Приложение. Положение о защите персональных данных лиц, обратившихся в администрацию Пичаевского района. Постановление администрации Пичаевского района Тамбовской области от 22.02.2013 N 209 "Об утверждении Положения о защите персональных данных лиц, обратившихся в администрацию Пичаевского района"

Приложение

Положение
о защите персональных данных лиц, обратившихся в администрацию Пичаевского района
(утв. постановлением администрации Пичаевского района Тамбовской области
от 22 февраля 2013 г. N 209)

1. Общие положения

1.1. Настоящее Положение устанавливает порядок сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, распространения (в том числе передачи), обезличивания, блокирования, уничтожения персональных данных лиц, обратившихся в администрацию Пичаевского района (далее - субъектами персональных данных).

1.2. Целью настоящего Положения является обеспечение защиты прав и свобод субъекта персональных данных при обработке его персональных данных.

1.3. Сбор, хранение, использование и распространение информации о частной жизни субъекта персональных данных без письменного его согласия не допускаются. Персональные данные относятся к категории конфиденциальной информации.

1.4. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не предусмотрено действующим законодательством Российской Федерации.

1.5. Должностные лица администрации Пичаевского района (операторы), в обязанность которых входит ведение персональных данных субъекта персональных данных, обязаны обеспечить каждому субъекту персональных данных возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы.

1.6. Операторы, осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с действующим законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

1.7. Настоящее положение является обязательным для исполнения всеми сотрудниками администрации Пичаевского района, осуществляющими обработку персональных данных.

1.8. Положения, позиция, которые не предусмотрены настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации.

2. Понятие и состав персональных данных

2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.2. Состав персональных данных:

- анкетные и биографические данные;

- образование;

- паспортные данные;

- сведения о воинском учете;

- сведения о социальных льготах;

- специальность;

- наличие судимостей;

- адрес места жительства;

- иная информация, относящаяся к прямо или косвенно определенному или определяемому субъекту персональных данных.

2.3. Документы, содержащие персональные данные, являются конфиденциальными, но в связи с их регламентированием порядка обработки и четким определением мест хранения - гриф ограничения на них не ставится.

3. Обязанности оператора

3.1. В целях обеспечения прав и свобод субъекта персональных данных оператор при обработке персональных данных обязаны соблюдать следующие общие требования:

3.1.1. Обрабатывать персональные данные исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов Российской Федерации.

3.1.2. При определении объема и содержания обрабатываемых персональных данных руководствоваться Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации, Федеральным Законом Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных" и иными нормативно-правовыми актами Российской Федерации.

3.1.3. Получение персональных данных осуществляется непосредственно у самого субъекта персональных данных с его согласия (приложение N 1 к Положению). Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (приложение N 4 к Положению).

3.1.4. В случае недееспособности субъекта персональных данных, все персональные данные субъекта следует получать от его законного представителя. Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и дает письменное согласие на их обработку Оператором (приложение N 2 к Положению).

3.1.5. Не получать и не обрабатывать персональные данные субъекта персональных данных о его политических, религиозных и иных убеждениях и частной жизни.

3.1.6. Защита персональных данных от неправомерного их использования или утраты, должна быть обеспечена администрацией Пичаевского района за счет ее средств, в порядке, установленном Конституцией Российской Федерации, Международными договорами Российской Федерации, Федеральным законом Российской Федерации Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных" и других определяющих случаи и особенности обработки персональных данных федеральных законов Российской Федерации.

3.1.7. Субъекты персональных данных должны быть ознакомлены с документами администрации Пичаевского района, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.

3.2. При обработке персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных".

3.3. В случае, если обязанность предоставления персональных данных установлена федеральным законодательством Российской Федерации, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставления персональных данных.

3.4. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных пунктом 3.5. настоящего Положения, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных;

5) источник получения персональных данных.

3.5. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные пунктом 3.4. настоящего Положения, в случаях, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого является субъект персональных данных;

3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

3.6. В целях устранения нарушений законодательства, допущенных при обработке персональных данных, а также уточнения, блокирования и уничтожения персональных данных, оператор обязан:

3.6.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

3.6.2. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

3.6.3. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

3.6.4. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами Российской Федерации.

3.6.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных (приложение N 3 к Положению) оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, является субъект персональных данных, иным соглашением между оператором и субъекта персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральным законом Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных" или другими федеральными законами.

3.6.6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пункте 3.6.3. - 3.6.5. настоящего Положения, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами Российской Федерации.

4. Обязанности субъекта персональных данных

4.1. Передавать оператору администрации Пичаевского района комплект достоверных, документированных персональных данных.

4.2. Своевременно сообщать оператору об изменении своих персональных данных.

5. Права субъекта персональных данных

5.1. Субъект персональных данных имеет право на получение сведений, указанных в пункте 5.4. настоящего Положения. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5.2. В случае, если сведения, указанные в пункте 5.4. настоящего Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 5.4. настоящего Положения, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных", принятым в соответствии с ним нормативным правовым актом или договором, стороной которого является субъект персональных данных.

5.3. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 5.4. настоящего Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 5.2. настоящего Положения, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения.

5.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных";

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных";

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных";

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные федеральным законом Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных" или другими федеральными законами Российской Федерации.

5.5. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований федерального закона Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных" или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

5.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6. Обработка персональных данных

6.1. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

6.2. Порядок получения персональных данных.

6.2.1. Все персональные данные субъекта персональных данных получаются у него самого. Если персональные данные субъекта персональных данных возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие на получение соответствующих данных. Оператор должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.

6.3. К обработке, передаче и хранению персональных данных субъекта персональных данных могут иметь доступ:

- глава администрации;

- заместители главы администрации;

- управляющий делами;

- начальники структурных подразделений;

- сотрудники структурных подразделений (участвующие в рассмотрении обращения).

6.4. При передаче персональных данных субъекта персональных данных оператор должен соблюдать следующие требования:

- не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а так же в случаях, установленных действующим законодательством Российской Федерации (Приложение N 5);

- предупредить лиц, получающих персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта персональных данных, обязаны соблюдать режим конфиденциальности;

- разрешать доступ к персональным данным субъекта персональных данных только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъекта персональных данных, которые необходимы для выполнения конкретных функций.

6.5. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

6.6. Категорически запрещается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.

6.7. По возможности персональные данные обезличиваются.

7. Использование персональных данных

7.1. Внутренний доступ (доступ внутри администрации Пичаевского района).

7.1.1. Право доступа к персональным данным субъекта персональных данных имеют:

- глава администрации;

- заместители главы администрации;

- управляющий делами;

- начальники структурных подразделений по направлению деятельности;

- сотрудники структурных подразделений по направлению деятельности;

- субъект персональных данных.

7.1.2. Другие сотрудники администрации Пичаевского района имеют доступ к персональным данным субъекта персональных данных только с письменного согласия самого субъекта персональных данных, носителя данных.

7.2. Внешний доступ.

7.2.1. Потребителями персональных данных вне администрации Пичаевского района являются:

- суды;

- органы прокуратуры;

- правоохранительные органы;

- иные потребители, имеющие право на получение персональных данных субъекта персональных данных в соответствии с действующим законодательством Российской Федерации.

7.2.2. Контролирующие органы имеют доступ к информации только в сфере своей компетенции.

7.2.3. Персональные данные субъекта персональных данных предоставляются родственникам или членам его семьи в порядке, установленном действующим законодательством Российской Федерации.

8. Сохранение конфиденциальности персональных данных

8.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

8.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

8.3. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе деятельности администрации Пичаевского района.

8.4. Защита персональной информации внутри администрации Пичаевского района.

8.4.1. Для регламентации доступа сотрудников администрации Пичаевского района к конфиденциальным сведениям, документам и базам данных в целях исключения несанкционированного доступа третьих лиц и защиты персональных данных субъекта персональных данных необходимо соблюдать:

- ограничение и регламентацию состава сотрудников, функциональные обязанности которых требуют конфиденциальных знаний;

- строгое избирательное и обоснованное распределение документов и информации между сотрудниками;

- рациональное размещение рабочих мест сотрудников, при котором исключается бесконтрольное использование защищаемой информации;

- знание сотрудником требований нормативно-методических документов по защите информации и сохранении тайны;

- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

- определение и регламентация состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника с базами данных;

- организация порядка уничтожения информации;

- своевременное выявление нарушения требований разрешительной системы доступа к конфиденциальной информации;

- воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты и разглашению сведений при работе с конфиденциальными документами;

- ограничение допускается выдачи личных дел субъекта персональных данных на рабочие места руководителей.

8.4.2. Все папки на электронных носителях, содержащие персональные данные субъекта персональных данных, должны быть защищены паролем.

8.5. Защита персональной информации от воздействия внешних факторов.

8.5.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией.

8.5.2. Проведение комплекса мероприятий по исключению несанкционированного доступа к информационным ресурсам с целью предотвращения овладения конфиденциальными сведениями, их использованием, а также видоизменения, уничтожения, внесения вирусов, подмены, фальсификации содержания, реквизитов документа и пр.

8.6. Под посторонними лицами понимаются любые лица, не имеющее непосредственного отношения к деятельности администрации Пичаевского района, посетители.

8.7. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и мест хранения документов, дел и рабочих материалов.

8.8. Для защиты персональных данных субъектов персональных данных необходимо соблюдать:

- порядок приема, учета и контроля деятельности посетителей;

- требования к защите информации при интервьюировании и собеседованиях.

8.9. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующем законодательством Российской Федерации.

8.10. Операторы, связанные с получением, обработкой и защитой персональных данных субъектов персональных данных обязаны принять обязательство о неразглашении персональных данных субъекта персональных данных (приложение N 6 к Положению).

9. Ответственность за разглашение персональных данных

9.1. Обязательным условием обеспечения высокой надежности и эффективности функционирования системы защиты информации, является личная ответственность каждого оператора, осуществляющего обработку персональных данных.

9.2. Руководитель, разрешающий доступ оператора к конфиденциальному документу, несет персональную ответственность за данное разрешение.

9.3. Каждый сотрудник администрации Пичаевского района, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

9.4. Лица, виновные в нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующем законодательством Российской Федерации.

10. Право на обжалование действий или бездействия оператора

10.1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона N 152-ФЗ от 27.07.2007 "О персональных данных" или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

10.2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.