Постановление администрации Грязинского муниципального района Липецкой обл. от 18.05.2015 N 1061 "Об утверждении нормативных правовых актов в сфере обработки персональных данных"
АДМИНИСТРАЦИЯ ГРЯЗИНСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
ЛИПЕЦКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
от 18 мая 2015 г. № 1061
ОБ УТВЕРЖДЕНИИ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ В СФЕРЕ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Руководствуясь Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", постановлением Правительства РФ от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", администрация Грязинского муниципального района постановляет:
1. Утвердить политику администрации Грязинского муниципального района в отношении обработки и защиты персональных данных (приложение 1).
2. Утвердить Правила обработки персональных данных в администрации Грязинского муниципального района (приложение 2).
3. Утвердить Правила рассмотрения запросов субъектов персональных данных в администрации Грязинского муниципального района (приложение 3).
4. Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации Грязинского муниципального района (приложение 4).
5. Утвердить Правила работы с обезличенными персональными данными администрации Грязинского муниципального района (приложение 5).
6. Утвердить перечень персональных данных, обрабатываемых в администрации Грязинского муниципального района (приложение 6).
7. Настоящее постановление вступает в силу со дня его опубликования и подлежит обязательному размещению на официальном сайте администрации Грязинского муниципального района (http://gryazy.ru) в течение 10 дней со дня его принятия.
8. Контроль за исполнением настоящего постановления возложить на заместителя главы администрации Грязинского муниципального района Попова В.В.
И.о. главы администрации Грязинского
муниципального района
В.В.ПОПОВ
Приложение 1
к постановлению
администрации Грязинского
муниципального района
от 18.05.15 № 1061
ПОЛИТИКА АДМИНИСТРАЦИИ ГРЯЗИНСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Настоящая политика в отношении обработки персональных данных (далее - Политика) разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
2. Настоящая Политика обязательна к исполнению всеми муниципальными служащими администрации Грязинского муниципального района (далее - администрация района). Настоящий документ описывает основные цели, принципы обработки и требования к безопасности персональных данных в администрации района.
3. Персональные данные собираются и обрабатываются администрацией района исключительно на законных основаниях, с согласия субъектов персональных данных, в целях исполнения трудовых договоров, служебных контрактов, предоставления муниципальных услуг при обращении субъектов персональных данных.
4. Предоставляя свои персональные данные в администрацию района, субъект персональных данных подтверждает свое согласие на их обработку в порядке и объеме, установленных действующим законодательством Российской Федерации.
5. В целях защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в администрации района разработаны необходимые правовые, организационные и технические меры.
Перечень основных проводимых мероприятий по защите информации в администрации района включает в себя:
- разработка, введение в действие и обеспечение исполнения локальных нормативных актов, регламентирующих работу с персональными данными, в том числе определяющих условия и порядок доступа к информационным системам персональных данных, а также соблюдение требований конфиденциальности персональных данных, ознакомление с которыми муниципальных служащих администрации района - знакомят под роспись;
- обеспечение необходимыми средствами защиты рабочих мест, мест хранения носителей информации и помещений в соответствии с установленными требованиями, обеспечивающими ограничение доступа к персональным данным, их уничтожению, изменению, блокированию, копированию и распространению;
- обеспечение ограничения, разграничения и непрерывного контроля доступа должностных лиц к персональным данным, носителям информации, помещениям и средствам обработки.
6. Администрация района несет ответственность за нарушение обязательств по обеспечению безопасности и конфиденциальности персональных данных при их обработке в соответствии с законодательством Российской Федерации.
Приложение 2
к постановлению
администрации Грязинского
муниципального района
от 18.05.15 № 1061
ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ ГРЯЗИНСКОГО
МУНИЦИПАЛЬНОГО РАЙОНА
1. Общие положения
1.1. Правила обработки персональных данных в администрации Грязинского муниципального района (далее - Правила) разработаны в соответствии с требованиями:
а) Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ);
б) Федерального закона от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации";
в) Федерального закона от 25 декабря 2008 г. № 273-ФЗ "О противодействии коррупции";
г) Федерального закона от 02.03.2007 № 25-ФЗ "О муниципальной службе в Российской Федерации";
д) Федерального закона от 06.10.2003 № 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации";
е) постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
ж) постановления Правительства Российской Федерации от 6 июля 2008 г. № 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";
з) постановления Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
и) постановления Правительства Российской Федерации от 21.03.2012 № 211 "Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
1.2. Настоящие Правила устанавливают единый порядок обработки персональных данных в администрации района.
2. Цель Правил
2.1. Целью настоящих Правил является обеспечение защиты персональных данных граждан от несанкционированного доступа, неправомерного их использования или утраты.
2.2. Настоящие Правила устанавливают и определяют:
1) меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
2) цели обработки персональных данных;
3) перечень обрабатываемых персональных данных для каждой цели обработки персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) сроки обработки и хранения обрабатываемых персональных данных;
6) порядок уничтожения обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований;
7) правила рассмотрения запросов субъектов персональных данных или их представителей;
8) правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом № 152-ФЗ, принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;
9) правила работы с обезличенными данными;
10) перечень информационных систем персональных данных;
11) перечень должностей муниципальных служащих администрации района, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
12) перечень должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
13) ответственного за организацию обработки персональных данных;
14) обязательство лица, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора (контракта) прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
15) форму получения согласия на обработку персональных данных субъектов персональных данных;
16) форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
17) порядок доступа в помещения, в которых ведется обработка персональных данных.
3. Основные условия обработки персональных данных
3.1. Обработка персональных данных осуществляется после принятия необходимых мер по защите персональных данных, а именно:
1) после получения согласия субъекта персональных данных в соответствии с пунктом 14 настоящих Правил, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона № 152-ФЗ;
2) после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Липецкой области, за исключением случаев, предусмотренных частью 2 статьи 22 № 152-ФЗ.
3.2. Лица, допущенные к обработке персональных данных, в обязательном порядке проходят соответствующее обучение, под роспись знакомятся с настоящими Правилами и подписывают обязательство о неразглашении информации в порядке, установленном пунктом 13 настоящих Правил.
4. Меры, направленные на выявление и предотвращение
нарушений законодательства Российской Федерации
4.1. К мерам, направленным на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных, относятся:
1) назначение ответственного за организацию обработки персональных данных в администрации района;
2) применение правовых, организационных и технических мер по обеспечению защиты персональных данных в соответствии с частями 1 и 2 статьи 19 Федерального закона № 152-ФЗ;
3) осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
4) оценка вреда, который может быть причинен субъектам персональным данных в случае нарушения законодательства Российской Федерации и настоящих Правил;
5) ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и настоящими Правилами;
6) запрет на обработку персональных данных лицами, не допущенными к их обработке.
4.2. Документы, определяющие политику оператора в отношении обработки персональных данных, подлежат обязательному опубликованию.
5. Порядок обработки персональных данных в информационных
системах персональных данных с использованием
средств автоматизации
5.1. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
5.2. При эксплуатации автоматизированных систем необходимо соблюдать требования:
1) к работе допускаются только лица, назначенные соответствующим распоряжением администрации района;
2) на ПЭВМ, дисках, папках и файлах, на которых обрабатываются и хранятся сведения о персональных данных, должны быть установлены пароли (идентификаторы);
3) на период обработки защищаемой информации в помещении должны находиться только лица, допущенные в установленном порядке к обрабатываемой информации; допуск других лиц в указанный период может осуществляться с разрешения главы администрации муниципального района.
6. Порядок обработки персональных данных без использования
средств автоматизации
6.1. Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях.
6.2. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.
6.3. При неавтоматизированной обработке персональных данных на бумажных носителях:
1) не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы;
2) персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
3) документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
4) дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.
6.4. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
6.5. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
6.6. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
1) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
2) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
6.7. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
6.8. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
6.9. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
7. Цели обработки персональных данных
7.1. Целью обработки персональных данных является:
1) осуществление возложенных на администрацию района федеральным законодательством, законодательством Липецкой области и Уставом Грязинского муниципального района Липецкой области Российской Федерации полномочий и обязанностей по решению вопросов местного значения Грязинского муниципального района;
2) организация деятельности администрации района для обеспечения соблюдения законов и иных нормативных правовых актов, реализации права на труд, права избирать и быть избранным в органы местного самоуправления, права на пенсионное обеспечение и медицинское страхование работников.
8. Перечень персональных данных, обрабатываемых администрацией района для достижения целей, указанных в пункте 7.1 настоящих Правил, утверждается постановлением администрации района.
9. Категории субъектов, персональные данные
которых обрабатываются
К субъектам, персональные данные которых обрабатываются, относятся:
1) граждане, претендующие на замещение должности муниципальной службы и должности технического (рабочего) персонала в администрации района;
2) граждане, замещающие (замещавшие) должности муниципальной службы и должности технического (рабочего) персонала в администрации района;
3) граждане, обратившиеся с обращениями в администрацию района.
10. Сроки обработки и хранения обрабатываемых
персональных данных
Сроки обработки и хранения персональных данных определяются:
1) приказом Минкультуры Российской Федерации от 25.08.2010 № 558 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения";
2) сроком исковой давности;
3) иными требованиями законодательства Российской Федерации и муниципальными нормативными правовыми актами администрации района.
11. Особенности хранения персональных данных
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
12. Уничтожения обработанных персональных данных
при достижении целей обработки или при наступлении иных
законных оснований
12.1. Под уничтожением обработанных персональных данных понимаются действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
12.2. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
13. Порядок уничтожения обработанных персональных данных
Уничтожение обработанных персональных данных производится комиссией с составлением соответствующего акта.
14. Правила рассмотрения запросов субъектов персональных данных утверждаются постановлением администрации района.
15. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных утверждается постановлением администрации района.
Статья 16. Правила работы с обезличенными данными утверждаются постановлением администрации района.
17. Перечень должностей
Перечень муниципальных должностей, при замещении которых служащие допускаются к обработке персональных данных и имеют доступ к персональным данным, утверждается постановлением администрации района.
18. Обязательства о неразглашении персональных данных
Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящими Правилами и подписывают обязательство о неразглашении информации, содержащей персональные данные.
19. Ответственный за организацию обработки
персональных данных
Ответственный за организацию обработки персональных данных в администрации района назначается распоряжением администрации района из числа муниципальных служащих администрации района.
20. Должностная инструкция ответственного за обработку персональных данных утверждается распоряжением администрации района. Ответственный за организацию обработки персональных под роспись знакомится с должностной инструкцией ответственного за организацию обработки персональных данных в администрации района.
21. Обязательство о прекращении обработки
персональных данных
Лица, замещающие должности, указанные в главе 11 настоящих Правил в случае расторжения с ним контракта (договора), дают письменное обязательство прекратить обработку персональных данных, ставших известными им в связи с исполнением должностных обязанностей.
22. Согласие на обработку персональных данных
22.1. Оператор перед обработкой персональных данных получает у субъектов обработки персональных данных согласие на обработку персональных данных.
22.2. Согласие на обработку персональных данных дается субъектом персональных данных в письменной форме.
23. Разъяснение юридических последствий отсутствия согласия
на обработку персональных данных
В случае отсутствия согласия на обработку персональных данных оператор разъясняет субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.
24. Разъяснение субъекту персональных данных юридических
последствий отказа предоставить свои персональные данные
Разъяснение юридических последствий осуществляется в письменном виде согласно утвержденной типовой форме.
25. Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц. При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
26. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только работники и должностные лица администрации района, получившие доступ к персональным данным.
27. Нахождение в помещениях, в которых ведется обработка персональных данных лиц, не являющихся работниками и должностными лицами администрации района, получившими доступ к персональным данным, возможно только в присутствии работников и должностных лиц администрации района, получивших доступ к персональным данным на время, ограниченное необходимостью решения вопросов, связанных с исполнением должностных функций и (или) осуществлением полномочий.
28. Работники и должностные лица администрации района, получившие доступ к персональным данным, не должны покидать помещение, в котором ведется обработка персональных данных, оставляя в нем без присмотра посторонних лиц, включая работников администрации района, не уполномоченных на обработку персональных данных. После окончания рабочего дня дверь каждого помещения закрывается на ключ.
29. Ответственными за организацию доступа в помещения администрации района, в которых ведется обработка персональных данных, являются должностные лица администрации района.
30. Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, проводится лицом, ответственным за организацию обработки персональных данных, или комиссией, утверждаемой распоряжением администрации района.
Приложение 3
к постановлению
администрации Грязинского
муниципального района
от 18.05.15 № 1061
ПРАВИЛА
РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
В АДМИНИСТРАЦИИ ГРЯЗИНСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
1. Настоящими Правилами рассмотрения запросов субъектов персональных данных или их представителей (далее - Правила) в администрации Грязинского муниципального района (далее - администрация района) определяется порядок рассмотрения запросов субъектов персональных данных или их представителей (далее - запросы).
2. Настоящие Правила разработаны в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", Трудовым кодексом Российской Федерации, постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных".
3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных (часть 7 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных"), в том числе содержащей:
- подтверждение факта обработки персональных данных в администрации района;
- правовые основания и цели обработки персональных данных;
- цели и применяемые способы обработки персональных данных в администрации района;
- наименование и местонахождение администрации района;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных";
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных;
- иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" или другими федеральными законами.
4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
5. Субъект персональных данных вправе требовать от администрации района уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6. Сведения, указанные в пункте 3 настоящих Правил, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
7. Сведения, указанные в пункте 3 настоящих Правил, предоставляются администрацией района субъекту персональных данных или его представителю при его обращении либо при получении запроса от субъекта персональных данных или его представителя.
8. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с администрацией района (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных в администрации района, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Все поступившие запросы регистрируются в день их поступления. На запросе проставляется штамп, в котором указывается входящий номер и дата регистрации. Запрос прочитывается, проверяется на повторность, при необходимости сверяется с находящейся в архиве предыдущей перепиской. В случае если сведения, указанные в пункте 3 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в администрацию района или направить повторный запрос в целях получения сведений, указанных в пункте 3 настоящих Правил, и ознакомления с такими персональными данными не ранее чем через тридцать календарных дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Субъект персональных данных вправе обратиться повторно в администрацию района или направить повторный запрос в целях получения сведений, указанных в пункте 3 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в настоящем пункте, в случае если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с необходимыми сведениями должен содержать обоснование направления повторного запроса.
9. Администрация района вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям пункта 8 настоящих Правил. Такой отказ должен быть мотивированным.
10. Прошедшие регистрацию запросы в тот же день докладываются главе администрации района либо лицу, его заменяющему, которые определяют порядок и сроки их рассмотрения, дают по каждому из них письменное указание исполнителям.
11. Глава администрации района и должностное лицо, ответственное за организацию обработки персональных данных в администрации района, назначаемое распоряжением администрации района, при рассмотрении и разрешении запросов обязаны:
- внимательно разобраться в их существе, в случае необходимости истребовать дополнительные материалы или направить сотрудников на места для проверки фактов, изложенных в запросах, принять другие меры для объективного разрешения поставленных заявителями вопросов, выявления и устранения причин и условий, порождающих факты нарушения законодательства о персональных данных;
- принять по ним законные, обоснованные и мотивированные решения и обеспечивать своевременное и качественное их исполнение;
- сообщить в письменной форме заявителям о решениях, принятых по их запросам, со ссылками на законодательство Российской Федерации, а в случае отклонения запроса разъяснить также порядок обжалования принятого решения.
12. Администрация района обязана сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати календарных дней с даты получения запроса субъекта персональных данных или его представителя.
13. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя должностное лицо, ответственное за организацию обработки персональных данных в администрации района, обязано дать в письменной форме мотивированный ответ в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
14. Администрация района обязана предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.
15. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, должностное лицо, ответственное за организацию обработки персональных данных в администрации района, обязано проконтролировать внесение необходимых изменений должностными лицами, указанными в Перечне должностей муниципальных служащих, замещающих должности муниципальной службы в администрации, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утвержденном распоряжением администрации района.
16. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, должностное лицо, ответственное за организацию обработки персональных данных в администрации района, обязано проконтролировать уничтожение таких персональных данных должностными лицами, указанными в Перечне должностей муниципальных служащих, замещающих должности муниципальной службы в администрации района, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным.
17. Администрация района обязана уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
18. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу должностное лицо, ответственное за организацию обработки персональных данных в администрации района, обязано проконтролировать блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки.
19. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу должностное лицо, ответственное за организацию обработки персональных данных в администрации района, обязано проконтролировать блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
20. В случае подтверждения факта неточности персональных данных должностное лицо, ответственное за организацию обработки персональных данных в администрации района, обязано проконтролировать уточнение персональных данных должностными лицами, указанными в Перечне должностей муниципальных служащих, замещающих должности муниципальной службы в администрации района, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, в течение семи рабочих дней со дня представления таких сведений и снятие блокирования персональных данных.
21. В случае выявления неправомерной обработки персональных данных должностное лицо, ответственное за организацию обработки персональных данных в администрации района, в срок, не превышающий трех рабочих дней с даты этого выявления, обязано проконтролировать прекращение неправомерной обработки персональных данных. В случае если обеспечить правомерность обработки персональных данных невозможно, то в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, должностное лицо, ответственное за организацию обработки персональных данных в администрации района, обязано проконтролировать уничтожение таких персональных данных или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных администрация района обязана уведомить субъекта персональных данных или его представителя.
22. Для проверки фактов, изложенных в запросах, при необходимости организуются служебные проверки в соответствии с законодательством Российской Федерации.
23. По результатам служебной проверки составляется мотивированное заключение, которое должно содержать объективный анализ собранных материалов. Если при проверке выявлены факты совершения муниципальным служащим администрации действия (бездействия), содержащего признаки административного правонарушения или состава преступления, информация передается незамедлительно в правоохранительные органы. Результаты служебной проверки докладываются главе администрации района.
24. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы заявителю.
Приложение 4
к постановлению
администрации Грязинского
муниципального района
от 18.05.15 № 1061
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В АДМИНИСТРАЦИИ ГРЯЗИНСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
1. Общие положения
1.1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации Грязинского муниципального района (далее - Правила) устанавливаются процедуры (основания, порядок и формы) проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
1.2. Целью настоящих Правил является выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных.
1.3. В Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных".
2. Тематика внутреннего контроля
2.1. Тематика проверок обработки персональных данных с использованием средств автоматизации:
соответствие полномочий пользователя правилам доступа;
соблюдение пользователями информационных систем персональных данных антивирусной политики;
соблюдение пользователями информационных систем персональных данных правил работы со съемными носителями персональных данных;
соблюдение порядка доступа в помещения администрации района, где расположены элементы информационных систем персональных данных;
соблюдение порядка резервирования баз данных и хранения резервных копий;
соблюдение порядка работы со средствами защиты информации;
знание пользователей информационных систем персональных данных о своих действиях во внештатных ситуациях.
2.2. Тематика проверок обработки персональных данных без использования средств автоматизации:
организация хранения бумажных носителей с персональными данными;
доступ к бумажным носителям с персональными данными;
доступ в помещения, где обрабатываются и хранятся бумажные носители с персональными данными.
3. Процедуры, направленные на выявление и предотвращение
нарушений законодательства Российской Федерации в сфере
персональных данных
3.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в администрации Грязинского муниципального района (далее - Администрация района) организовывается проведение проверок условий обработки персональных данных.
3.2. Проверки условий обработки персональных данных на соответствие требованиям к защите персональных данных, установленным в Администрации района и ее отраслевых органах (далее - проверки), осуществляются комиссией, утвержденной распоряжением Администрации района (далее - Комиссия по персональным данным).
3.3. Проверки условий обработки персональных данных могут быть плановыми и внеплановыми, документарными и проводимыми в помещениях Администрации района, в которых ведется обработка персональных данных.
3.4. Плановые проверки проводятся в соответствии с ежегодным планом проведения проверок, утвержденным главой Администрации района.
3.5. План проведения проверок разрабатывается лицом, ответственным за организацию обработки персональных данных в Администрации района.
3.6. Внеплановые проверки проводятся на основании поступившего в Администрацию района на имя главы Администрации района письменного заявления физического лица (субъекта персональных данных) о нарушениях правил обработки персональных данных.
3.7. В течение трех рабочих дней с момента поступления в Администрацию района заявления о нарушениях правил обработки персональных данных принимается решение о проведении внеплановой проверки, которое оформляется распоряжением Администрации района.
3.8. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента оформления распоряжения Администрации о проведении внеплановой проверки.
3.9. При проведении проверок условий обработки персональных данных должен быть полностью, объективно и всесторонне исследован порядок обработки персональных данных и его соответствие требованиям обработки персональных данных, установленным в Администрации района, а именно:
соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора персональных данных;
соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
достаточность (избыточность) персональных данных для целей обработки персональных данных, заявленных при сборе персональных данных;
отсутствие (наличие) объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
порядок и условия применения средств защиты информации;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
осуществление мероприятий по обеспечению целостности персональных данных.
3.10. В случае выявления фактов:
несоблюдения установленного порядка обработки персональных данных;
несоблюдения условий хранения носителей персональных данных;
использования средств защиты информации, которые могут привести к нарушению заданного уровня безопасности (конфиденциальность/целостность/доступность) персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных;
нарушения заданного уровня безопасности персональных данных (конфиденциальность/целостность/доступность);
в обязательном порядке устанавливаются причины нарушения обработки персональных данных и наличие (отсутствие) вины.
3.11. Комиссия по персональным данным имеет право:
запрашивать у сотрудников Администрации района информацию, необходимую для реализации полномочий;
требовать от уполномоченных на обработку персональных данных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить главе Администрации района предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
вносить главе Администрации района предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
3.12. В процессе проведения внутреннего контроля (проверок) соответствия обработки персональных данных требованиям к защите персональных данных разрабатываются меры, направленные на предотвращение негативных последствий выявленных нарушений.
3.13. В случаях выявления нарушений обработки персональных данных, требующих немедленного устранения, принимаются меры оперативного реагирования.
3.14. Плановая проверка должна быть завершена не позднее чем через месяц со дня ее назначения. Заключение о результатах проведенной проверки и принятых по устранению выявленных нарушений мерах, а также мерах, необходимых для устранения нарушений, направляется главе Администрации за подписью председателя Комиссии по персональным данным.
3.15. Устранение выявленных нарушений проводится не позднее 30 дней с момента завершения проверки.
3.16. В отношении персональных данных, ставших известными Комиссии по персональным данным в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
3.17. По результатам проверки составляется протокол проведения внутренней проверки. Форма протокола приведена в приложении к настоящим Правилам. При проверке назначенным сотрудником может составляться акт по произвольной форме.
3.18. При выявлении в ходе проверки нарушений в протоколе или акте делается запись о мероприятиях по устранению нарушений и сроках исполнения.
3.19. Протоколы и акты хранятся у ответственного за организацию обработки персональных данных. Уничтожение протоколов и актов проводится ответственным самостоятельно в январе года, следующего за проверочным годом. При необходимости протоколы и акты могут храниться до полного устранения нарушений.
3.20. О результатах проверки и мерах, необходимых для устранения нарушений, главе Администрации докладывает ответственный за организацию обработки персональных данных в Администрации.
Приложение
к Правилам
осуществления внутреннего
контроля соответствия
обработки персональных
данных требованиям к защите
персональных данных
в администрации Грязинского
муниципального района
УТВЕРЖДАЮ
Глава администрации
Грязинского муниципального района
________________________
"__" _________ 20__ г.
Протокол
проведения внутренней проверки условий обработки персональных данных
администрации Грязинского муниципального района
Настоящий Протокол составлен в том, что __________.___________.20______
___________________________________________________________________________
проведена проверка _______________________________________________________.
тема проверки
Проверка осуществлялась в соответствии с требованиями
___________________________________________________________________________
___________________________________________________________________________
название документа
В ходе проверки проверено:
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
Выявленные нарушения:
___________________________________________________________________________
___________________________________________________________________________
Меры по устранению нарушений:
___________________________________________________________________________
___________________________________________________________________________
___________________________________________________________________________
Срок устранения нарушений: _________________________.
Председатель комиссии ___________/________________
Члены комиссии:
Должность ___________/________________
Должность ___________/________________
Должность ___________/________________
Должность руководителя проверяемого
подразделения ___________/________________
Приложение 5
к постановлению
администрации Грязинского
муниципального района
от 18.05.15 № 1061
ПРАВИЛА
РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ПЕРСОНАЛЬНЫМИ ДАННЫМИ АДМИНИСТРАЦИИ
ГРЯЗИНСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
1. Общие положения
Настоящие Правила работы с обезличенными персональными данными администрации Грязинского муниципального района (далее - администрация района) разработаны с учетом Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" и постановления Правительства РФ от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и определяют порядок работы с обезличенными данными администрации района.
2. Условия обезличивания
2.1. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных администрации района и по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.2. Способы обезличивания при условии дальнейшей обработки персональных данных:
- уменьшение перечня обрабатываемых сведений;
- замена части сведений идентификаторами;
- обобщение - понижение точности некоторых сведений;
- понижение точности некоторых сведений (например, "Место жительства" может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только населенный пункт);
- деление сведений на части и обработка в разных информационных системах;
- другие способы.
2.3. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
2.4. Перечень должностей муниципальных служащих администрации района, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, приведен в приложении № 1 к настоящим Правилам:
- глава администрации муниципального района принимает решение о необходимости обезличивания персональных данных;
- руководители структурных подразделений администрации района, непосредственно осуществляющие обработку персональных данных, готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания;
- муниципальные служащие структурных подразделений администрации района, обслуживающих базы данных с персональными данными, совместно с ответственным за организацию обработки персональных данных осуществляют непосредственное обезличивание выбранным способом.
3. Порядок работы с обезличенными персональными данными
3.1. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
3.2. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
3.3. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
- парольной политики;
- антивирусной политики;
- правил работы со съемными носителями (если они используются);
- правил резервного копирования;
- правил доступа в помещения, где расположены элементы информационных систем.
3.4. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
- правил хранения бумажных носителей;
- правил доступа к ним и в помещения, где они хранятся.
Приложение № 1
к Правилам работы
с обезличенными данными
администрации Грязинского
муниципального района
ПЕРЕЧЕНЬ
ДОЛЖНОСТЕЙ МУНИЦИПАЛЬНЫХ СЛУЖАЩИХ АДМИНИСТРАЦИИ ГРЯЗИНСКОГО
МУНИЦИПАЛЬНОГО РАЙОНА, ОТВЕТСТВЕННЫХ ЗА ПРОВЕДЕНИЕ
МЕРОПРИЯТИЙ ПО ОБЕЗЛИЧИВАНИЮ ОБРАБАТЫВАЕМЫХ
ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Глава администрации района
2. Заместитель главы администрации района
3. Управляющий делами администрации района
4. Начальник отдела экономики администрации района
5. Начальник организационно-контрольного отдела администрации района
6. Начальник аналитико-правового отдела администрации района
7. Начальник отдела земельных и имущественных отношений администрации муниципального района
8. Начальник отдела образования администрации муниципального района
9. Начальник отдела культуры администрации муниципального района
10. Начальник отдела реформирования и ЖКХ администрации района
11. Начальник отдела по мобилизационной работе и делам ГО и ЧС администрации района
12. Начальник отдела архитектуры и градостроительства администрации района
13. Начальник архивного отдела администрации муниципального района
14. Начальник отдела физической культуры, спорта и молодежной политики администрации района
15. Начальник управления финансов администрации района
16. Начальник отдела закупок администрации района
17. Председатель КСЭРТ администрации района
18. Начальник отдела бухгалтерского учета администрации района
19. Начальник общего отдела администрации муниципального района
20. Начальник отдела по делам несовершеннолетних администрации района
Приложение 6
к постановлению
администрации Грязинского
муниципального района
от 18.05.15 № 1061
ПЕРЕЧЕНЬ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В АДМИНИСТРАЦИИ
ГРЯЗИНСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
- фамилия, имя, отчество;
- год рождения;
- месяц рождения;
- дата рождения;
- место рождения;
- адрес;
- семейное положение;
- имущественное положение;
- образование;
- профессия;
- доходы;
- фотографическое изображение;
- данные документов удостоверяющих личность;
- данные страхового медицинского полиса;
- данные документов воинского учета;
- данные свидетельства пенсионного страхования;
- данные трудовой книжки;
- сведения о присвоении классного чина;
- сведения о наградах;
- ИНН;
- гражданство;
- номер телефона;
- должность;
- место работы.
------------------------------------------------------------------