Приложение N 1. Правила обработки персональных данных в Администрации города Смоленска. Постановление Администрации г. Смоленска от 28.03.2014 N 557-адм "Об утверждении документов, определяющих политику Администрации города Смоленска в отношении обработки персональных данных"

Приложение N 1

Правила
обработки персональных данных в Администрации города Смоленска
(утв. постановлением Администрации города Смоленска от 28 марта 2014 г. N 557-адм)

1. Общие положения

1.1. Настоящие Правила разработаны в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон), постановлениями Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и регламентируют организацию защиты персональных данных в структурных подразделениях Администрации города Смоленска.

1.2. В настоящих Правилах используются следующие термины и понятия:

- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

- деобезличивание - действия, в результате которых обезличенные данные принимают вид, позволяющий определить их принадлежность конкретному субъекту персональных данных, то есть становятся персональными данными;

- обработка обезличенных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации с обезличенными данными без применения их предварительного деобезличивания;

- информационная система персональных данных (далее - ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

- обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных, содержащихся в ИСПДн либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;

- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

- общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

1.3. Настоящие Правила не распространяются на ИСПДн, обрабатывающие персональные данные, отнесенные в установленном порядке к сведениям, составляющим государственную тайну, к организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации, а также информационные системы, обрабатывающие информацию с ограниченным доступом (конфиденциальную), не содержащую персональные данные.

1.4. В Администрации города Смоленска:

- систему защиты персональных данных возглавляет глава Администрации города Смоленска;

- ответственность за организацию и состояние защиты персональных данных в структурных подразделениях несут их руководители;

- ответственность за организацию и состояние защиты персональных данных в администрациях Заднепровского, Ленинского, Промышленного районов города Смоленска несут главы администраций районов;

- по каждой ИСПДн приказом руководителя структурного подразделения назначается сотрудник, ответственный за защиту персональных данных, и определяется перечень лиц, допущенных к обработке персональных данных;

- координацию работ по построению систем защиты персональных данных в структурных подразделениях, не обладающих статусом юридического лица, а также по взаимодействию этих структурных подразделений с контролирующими органами осуществляет первый заместитель главы Администрации города Смоленска;

- комитет по информационным ресурсам и телекоммуникациям Администрации города Смоленска отвечает за установку и настройку технических средств защиты (ТСЗ) персональных данных при их обработке с использованием средств вычислительной техники в структурных подразделениях Администрации города Смоленска, не имеющих своих штатных специалистов в области информационных технологий, информирует структурные подразделения Администрации города Смоленска об изменениях в законодательстве Российской Федерации в области защиты персональных данных, оказывает содействие в организации защиты персональных данных.

2. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных

2.1. К процедурам, направленным на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных в Администрации города Смоленска, относятся:

- назначение ответственных лиц за организацию и состояние защиты персональных данных по каждой ИСПДн в Администрации города Смоленска;

- назначение ответственных лиц за обеспечение защиты персональных данных по каждой ИСПДн в Администрации города Смоленска;

- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона;

- осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону, принятым нормативным правовым актам, требованиям к защите персональных данных, политике Администрации города Смоленска в отношении обработки персональных данных, локальным правовым актам Администрации города Смоленска;

- ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и (или) обучение указанных сотрудников;

- недопущение обработки персональных данных, несовместимых с целями сбора персональных данных;

- недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

- обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных;

- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом.

2.2. Правовые акты Администрации города Смоленска, определяющие политику в отношении обработки персональных данных, подлежат обязательному опубликованию на официальном сайте Администрации города Смоленска в течение 10 дней после их утверждения.

3. Основные условия обработки персональных данных

3.1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом. Обработка персональных данных допускается в следующих случаях:

- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Администрацию города Смоленска функций, полномочий и обязанностей;

- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

- обработка персональных данных необходима для исполнения полномочий органов местного самоуправления, участвующих в предоставлении государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";

- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

- обработка персональных данных необходима для осуществления прав и законных интересов Администрации города Смоленска или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

- обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона, при условии обязательного обезличивания персональных данных;

- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с Федеральным законом.

3.2. Лица, ответственные за организацию и состояние защиты персональных данных, обязаны:

- осуществлять внутренний контроль за соблюдением сотрудниками Администрации города Смоленска законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

- доводить до сведения сотрудников положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов;

- определить действующие в рамках их компетенции ИСПДн;

- по каждой ИСПДн назначить лицо, ответственное за защиту персональных данных, и определить перечень лиц, допущенных к обработке персональных данных;

- разработать мероприятия по обеспечению защиты персональных данных и организовать их выполнение в структурных подразделениях лицами, допущенными к обработке персональных данных;

- принять локальные правовые акты по обеспечению защиты персональных данных и организовать их соблюдение лицами, допущенными к обработке персональных данных;

- обеспечить организацию приобретения технических средств защиты персональных данных и их внедрение.

3.3. Лица, ответственные за защиту персональных данных в ИСПДн, обязаны:

- выполнять мероприятия по защите персональных данных и контролировать их выполнение всеми сотрудниками, допущенными к обработке персональных данных в этих ИСПДн;

- соблюдать требования действующего законодательства Российской Федерации и локальных правовых актов по защите персональных данных, контролировать их соблюдение всеми сотрудниками, допущенными к обработке персональных данных в этих ИСПДн;

- докладывать лицам, ответственным за организацию и состояние защиты персональных данных, обо всех нарушениях при их обработке.

3.4. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись должны быть ознакомлены с настоящими Правилами и подписать обязательство о неразглашении информации, содержащей персональные данные, и обязательство муниципального служащего Администрации города Смоленска, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей.

3.5. Запрещается:

- обрабатывать персональные данные в присутствии лиц, не допущенных к их обработке;

- осуществлять ввод персональных данных под диктовку.

4. Порядок обработки персональных данных в ИСПДн

4.1. Обработка персональных данных в ИСПДн с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 01.11.2012 N 1119 "Требования к защите персональных данных при их обработке в информационных системах персональных данных", нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.

4.2. При эксплуатации автоматизированных систем персональных данных необходимо соблюдать следующие требования:

- к работе допускаются только лица, назначенные соответствующим приказом;

- на период обработки защищаемой информации в помещении могут находиться лица, допущенные в установленном порядке к обрабатываемой информации;

- Инструкции по использованию средств криптографической защиты информации в Администрации города Смоленска, утвержденной распоряжением Администрации города Смоленска от 20.12.2011 N 1535-р/адм "Об утверждении Инструкции по использованию средств криптографической защиты информации в Администрации города Смоленска";

- Инструкции по антивирусному контролю в Администрации города Смоленска, утвержденной распоряжением Администрации города Смоленска от 03.11.2010 N 262-р/адм "Об утверждении Инструкции по антивирусному контролю в Администрации города Смоленска";

- Положения о системе защиты информации ограниченного доступа в Администрации города Смоленска, утвержденного постановлением Администрации города Смоленска от 30.12.2010 N 920-адм "Об утверждении Положения о системе защиты информации ограниченного доступа в Администрации города Смоленска".

4.3. Не допускается обработка персональных данных в ИСПДн с использованием средств автоматизации:

- при отсутствии установленных и настроенных сертифицированных средств защиты информации;

- при отсутствии утвержденных организационных документов о порядке эксплуатации ИСПДн.

5. Особенности обработки персональных данных без использования средств автоматизации

5.1. Обработка персональных данных в ИСПДн без использования средств автоматизации осуществляется с учетом требований постановления Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

5.2. Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.

5.3. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.

5.4. При неавтоматизированной обработке персональных данных на бумажных носителях:

- не допуск