Приложение. Положение о порядке обработки персональных данных в Тюменской городской Думе. Постановление Председателя Тюменской городской Думы от 04.12.2012 N 29 "Об утверждении Положения о порядке обработки персональных данных в Тюменской городской Думе"

Приложение
к постановлению
Председателя Тюменской
городской Думы
от 4 декабря 2012 г. N 29

Положение
о порядке обработки персональных данных в Тюменской городской Думе

С изменениями и дополнениями от:

29 августа 2013 г.

1.1. Настоящее Положение устанавливает порядок сбора, записи, систематизации, накопления и совершения иных действий (операций) или совокупности действий (операций) с использованием средств автоматизации или без использования таковых средств с персональными данными депутатов, муниципальных служащих, иных работников Тюменской городской Думы, а также персональных данных других лиц, содержащихся в документах, полученных из других организаций, предоставленных гражданами в соответствии правовыми актами Российской Федерации, Тюменской области и муниципальными правовыми актами города Тюмени для осуществления деятельности Тюменской городской Думы (далее - субъекты персональных данных).

1.2. Настоящее Положение разработано с целью защиты персональных данных физических лиц, обрабатываемых Тюменской городской Думой, от неправомерного или случайного доступа к ним, уничтожения, изменения, распространения персональных данных, а также от иных неправомерных действий.

1.3. Для целей настоящего Положения используются следующие понятия:

- оператор - Тюменская городская Дума в лице Председателя Тюменской городской Думы, действующего на основании Устава города Тюмени;

- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому субъекту персональных данных;

- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Иные понятия используются в настоящем Положении в значениях, определенных статьей 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон).

1.4. В связи с реализацией трудовых отношений в Тюменской городской Думе обрабатываются следующие персональные данные:

- фамилия, имя, отчество;

- паспортные данные;

- адрес места жительства;

- дата и место рождения;

- предыдущее место работы;

- образование;

- профессия;

- стаж работы;

- семейное, социальное, имущественное положение;

- состав семьи;

- номер домашнего телефона;

- сведения: о доходах, социальных льготах, наличии судимостей, воинском учете, о результатах медицинского обследования на предмет отсутствия заболевания, препятствующего осуществлению трудовых функций, и иная информация, которая Федеральным законом отнесена к персональным данным и необходима оператору для реализации трудовых отношений.

1.5. Содержание обрабатываемых персональных данных для каждой цели их обработки определяется правовыми актами Российской Федерации, Тюменской области и муниципальными правовыми актами города Тюмени.

1.6. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе муниципального контракта, либо путем принятия оператором соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

ГАРАНТ:

Нумерация разделов приводится в соответствии с источником

2. Права и обязанности оператора

2.1. Оператор имеет право требовать от субъекта персональных данных в случаях, установленных действующим законодательством Российской Федерации, Тюменской области, муниципальными правовыми актами города Тюмени, документы, содержащие достоверные персональные данные, а также документы, подтверждающие изменение его персональных данных.

2.2. В целях обеспечения прав и свобод человека и гражданина оператор при обработке персональных данных обязан соблюдать следующие общие требования:

2.2.1. Все персональные данные субъекта персональных данных следует получать у него самого. Если персональные данные субъекта персональных данных возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее, от него должно быть получено письменное согласие и до начала обработки таких персональных данных, за исключением случаев, предусмотренных Федеральным законом, оператор обязан предоставить субъекту персональных данных следующую информацию:

1) наименование и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные федеральным законом права субъекта персональных данных;

5) источник получения персональных данных.

Информация об изменениях:

Постановлением Председателя Тюменской городской Думы от 29 августа 2013 г. N 27 подпункт 2.2.2 пункта 2 настоящего приложения изложен в новой редакции

См. текст подпункта в предыдущей редакции

2.2.2. Оператор не имеет права обрабатывать персональные данные субъекта персональных данных, относящиеся в соответствии с законодательством Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных федеральными законами, Трудовым кодексом Российской Федерации.

Информация об изменениях:

Постановлением Председателя Тюменской городской Думы от 29 августа 2013 г. N 27 в подпункт 2.2.3 пункта 2 настоящего приложения внесены изменения

См. текст подпункта в предыдущей редакции

2.2.3. Оператор не имеет права обрабатывать персональные данные субъекта персональных данных о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.

Информация об изменениях:

Постановлением Председателя Тюменской городской Думы от 29 августа 2013 г. N 27 в подпункт 2.2.4 пункта 2 настоящего приложения внесены изменения

См. текст подпункта в предыдущей редакции

2.2.4. При принятии решений, затрагивающих интересы субъекта персональных данных, оператор не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки, за исключением случаев, предусмотренных Федеральным законом.

2.2.5. Оператор осуществляет обработку персональных данных с согласия субъекта персональных данных, которое оформляется в письменной форме согласно Приложению N 1 к настоящему Положению, если иная форма не предусмотрена правовыми актами Российской Федерации, Тюменской области, другими муниципальными правовыми актами города Тюмени, а также не утверждена руководителями органов государственной власти.

Согласие субъекта персональных данных на обработку персональных данных не требуется, если обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей, а также в иных случаях, предусмотренных Федеральным законом.

Информация об изменениях:

Постановлением Председателя Тюменской городской Думы от 29 августа 2013 г. N 27 в подпункт 2.2.6 пункта 2 настоящего приложения внесены изменения

См. текст подпункта в предыдущей редакции

2.2.6. Оператор обязан сообщить в порядке, предусмотренном Федеральным законом, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса, указанного в подпункте 3.1.2 пункта 3.1 настоящего Положения.

В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

Обращения субъектов персональных данных или их представителей о получении информации о наличии персональных данных или персональных данных фиксируются в Журнале учета обращений граждан, юридических лиц о предоставлении информации, составляющей сведения о персональных данных работников Тюменской городской Думы согласно Приложению N 2 к настоящему Положению.

2.2.7. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

3. Права и обязанности субъекта персональных данных

3.1. Субъект персональных данных имеет право:

3.1.1. Определять своих представителей, полномочия которых подтверждаются соответствующими документами (доверенность, договор поручения и другие документы).

3.1.2. На полную информацию о своих персональных данных и обработке этих данных. Информация, касающаяся обработки персональных данных, должна быть предоставлена субъекту персональных данных или его представителю оператором при обращении или получении запроса. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, и (или) иные сведения), либо иные сведения, иным образом подтверждающие факт обработки персональных данных оператором, и подпись субъекта персональных данных или его представителя.

3.1.3. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные субъекта персональных данных, за исключением случаев, предусмотренных федеральным законом. Доступ к своим персональным данным предоставляется субъекту персональных данных или его представителю оператором при обращении либо при получении запроса, указанного в подпункте 3.1.2 пункта 3.1 настоящего Положения. Право субъекта персональных данных на доступ к своим персональным данным может быть ограничено только в случаях, предусмотренных федеральными законами.

3.1.4. Требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных законодательством Российской Федерации. При отказе оператора исключить или исправить персональные данные субъекта персональных данных он имеет право заявить в письменной форме оператору о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера субъект персональных данных имеет право дополнить заявлением, выражающим его собственную точку зрения.

3.1.5. Требовать извещения оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях.

3.1.6. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных либо в суд любые неправомерные действия или бездействия оператора при обработке и защите его персональных данных.

3.2. Субъект персональных данных обязан:

3.2.1. Передавать оператору или его представителю в случаях, установленных действующим законодательством Российской Федерации, документы, содержащие достоверные персональные данные. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные. Разъяснения предоставляются по форме, указанной в Приложении N 3 к настоящему Положению.

3.2.2. Своевременно в срок, не превышающий 5 дней, сообщать оператору об изменении своих персональных данных.

4. Передача персональных данных

4.1. При передаче персональных данных субъекта персональных данных оператор должен соблюдать следующие требования:

4.1.1. Не сообщать персональные данные субъекта персональных, данных третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральными законами. Сведения о субъекте персональных данных (в том числе, уволенном) могут быть предоставлены третьей стороне только по письменному запросу с приложением копии согласия субъекта персональных данных.

4.1.2. Предупреждать лиц, получающих персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено (Приложение N 4 к настоящему Положению). Лица, получившие персональные данные субъекта персональных данных, обязаны соблюдать режим секретности (конфиденциальности).

4.1.3. Разрешать доступ депутатам Тюменской городской Думы и лицам, замещающим должности муниципальной службы в Тюменской городской Думе, к тем персональным данным, которые необходимы для осуществления по поручению оператора своих полномочий, должностных обязанностей.

4.1.4. Не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения субъектом персональных данных трудовой функции.

4.1.5. Передавать персональные данные субъекта персональных данных, его полномочным представителям в порядке, установленном федеральными законами, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.

5. Хранение персональных данных

5.1. Персональные данные субъектов персональных данных обрабатываются и хранятся в отделе кадров, в отделе бухгалтерского учета и отчетности, в административном комитете, в комитете организационной работы, в отделе по работе с населением Тюменской городской Думы, которые обеспечивают их защиту от несанкционированного доступа и копирования. Порядок и сроки хранения в Тюменской городской Думе документов, в том числе содержащих персональные данные, определяются инструкцией по организации работы с документами в Тюменской городской Думе.

5.2. Персональные данные субъекта персональных данных могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).

5.3. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральным законом.

5.4. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральным законом.

5.5. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в подпункте 2.2.7 пункта 2.2, в пунктах 5.3, 5.4. настоящего Положения, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

6. Правила осуществления внутреннего контроля соответствия обработки
персональных данных установленным требованиям к защите
персональных данных

6.1. Оператор назначает ответственного за организацию обработки персональных данных, который обязан:

- осуществлять внутренний контроль за соблюдением в Тюменской городской Думе законодательства Российской Федерации, правовых актов государственных органов, органов местного самоуправления, оператора о персональных данных;

- доводить до сведения работников Тюменской городской Думы положения законодательства Российской Федерации о персональных данных, правовых актов государственных органов, органов местного самоуправления, оператора по вопросам обработки персональных данных, требований к защите персональных данных;

- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять внутренний контроль за приемом и обработкой таких обращений и запросов.

6.2. Внутренний контроль за соблюдением в Тюменской городской Думе законодательства Российской Федерации, правовых актов государственных органов, органов местного самоуправления, оператора о персональных данных осуществляется путем проведения ежегодных проверок, а также проверок по жалобам и обращениям физических и юридических лиц по вопросам, касающимся обработки персональных данных в Тюменской городской Думе.

6.3. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, оператору в письменной форме докладывает ответственный за организацию обработки персональных данных.

6.4. Контроль за выполнением требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 N 1119, проводится оператором один раз в три года с привлечением на договорной основе юридических лиц или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

6.5. При обнаружении неправомерных действий с персональными данными оператор принимает меры, предусмотренные подпунктом 2.2.7 пункта 2.2. настоящего Положения.

7. Ответственность за нарушение норм, регулирующих обработку
персональных данных

7.1. Лица, виновные в нарушении порядка обращения с персональными данными, несут предусмотренную законодательством Российской Федерации ответственность.

7.2. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.