Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение
к распоряжению
Администрации
г. Тюмени
от 18 декабря 2015 г. N 1023
Положение
об организации обработки и защиты персональных данных в Администрации города Тюмени
1. Общие положения
1.1. Настоящее Положение определяет политику Администрации города Тюмени как органа местного самоуправления, осуществляющего обработку персональных данных (далее - ПДн) через отраслевые (функциональные), территориальные органы Администрации города Тюмени (далее - органы Администрации), а также устанавливает правила обработки ПДн, правила рассмотрения запросов субъектов ПДн или их представителей, правила осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн, установленным законодательством в области ПДн, правила работы с обезличенными ПДн, правила обработки ПДн в информационных системах ПДн (далее - ИСПДн), порядок доступа в помещения, в которых ведется обработка ПДн.
1.2. Положение разработано в соответствии с:
Трудовым кодексом Российской Федерации;
Кодексом Российской Федерации об административных правонарушениях;
Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";
Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ);
Федеральным законом от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации";
Федеральным законом от 25.12.2008 N 273-ФЗ "О противодействии коррупции";
Федеральным законом от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";
постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
приказом Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных".
1.3. Для целей настоящего Положения применяются следующие понятия:
Уполномоченный орган - орган Администрации, ответственный за организацию обработки и защиты ПДн в Администрации города Тюмени. Уполномоченным органом является сектор специальных мероприятий Администрации.
Иные понятия, используемые в настоящем Положении, применяются в тех же значениях, что и в нормативных правовых актах Российской Федерации, Тюменской области, муниципальных правовых актах города Тюмени.
1.4. При обработке ПДн, осуществляемой без использования средств автоматизации, выполняются требования, установленные постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
2. Правила обработки ПДн
2.1. Орган Администрации в пределах своей компетенции принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей предусмотренных Федеральным законом N 152-ФЗ и принимаемыми в соответствии с ним нормативными правовыми актами, в том числе:
назначает лицо, ответственное за организацию обработки ПДн;
применяет организационные меры по обеспечению безопасности ПДн;
знакомит работников органа Администрации, осуществляющих обработку ПДн, с положениями законодательства Российской Федерации, а также муниципальных правовых актов города Тюмени в сфере ПДн, в том числе с настоящим Положением.
2.2. Уполномоченный орган:
осуществляет внутренний контроль соответствия обработки ПДн требованиям к защите ПДн;
проводит оценку вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона N 152-ФЗ, соотношение указанного вреда и принимаемых органом Администрации мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом N 152-ФЗ.
2.3. Для организации обработки ПДн органы Администрации утверждают перечни следующих документов (при их наличии):
перечень ИСПДн в органе Администрации;
перечень ПДн, обрабатываемых органом Администрации в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием муниципальных услуг и осуществлением муниципальных функций;
перечень должностей, замещение которых предусматривает осуществление обработки ПДн либо осуществление доступа к ПДн;
перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн, в случае обезличивания ПДн;
перечень должностей, ответственных за рассмотрение в органе Администрации запросов субъектов ПДн или их представителей.
2.4. Сведения, перечисленные в пункте 2.3 настоящего Положения, подлежат актуализации органом Администрации в течение 10 дней со дня их изменения. Указанные сведения направляются органом Администрации в уполномоченный орган в течение 10 дней со дня их актуализации.
2.5. Целями обработки ПДн являются:
осуществление возложенных на орган Администрации действующим законодательством, муниципальными правовыми актами города Тюмени функций, в том числе:
предоставление муниципальных услуг;
исполнение муниципальных функций при осуществлении муниципального контроля;
оформление трудовых отношений.
2.6. К субъектам, ПДн которых обрабатываются органом Администрации, относятся:
работники Администрации города Тюмени;
члены семьи работника;
граждане, проживающие на территории города Тюмени;
граждане, обратившиеся по различным вопросам в Администрацию города Тюмени;
физические лица, состоящие в договорных отношениях с Администрацией города Тюмени.
2.7. Содержание обрабатываемых ПДн в связи с предоставлением муниципальных услуг и исполнением муниципальных функций заявителей:
фамилия, имя, отчество (последнее при наличии), в том числе предыдущие фамилии, имена, отчества, в случае их изменения;
число, месяц, год рождения;
место рождения;
адрес электронной почты;
информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
номер контактного телефона или сведения о других способах связи;
сведения о государственной регистрации актов гражданского состояния;
семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
иные ПДн, необходимые в соответствии с действующим законодательством.
2.8. Содержание обрабатываемых ПДн для обеспечения кадровой работы:
фамилия, имя, отчество (последнее при наличии), в том числе предыдущие фамилии, имена, отчества, в случае их изменения;
число, месяц, год рождения;
место рождения;
информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
номер контактного телефона или сведения о других способах связи;
реквизиты страхового свидетельства государственного пенсионного страхования;
идентификационный номер налогоплательщика;
реквизиты страхового медицинского полиса обязательного медицинского страхования;
реквизиты свидетельства государственной регистрации актов гражданского состояния;
семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
сведения о трудовой деятельности;
сведения о воинском учете и реквизиты документов воинского учета;
сведения об образовании, в том числе о дополнительном профессиональном образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
сведения об ученой степени;
информация о владении иностранными языками, степень владения;
медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на муниципальную службу или ее прохождению;
фотография;
сведения о прохождении муниципальной службы, в том числе: дата, основания поступления на муниципальную службу и назначения на должность муниципальной службы, дата основания назначения, перевода, перемещения на иную должность муниципальной службы, наименование замещаемых должностей муниципальной службы с указанием структурных подразделений, размера денежного содержания, результатов аттестации на соответствие замещаемой должности муниципальной службы, а также сведения о прежнем месте работы;
информация, содержащаяся в трудовом договоре, дополнительных соглашениях к трудовому договору;
сведения о пребывании за границей;
информация о классном чине муниципальной службы (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации, государственной гражданской службы), квалификационном разряде государственной гражданской службы;
информация о наличии или отсутствии судимости;
информация об оформленных допусках к государственной тайне;
государственные награды, иные награды и знаки отличия;
информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
сведения о доходах, об имуществе и обязательствах имущественного характера;
сведения о расходах, а также об источниках получения средств, за счет которых совершена сделка;
номер расчетного счета;
номер банковской карты;
иные ПДн, необходимые в соответствии с действующим законодательством.
2.9. Обработка ПДн осуществляется после полученного согласия субъекта ПДн на их обработку, за исключением случаев, предусмотренных Федеральным законом N 152-ФЗ, составленного в соответствии с типовой формой, установленной приложением 1 к настоящему Положению.
В случае отказа субъекта ПДн от предоставления своих ПДн орган Администрации разъясняет субъекту ПДн юридические последствия такого отказа с оформлением разъяснения по типовой форме, установленной приложением 2 к настоящему Положению.
2.10. Сроки обработки и хранения ПДн определяются, исходя из целей их обработки, если иной срок не установлен действующим законодательством или договором, стороной которого является субъект ПДн.
2.11. Обрабатываемые ПДн подлежат уничтожению, блокированию, обезличиванию, уточнению в порядке и сроки, указанные в Федеральном законе N 152-ФЗ.
Материальными носителями ПДн являются:
бумажные носители (документы);
машинные носители (накопители на жестких магнитных дисках (НЖМД), установленные в системных блоках автоматизированных рабочих мест обработки ПДн;
съемные носители - дискеты, CD-DVD диски, USB-носители, съемные НЖМД (далее - съемные носители).
Факт уничтожения ПДн оформляется актами по типовым формам, установленным в приложениях 3, 4 к настоящему Положению.
Обезличивание ПДн осуществляется в соответствии с положениями главы 4 настоящего Положения.
3. Правила обработки ПДн в информационных системах ПДн
3.1. Безопасность ПДн при их обработке в ИСПДн обеспечивается путем реализации мер, определенных частью 2 статьи 19 Федерального закона N 152-ФЗ, постановлением Правительства от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
3.2. Уполномоченный орган организует и координирует работу органов Администрации по обработке и защите ПДн.
В том числе осуществляет:
планирование мероприятий по защите ПДн в Администрации города Тюмени;
обследование ИСПДн в органах Администрации;
разработку моделей угроз безопасности ПДн с дальнейшим определением уровня защищенности ПДн для органов Администрации;
разработку технического задания, технического проекта, содержащего полный список необходимых мер по обеспечению безопасности ПДн при их обработке.
Органы Администрации и МКУ "Комитет по информатизации города Тюмени" обязаны оказывать содействие уполномоченному органу в реализации мероприятий по защите ПДн в рамках своей компетенции.
3.3. Работники органа Администрации, осуществляющие непосредственную обработку ПДн обязаны соблюдать принципы и правила обработки ПДн, предусмотренные действующим законодательством. Организацию работы по соблюдению работниками органов Администрации принципов и правил обработки ПДн осуществляют руководители органов Администрации.
3.4. Обмен ПДн при их обработке в ИСПДн осуществляется по каналам связи, защита которых обеспечивается путем реализации организационных мер и путем применения сертифицированных программных и технических средств.
3.5. Самостоятельное подключение средств вычислительной техники, применяемых для хранения, обработки или передачи ПДн, к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к информационно-телекоммуникационной сети "Интернет", не допускается.
3.6. Работники органа Администрации допускаются к ИСПДн в соответствии с занимаемой должностью и в объеме, необходимом для выполнения ими должностных обязанностей.
4. Правила работы с обезличенными ПДн
4.1. Мероприятия по обезличиванию и обработке обезличенных ПДн производятся в соответствии с Приказом Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных" и Методическими рекомендациями по применению приказа, утвержденные 13.12.2013.
4.2. Необходимость обезличивания ПДн и случаи обезличивания ПДн определяются в соответствии с Федеральным законом 152-ФЗ.
5. Правила рассмотрения запросов субъектов ПДн или их представителей
5.1. При получении запроса субъекта ПДн или его представителя сведения представляются органом Администрации согласно статьям 14, 20, 21 Федерального закона N 152-ФЗ.
5.2. Ведение делопроизводства, регистрация запросов осуществляется в соответствии с распоряжением Администрации города Тюмени от 03.02.2011 N 163.
6. Правила осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн
6.1. В целях осуществления внутреннего контроля соответствия обработки ПДн требованиям, установленным Федеральным законом N 152-ФЗ, комиссией, создаваемой в порядке, установленном настоящим Положением, проводятся проверки условий обработки ПДн (далее - проверки).
Комиссия состоит не менее чем из трех человек, в состав которой в обязательном порядке входят представители уполномоченного органа и МКУ "Комитет по информатизации города Тюмени". Состав комиссии определяется приказами уполномоченного органа, указанными в пункте 6.2 настоящего Положения.
6.2. Проверки подразделяются на плановые и внеплановые.
Плановые проверки органов Администрации проводятся не чаще одного раза в три года в соответствии с ежегодным планом проведения проверок, утвержденным приказом уполномоченного органа, разрабатываемым в срок не позднее 20 декабря текущего года.
Приказ уполномоченного органа о проведении внеплановой проверки органов Администрации издается в течение 5 рабочих дней с момента поступления обращений (заявления, жалобы) граждан и (или) юридических лиц по вопросам, связанным с обработкой ПДн в органе Администрации.
Приказы уполномоченного органа, указанные в абзацах втором и третьем настоящего пункта, должны содержать:
вид проверки (плановая, внеплановая);
цель проведения проверки;
дату начала и срок проведения проверки, который не может превышать 10 рабочих дней;
полное наименование проверяемого органа Администрации;
фамилии, имена, отчества и должности председателя комиссии, членов комиссии.
6.3. Комиссией в течение 5 рабочих дней со дня окончания проверки составляется протокол проведения проверки условий обработки ПДн в органах Администрации (далее - Протокол) и копия Протокола направляется в проверяемый орган.
Протокол должен содержать:
дату и место его составления;
полное наименование проверяемого органа Администрации;
дату и номер приказа уполномоченного органа на основании которого проводится проверка;
фамилии, имена, отчества и должности председателя комиссии, членов комиссии, проводивших проверку;
сведения о результатах проверки;
сведения о вручении копии Протокола руководителю проверяемого органа Администрации;
подписи председателя комиссии и членов комиссии, проводивших проверку.
6.4. Информацию о результатах устранения нарушений и выполненных мероприятиях, указанных в Протоколе, либо о причинах их невыполнения орган Администрации, по результатам проверки которого составлен Протокол, представляет уполномоченному органу в течение 30 дней со дня ознакомления с Протоколом.
6.5. Отчет о результатах плановых проверок уполномоченный орган представляет Главе Администрации города Тюмени ежегодно до 25 декабря текущего года. В отчете содержится информация о количестве проведенных проверок в органах Администрации и выявленные нарушения в организации и обеспечении обработки и защиты ПДн, а также о результатах устранения нарушений.
6.6. В период проведения проверки комиссия вправе:
посещать территорию и помещения проверяемого органа Администрации;
запрашивать у работников проверяемого органа Администрации необходимые материалы и документы, в том числе оригиналы документов, по вопросам относящимся к предмету проверки;
требовать присутствия работников проверяемого органа Администрации для своевременного получения необходимых документов и материалов, а также объяснений и разъяснений как в устной, так и в письменной форме.
6.7. В период проведения проверки комиссия обязана:
своевременно и в полном объеме исполнять представленные ей полномочия по проведению проверки;
проводить проверку на основании и в строгом соответствии с приказом уполномоченного органа о проведении проверки;
давать разъяснения по вопросам, относящимся к предмету проверки;
обеспечить сохранность и возврат оригиналов документов, полученных в ходе проверки;
обеспечивать конфиденциальность в отношении ПДн, ставших известными в ходе проведения проверок.
7. Порядок доступа в помещения, в которых ведется обработка ПДн
7.1. Для помещений, в которых обрабатываются ПДн, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей ПДн и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.
При хранении материальных носителей ПДн должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный доступ к ним.
7.2. В помещения, где размещены технические средства, позволяющие осуществлять обработку ПДн, а также хранятся носители информации, проникновение и пребывание посторонних лиц допускается только в присутствии должностных лиц.
7.3. Доступ в помещения, указанных в пунктах 7.1, 7.2 настоящего Положения, осуществляется через пропускной режим, исключающий возможность бесконтрольного входа (выхода) лиц, вноса (выноса) имущества.
7.4. Вскрытие помещений, в которых ведется обработка ПДн, и принятия экстренных мер по эвакуации информационных систем и материальных носителей с ПДн из этих помещений в нерабочее время при срабатывании пожарной или охранной сигнализации, авариях в системах энерго-, водо- и теплоснабжения проводится комиссионно. В состав комиссии в обязательном порядке входят лица, работающие в этом помещении и руководители органов Администрации.
7.5. Ответственными за организацию доступа в помещения, указанные в пунктах 7.1, 7.2 настоящего Положения, являются руководители органов Администрации, с учетом ответственности лиц, которые обеспечивают охрану объектов зданий и сооружений, в которых размещены органы Администрации.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.