• Главная
• Приложения
• 2016
• Ноявбрь
• 28
• Приложение к Постановлению от 28.11.2016 г № 25 Правила

Приложение к Постановлению от 28.11.2016 г № 25 Правила

Правила обработки персональных данных в думе города Бийска

Целью Правил обработки персональных данных в Думе города Бийска (далее - Правила) является обеспечение прав и свобод граждан в отношении их персональных данных путем определения принципов, правил и процедур, направленных на соблюдение действующего законодательства в области персональных данных, а также на выявление, предотвращение нарушений, устранение последствий таких нарушений.
Правила разработаны в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Федеральным законом от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации".
Правила определяют порядок обработки (включая сбор, хранение, передачу и любое иное использование) персональных данных (далее - ПДн) в Думе города Бийска.
Дума города Бийска является оператором, обрабатывающим ПДн (далее равнозначно Дума города - Оператор), сведения о котором внесены в соответствующий федеральный реестр.
В настоящих Правилах не рассматриваются вопросы применяемых в Думе города способов и методов защиты персональных данных.
Данные Правила определяют политику Думы города в отношении обработки персональных данных и являются общедоступным документом.
Требования настоящих Правил являются обязательными для исполнения всеми муниципальными служащими Думы города, получившими доступ к персональным данным (далее - служащие).
В сфере персональных данных, в том числе в настоящих Правилах, используются следующие понятия и термины:
- персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПДн, а также определяющее цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн. В настоящем случае оператором является Дума города;
- обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
- автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники;
- распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц;
- предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
- блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
- уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн;
- обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;
- информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
- конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
- несанкционированный доступ к информации - неправомерное получение, использование, утрата, уничтожение, искажение, блокирование информации.
1.Принципы обработки персональных данных
1.1.Персональные данные являются информацией ограниченного доступа, не подлежащей распространению без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
1.2.При организации технологического процесса обработки ПДн в Думе города служащие, допущенные к обработке ПДн, должны руководствоваться следующими основными принципами:
- соблюдение законности целей и способов обработки ПДн;
- контроль достоверности ПДн и их достаточности для достижения заявленной цели;
- соответствие объема, содержания и характера обрабатываемых ПДн, способа обработки ПДн целям обработки ПДн;
- соблюдение условий конфиденциальности ПДн в пределах взятых на себя обязательств в соответствии с действующим законодательством Российской Федерации;
- безопасность информации.
1.3.Распространение ПДн или их части допускается только в случаях, предусмотренных действующим законодательством Российской Федерации, либо с отдельного письменного согласия субъекта ПДн.
1.4.Обработка ПДн осуществляется:
- после получения согласия субъекта ПДн на обработку его ПДн, за исключением случаев, определенных пунктами 2 - 11 части 1 статьи 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";
- после принятия необходимых мер для защиты ПДн.
1.5.Обработка специальных категорий ПДн (данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни) не допускается, за исключением случаев, предусмотренных пунктами 1 - 10 части 2 статьи 10 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
1.6.Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, не совместимых между собой.
1.7.Запрещается при обработке ПДн в ИС передавать ПДн в смежные ИС (ИС, различающиеся по целевому назначению) либо использовать полученные из смежных ИС ПДн. В случае возникновения подозрений на неточность представленных, обрабатываемых, хранящихся ПДн необходимо осуществить блокирование персональных данных, если блокирование персональных данных не нарушает права и законные интересы субъекта ПДн или третьих лиц.
1.8.При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Служащие Думы города, осуществляющие обработку ПДн, должны принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
1.9.Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
1.10.Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе муниципального контракта, либо путем принятия муниципальным органом соответствующего акта (далее - поручение Оператора). Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные федеральным законодательством. В поручении Оператора должны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии с статьей 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
1.11.Дума города вправе передать ПДн третьим лицам в следующих случаях:
- субъект ПДн выразил свое согласие на такие действия в письменной форме;
- передача предусмотрена федеральным законодательством в рамках установленной процедуры.
1.12.В случае, если ПДн возможно получить только у третьей стороны, субъект ПДн уведомляется об этом в письменной форме.
1.13.Допуск к работе с ПДн служащего Думы города возможен только после ознакомления его с должностной инструкцией (должностными обязанностями), в которой должно быть указание на его допуск к обработке ПДн, с положениями настоящих Правил и подписанием обязательства о неразглашении ПДн, обрабатываемых в Думе города.
1.14.Служащие Думы города, осуществляющие обработку ПДн, несут персональную ответственность за обеспечение защиты обрабатываемых ПДн.
1.15.В случае отказа субъекта ПДн предоставить ПДн служащий обязан разъяснить юридические последствия такого отказа.
1.16.Основные принципы обработки ПДн без использования средств автоматизации утверждены постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
2.Цели обработки персональных данных
2.1.Оператор осуществляет обработку ПДн в целях:
- осуществления полномочий по решению вопросов местного значения, а также иных функций и полномочий Думы города в соответствии с нормативными правовыми актами;
- осуществления кадровой работы по исполнению трудового законодательства и законодательства о муниципальной службе;
- осуществления бухгалтерской работы в отношении муниципальных служащих и иных категорий работников Думы города;
- реализации прав и обязанностей сторон по договору, в том числе муниципальному контракту, с Думой города;
- предоставления государственных и муниципальных услуг;
- рассмотрения обращений граждан;
- исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации;
- опубликования или обязательного раскрытия ПДн, подлежащих опубликованию в соответствии с федеральным законодательством;
- в иных, прямо предусмотренных законодательством, случаях.
2.2.Категории субъектов, ПДн которых обрабатываются Оператором:
- граждане, состоящие с Думой города в отношениях, регулируемых трудовым законодательством, законодательством о муниципальной службе, и их близкие родственники;
- граждане, являющиеся претендентами на замещение вакантных должностей Думы города;
- Глава города;
- депутаты Думы города, их супруги и несовершеннолетние дети;
- глава Администрации города;
- граждане, участвующие в конкурсе на замещение должности главы Администрации города;
- помощники депутатов Думы города;
- граждане, претендующие на включение в кадровый резерв для замещения вакантных должностей муниципальной службы в Думе города;
- граждане, претендующие на награждение наградами различного уровня (государственные, краевые награды и награды органов местного самоуправления);
- граждане, обращающиеся в Думу города и к должностным лицам Думы города в соответствии с Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";
- граждане, являющиеся стороной договора, в том числе муниципального контракта с Думой города;
- граждане, совершившие административное правонарушение.
3.Порядок хранения персональных данных
3.1.Порядок хранения ПДн в Думе города должен исключать возможность утраты ПДн и их неправомерное использование.
3.2.Сроки обработки и хранения ПДн в Думе города определяются: достижением цели обработки ПДн; сроком исковой давности, а также иными требованиями законодательства Российской Федерации в части осуществления архивного хранения документов, образующихся в результате деятельности государственных органов, органов местного самоуправления и организаций.
3.3.Материальные носители, содержащие ПДн, журналы учета материальных носителей должны храниться в рабочее и нерабочее время в запирающихся шкафах либо специально выделенных для хранения помещениях с регламентированным доступом.
4.Уничтожение персональных данных
4.1.Обрабатываемые ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.2.Уничтожение документов, содержащих ПДн, производится: по достижении целей их обработки согласно номенклатуре дел и документов; по достижении окончания срока хранения ПДн, оговоренного в соответствующем соглашении заинтересованных сторон; в том числе, если они не подлежат архивному хранению.
4.3.Уничтожение ПДн осуществляется в срок, не превышающий тридцати (30) дней с даты достижения цели обработки ПДн, если иное не предусмотрено соглашением между Думой города и субъектом ПДн, либо если Дума города не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных федеральными законами.
4.4.Уничтожение документов, содержащих ПДн, производится в случае выявления неправомерной обработки ПДн в срок, не превышающий десяти (10) рабочих дней с момента выявления неправомерной обработки персональных данных.
4.5.Уничтожение информации с ПДн, хранящейся в электронном виде на материальных носителях, производится путем выполнения процедуры специальной подготовки материальных носителей (многократное форматирование разделов, выделенных под хранение данных).
4.6.Уничтожение материальных носителей с ПДн осуществляется механическим либо гарантированным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков и т.п.).
4.7.Уничтожение производится по мере необходимости, в зависимости от объемов накопленных для уничтожения документов.
4.8.Уничтожение материальных носителей и информации на материальных носителях осуществляется по акту.
4.9.Накапливаемые для уничтожения документы, копии документов, черновики, содержащие ПДн, должны храниться отдельно.
5.Порядок передачи персональных данных
5.1.При передаче ПДн субъекта Оператор должен соблюдать следующие требования:
- предупредить лиц, получающих ПДн субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПДн субъекта, обязаны соблюдать режим конфиденциальности;
- разрешать доступ к ПДн только специально уполномоченным лицам, определенным соответствующим документом по организации, при этом указанные лица должны иметь право получать только те ПДн, которые необходимы для выполнения конкретных функций.
5.2.Транспортировка, передача носителей ПДн должна происходить в порядке, исключающем случайную утрату носителей или утечку ПДн.
6.Порядок действий при обнаружении фактов несанкционированного доступа к персональным данным
6.1.В случае обнаружения фактов несанкционированного доступа к ПДн, обрабатываемых в ИСПДн Думы города, ответственное лицо по защите информации должно предпринять следующие меры:
- отключить конкретное программно-аппаратное средство (АРМ, сервер, телекоммуникационное оборудование), к которому совершен несанкционированный доступ;
- проанализировать тестовые сообщения, предусмотренные в программно-аппаратных средствах ИСПДн, или провести анализ состояния предусмотренных производителем индикаторов и электронных протоколов устройств для телекоммуникационного оборудования;
- по возможности устранить неисправность путем использования эталонных дистрибутивов и эксплуатационной документации на программно-аппаратные средства ИСПДн.
6.2.В случае обнаружения фактов несанкционированного доступа в помещения, где обрабатываются ПДн, к шкафам, предназначенным для хранения ПДн, к материальным носителям, содержащим ПДн, ответственное лицо по защите информации должно провести должностное расследование по факту несанкционированного доступа с целью выявления нарушителя.
7.Обязанности Думы города в отношении обработки персональных данных
7.1.Дума города осуществляет передачу ПДн субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации.
7.2.Дума города обязана сообщить субъекту ПДн информацию о наличии его ПДн, а также предоставить возможность ознакомления с ними при обращении субъекта ПДн либо в течение тридцати (30) дней с даты получения запроса.
7.3.По требованию субъекта ПДн служащий Думы города обязан уточнять, блокировать или уничтожать его персональные данные в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Дума города уведомляет субъекта или его законного представителя и третьих лиц, которым персональные данные были переданы.
7.4.В случае выявления неточных ПДн или их неправомерной обработки Дума города при обращении или по запросу субъекта ПДн осуществляет блокирование ПДн, с момента такого обращения на период проверки.
7.5.В случае подтверждения факта неточности ПДн служащий Думы города на основании документов, предоставленных субъектом или его законным представителем, в течение семи (7) рабочих дней уточняет ПДн и снимает их блокирование.
7.6.В случае выявления неправомерной обработки ПДн служащий Думы города в срок, не превышающий трех (3) рабочих дней с даты такого выявления, обязан прекратить неправомерную обработку ПДн. В случае, если обеспечить правомерность обработки невозможно, Дума города в срок, не превышающий десяти (10) рабочих дней с даты выявления неправомерной обработки ПДн, обязана уничтожить такие ПДн. Об устранении допущенных нарушений или об уничтожении ПДн Оператор уведомляет субъекта или его законного представителя.
8.Меры по обеспечению безопасности персональных данных
8.1.Дума города при обработке ПДн принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
8.2.Обеспечение безопасности достигается:
- определением угроз безопасности ПДн при их обработке в ИСПДн;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- учетом машинных носителей ПДн;
- обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
- восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
- контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
9.Права субъектов персональных данных
9.1.Субъект ПДн имеет право при обращении в Думу города получить:
- подтверждение факта обработки ПДн, а также цель такой обработки;
- информацию о способах обработки ПДн, применяемых в Думе города;
- сведения о лицах, которые имеют доступ к ПДн или которым может быть предоставлен такой доступ;
- перечень обрабатываемых его ПДн и источник их получения;
- информацию о сроках обработки ПДн, в том числе о сроках их хранения;
- сведения о том, какие юридические последствия может повлечь за собой обработка его ПДн;
- доступ к своим ПДн и возможность ознакомления с ними, включая право на безвозмездное получение копии любой записи, содержащей его ПДн, исключающей копирование ПДн других субъектов;
- иные сведения, предусмотренные Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" или другими федеральными законами.
Также субъект ПДн имеет право:
- требовать уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки ПДн;
- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные ПДн, обо все произведенных в них исключениях, исправлениях или дополнениях;
- обжаловать неправомерные действия или бездействие при обработке и защите ПДн.
9.2.Если субъект ПДн считает, что Дума города осуществляет обработку его ПДн с нарушением требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие служащих Думы города в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.
9.3.Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
10.Ответственность Думы города и служащих при обработке персональных данных
10.1.Лица, виновные в нарушении требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", несут предусмотренную законодательством Российской Федерации ответственность.
10.2.Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных, установленных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

• Главная
• Приложения
• 2016
• Ноявбрь
• 28
• Приложение к Постановлению от 28.11.2016 г № 25 Правила