Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Распоряжением Администрации г. Тюмени от 10 октября 2016 г. N 662 в настоящее приложение внесены изменения
Приложение
к распоряжению
Администрации
г. Тюмени
от 18 декабря 2015 г. N 1023
Положение
об организации обработки и защиты персональных данных в Администрации города Тюмени
10 октября 2016 г.
1. Общие положения
1.1. Настоящее Положение определяет политику Администрации города Тюмени как органа местного самоуправления, осуществляющего обработку персональных данных (далее - ПДн) через отраслевые (функциональные), территориальные органы Администрации города Тюмени (далее - органы Администрации), а также устанавливает правила обработки ПДн, правила рассмотрения запросов субъектов ПДн или их представителей, правила осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн, установленным законодательством в области ПДн, правила работы с обезличенными ПДн, правила обработки ПДн в информационных системах ПДн (далее - ИСПДн), порядок доступа в помещения, в которых ведется обработка ПДн.
1.2. Положение разработано в соответствии с:
Трудовым кодексом Российской Федерации;
Кодексом Российской Федерации об административных правонарушениях;
Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";
Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ);
Федеральным законом от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации";
Федеральным законом от 25.12.2008 N 273-ФЗ "О противодействии коррупции";
Федеральным законом от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";
постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
приказом Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных".
1.3. Для целей настоящего Положения применяются следующие понятия:
Уполномоченная организация - муниципальное казенное учреждение "Комитет по информатизации города Тюмени", обеспечивающая организацию и координацию работы по обработке и защите ПДн в Администрации города Тюмени.
Иные понятия, используемые в настоящем Положении, применяются в тех же значениях, что и в нормативных правовых актах Российской Федерации, Тюменской области, муниципальных правовых актах города Тюмени.
1.4. При обработке ПДн, осуществляемой без использования средств автоматизации, выполняются требования, установленные постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
2. Правила обработки ПДн
2.1. Орган Администрации в пределах своей компетенции принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей предусмотренных Федеральным законом N 152-ФЗ и принимаемыми в соответствии с ним нормативными правовыми актами, в том числе:
назначает лицо, ответственное за организацию обработки ПДн;
применяет организационные меры по обеспечению безопасности ПДн;
знакомит работников органа Администрации, осуществляющих обработку ПДн, с положениями законодательства Российской Федерации, а также муниципальных правовых актов города Тюмени в сфере ПДн, в том числе с настоящим Положением.
2.2. Уполномоченная организация:
организует осуществление внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн;
организует проведение плановых и внеплановых проверок в органах Администрации по соблюдению законодательства Российской Федерации в области обработки и защиты ПДн;
осуществляет методическое руководство по вопросам обработки и защиты ПДн органами Администрации;
координирует работу органов Администрации по обработке и защите ПДн.
2.3. Для организации обработки ПДн органы Администрации утверждают перечни следующих документов (при их наличии):
перечень ИСПДн в органе Администрации;
перечень ПДн, обрабатываемых органом Администрации в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием муниципальных услуг и осуществлением муниципальных функций;
перечень должностей, замещение которых предусматривает осуществление обработки ПДн либо осуществление доступа к ПДн;
перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн, в случае обезличивания ПДн;
перечень должностей, ответственных за рассмотрение в органе Администрации запросов субъектов ПДн или их представителей.
2.4. Сведения, перечисленные в пункте 2.3 настоящего Положения, подлежат актуализации органом Администрации в течение 10 дней со дня их изменения. Указанные сведения направляются органом Администрации в уполномоченная организация в течение 10 дней со дня их актуализации.
2.5. Целями обработки ПДн являются:
осуществление возложенных на орган Администрации действующим законодательством, муниципальными правовыми актами города Тюмени функций, в том числе:
предоставление муниципальных услуг;
исполнение муниципальных функций при осуществлении муниципального контроля;
оформление трудовых отношений.
2.6. К субъектам, ПДн которых обрабатываются органом Администрации, относятся:
работники Администрации города Тюмени;
члены семьи работника;
граждане, проживающие на территории города Тюмени;
граждане, обратившиеся по различным вопросам в Администрацию города Тюмени;
физические лица, состоящие в договорных отношениях с Администрацией города Тюмени.
2.7. Содержание обрабатываемых ПДн в связи с предоставлением муниципальных услуг и исполнением муниципальных функций заявителей:
фамилия, имя, отчество (последнее при наличии), в том числе предыдущие фамилии, имена, отчества, в случае их изменения;
число, месяц, год рождения;
место рождения;
адрес электронной почты;
информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
номер контактного телефона или сведения о других способах связи;
сведения о государственной регистрации актов гражданского состояния;
семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
иные ПДн, необходимые в соответствии с действующим законодательством.
2.8. Содержание обрабатываемых ПДн для обеспечения кадровой работы:
фамилия, имя, отчество (последнее при наличии), в том числе предыдущие фамилии, имена, отчества, в случае их изменения;
число, месяц, год рождения;
место рождения;
информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
номер контактного телефона или сведения о других способах связи;
реквизиты страхового свидетельства государственного пенсионного страхования;
идентификационный номер налогоплательщика;
реквизиты страхового медицинского полиса обязательного медицинского страхования;
реквизиты свидетельства государственной регистрации актов гражданского состояния;
семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
сведения о трудовой деятельности;
сведения о воинском учете и реквизиты документов воинского учета;
сведения об образовании, в том числе о дополнительном профессиональном образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
сведения об ученой степени;
информация о владении иностранными языками, степень владения;
медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на муниципальную службу или ее прохождению;
фотография;
сведения о прохождении муниципальной службы, в том числе: дата, основания поступления на муниципальную службу и назначения на должность муниципальной службы, дата основания назначения, перевода, перемещения на иную должность муниципальной службы, наименование замещаемых должностей муниципальной службы с указанием структурных подразделений, размера денежного содержания, результатов аттестации на соответствие замещаемой должности муниципальной службы, а также сведения о прежнем месте работы;
информация, содержащаяся в трудовом договоре, дополнительных соглашениях к трудовому договору;
сведения о пребывании за границей;
информация о классном чине муниципальной службы (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации, государственной гражданской службы), квалификационном разряде государственной гражданской службы;
информация о наличии или отсутствии судимости;
информация об оформленных допусках к государственной тайне;
государственные награды, иные награды и знаки отличия;
информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
сведения о доходах, об имуществе и обязательствах имущественного характера;
сведения о расходах, а также об источниках получения средств, за счет которых совершена сделка;
номер расчетного счета;
номер банковской карты;
иные ПДн, необходимые в соответствии с действующим законодательством.
2.9. Обработка ПДн осуществляется после полученного согласия субъекта ПДн на их обработку, за исключением случаев, предусмотренных Федеральным законом N 152-ФЗ, составленного в соответствии с типовой формой, установленной приложением 1 к настоящему Положению.
В случае отказа субъекта ПДн от предоставления своих ПДн орган Администрации разъясняет субъекту ПДн юридические последствия такого отказа с оформлением разъяснения по типовой форме, установленной приложением 2 к настоящему Положению.
2.10. Сроки обработки и хранения ПДн определяются, исходя из целей их обработки, если иной срок не установлен действующим законодательством или договором, стороной которого является субъект ПДн.
2.11. Обрабатываемые ПДн подлежат уничтожению, блокированию, обезличиванию, уточнению в порядке и сроки, указанные в Федеральном законе N 152-ФЗ.
Материальными носителями ПДн являются:
бумажные носители (документы);
машинные носители (накопители на жестких магнитных дисках (НЖМД), установленные в системных блоках автоматизированных рабочих мест обработки ПДн;
съемные носители - дискеты, CD-DVD диски, USB-носители, съемные НЖМД (далее - съемные носители).
Факт уничтожения ПДн оформляется актами по типовым формам, установленным в приложениях 3, 4 к настоящему Положению.
Обезличивание ПДн осуществляется в соответствии с положениями главы 4 настоящего Положения.
3. Правила обработки ПДн в информационных системах ПДн
3.1. Безопасность ПДн при их обработке в ИСПДн обеспечивается путем реализации мер, определенных частью 2 статьи 19 Федерального закона N 152-ФЗ, постановлением Правительства от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
3.2. Уполномоченная организация обеспечивает организацию и координацию работы органов Администрации по обработке и защите ПДн.
В том числе организует:
планирование мероприятий по защите ПДн в Администрации города Тюмени;
обследование ИСПДн в органах Администрации;
разработку моделей угроз безопасности ПДн с дальнейшим определением уровня защищенности ПДн для органов Администрации;
разработку технического задания, технического проекта, содержащего полный список необходимых мер по обеспечению безопасности ПДн при их обработке.
Органы Администрации и МКУ "Комитет по информатизации города Тюмени" обязаны оказывать содействие уполномоченной организации в реализации мероприятий по защите ПДн в рамках своей компетенции.
3.3. Работники органа Администрации, осуществляющие непосредственную обработку ПДн обязаны соблюдать принципы и правила обработки ПДн, предусмотренные действующим законодательством. Организацию работы по соблюдению работниками органов Администрации принципов и правил обработки ПДн осуществляют руководители органов Администрации.
3.4. Обмен ПДн при их обработке в ИСПДн осуществляется по каналам связи, защита которых обеспечивается путем реализации организационных мер и путем применения сертифицированных программных и технических средств.
3.5. Самостоятельное подключение средств вычислительной техники, применяемых для хранения, обработки или передачи ПДн, к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к информационно-телекоммуникационной сети "Интернет", не допускается.
3.6. Работники органа Администрации допускаются к ИСПДн в соответствии с занимаемой должностью и в объеме, необходимом для выполнения ими должностных обязанностей.
4. Правила работы с обезличенными ПДн
4.1. Мероприятия по обезличиванию и обработке обезличенных ПДн производятся в соответствии с Приказом Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных" и Методическими рекомендациями по применению приказа, утвержденные 13.12.2013.
4.2. Необходимость обезличивания ПДн и случаи обезличивания ПДн определяются в соответствии с Федеральным законом 152-ФЗ.
5. Правила рассмотрения запросов субъектов ПДн или их представителей
5.1. При получении запроса субъекта ПДн или его представителя сведения представляются органом Администрации согласно статьям 14, 20, 21 Федерального закона N 152-ФЗ.
5.2. Ведение делопроизводства, регистрация запросов осуществляется в соответствии с распоряжением Администрации города Тюмени от 03.02.2011 N 163.
6. Правила осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн
6.1. В целях осуществления внутреннего контроля соответствия обработки ПДн требованиям, установленным Федеральным законом N 152-ФЗ, комиссией, проводятся проверочные мероприятия (далее - проверки).
Комиссия состоит не менее чем из трех сотрудников Уполномоченной организации. Состав комиссии определяется приказом руководителя Уполномоченной организации.
6.2. Проверке подлежат:
а) организационно-распорядительная документация по обеспечению безопасности ПДн, обрабатываемых в том числе в ИСПДн.
б) реестр информационных систем: проверка соответствия размещенных сведений в "Реестре информационных систем Администрации города Тюмени", с текущими данными по содержащимся ИСПДн.
6.3. Проверки подразделяются на плановые и внеплановые.
6.4. Плановые проверки органов Администрации проводятся не чаще одного раза год в соответствии с ежегодным планом проведения проверок, утвержденным приказом Уполномоченной организации, разрабатываемым в срок не позднее 20 декабря текущего года.
6.5. Уполномоченная организация за 30 дней до начала плановой проверки направляет проверяемому органу Администрации уведомление, в котором указывается:
дата и сроки проведения проверочных мероприятий;
основания на проведение проверочных мероприятий;
цели проверочных мероприятий;
фамилии, имена, отчества и должности председателя комиссии, членов комиссии.
6.6. Внеплановые проверки проводятся в связи с поступлением обращений (заявлений, жалоб) граждан и (или) юридических лиц по вопросам, связанным с обработкой ПДн в соответствующем органе Администрации.
Приказ Уполномоченной организации о проведении внеплановой проверки органов Администрации издается в течение 5 рабочих дней с момента регистрации обращения (заявления, жалобы).
6.7. В ходе реализации проверочных мероприятий комиссией заполняются акты осмотра для каждой из проверяемых ИСПДн органа Администрации согласно приложению 5 к настоящему Положению и подписываются всеми членами комиссии, а также ответственным сотрудником органа Администрации. Данные акты оформляются в двух экземплярах: один - органу Администрации, второй - Уполномоченной организации.
6.8. Результат проверочных мероприятий оформляется итоговым актом проверочных мероприятий по форме согласно приложению 6 к настоящему Положению в срок, не превышающий 30 дней с момента их завершения. Итоговый акт проверочных мероприятий подписывается руководителем Уполномоченной организации в двух экземплярах: один направляется органу Администрации в течение 2 рабочих дней после его подписания, второй - хранится у Уполномоченной организации.
6.9. При наличии нарушений, зафиксированных в итоговом акте проверочных мероприятий, орган Администрации обязан направить информацию по факту устранения нарушений в адрес Уполномоченной организации в течение 60 календарных дней со дня получения такого итогового акта.
6.10. При наличии разногласий по итоговому акту проверочных мероприятий руководитель органа Администрации составляет протокол разногласий, который направляется в Уполномоченную организацию в течение 5 рабочих дней со дня получения такого итогового акта и приобщается к итоговому акту проверочных мероприятий и является его неотъемлемой частью.
6.11. Уполномоченная организация в течение 5 рабочих дней с момента получения разногласий обязана проверить их обоснованность, составить по ним письменное заключение и направить органу Администрации. Второй экземпляр такого письменного заключения приобщается к итоговому акту проверочных мероприятий.
6.12. Отчет о результатах плановых проверок Уполномоченная организация представляет Главе Администрации города Тюмени ежегодно до 25 декабря текущего года. В отчете содержится информация о количестве проведенных проверок в органах Администрации и выявленные нарушения в организации и обеспечении обработки и защиты ПДн, а также о результатах устранения нарушений.
6.13. В период проведения проверки комиссия вправе:
посещать территорию и помещения проверяемого органа Администрации;
запрашивать у работников проверяемого органа Администрации необходимые материалы и документы, в том числе оригиналы документов, по вопросам, относящимся к предмету проверки;
требовать присутствия работников проверяемого органа Администрации для своевременного получения необходимых документов и материалов, а также объяснений и разъяснений как в устной, так и в письменной форме.
6.14. В период проведения проверки комиссия обязана:
своевременно и в полном объеме исполнять представленные ей полномочия по проведению проверки;
проводить проверку на основании и в строгом соответствии с приказом Уполномоченной организации о проведении проверки;
давать разъяснения по вопросам, относящимся к предмету проверки;
обеспечить сохранность и возврат оригиналов документов, полученных в ходе проверки;
обеспечивать конфиденциальность в отношении ПДн, ставших известными в ходе проведения проверок.
7. Порядок доступа в помещения, в которых ведется обработка ПДн
7.1. Для помещений, в которых обрабатываются ПДн, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей ПДн и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.
При хранении материальных носителей ПДн должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный доступ к ним.
7.2. В помещения, где размещены технические средства, позволяющие осуществлять обработку ПДн, а также хранятся носители информации, проникновение и пребывание посторонних лиц допускается только в присутствии должностных лиц.
7.3. Доступ в помещения, указанных в пунктах 7.1, 7.2 настоящего Положения, осуществляется через пропускной режим, исключающий возможность бесконтрольного входа (выхода) лиц, вноса (выноса) имущества.
7.4. Вскрытие помещений, в которых ведется обработка ПДн, и принятия экстренных мер по эвакуации информационных систем и материальных носителей с ПДн из этих помещений в нерабочее время при срабатывании пожарной или охранной сигнализации, авариях в системах энерго-, водо- и теплоснабжения проводится комиссионно. В состав комиссии в обязательном порядке входят лица, работающие в этом помещении и руководители органов Администрации.
7.5. Ответственными за организацию доступа в помещения, указанные в пунктах 7.1, 7.2 настоящего Положения, являются руководители органов Администрации, с учетом ответственности лиц, которые обеспечивают охрану объектов зданий и сооружений, в которых размещены органы Администрации.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.