Постановление Администрации города Барнаула от 18.11.2014 N 2445 "Об утверждении Положения об обработке и защите персональных данных в информационных системах администрации города Барнаула, иных органах местного самоуправления города Барнаула"
АДМИНИСТРАЦИЯ ГОРОДА БАРНАУЛА
ПОСТАНОВЛЕНИЕ
от 18 ноября 2014 г. № 2445
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ АДМИНИСТРАЦИИ ГОРОДА
БАРНАУЛА, ИНЫХ ОРГАНАХ МЕСТНОГО САМОУПРАВЛЕНИЯ
ГОРОДА БАРНАУЛА
В соответствии с федеральными законами от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27.07.2006 № 152-ФЗ "О персональных данных", постановлением Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных" постановляю:
1. Утвердить Положение об обработке и защите персональных данных в информационных системах администрации города Барнаула, иных органах местного самоуправления города Барнаула (приложение).
2. Признать утратившими силу постановления администрации города от 11.01.2010 № 9 "Об утверждении Положения об обработке и защите персональных данных в информационных системах администрации города Барнаула, иных органов местного самоуправления города Барнаула", от 08.02.2010 № 463 "О внесении изменений в постановление администрации города от 11.01.2010 № 9 "Об утверждении Положения об обработке и защите персональных данных в информационных системах администрации города Барнаула, иных органов местного самоуправления города Барнаула", от 26.01.2011 № 173 "О внесении изменения в постановление администрации города от 11.01.2010 № 9 "Об утверждении Положения об обработке и защите персональных данных в информационных системах администрации города Барнаула, иных органов местного самоуправления города Барнаула" (в редакции постановления от 08.02.2010 № 463)".
3. Пресс-центру (Павлинова Ю.С.) разместить постановление на официальном Интернет-сайте города Барнаула.
4. Контроль за исполнением постановления возложить на первого заместителя главы администрации города, руководителя аппарата Фризена П.Д.
Глава администрации г. Барнаула
И.Г.САВИНЦЕВ
Приложение
к Постановлению
администрации города
от 18 ноября 2014 г. № 2445
ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ
СИСТЕМАХ АДМИНИСТРАЦИИ ГОРОДА БАРНАУЛА, ИНЫХ ОРГАНАХ
МЕСТНОГО САМОУПРАВЛЕНИЯ ГОРОДА БАРНАУЛА
1. Общие положения
1.1. Положение об обработке и защите персональных данных в информационных системах администрации города Барнаула, иных органах местного самоуправления города Барнаула (далее - Положение) разработано в соответствии с Конституцией Российской Федерации, федеральными законами от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Закон), от 06.10.2003 № 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации", постановлениями Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных", от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
1.2. Положение регулирует отношения, связанные с обработкой персональных данных (далее - ПДн), осуществляемые органами местного самоуправления с использованием средств автоматизации или без использования таких средств, если обработка ПДн без использования таких средств соответствует характеру действий (операций), совершаемых с ПДн с использованием средств автоматизации, т.е. позволяет, в соответствии с заданным алгоритмом, осуществлять поиск ПДн, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях ПДн, и (или) доступ к таким ПДн.
1.3. Действие настоящего Положения не распространяется на отношения, возникающие при:
организации хранения, комплектования, учета и использования содержащих ПДн документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
обработке ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
1.4. В Положении используются следующие основные понятия:
ПДн - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту ПДн);
оператор ПДн (далее - Оператор) - муниципальный орган, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку ПДн, а также определяющий цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;
обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники;
распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц;
предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных (далее - ИСПДн) и (или) в результате которых уничтожаются материальные носители ПДн;
обезличивание ПДн - действия, в результате которых становится невозможным, без использования дополнительной информации, определить принадлежность ПДн конкретному субъекту ПДн (далее - Субъект);
ИСПДн - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2. Обработка ПДн
2.1. Обработка ПДн осуществляется Оператором в целях реализации возложенных на него функций и должностных обязанностей, определяемых законами и иными нормативными правовыми актами в сфере обеспечения безопасности ПДн при их обработке в ИСПДн.
2.2. Объем и характер обрабатываемых ПДн должен соответствовать целям их обработки. Недопустима избыточная, по отношению к целям, заявленным при сборе, обработка ПДн. Недопустимо объединение созданных для несовместимых между собой целей баз данных ИСПДн.
2.3. Оператор вправе поручить обработку ПДн другому лицу с согласия Субъекта, если иное не предусмотрено федеральными законами, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение Оператора).
2.4. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Законом. В поручении Оператора должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели обработки, обязательность соблюдения конфиденциальности ПДн и обеспечение их безопасности при обработке. Также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Закона.
2.5. ПДн Оператор получает непосредственно от Субъекта, который принимает решение об их предоставлении и дает добровольное согласие на их обработку. Согласие на обработку ПДн (далее - Согласие) должно быть конкретным, информативным и сознательным. Согласие может быть дано Субъектом или его представителем в любой форме, позволяющей подтвердить факт его получения, если иное не установлено федеральными законами. В случае получения Согласия от представителя Субъекта его полномочия проверяются Оператором.
2.6. Согласие на обработку ПДн Субъекта не требуется в случаях, если:
обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или федеральными законами, для осуществления и выполнения функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора;
обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации;
обработка ПДн необходима для исполнения полномочий федеральных органов исполнительной власти, исполнительных органов государственной власти субъектов Российской Федерации, органов государственных внебюджетных фондов, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию Субъекта на Едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
обработка ПДн необходима для исполнения договора, стороной которого, выгодоприобретателем или поручителем по которому является Субъект, в том числе в случае реализации Оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе Субъекта или договора, по которому Субъект будет являться выгодоприобретателем или поручителем;
обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов Субъекта, если получение его Согласия невозможно;
обработка ПДн необходима для осуществления прав и законных интересов Оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта;
обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средств массовой информации, научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы Субъекта;
обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Закона, при условии обязательного обезличивания ПДн;
осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен Субъектом, либо по его просьбе (далее - ПДн, сделанные общедоступными Субъектом);
осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральными законами.
2.7. В случае отказа Субъекта в предоставлении своих ПДн ему должны быть разъяснены юридические последствия его отказа согласно утверждаемой Оператором типовой форме разъяснения юридических последствий отказа предоставления своих ПДн.
2.8. Согласие может быть отозвано Субъектом. В случае отзыва Субъектом Согласия Оператор вправе продолжить обработку ПДн без Согласия Субъекта при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона.
2.9. ПДн могут быть получены Оператором от лица, не являющегося Субъектом, при условии предоставления Оператору подтверждения оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона.
2.10. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 статьи 10 Закона.
2.11. Для разработки и осуществления мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн Оператором назначается должностное лицо или подразделение, ответственное за обеспечение безопасности ПДн.
2.12. Лица, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим ПДн только после ознакомления с документами, регламентирующими обработку ПДн Оператором и подписания обязательства о неразглашении сведений конфиденциального характера, на основании списка, утвержденного Оператором.
2.13. Перечень ПДн физических лиц, используемых для обработки в ИСПДн, порядок использования, цель, периодичность и основания внесения изменений и дополнений, а также порядок хранения ПДн устанавливаются Оператором с учетом специфики своей деятельности в утвержденных Оператором инструкциях, регламентирующих работы ИСПДн.
2.14. Хранение ПДн должно осуществляться в форме, позволяющей определить Субъект, не дольше, чем этого требуют цели обработки ПДн.
2.15. ПДн подлежат уничтожению по достижению целей их обработки или в случае утраты необходимости в достижении этих целей.
3. Обязанности и права Оператора при обработке ПДн в ИСПДн
3.1. Оператор обязан сообщить Субъекту (его законному представителю) информацию о наличии его ПДн в случаях, предусмотренных Законом, а также предоставить возможность ознакомиться с ними в течение 30 календарных дней с момента получения Оператором запроса Субъекта (его законного представителя).
3.2. При сборе ПДн Оператор обязан предоставить Субъекту, по его просьбе, информацию, предусмотренную частью 7 статьи 14 Закона.
3.3. Если ПДн получены не от Субъекта, Оператор, за исключением случаев, предусмотренных частью 4 статьи 18 Закона, до начала обработки таких ПДн обязан предоставить Субъекту следующую информацию:
наименование (фамилия, имя, отчество) и адрес Оператора или его представителя;
цель обработки ПДн и ее правовое основание;
источник получения ПДн;
предполагаемые пользователи ПДн;
установленные Законом права Субъекта.
3.4. Оператор обязан предоставить возможность ознакомления со своими ПДн Субъекту (его законному представителю) безвозмездно. В срок, не превышающий семи рабочих дней со дня предоставления Субъектом (его законным представителем) сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления Субъектом (его законным представителем) сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие ПДн, уведомив Субъекта (его законного представителя) о внесенных изменениях и предпринятых мерах, а также незамедлительно принять меры для уведомления третьих лиц, которым ПДн этого Субъекта были переданы.
3.5. Оператор освобождается от обязанности предоставления Субъекту сведений, предусмотренных частью 3 статьи 18 Закона, в случаях, если:
Субъект уведомлен об осуществлении обработки его ПДн соответствующим Оператором;
ПДн получены Оператором на основании федеральных законов или в связи с исполнением договора, стороной которого выгодоприобретателем или поручителем по которому является Субъект;
ПДн стали общедоступными посредством действий Субъекта или получены из общедоступного источника;
Оператор осуществляет обработку ПДн для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста, научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы Субъекта;
предоставление Субъекту сведений, предусмотренных частью 3 статьи 18 Закона, нарушает права и законные интересы третьих лиц.
3.6. В случае выявления недостоверных ПДн, неправомерных действий с ПДн Оператора, при обращении (по запросу) Субъекта (его законного представителя) или уполномоченного органа по защите прав Субъектов (далее - Уполномоченный орган), Оператор обязан осуществить блокирование ПДн, относящихся к соответствующему Субъекту, с момента такого обращения или получения такого запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы Субъекта или третьих лиц.
3.7. В случае подтверждения факта неточности ПДн или иных необходимых документов Оператор на основании сведений, представленных Субъектом (его законным представителем, Уполномоченным органом), обязан уточнить ПДн или обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.
3.8. В случае выявления неправомерной обработки ПДн, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты выявления, обязан прекратить неправомерную обработку ПДн или обеспечить ее прекращение лицом, действующим по поручению Оператора.
3.9. В случае невозможности обеспечения правомерности обработки ПДн Оператор в срок, не превышающий 10 рабочих дней с момента выявления неправомерной обработки ПДн, обязан уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Оператор обязан уведомить Субъекта (его законного представителя), а в случае, если обращение Субъекта (его законного представителя) либо запрос Уполномоченного органа были направлены Уполномоченным органом, то и в указанный орган.
3.10. В случае достижения цели обработки ПДн Оператор обязан прекратить их обработку или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и уничтожить ПДн, или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 календарных дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект, иным соглашением между Оператором и Субъектом, а также в тех случаях, когда Оператор не вправе осуществлять обработку ПДн без Согласия Субъекта на основаниях, предусмотренных Законом или другими федеральными законами.
3.11. В случае отзыва Субъектом ПДн Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 календарных дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект, иным соглашением между Оператором и Субъектом, а также в тех случаях, когда Оператор не вправе осуществлять обработку ПДн без Согласия Субъекта на основаниях, предусмотренных Законом или другими федеральными законами.
4. Защита ПДн
4.1. Безопасность ПДн достигается путем обеспечения надлежащих условий защиты ПДн, включающих организационные меры и средства защиты информации (в том числе шифровальные (криптографические), средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в ИСПДн информационные технологии. Технические и программные средства должны удовлетворять установленным законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
4.2. Доступ к компьютерам, обрабатывающим ПДн, лиц, не допущенных к работе с ПДн, должен быть исключен, а компьютер - защищен аппаратными и программными средствами защиты от несанкционированного использования.
4.3. Внесение изменений в перечень используемых ПДн в базы данных ИСПДн, при наличии оснований, предусмотренных Законом, осуществляется только с разрешения уполномоченного лица по защите информации у данного Оператора.
4.4. Обмен ПДн при их обработке в ИСПДн осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств.
4.5. Размещение ИСПДн, специальное оборудование и охрана помещений, в которых ведется работа с ПДн, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей ПДн и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
4.6. При обработке персональных данных в ИСПДн должны быть обеспечены следующие условия:
проведение мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
своевременное обнаружение фактов несанкционированного доступа к ПДн;
недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
периодический контроль за обеспечением уровня защищенности ПДн.
4.7. Лица, осуществляющие обработку ПДн, несут ответственность за защиту ПДн в порядке, предусмотренном действующим законодательством Российской Федерации.
Первый заместитель
главы администрации города,
руководитель аппарата
П.Д.ФРИЗЕН
------------------------------------------------------------------