обработки ПДн целям обработки ПДн;
- соблюдение условий конфиденциальности ПДн в пределах взятых на себя обязательств, в соответствии с действующим законодательством Российской Федерации;
- безопасность информации.
1.3. Распространение ПДн или их части допускается только в случаях, предусмотренных действующим законодательством Российской Федерации, либо с отдельного письменного согласия субъекта ПДн.
1.4. Обработка ПДн осуществляется:
- после получения согласия субъекта ПДн на обработку его ПДн, за исключением случаев, определенных пп. 2 - 11 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных";
- после принятия необходимых мер для защиты ПДн.
1.5. Обработка специальных категорий ПДн (данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни) не допускается, за исключением случаев, предусмотренных пп. 1 - 9 ч. 2 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
1.6. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
1.7. Запрещается при обработке ПДн в ИС передавать ПДн в смежные ИС (ИС, различающиеся по целевому назначению) либо использовать полученные из смежных ИС ПДн. В случае возникновения подозрений на неточность представленных, обрабатываемых, хранящихся ПДн необходимо осуществить блокирование персональных данных, если блокирование персональных данных не нарушает права и законные интересы субъекта ПДн или третьих лиц.
1.8. При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Специалисты Администрации, осуществляющие обработку ПДн, должны принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
1.9. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
1.10. Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе муниципального контракта, либо путем принятия муниципальным органом соответствующего акта (далее - поручение Оператора). Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные федеральным законодательством. В поручении Оператора должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии с ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
1.11. Администрация вправе передать ПДн третьим лицам в следующих случаях:
- субъект ПДн выразил свое согласие на такие действия в письменной форме;
- передача предусмотрена федеральным законодательством в рамках установленной процедуры.
1.12. В случае, если ПДн возможно получить только у третьей стороны, субъект ПДн уведомляется об этом в письменной форме.
1.13. Допуск к работе с ПДн специалиста возможен только после ознакомления его с должностной инструкцией (должностными обязанностями), в которой должно быть указание на его допуск к обработке ПДн, с положениями настоящих Правил и подписанием обязательства о неразглашении ПДн, обрабатываемых в Администрации.
1.14. Специалисты Администрации, осуществляющие обработку ПДн, несут персональную ответственность за обеспечение защиты обрабатываемых ПДн.
1.15. В случае отказа субъекта ПДн предоставить ПДн, специалист обязан разъяснить юридические последствия такого отказа.
1.16. Основные принципы обработки ПДн без использования средств автоматизации утверждены постановлением Правительства РФ от 15.09.2008 № 687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

2. Цели обработки персональных данных

2.1. Оператор осуществляет обработку ПДн в целях:
- осуществления полномочий по решению вопросов местного значения, а также иных функций и полномочий Администрации в соответствии с нормативными правовыми актами;
- осуществления кадровой работы по исполнению трудового законодательства и законодательства о муниципальной службе;
- осуществления бухгалтерской работы в отношении муниципальных служащих и иных категорий работников Администрации;
- реализации прав и обязанностей сторон по гражданско-правовому договору с Администрацией;
- предоставления государственных и муниципальных услуг;
- рассмотрения обращений граждан;
- исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации;
- опубликования или обязательного раскрытия ПДн, подлежащих опубликованию в соответствии с Федеральным законодательством;
- в иных, прямо предусмотренных законодательством, случаях.
2.2. Категории субъектов, ПДн которых обрабатываются Оператором:
- граждане, состоящие с Администрацией в отношениях, регулируемых трудовым законодательством, законодательством о муниципальной службе, и их близкие родственники;
- граждане, являющиеся претендентами на замещение вакантных должностей Администрации;
- глава Администрации города;
- граждане, претендующие на включение в кадровый резерв для замещения вакантных должностей муниципальной службы в Администрации;
- граждане, претендующие на награждение наградами различного уровня (государственные, краевые награды и награды органов местного самоуправления);
- граждане, обратившиеся в Администрацию за назначением пенсии за выслугу лет;
- граждане, обращающиеся в Администрацию и к должностным лицам Администрации в соответствии с Федеральным законом от 02.05.2006 № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";
- граждане, являющиеся стороной гражданско-правового договора с Администрацией;
- граждане, обращающиеся в Администрацию для получения муниципальных услуг и государственных услуг, переданных в рамках отдельных государственных полномочий;
- граждане, посещающие Администрацию, если при выписке пропуска учитываются дополнительные персональные данные, идентифицирующие гражданина, кроме фамилии, имени, отчества;
- несовершеннолетние граждане, совершившие административные правонарушения;
- граждане, являющиеся субъектами отношений, входящих в компетенцию отдела опеки и попечительства Администрации;
- граждане, являющиеся субъектами отношений, входящих в компетенцию отдела ЗАГС Администрации;
- граждане, обратившиеся в Администрацию за получением муниципальной услуги, исчерпывающий перечень требуемых ПДн указан в соответствующем утвержденном регламенте;
- граждане, совершившие административное правонарушение.

3. Порядок хранения персональных данных

3.1. Порядок хранения ПДн в Администрации должен исключать возможность утраты ПДн и их неправомерное использование.
3.2. Сроки обработки и хранения ПДн в Администрации определяются: достижением цели обработки ПДн; сроком исковой давности, а также иными требованиями законодательства Российской Федерации в части осуществления архивного хранения документов, образующихся в результате деятельности государственных органов, органов местного самоуправления и организаций.
3.3. Материальные носители, содержащие ПДн, журналы учета материальных носителей должны храниться в рабочее и нерабочее время в запирающихся шкафах либо специально выделенных для хранения помещениях с регламентированным доступом.

4. Уничтожение персональных данных

4.1. Обрабатываемые ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.2. Уничтожение документов, содержащих ПДн, производится: по достижении целей их обработки согласно номенклатуре дел и документов; по достижении окончания срока хранения ПДн, оговоренного в соответствующем соглашении заинтересованных сторон; в том числе, если они не подлежат архивному хранению.
4.3. Уничтожение ПДн осуществляется в срок, не превышающий тридцати (30) дней с даты достижения цели обработки ПДн, если иное не предусмотрено соглашением между Администрацией и субъектом ПДн, либо если Администрация не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных федеральными законами.
4.4. Уничтожение документов, содержащих ПДн, производится в случае выявления неправомерной обработки ПДн в срок, не превышающий десяти (10) рабочих дней с момента выявления неправомерной обработки персональных данных.
4.5. Уничтожение информации с ПДн, хранящейся в электронном виде на материальных носителях, производится путем выполнения процедуры специальной подготовки материальных носителей (многократное форматирование разделов, выделенных под хранение данных).
4.6. Уничтожение материальных носителей с ПДн осуществляется механическим либо гарантированным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков и т.п.).
4.7. Уничтожение производится по мере необходимости, в зависимости от объемов накопленных для уничтожения документов.
4.8. Уничтожение материальных носителей и информации на материальных носителях осуществляется по акту.
4.9. Накапливаемые для уничтожения документы, копии документов, черновики, содержащие ПДн, должны храниться отдельно.

5. Порядок передачи персональных данных

5.1. При передаче ПДн субъекта Оператор должен соблюдать следующие требования:
- предупредить лиц, получающих ПДн субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПДн субъекта, обязаны соблюдать режим конфиденциальности;
- разрешать доступ к ПДн только специально уполномоченным лицам, определенным соответствующим документом по организации, при этом указанные лица должны иметь право получать только те ПДн, которые необходимы для выполнения конкретных функций.
5.2. Транспортировка, передача носителей ПДн должна происходить в порядке, исключающем случайную утрату носителей или утечку ПДн.

6. Порядок действий при обнаружении фактов
несанкционированного доступа к персональным данным

6.1. В случае обнаружения фактов несанкционированного доступа к ПДн, обрабатываемых в ИСПДн Администрации, ответственное лицо по защите информации должно предпринять следующие меры:
- отключить конкретное программно-аппаратное средство (АРМ, сервер, телекоммуникационное оборудование), к которому совершен несанкционированный доступ;
- проанализировать тестовые сообщения, предусмотренные в программно-аппаратных средствах ИСПДн, или провести анализ состояния предусмотренных производителем индикаторов и электронных протоколов устройств для телекоммуникационного оборудования;
- по возможности устранить неисправность путем использования эталонных дистрибутивов и эксплуатационной документации на программно-аппаратные средства ИСПДн.
6.2. В случае обнаружения фактов несанкционированного доступа в помещения, где обрабатываются ПДн, к шкафам, предназначенным для хранения ПДн, к материальным носителям, содержащим ПДн, ответственное лицо по защите информации должно провести должностное расследование по факту несанкционированного доступа с целью выявления нарушителя.

7. Обязанности Администрации города Бийска в
отношении обработки персональных данных

7.1. Администрация осуществляет передачу ПДн субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации.
7.2. Администрация обязана сообщить субъекту ПДн информацию о наличии его ПДн, а также предоставить возможность ознакомления с ними при обращении субъекта ПДн либо в течение тридцати (30) дней с даты получения запроса.
7.3. По требованию субъекта ПДн специалист Администрации обязан уточнять, блокировать или уничтожать его персональные данные в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Администрация уведомляет субъекта или его законного представителя и третьих лиц, которым персональные данные были переданы.
7.4. В случае выявления неточных ПДн или их неправомерной обработки Администрация при обращении или по запросу субъекта ПДн осуществляет блокирование ПДн, с момента такого обращения на период проверки.
7.5. В случае подтверждения факта неточности ПДн специалист Администрации на основании документов, предоставленных субъектом или его законным представителем, в течение семи (7) рабочих дней уточняет ПДн и снимает их блокирование.
7.6. В случае выявления неправомерной обработки ПДн специалист Администрации в срок, не превышающий трех (3) рабочих дней с даты такого выявления, обязан прекратить неправомерную обработку ПДн. В случае, если обеспечить правомерность обработки невозможно, Администрация в срок, не превышающий десяти (10) рабочих дней с даты выявления неправомерной обработки ПДн, обязана уничтожить такие ПДн. Об устранении допущенных нарушений или об уничтожении ПДн Оператор уведомляет субъекта или его законного представителя.

8. Меры по обеспечению безопасности персональных данных

8.1. Администрация при обработке ПДн принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
8.2. Обеспечение безопасности достигается:
- определением угроз безопасности ПДн при их обработке в ИСПДн;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- учетом машинных носителей ПДн;
- обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
- восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
- контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
8.3. Ответственный за обработку ПДн в структурных подразделениях - руководитель структурного подразделения.
8.4. Реализация требований по обеспечению безопасности в ИСПДн Администрации возлагается на отдел информатизации управления стратегического развития и экономики совместно с другими структурными подразделениями Администрации города, эксплуатирующими эти системы.

9. Права субъектов персональных данных

9.1. Субъект ПДн имеет право при обращении в Администрацию получить:
- подтверждение факта обработки ПДн, а также цель такой обработки;
- информацию о способах обработки ПДн, применяемых в Администрации;
- сведения о лицах, которые имеют доступ к ПДн или которым может быть предоставлен такой доступ;
- перечень обрабатываемых его ПДн и источник их получения;
- информацию о сроках обработки ПДн, в том числе о сроках их хранения;
- сведения о том, какие юридические последствия может повлечь за собой обработка его ПДн;
- доступ к своим ПДн и возможность ознакомления с ними, включая право на безвозмездное получение копии любой записи, содержащей его ПДн, исключающей копирование ПДн других субъектов;
- иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" или другими федеральными законами.
Также субъект ПДн имеет право:
- требовать уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки ПДн;
- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные ПДн, обо все произведенных в них исключениях, исправлениях или дополнениях;
- обжаловать неправомерные действия или бездействие при обработке и защите ПДн.
9.2. Если субъект ПДн считает, что Администрация осуществляет обработку его ПДн с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие специалистов Администрации в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.
9.3. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

10. Ответственность Администрации города Бийска
и сотрудников при обработке персональных данных

10.1 Лица, виновные в нарушении требований Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", несут предусмотренную законодательством Российской Федерации ответственность.
10.2 Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных, установленных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Управляющий делами
И.К.ЮДИН

------------------------------------------------------------------

По датам

2013

2014

Введите даты для поиска:

Информация

Ключевые слова

Введите слово для поиска: