Приложение. Положение об организации обработки и защиты персональных данных в Администрации города Тюмени. Распоряжение Администрации г. Тюмени от 18.12.2015 N 1023 "Об организации обработки и защиты персональных данных в Администрации города Тюмени"

Информация об изменениях:

Приложение изменено. - Распоряжение Администрации г. Тюмени от 11 апреля 2019 г. N 232

См. предыдущую редакцию

Приложение
к распоряжению
Администрации
г. Тюмени
от 18 декабря 2015 г. N 1023

Положение
об организации обработки и защиты персональных данных в Администрации города Тюмени

С изменениями и дополнениями от:

10 октября 2016 г., 25 августа 2017 г., 11 апреля 2019 г.

1. Общие положения

1.1. Настоящее Положение определяет политику Администрации города Тюмени как органа местного самоуправления, осуществляющего обработку персональных данных (далее - ПДн) в отношении обработки и защиты ПДн, через установление правил обработки ПДн, правил рассмотрения запросов субъектов ПДн или их представителей, правил осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн, установленным законодательством в области ПДн, правил работы с обезличенными ПДн, правил обработки ПДн в информационных системах ПДн (далее - ИСПДн), порядка доступа в помещения, в которых ведется обработка ПДн.

1.2. Положение разработано в соответствии с:

Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ);

постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (далее - постановление Правительства N 687);

постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

иными нормативными правовыми актами в области обработки и обеспечения безопасности персональных данных, а также руководящие документы Федеральной службы по техническому и экспортному контролю Российской Федерации и Федеральной службы безопасности Российской Федерации.

1.3. Действие настоящей Политики распространяется на все процессы обработки персональных данных (далее - ПДн) в Администрации города Тюмени, как с использованием средств автоматизации, так и без использования таких средств.

1.4. Для целей настоящей Политики применяются следующие понятия:

Администрация города Тюмени - отраслевые (функциональные), территориальные органы Администрации города Тюмени (далее - Администрация города, органы Администрации);

Уполномоченная организация - муниципальное казенное учреждение "Комитет по информатизации города Тюмени", обеспечивающее организацию и координацию работы по обработке и защите ПДн в Администрации города в соответствии с настоящим Положением.

1.5. Уполномоченная организация:

организует осуществление внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн, в том числе организует проведение плановых и внеплановых проверок в органах Администрации по соблюдению законодательства Российской Федерации в области обработки и защиты ПДн в соответствии с главой 12 настоящей Политики;

планирует мероприятия по защите ПДн в Администрации города;

определяет уровень защищенности для каждой ИСПДн;

организует защиту информации, не содержащей сведений, составляющих государственную тайну, обрабатываемой в информационных системах, в том числе применение технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн в соответствии со своей компетенцией;

обеспечивает организацию и координацию работы по обработке и защите персональных данных в Администрации города в соответствии с действующим законодательством и муниципальными правовыми актами города Тюмени;

определяет угрозы безопасности ПДн при их обработке в ИСПДн;

осуществляет методическое руководство по вопросам обработки и защиты ПДн органами Администрации;

осуществляет иные функции в соответствии с настоящим Положением.

2. Цели и субъекты обработки ПДн

2.1. Целями обработки ПДн в Администрации города, являются:

осуществление возложенных на орган Администрации действующим законодательством, муниципальными правовыми актами города Тюмени функций, полномочий и обязанностей;

рассмотрение обращений граждан Российской Федерации в соответствии с действующим законодательством;

предоставление муниципальных услуг;

реализация законодательства о муниципальной службе и противодействии коррупции, кадровой работы;

иные цели, предусмотренные правовыми актами города Тюмени.

2.2. Субъектами обработки ПДн в Администрации города являются:

работники Администрации города, руководители муниципальных унитарных, муниципальных учреждений города Тюмени;

члены семьи работника Администрации города Тюмени, руководителя муниципального унитарного предприятия, муниципального учреждения города Тюмени в случаях, предусмотренных действующим законодательством;

физические лица, обратившиеся в Администрацию города в связи с осуществлением ею установленных действующим законодательством, муниципальными правовыми актами города Тюмени функций, полномочий и обязанностей;

физические лица, состоящие в договорных отношениях с Администрацией города.

2.3. Обработка персональных данных осуществляется с согласия субъекта ПДн и в иных случаях, предусмотренных Федеральным законом N 152-ФЗ. Согласие субъекта ПДн должно отвечать требованиям, определенным Федеральным законом N 152-ФЗ. Типовая форма согласия на обработку ПДн приведена в приложении 1 к настоящему Положению.

3. Порядок доступа к ПДн

3.1. К обработке ПДн допускаются работники органа Администрации, которые в связи с выполнением своих должностных обязанностей, осуществляют обработку ПДн.

3.2. Предоставление доступа работникам органа Администрации к ПДн осуществляется на основании перечня должностей, замещение которых предусматривает осуществление обработки ПДн.

3.3. При предоставлении работнику доступа к обработке ПДн ответственный за организацию обработки ПДн (за выполнение мероприятий по обеспечению безопасности ПДн) в органе Администрации обязан его ознакомить с требованиями федерального законодательства, правовых актов и внутренних организационно-распорядительных документов по обработке ПДн и обеспечению безопасности ПДн под роспись.

3.4. Лицам, допущенным к обработке ПДн, предоставляется доступ только к ПДн, необходимым для выполнения ими должностных обязанностей в пределах задач и функций соответствующего органа Администрации.

4. Обработка ПДн, осуществляемая без использования средств автоматизации

4.1. Порядок обработки ПДн, осуществляемой без использования средств автоматизации, определяется Постановлением Правительства РФ N 687.

4.2. Обработка ПДн без использования средств автоматизации осуществляется на материальных носителях информации (далее - материальные носители).

4.3. В случае, если обработка ПДн осуществляется без использования средств автоматизации, ПДн обособляются от иной информации путем фиксации их на отдельных материальных носителях.

4.4. Запрещается оставлять материальные носители без присмотра или передавать на хранение другим лицам, не допущенным к обработке ПДн.

4.5. Учет машинных съемных носителей информации осуществляется в каждом органе Администрации путем ведения журналов учета.

5. Обработка ПДн с использованием средств автоматизации

5.1. Для обеспечения безопасности ПДн при их обработке в ИСПДн, работники органа Администрации, допущенные к обработке ПДн, должны обеспечивать в соответствии с инструкцией, устанавливающей содержание организационных мер защиты и порядок их применения в ИСПДн, разработанной и утвержденной приказом директора Уполномоченной организации, в соответствии со своими должностными обязанностями:

своевременное обнаружение несанкционированного доступа к ПДн;

недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

постоянный контроль за принимаемыми мерами по обеспечению безопасности ПДн.

6. Правила работы с обезличенными ПДн

6.1. Мероприятия по обезличиванию и обработке обезличенных ПДн производятся в соответствии с приказом Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных" и Методическими рекомендациями по применению приказа, утвержденными 13.12.2013.

6.2. Необходимость обезличивания ПДн и случаи обезличивания ПДн определяются в соответствии с Федеральным законом N 152-ФЗ.

7. Правила рассмотрения запросов субъектов ПДн или их представителей

7.1. При получении запроса субъекта ПДн или его представителя сведения предоставляются органом Администрации согласно статьям 14, 20, 21 Федерального закона N 152-ФЗ.

7.2. Ведение делопроизводства, регистрация запросов осуществляется в соответствии с распоряжением Администрации города Тюмени от 03.02.2011 N 163 "Об организационно-документационном обеспечении деятельности Администрации города Тюмени".

8. Сроки обработки и хранения ПДн

8.1. Сроки обработки ПДн определяются в соответствии с каждой целью обработки. ПДн подлежат уничтожению по достижении цели обработки ПДн в порядке, установленной главой 9 настоящего Положения, если иное не предусмотрено федеральным законодательством.

8.2. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

9. Порядок уничтожения ПДн

9.1. Обрабатываемые ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом N 152-ФЗ и другими федеральными законами.

9.2. Работники, осуществляющие обработку ПДн в рамках своих полномочий, не реже одного раза в год проводят инвентаризацию документов на бумажных и материальных съемных носителях с истекшими сроками хранения, подлежащих уничтожению.

9.3. По окончании процедуры уничтожения ПДн составляется соответствующий акт:

в случае уничтожения ПДн, находящихся на бумажных носителях - в соответствии с законодательством об архивном деле;

в случае уничтожения ПДн, находящихся на иных материальных носителях - по форме, установленной приложением 3 к настоящему Положению.

10. Порядок доступа в помещения, в которых ведется обработка ПДн

10.1. Доступ в помещения органов Администрации, где хранятся и обрабатываются ПДн, осуществляется в соответствии с Перечнем должностей сотрудников, замещение которых предусматривает осуществление обработки ПДн.

10.2. Нахождение в помещениях лиц, в которых ведется обработка ПДн, не являющихся сотрудниками органа Администрации, возможно только в сопровождении работника, допущенного к обработке ПДн.

10.3. Возможность неконтролируемого проникновения в помещения, в которых обрабатываются ПДн, исключается путем закрытия помещений, металлических шкафов и сейфов, где хранятся носители информации, содержащие ПДн, во время отсутствия в помещении работников, замещающих должности согласно Перечню допущенных к обработке ПДн.

11. Меры, направленные на обеспечение безопасности ПДн

11.1. Органы Администрации, являющиеся юридическими лицами, назначают ответственного за организацию обработки ПДн. Приказами руководителей органов Администрации, являющихся юридическими лицами, утверждаются следующие документы:

правила обработки ПДн, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере ПДн, а также определяющие для каждой цели обработки ПДн содержание обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;

правила осуществления внутреннего контроля в органе Администрации соответствия обработки ПДн требованиям к защите ПДн;

правила работы в органе Администрации с обезличенными данными в случае обезличивания ПДн;

перечень ИСПДн;

перечни ПДн, обрабатываемых в органе Администрации в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием муниципальных услуг и осуществлением муниципальных функций; перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн, в случае обезличивания ПДн;

перечень должностей работников, замещение которых предусматривает осуществление обработки ПДн либо осуществление доступа к ПДн;

11.2. Органы Администрации, не являющиеся юридическими лицами, входящие в состав оператора ПДн "Администрация города Тюмени", назначают ответственного за выполнение мероприятий по обеспечению безопасности ПДн в органе Администрации. Приказами руководителей органов Администрации, не являющихся юридическими лицами, утверждаются следующие документы:

перечень должностей работников, замещение которых предусматривает осуществление обработки ПДн либо осуществление доступа к ПДн;

перечень ИСПДн;

перечни ПДн, обрабатываемых в органе Администрации в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием муниципальных услуг и осуществлением муниципальных функций;

перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн, в случае обезличивания ПДн.

11.3. Правила обработки ПДн, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере ПДн, а также определяющие для каждой цели обработки ПДн содержание обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований, в органах Администрации, не являющихся юридическими лицами, утверждаются распоряжением заместителя Главы города Тюмени, координирующего и контролирующего деятельность административного департамента Администрации города Тюмени.

11.4. Органы Администрации, обеспечивают использование Инструкции ответственного за организацию обработки персональных данных в Органе Администрации (за исключением органов Администрации, не являющихся юридическими лицами), типовых форм, предусмотренных приложениями 1 - 5 к настоящему Положению, иных форм предусмотренных муниципальными правовыми актами города Тюмени, а также применение правил, предусмотренных настоящим Положением, при осуществлении возложенных на них законодательством, муниципальными правовыми актами города Тюмени функций, полномочий и обязанностей.

12. Правила осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн

12.1. В целях осуществления внутреннего контроля соответствия обработки ПДн требованиям, установленным Федеральным законом N 152-ФЗ, комиссией Уполномоченной организации проводятся проверочные мероприятия (далее - проверки).

12.2. Комиссия состоит не менее чем из трех сотрудников Уполномоченной организации. Состав комиссии определяется приказом руководителя Уполномоченной организации.

12.3. Проверке подлежат:

организационно-распорядительная документация по обеспечению безопасности ПДн, обрабатываемых, в том числе, в ИСПДн;

реестр информационных систем: проверка соответствия размещенных сведений в "Реестре информационных систем Администрации города Тюмени" с текущими данными по содержащимся ИСПДн.

12.4. Проверки подразделяются на плановые и внеплановые.

12.5. Плановые проверки органов Администрации проводятся не чаще одного раза в год в соответствии с ежегодным планом проведения проверок, утвержденным приказом директора Уполномоченной организации, разрабатываемым в срок не позднее 20 декабря текущего года.

12.6. Уполномоченная организация за 30 дней до начала плановой проверки направляет проверяемому органу Администрации уведомление, в котором указывается:

дата и сроки проведения проверочных мероприятий;

основания на проведение проверочных мероприятий;

цели проверочных мероприятий;

фамилии, имена, отчества и должности председателя комиссии, членов комиссии.

12.7. Внеплановые проверки проводятся в связи с поступлением обращений (заявлений, жалоб) физических и (или) юридических лиц по вопросам, связанным с обработкой ПДн в соответствующем органе Администрации.

Приказ директора Уполномоченной организации о проведении внеплановой проверки органов Администрации издается в течение 5 рабочих дней со дня регистрации обращения (заявления, жалобы).

12.8. В ходе реализации проверочных мероприятий комиссией заполняются акты осмотра по форме, утверждаемой приказом директора Уполномоченной организации, для каждой из проверяемых ИСПДн органа Администрации и подписываются всеми членами комиссии, а также ответственным сотрудником органа Администрации. Данные акты оформляются в двух экземплярах: один - органу Администрации, второй - Уполномоченной организации.

12.9. Результат проверочных мероприятий оформляется итоговым актом проверочных мероприятий по форме, утверждаемой приказом директора Уполномоченной организации, в срок, не превышающий 30 дней с момент их завершения. Итоговый акт проверочных мероприятий подписывается руководителем Уполномоченной организации в двух экземплярах: один направляется органу Администрации в течение 2 рабочих дней после его подписания, второй - хранится в Уполномоченной организации.

12.10. При наличии нарушений, зафиксированных в итоговом акте проверочных мероприятий, орган Администрации обязан направить информацию по факту устранения нарушений в адрес Уполномоченной организации в течение 60 календарных дней со дня получения такого итогового акта.

12.11. При наличии разногласий по итоговому акту проверочных мероприятий руководитель органа Администрации составляет протокол разногласий, который направляется в Уполномоченную организацию в течение 5 рабочих дней со дня получения такого итогового акта и приобщается к итоговому акту проверочных мероприятий и является его неотъемлемой частью.

12.12. Уполномоченная организация в течение 5 рабочих дней с момента получения протокола разногласий проверяет их обоснованность, составляет по ним письменное заключение и направляет органу Администрации. Второй экземпляр такого письменного заключения приобщается к итоговому акту проверочных мероприятий.

12.13. Отчет о результатах плановых проверок Уполномоченная организация представляет Главе города Тюмени ежегодно до 25 декабря текущего года. В отчете содержится информация о количестве проведенных проверок в органах Администрации, выявленные нарушения в организации и обеспечении обработки и защиты ПДн, а также о результатах устранения нарушений.

12.14. В период проведения проверки комиссия вправе:

посещать территорию и помещения проверяемого органа Администрации;

запрашивать у работников проверяемого органа Администрации необходимые материалы и документы, в том числе оригиналы документов, по вопросам, относящимся к предмету проверки;

требовать присутствия работников проверяемого органа Администрации для своевременного получения необходимых документов и материалов, а также объяснений и разъяснений как в устной, так и в письменной форме.

12.15. В период проведения проверки комиссия обязана:

своевременно и в полном объеме исполнять предоставленные ей полномочия по проведению проверки;

проводить проверку на основании и в строгом соответствии с приказом директора Уполномоченной организации о проведении проверки;

давать разъяснения по вопросам, относящимся к предмету проверки; обеспечить сохранность и возврат оригиналов документов, полученных в ходе проверки;

обеспечивать конфиденциальность в отношении ПДн, ставших известными в ходе проведения проверок.