free templates joomla

ПОЛИТИКА БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

УТВЕРЖДЕНА
распоряжением администрации
муниципального образования
Мостовский район
от 27 июля 2018 г. №75/1-р
(в редакции распоряжения администрации

муниципального образования

Мостовский район от 20.12.2022 № 167-р)

ПОЛИТИКА
оператора в отношении обработки
персональных данных в администрации
муниципального образования
Мостовский район

1. Общие положения

1.1. Политика оператора в отношении обработки персональных данных (далее - Политика) разработана в целях обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Основные понятия, используемые в Политике:
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.3. Оператор, получивший доступ к персональным данным, обязан соблюдать конфиденциальность персональных данных - не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
1.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (далее - Закон о персональных данных);
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Закона о персональных данных;
- иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.
1.5. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
1.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
1.7. Оператор персональных данных вправе:
- отстаивать свои интересы в суде;
- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
- использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.
1.8. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Закона о персональных данных.
1.9. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона о персональных данных.

2. Цели сбора персональных данных

2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Цели обработки персональных данных происходят в том числе из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, а также деятельности, которая предусмотрена учредительными документами оператора, и конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных).
2.3. К целям обработки персональных данных оператора относятся:
- заключение, исполнение и прекращение гражданско-правовых договоров;
- организация кадрового учета организации, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам;
- ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами;
- исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физических лиц, взносов во внебюджетные фонды и страховых взносов во внебюджетные фонды, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование;
- заполнение первичной статистической документации в соответствии с трудовым, налоговым законодательством и иными федеральными законами.

3. Правовые основания обработки персональных данных

3.1. Правовым основанием обработки персональных данных являются:
- совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных: Конституция Российской Федерации; статьи 86-90 Трудового кодекса Российской Федерации, федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;
- уставные документы оператора;
- договоры, заключаемые между оператором и субъектом персональных данных;
- согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

4.1. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Обработка персональных данных допускается в следующих случаях:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
- обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Закона о персональных данных, при условии обязательного обезличивания персональных данных;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
4.3. К категориям субъектов персональных данных относятся:
4.3.1. Работники оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников.
В данной категории субъектов оператором обрабатываются персональные данные:
- в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества:

Категория персональных данных Перечень персональных данных Цель

Способ

обработки

Срок обработки Срок хранения
общие и специальные персональные данные

- фамилия, имя, отчество;

- пол;

- гражданство;

- дата и место рождения;

- адрес места проживания;

- сведения о регистрации по месту жительства или пребывания;

- номера телефонов (домашний, мобильный, рабочий);

- адрес электронной почты;

- замещаемая должность;

- сведения о трудовой деятельности;

- идентификационный номер налогоплательщика;

- данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;

- данные полиса обязательного медицинского страхования;

- данные паспорта или иного удостоверяющего личность документа;

- данные паспорта, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации;

- данные трудовой книжки, вкладыша в трудовую книжку;

- сведения о воинском учете;

- сведения об образовании;

- сведения о получении дополнительного профессионального образования;

- сведения о владении иностранными языками;

- сведения об участии в управлении хозяйствующим субъектом (за исключением жилищного, жилищно-строительного, гаражного кооперативов, садоводческого, огороднического, дачного потребительских кооперативов, товарищества собственников недвижимости и профсоюза, зарегистрированного в установленном порядке), занятии предпринимательской деятельностью;

- сведения о наградах, иных поощрениях и знаках отличия;

- сведения о дисциплинарных взысканиях;

- сведения, содержащиеся в материалах служебных проверок;

- сведения о семейном положении;

- сведения о близких родственниках, свойственниках;

- сведения, содержащиеся в справках о доходах, расходах, об имуществе и обязательствах имущественного характера;

- номер расчетного счета;

- информация об оформленных допусках к государственной тайне;

- расовая, национальная принадлежности;

- политические взгляды;

- религиозные или философские убеждения;

- состояние здоровья, интимной жизни;

- сведения о судимости;

- иное.

Исполнение условий трудового договора (служебного контракта) и осуществление прав и обязанностей в соответствии с трудовым законодательством, законодательством о муниципальной службе; рассмотрение обращений граждан Российской Федерации в соответствии с законодательством; выполнение обязательств по гражданско-правовым договорам (контрактам) и иным соглашениям, заключаемым администрацией муниципального образования Мостовский район; предоставление муниципальных услуг, реализация полномочий, возложенных на администрацию муниципального образования Мостовский район; создание общедоступных источников персональных данных.

с передачей по внутренней сети юридического лица; без передачи по сети Интернет Согласно Закона о персональных данных Согласно Закона о персональных данных

4.4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается:
- в случае, если субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
- в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации.

5. Порядок и условия обработки персональных данных

5.1. Оператор осуществляет обработку персональных данных - операции, совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5.2. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Законом о персональных данных.
5.3. Обработка персональных данных оператором ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.
5.4. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.5. При осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Закона о персональных данных.
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
5.6. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
5.7. Оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта.
Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных.
Кроме того, оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
5.8. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.
5.9. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами. Состав и перечень мер оператор определяет самостоятельно.
5.10. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6. Порядок и условия обработки биометрических персональных данных

6.1. К биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
6.2. Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, связанных с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате.
6.3. Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных пунктом 6.2 настоящей Политики. Оператор не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным.
6.4. Обработка биометрических персональных данных осуществляется оператором в соответствии с требованиями к защите биометрических персональных данных, установленными в соответствии со статьей 19 Закона о персональных данных.
6.5. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
6.6. Под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека и на основе которых можно установить его личность.
6.7. Оператор утверждает порядок передачи материальных носителей уполномоченным лицам.
6.8. Материальный носитель должен использоваться в течение срока, установленного оператором, осуществившим запись биометрических персональных данных на материальный носитель, но не более срока эксплуатации, установленного изготовителем материального носителя.
6.9. Оператор обязан:
- осуществлять учет количества экземпляров материальных носителей;
- осуществлять присвоение материальному носителю уникального идентификационного номера, позволяющего точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель.
6.10. Технологии хранения биометрических персональных данных вне информационных систем персональных данных должны обеспечивать:
- доступ к информации, содержащейся на материальном носителе, для уполномоченных лиц;
- применение средств электронной подписи или иных информационных технологий, позволяющих сохранить целостность и неизменность биометрических персональных данных, записанных на материальный носитель;
- проверку наличия письменного согласия субъекта персональных данных на обработку его биометрических персональных данных или наличия иных оснований обработки персональных данных, установленных законодательством Российской Федерации в сфере отношений, связанных с обработкой персональных данных.
6.11. При хранении биометрических персональных данных вне информационных систем персональных данных должна обеспечиваться регистрация фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных.

7. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

7.1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 Закона о персональных данных, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
7.2. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
7.3. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
7.4. Оператор обязан прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, действующим по поручению оператора:
- в случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, в срок, не превышающий трех рабочих дней с даты этого выявления;
- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных;
- в случае достижения цели обработки персональных данных и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
7.5. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
- в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
- в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
7.6. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор в срок, не превышающий десяти рабочих дней с даты получения им соответствующего требования, обязан прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных Законом о персональных данных.
Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
7.7. После истечения срока нормативного хранения документов, содержащих персональные данные субъекта, или при наступлении иных законных оснований документы подлежат уничтожению.
7.8. Оператор для этих целей создает экспертную комиссию и проводит экспертизу ценности документов.
7.9. По результатам экспертизы документы, содержащие персональные данные субъекта и подлежащие уничтожению:
- на бумажном носителе - уничтожаются путем измельчения в шредере/сжигания и т. п.;
- в электронном виде - стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация.
Если субъект персональных данных считает, что администрация муниципального образования Мостовский район осуществляет обработку его персональных данных с нарушением требований Федеральным законом РФ от 27 июля 2006 года №152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие администрации муниципального образования Мостовский район в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.»

УТВЕРЖДЕНА

распоряжением администрации

муниципального образования

Мостовский район

от 27.07.201875/1-р

ПОЛИТИКА
в отношении обработки персональных данных в администрации
муниципального образования Мостовский район 

1. Общие положения

1.1. Настоящая политика в отношении обработки персональных данных (далее - Политика) в администрации муниципального образования Мостовский район, разработана в соответствии с частью 2 статьи 18.1 Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных».

1.2. Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.3. Политика является общедоступным документом, декларирующим основы деятельности администрации муниципального образования Мостовский район, связанной с обработкой персональных данных.

1.4. Действие Политики не распространяется на отношения, возникающие при:

- организации хранения, комплектования, учета и использования содержащих персональные данные архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

- обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

1.5. В Политике используются термины и определения, установленные в Федеральном законе от 27 июля 2006 года №152-ФЗ «О персональных данных».

1.6. Администрация муниципального образования Мостовский район является оператором, организующим и осуществляющим обработку персональных данных, а также определяющей цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2. Принципы и цели обработки персональных данных, субъекты персональных данных

2.1. Обработка персональных данных в администрации муниципального образования Мостовский район основана на следующих принципах:

2.1.1. Соблюдение законности целей и способов обработки персональных данных.

2.1.2. Ограничения обработки персональных данных достижением конкретных, заранее определенных целей.

2.1.3. Соответствие целей обработки персональных данных целям сбора персональных данных, содержанию и объему обрабатываемых персональных данных.

2.1.4. Недопустимость объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

2.1.5. Обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных.

2.1.6. Выполнение правовых, организационных и технических мер по обеспечению безопасности персональных данных при их обработке.

2.1.7. Соблюдение прав субъекта персональных данных на доступ к его персональным данным.

2.1.8. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

2.1.9. Уничтожение обрабатываемых персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.2. Целями обработки персональных данных в администрации муниципального образования Мостовский район являются:

2.2.1. Исполнение условий трудового договора (служебного контракта) и осуществление прав и обязанностей в соответствии с трудовым законодательством, законодательством о муниципальной службе.

2.2.2. Рассмотрение обращений граждан Российской Федерации в соответствии с законодательством.

2.2.3. Выполнение обязательств по гражданско-правовым договорам (контрактам) и иным соглашениям, заключаемым администрацией муниципального образования Мостовский район.

2.2.4. Предоставление муниципальных услуг, реализация полномочий возложенных на администрацию муниципального образования Мостовский район.

2.2.5. Создание общедоступных источников персональных данных.

2.3. Субъектами обработки персональных данных в администрации муниципального образования Мостовский район являются:

2.3.1. Граждане, состоящие с администрацией муниципального образования Мостовский район в отношениях, регулируемых трудовым законодательством, законодательством о муниципальной службе.

2.3.2. Граждане, являющиеся кандидатами на включение во внешний кадровый резерв администрации муниципального образования Мостовский район.

2.3.3. Граждане, обращающиеся в администрацию муниципального образования Мостовский район, в том числе с целью получения муниципальных услуг.

2.3.4. Граждане, персональные данные которых обрабатываются в связи реализацией полномочий возложенных на администрацию муниципального образования Мостовский район органом местного самоуправления, в том числе предоставлением муниципальных услуг.

2.3.5. Граждане, состоящие с администрацией муниципального образования Мостовский район в гражданско-правовых отношениях.

2.4. Обработка персональных данных осуществляется с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие субъекта персональных данных должно отвечать требованиям, определенным Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных».

3. Обязанности администрации муниципального образования

Мостовский район при обработке персональных данных

3.1. Издавать правовые акты по вопросам обработки персональных данных, а также правовые акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации и иных нормативных правовых актов, связанных с обработкой персональных данных, устранение последствий таких нарушений.

3.2. Определять состав и перечень правовых, организационных и технических мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

3.3. Обеспечивать выполнение лицами, осуществляющими обработку персональных данных и лицами, имеющими доступ к персональным данным, требований по защите персональных данных, установленных нормативными правовыми актами.

3.4. Обеспечивать конфиденциальность персональных данных, обрабатываемых в администрации муниципального образования Мостовский район, кроме общедоступных персональных данных и случаев обезличивания персональных данных, если иное не предусмотрено федеральным законом.

3.5. Принимать меры по обеспечению безопасности персональных данных при их обработке в администрации муниципального образования Мостовский район.

3.6. Не допускать обработку и приобщение к личному делу субъекта персональных данных сведений, касающихся состояния здоровья, расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, членства в общественных объединениях или его профсоюзной деятельности, если иное не предусмотрено федеральным законом.

3.7. Обеспечивать уничтожение персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.8. Выполнять иные требования в соответствии с Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

4. Порядок доступа к персональным данным и их предоставления

4.1. К обработке персональных данных допускаются сотрудники администрации муниципального образования Мостовский район, должностными инструкциями которых предусмотрено выполнение обязанностей по обработке персональных данных.

4.2. Предоставление доступа сотрудникам администрации муниципального образования Мостовский район к персональным данным осуществляется на основании перечня должностей служащих, замещение которых предусматривает осуществление обработки персональных данных.

4.3. Лицам, допущенным к обработке персональных данных, предоставляется доступ только к персональным данным, необходимым для выполнения их служебных обязанностей в пределах задач и функций соответствующих отраслевых (функциональных) органов администрации муниципального образования Мостовский район.

4.4. Каждое лицо, допущенное к автоматизированной обработке персональных данных, использует индивидуальный идентификатор и пароль, которые не имеет права передавать другим лицам.

4.5. Администрация муниципального образования Мостовский район вправе передавать (распространять, предоставлять, давать доступ) персональные данные третьим лицам с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (соглашения) либо путем принятия администрацией муниципального образования Мостовский район правового акта. В правовом акте должны быть определены перечень действий (операций) с персональными данными и цели их обработки, должна быть установлена обязанность лица, которому предоставлены персональные данные, соблюдать конфиденциальность и обеспечивать безопасность персональных данных, а также должны быть указаны требования к их защите в соответствии с Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных».

4.6. Основанием для отказа в предоставлении персональных данных третьим лицам являются:

4.6.1. Отсутствие согласия субъекта персональных данных.

4.6.2. Отсутствие условий, предусмотренных Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных», при которых согласие субъекта персональных данных не требуется.

5. Организация защиты персональных данных

5.1. Персональные данные относятся к сведениям ограниченного доступа и подлежат защите в рамках функционирующей в администрации муниципального образования Мостовский район системы защиты информации.

5.2. При организации защиты персональных данных, при их обработке администрация муниципального образования Мостовский район руководствуется, в том числе, Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 15 сентября 2008 года №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 21 марта 2012 года №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами», постановлением Правительства Российской Федерации от 01 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК России от 11 февраля 2013 года №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», приказом ФСТЭК России от 18 февраля 2013 года №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

5.3. Субъектами отношений при организации системы защиты для обеспечения безопасности персональных данных при их обработке в администрации муниципального образования Мостовский район (далее - субъекты информационных отношений) являются:

администрация муниципального образования Мостовский район как оператор, осуществляющий обработку персональных данных;

сотрудники отраслевых (функциональных) органов администрации муниципального образования Мостовский район, допущенные к обработке персональных данных, в соответствии с возложенными на них полномочиями и функциями.

5.4. Под безопасностью информации понимают состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность.

5.5. Задачами системы защиты персональных данных являются исключение или минимизация ущерба от возможной реализации случайных или злонамеренных воздействий на персональные данные, а также прогнозирование и предотвращение таких воздействий.

5.6. Меры, принимаемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных, подразделяются на правовые, организационные и технические:

5.6.1. К правовым мерам защиты персональных данных относится принятие правовых актов администрации муниципального образования Мостовский район в соответствии с федеральными законами в области защиты персональных данных и принятыми в их исполнение нормативными документами, закрепляющих права и обязанности субъектов информационных отношений в процессе обработки персональных данных, а также устанавливающих ответственность за нарушение этих правил.

5.6.2. К организационным мерам защиты персональных данных относятся, в том числе:

5.6.2.1. Назначение в администрации муниципального образования Мостовский район ответственного за организацию обработки персональных данных.

5.6.2.2. Разработка и поддержание в актуальном состоянии организационно-распорядительных документов, регламентирующих порядок обработки персональных данных, создания и функционирования системы защиты персональных данных.

5.6.2.3. Организация деятельности субъектов информационных отношений, в том числе:

установление перечня должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

информирование лиц, осуществляющих обработку персональных данных, о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки;

обеспечение раздельной фиксации на материальных носителях персональных данных, имеющих различную цель обработки, или их раздельной обработки;

обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

5.6.2.4. Осуществление внутреннего контроля соответствия обработки и безопасности персональных данных в администрации муниципального образования Мостовский район требованиям законодательства Российской Федерации и иных нормативных правовых актов о персональных данных, в том числе требованиям к защите персональных данных.

5.6.2.5. Проведение мероприятий по размещению, специальному оборудованию, охране и организации режима допуска в помещения, где ведется работа с персональными данными.

5.6.2.6. Обучение, периодическое повышение квалификации сотрудников, ответственных за организацию обработки и обеспечение безопасности информации, сотрудников, непосредственно выполняющих мероприятия по обеспечению безопасности персональных данных.

5.6.3. К техническим мерам защиты относится использование программно-аппаратных средств, выполняющих самостоятельно или в комплексе с другими средствами функции защиты персональных данных, и методов защиты, в том числе:

программной или программно-технической защиты от несанкционированного доступа к информационным ресурсам автоматизированных рабочих мест, на которых обрабатываются персональные данные;

программно-технических средств, позволяющих восстанавливать персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;

средств защиты персональных данных от утечки по техническим каналам при их обработке, хранении и передаче по каналам связи;

средств межсетевого экранирования при подключении автоматизированных рабочих мест к локальным сетям общего пользования или к сети Интернет;

криптографических средств защиты информации;

средств защиты от вредоносного программного обеспечения.

5.7. В администрации муниципального образования Мостовский район применяются сертифицированные средства защиты информации, соответствующие требованиям, установленным уполномоченными органами в области технической защиты информации.

5.8. В случае принятия решения о проведении работ по обезличиванию персональных данных разрабатываются правила работы с обезличенными данными в соответствии с приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05 сентября 2013 года №996 «Об утверждении требований и методов по обезличиванию персональных данных».

5.9. Лицо, ответственное за организацию обработки персональных данных в администрации муниципального образования Мостовский район, связанной, с обеспечением безопасности персональных данных вправе, в том числе:

иметь доступ к информации, касающейся обработки персональных данных;

привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в отраслевых (функциональных) органов администрации муниципального образования Мостовский район, сотрудников с возложением на них соответствующих обязанностей и закреплением ответственности.

6. Права субъектов персональных данных и способ их реализации

В соответствии с положениями Федерального закона  РФ от 27 июля 2006 года №152-ФЗ «О персональных данных» субъект персональных данных имеет следующие права в отношении своих персональных данных:

  1.  Право на получение сведений, касающихся обработки персональных данных Оператором:

- подтверждение факта обработки персональных данных администрацией муниципального образования Мостовский район;

- правовые основания и цели обработки персональных данных;

- применяемые администрацией муниципального образования Мостовский район способы обработки персональных данных;

- наименование и место нахождения администрацией муниципального образования Мостовский район, сведения о лицах (за исключением работников администрации муниципального образования Мостовский район), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с администрацией муниципального образования Мостовский район или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом РФ от 27 июля 2006 года №152-ФЗ «О персональных данных»;

- информации об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению администрации муниципального образования Мостовский район, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные Федеральным законом РФ от 27 июля 2006 года №152-ФЗ «О персональных данных» или другими федеральными законами.

  1.  Право на ознакомление с персональными данными, принадлежащими субъекту персональных данных, обрабатываемыми администрацией муниципального образования Мостовский район.
  2.  Право требования от администрации муниципального образования Мостовский район уточнения его персональных данных, их блокирования или уничтожения, в случае, если персональные данные являются неполными, устаревшими (неактуальными), неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
  3.  Право на отзыв согласия на обработку персональных данных (если такое согласие было дано администрации муниципального образования Мостовский район).

Если субъект персональных данных считает, что администрация муниципального образования Мостовский район осуществляет обработку его персональных данных с нарушением требований Федеральным законом РФ от 27 июля 2006 года №152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие администрации муниципального образования Мостовский район в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

УТВЕРЖДЕНО

ПРИЛОЖЕНИЕ №1

к распоряжению администрации

муниципального образования

Мостовский район

от 29.12.2017 135-р

Положение

о порядке обработки персональных данных

в администрации муниципального образования

Мостовский район

  1. Общие положения
  1. 1. Настоящее Положение о порядке обработки персональных данных (далее — Положение) в администрации муниципального образования Мостовский район (далее – Администрация) разработано в соответствии с Конституцией Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных».
  2. 2. Цель разработки Положения — определение порядка обработки персональных данных в Администрации, обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных, а также установление ответственности работников, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
  3. 3. Порядок ввода в действие и изменения Положения.
  4. 3.1. Настоящее Положение вступает в силу с момента его утверждения главой муниципального образования Мостовский район.
  5. 3.2. Все изменения в Положение вносятся Распоряжением.
  6. 4. Все работники Администрации, имеющие доступ к персональным данным, должны быть ознакомлены с настоящим Положением под роспись.
  7. 5. Режим конфиденциальности персональных данных снимается только в случаях их обезличивания.
  1. Основные понятия и состав персональных данных
  1. 1. Для целей настоящего Положения используются следующие основные понятия:

-                   персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации субъекту, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и прочая дополнительная информация;

-                   обработка персональных данных — сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;

-                   конфиденциальность персональных данных — обязательное требование для работника, получившего доступ к персональным данным, не допускать их распространения без согласия субъекта персональных данных или иного законного основания;

-                   распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

-                   использование персональных данных — действия (операции) с персональными данными, совершаемые работниками в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц;

-                   блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

-                   уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

-                   обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

-                   общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

-                   информация — сведения (сообщения, данные) независимо от формы их представления;

-                   документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

  1. 2. В состав персональных данных входят сведения, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, состоянии здоровья и другая информация, позволяющая идентифицировать субъекта персональных данных и получить о нём дополнительную информацию.
  1. Цели обработки персональных данных их состав и сроки обработки
  1. 1. Обработка персональных данных сотрудников осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия сотруднику в прохождении муниципальной службы, обучении и должностном росте, обеспечения личной безопасности муниципального служащего и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества, учета результатов исполнения им должностных обязанностей, ведения кадрового и бухгалтерского учета, и выполнения функций, возложенных законодательством Российской Федерации.
  2. 2. Состав обрабатываемых персональных данных определяется в соответствии с перечнем персональных данных, обрабатываемых в Администрации.
  3. 3. Персональные данные сотрудников обрабатываются до момента увольнения после чего передаются в архив, где документы руководителей организации; членов руководящих, исполнительных, контрольных органов организации; членов (депутатов) представительных органов Российской Федерации, субъектов Российской Федерации, органов местного самоуправления; работников, имеющих государственные и иные звания, премии, награды, степени и звания хранятся постоянно, а документы остальных работников хранятся 75 лет в соответствии со ст. 656 п. 2 «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденным Приказом Министерства культуры РФ от 25 августа 2010 года № 558.
  4. 4. Персональные данные иных граждан обрабатываются и хранятся до момента достижения цели обработки персональных данных, после чего уничтожаются.
  1. Сбор, обработка и защита персональных данных
  1. 1. Порядок получения персональных данных
  2. 1.1. Доступ к персональным данным разрешен сотрудникам, указанным в перечне должностей работников, допущенных к работе с персональными данными и замещение которых предусматривает осуществление обработки персональных данных либо, осуществление доступа к персональным данным, в Администрации (приложение №2 к распоряжению).
  3. 1.2. Перед допуском к работе с персональными данными, предоставлением персональных данных для выполнения служебных обязанностей с работника необходимо взять письменное обязательство о неразглашении персональных данных (приложение №3 к распоряжению).
  4. 1.3. Все персональные данные следует получать у субъекта персональных данных. Если персональные данные субъекта возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Сотрудник Администрации должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
  5. 2. Порядок обработки персональных данных.
  6. 2.1. Субъект персональных данных предоставляет сотруднику Администрации достоверные сведения о себе. Сотрудник Администрации проверяет достоверность сведений, сверяя данные, предоставленные субъектом, с имеющимися у субъекта документами, удостоверяющими личность и иными документами подтверждающие достоверность сведений о субъекте персональных данных.
  7. 2.2. В соответствии со ст. 6 ФЗ-152 «О персональных данных» сотрудники Администрации при обработке персональных данных должны соблюдать следующие общие требования:
  8. 2.2.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
  9. 2.2.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
  10. 2.2.3. Обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг.
  11. 2.2.4. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
  12. 2.2.5. Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
  13. 2.2.6. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  14. 2.2.7. Защита персональных данных от неправомерного их использования или утраты обеспечивается Администрацией за счет средств Администрации в порядке, установленном законодательством.
  15. 2.2.8. Отказ гражданина от своих прав на сохранение и защиту тайны недействителен.
  16. 2.2.9. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе муниципального контракта, либо путем принятия муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152 «О персональных данных». В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных.
  17. 2.2.10. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
  18. 2.2.11. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
  1. Передача и хранение персональных данных
  1. 1. При передаче персональных данных необходимо соблюдать следующие требования:
  2. 1.1. Не сообщать персональные данные субъекта третьей стороне без его письменного согласия, за исключением случаев, установленных федеральным законодательством.
  3. 1.2. Предупредить лиц, получивших персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц письменное подтверждение того, что это правило соблюдено. Лица, получившие персональные данные, обязаны соблюдать режим конфиденциальности. Данное Положение не распространяется на обмен персональными данными субъектов в порядке, установленном федеральными законами.
  4. 1.3. Осуществлять передачу персональных данных субъектов в пределах Администрации в соответствии с настоящим Положением и другими внутренними нормативно-правовыми актами по защите информации.
  5. 1.4. При передаче персональных данных за пределы Администрации в другие организации в целях выполнения производственных функций (аутсорсинг, аутстаффинг и т.п.) заключать договоры с указанием в них о том, что переданные персональные данные могут быть использованы только в целях, для которых они сообщены.
  6. 1.5. Разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
  7. 2. Персональные данные субъектов могут обрабатываться и храниться, как на бумажных носителях, так и в электронном виде.
  1. Уничтожение персональных данных
  1. 1. Уничтожение документов, содержащих персональные данные, в том числе черновиков, бракованных листов и испорченных копий, должно производиться комиссией.
  2. 2. Порядок уничтожения документов, черновиков, испорченных листов, неподписанных проектов документов, содержащих персональные данные:

-                   документы, черновики документов, испорченные листы, варианты и неподписанные проекты документов разрываются таким образом, чтобы было невозможно дальнейшее восстановление информации. В учетных данных документа (карточке, журнале) делается отметка об уничтожении черновика с указанием количества листов и проставлением подписи сотрудника и даты;

-                   уничтожение документов, содержащих персональные данные, производится в строгом соответствии со сроками хранения.

  1. 3. Уничтожение персональных данных в электронном виде осуществляется путём удаления информации со всех носителей и резервных копий без возможности дальнейшего восстановления.
  2. 4. Разрешение на уничтожение персональных данных дает глава муниципального образования Мостовский район.
  1. Доступ к персональным данным
  1. 1. Доступ сотрудников к персональным данным осуществляется на основании разрешительной системы доступа.
  2. 2. Копировать и делать выписки персональных данных разрешается исключительно в служебных целях с письменного разрешения главы муниципального образования Мостовский район.
  3. 3. Передача персональных данных третьей стороне возможна только при письменном согласии субъекта персональных данных, либо на основании законодательства Российской Федерации.
  4. 4. Передача персональных данных третьей стороне в случаях, не предусмотренных законодательством Российской Федерации осуществляется на договорной основе с указанием в договоре о том, что переданные персональные данные могут быть использованы только в целях, для которых они сообщены.
  1. Правила работы с обезличенными данными
  1. 1. Обезличиванием персональных данных называются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (например, статистические данные).
  2. 2. Обезличивание персональных данных в Администрации при обработке персональных данных с использованием средств автоматизации осуществляется с помощью специализированного программного обеспечения на основании нормативно правовых актов, правил, инструкций, руководств, регламентов, инструкций на такое программное обеспечение и иных документов для достижения заранее определенных и заявленных целей.
  3. 3. Допускается обезличивание персональных данных при обработке персональных данных без использования средств автоматизации - производить способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
  4. 4. Работа с обезличенными данными осуществляется в порядке установленным законодательством Российской Федерации и внутренними нормативно-правовыми актами, регулирующими работу с персональными данными.
  1. Порядок внутреннего контроля за соблюдением требований

по обработке и обеспечению безопасности данных

  1. 1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Администрации организуется проведение периодических проверок условий обработки персональных данных. Проверки осуществляются ответственным за организацию обработки персональных данных в Администрации либо комиссией, образуемой главой муниципального образования Мостовский район не реже одного раза в 3 года.
  2. 2. При осуществлении внутреннего контроля соответствия обработки персональных данных установленным требованиям в Администрации производится проверка:

-                   соблюдения принципов обработки персональных данных в Администрации;

-                   соответствия локальных актов в области персональных данных Администрации действующему законодательству Российской Федерации;

-                   выполнения сотрудниками Администрации требований и правил (в том числе особых) обработки персональных данных в информационных системах персональных данных Администрации;

-                   перечней персональных данных, используемых для решения задач и функций структурными подразделениями Администрации и необходимости обработки персональных данных в информационных системах персональных данных Администрации;

-                   правильность осуществления сбора, систематизации, сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения персональных данных в каждой информационной системе персональных данных Администрации;

-                   актуальность перечня должностей сотрудников Администрации, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

-                   актуальность перечня должностей сотрудников Администрации, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;

-                   соблюдение прав субъектов персональных данных, чьи персональные данные обрабатываются в информационных системах персональных данных Администрации;

-                   соблюдение обязанностей Администрацией, предусмотренных действующим законодательством в области персональных данных;

-                   порядка взаимодействия с субъектами персональных данных, чьи персональные данные обрабатываются в информационных системах персональных данных Администрации, в том числе соблюдения сроков предусмотренных действующим законодательством в области персональных данных, соблюдения требований по уведомлениям, порядка разъяснения субъектам персональных данных необходимой информации, порядка реагирования на обращения субъектов персональных данных, порядка действий при достижении целей обработки персональных данных и отзыве согласий субъектами персональных данных;

-                   наличие необходимых согласий субъектов персональных данных, чьи персональные данные обрабатываются в информационных системах персональных данных Администрации;

-                   актуальность сведений, содержащихся в уведомлении Администрации об обработке персональных данных;

-                   актуальность перечня информационных систем персональных данных в Администрации;

-                   наличие и актуальность сведений, содержащихся в Правилах обработки персональных данных для каждой информационной системы персональных данных Администрации;

-                   знания и соблюдение сотрудниками Администрации положений действующего законодательства Российской Федерации в области персональных данных;

-                   знания и соблюдение сотрудниками Администрации положений локальных актов Администрации в области обработки и обеспечения безопасности персональных данных;

-                   знания и соблюдение сотрудниками Администрации инструкций, руководств и иных эксплуатационных документов на применяемые средства автоматизации, в том числе программное обеспечение, и средства защиты информации;

-                   соблюдение сотрудниками Администрации конфиденциальности персональных данных;

-                   актуальность локальных актов Администрации в области обеспечения безопасности персональных данных, в том числе в Технических паспортах информационных систем персональных данных;

-                   соблюдение сотрудниками Администрации требований по обеспечению безопасности персональных данных;

-                   наличие локальных актов Администрации, технической и эксплуатационной документации технических и программных средств информационных систем персональных данных Администрации;

-                   иных вопросов.

  1. 3. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, главе муниципального образования Мостовский район докладывает ответственный за организацию обработки персональных данных, либо председатель комиссии.
  1. Права субъекта персональных данных
  1. 1. Субъект персональных данных имеет право получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей его персональные данные.
  2. 2. Субъект персональных данных имеет право требовать от сотрудников Администрации уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для работы Администрации персональных данных.
  3. 3. Субъект персональных данных имеет право получать информацию, которая касается обработки его персональных данных, в том числе содержащей:

-                   подтверждение факта обработки персональных данных;

-                   правовые основания и цели обработки персональных данных;

-                   цели и применяемые способы обработки персональных данных;

-                   наименование и место нахождения Администрации, сведения о лицах (за исключением работников Администрации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

-                   обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

-                   сроки обработки персональных данных, в том числе сроки их хранения;

-                   порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ-№152 «О персональных данных»;

-                   информацию об осуществленной или о предполагаемой трансграничной передаче данных;

-                   наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

-                   иные сведения, предусмотренные ФЗ-№152 «О персональных данных» или другими федеральными законами.

  1. 4. Субъект персональных данных имеет право требовать извещения сотрудниками Администрации всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
  1. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
  1. 1. Работники Администрации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.