Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение
к постановлению
администрации города Тулы
от 18 февраля 2014 г. N 321
Положение
об организации работы с персональными
данными в администрации муниципального образования
город Тула и ее отраслевых (функциональных) и территориальных органах
30 декабря 2014 г., 7 сентября 2015 г.
I. Общие положения
1.1. Положение об организации работы с персональными данными в администрации муниципального образования город Тула (далее - Положение) устанавливает порядок получения, учета, обработки, комбинирования, использования, хранения, передачи, обезличивания, блокирования, удаления, уничтожения персональных данных лиц, именуемых далее субъектами персональных данных, с использованием средств автоматизации, так и без использования таковых:
- сотрудников администрации города Тулы и ее отраслевых (функциональных) и территориальных органов (муниципальных служащих и работников, замещающих должности, не отнесенные к должностям муниципальной службы);
- лиц, претендующих на замещение вакантных должностей в администрации города при прохождении процедуры назначения на должность в установленном порядке, а также претендующих на замещение вакантных должностей в отраслевых (функциональных) и территориальных органах, учреждениях и предприятиях при прохождении процедуры согласования с администрацией города назначения на должность в установленном порядке;
- лиц, претендующих на включение в кадровый резерв и резерв управленческих кадров;
- жителей муниципального образования город Тула.
1.2. Положение разработано на основании Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и Устава муниципального образования город Тула.
1.3. Для целей настоящего Положения используются понятия, определенные Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".
1.4. Цель разработки Положения - упорядочение обращения с персональными данными и обеспечение соблюдения законных прав и интересов субъектов персональных данных в связи с необходимостью обработки сведений, составляющих персональные данные.
1.5. Порядок организации работы с персональными данными в администрации муниципального образования город Тула и ее отраслевых (функциональных) и территориальных органах устанавливается данным Положением.
1.6. Оператором, организующим и осуществляющим обработку персональных данных субъектов персональных данных (приложение 1), перечень которых определен в пункте 1.1 настоящего Положения, является администрация города Тулы.
II. Обработка персональных данных
2.1. Обработка персональных данных осуществляется в целях:
- организации кадровой работы и бухгалтерского учета в администрации города Тулы;
- учета обращений граждан к должностным лицам администрации города Тулы;
- в других целях, необходимых для реализации полномочий администрации города в соответствии с Уставом муниципального образования город Тула.
2.2. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.3. В целях обеспечения прав и свобод субъекта персональных данных сотрудники администрации города Тулы при обработке персональных данных субъекта персональных данных обязаны соблюдать следующие требования:
- обработка персональных данных субъекта осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия субъекту персональных данных в трудоустройстве, обучении и должностном росте, обеспечения безопасности субъекта персональных данных, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
- при определении объема и содержания обрабатываемых персональных данных субъекта персональных данных сотрудники администрации города Тулы должны руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами;
- все персональные данные следует получать лично у субъекта персональных данных. Если персональные данные субъекта персональных данных возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие;
- запрещается получать и обрабатывать персональные данные субъекта персональных данных о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации сотрудники администрации города вправе получать и обрабатывать данные о частной жизни субъекта персональных данных только с его письменного согласия;
- сотрудники администрации города Тулы не имеют право получать и обрабатывать персональные данные субъекта персональных данных о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФ или иными федеральными законами;
- субъект персональных данных должен быть ознакомлен под роспись с документами, устанавливающими порядок обработки персональных данных субъектов персональных данных, а также о его правах и обязанностях в этой области.
2.4. Обработка персональных данных допускается в следующих случаях:
- обработка персональных данных осуществляется с письменного согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.
2.5. Согласие на обработку персональных данных дается субъектом персональных данных в письменном виде по форме согласно приложению 4 к Положению.
По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду приложение 2 к положению
2.6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
2.7. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
2.9. Персональные данные субъекта персональных данных не могут быть использованы в целях причинения ему имущественного и морального вреда, затруднения реализации его прав как гражданина Российской Федерации.
Нумерация пунктов приводится в соответствии с источником
III. Передача персональных данных
3.1. При передаче персональных данных субъекта персональных данных администрация города Тулы должна соблюдать следующие требования:
3.1.1. Не сообщать персональные данные субъекта персональных данных третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральным законом.
3.1.2. Не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия. Обработка персональных данных субъекта персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
3.1.3. Предупредить лиц, получивших персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные субъекта персональных данных, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.
3.1.4. Осуществлять передачу персональных данных субъекта персональных данных в пределах администрации города Тулы и ее отраслевых (функциональных) и территориальных органов в соответствии с настоящим Положением.
3.1.5. Не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
3.1.6. Передавать персональные данные работника его законным, полномочным представителям в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
3.2. Персональные данные субъектов персональных данных обрабатываются и хранятся в управлении муниципальной службы и кадров, отделе учета и отчетности администрации города Тулы и в отраслевых (функциональных) и территориальных органах администрации города Тулы.
3.3. Персональные данные субъектов персональных данных могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
IV. Доступ к персональным данным субъектов персональных данных
4.1. Допуск к персональным данным субъектов персональных данных разрешен муниципальным служащим и работникам, замещающим должности, не отнесенные к должностям муниципальной службы администрации города Тулы, которым персональные данные необходимы для выполнения должностных обязанностей.
Порядок доступа должностных лиц администрации города Тулы, ее отраслевых (функциональных) и территориальных органов, имеющих право на ознакомление с материалами личного дела муниципальных служащих и работников, должности которых не отнесены к должностям муниципальной службы, определяется в приложении 3 к настоящему Положению.
4.2. Субъект персональных данных имеет право:
4.2.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные.
4.2.2. Требовать от администрации города Тулы уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для администрации города Тулы персональных данных.
4.2.3. Получать от администрации города Тулы:
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
4.2.4. Требовать извещения администрацией города Тулы всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
4.2.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие администрации города Тулы при обработке и защите его персональных данных.
V. Обязанности отраслевых (функциональных) и
территориальных органов администрации города Тулы,
работающих с персональными данными граждан
5.1. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены на основании федерального закона или если персональные данные являются общедоступными, необходимо предоставить субъекту персональных данных следующую информацию:
5.1.1. Наличие в администрации города Тулы персональных данных субъекта и намерения на их обработку.
5.1.2. Цель обработки персональных данных и ее правовое основание.
5.1.3. Предполагаемые пользователи персональных данных.
5.1.4. Установленные Федеральным законом "О персональных данных" права субъекта персональных данных.
5.1.5. Источник получения персональных данных.
5.2. При получении запроса субъекта персональных данных или его законного представителя необходимо сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
5.3. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя необходимо дать в письменной форме мотивированный ответ, содержащий ссылку на федеральный закон, являющийся основанием для такого отказа, в срок, не превышающий тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
5.4. На основании запроса субъекта персональных данных или его представителя необходимо предоставить возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, а также в срок, не превышающий семи дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, внести в них необходимые изменения или уничтожить такие персональные данные. О внесенных изменениях и предпринятых мерах субъект персональных данных или его представитель должны быть уведомлены, а также уведомлены третьи лица, которым персональные данные этого субъекта были переданы.
5.5. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных необходимо осуществить блокирование неправомерно обрабатываемых персональных данных.
5.6. В случае выявления неправомерных действий с персональными данными необходимо в срок, не превышающий трех рабочих дней с даты такого выявления, прекратить неправомерную обработку персональных данных. В случае невозможности обеспечения правомерности обработки персональных данных необходимо в срок, не превышающий десяти рабочих дней с даты выявления неправомерности действий с персональными данными, уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных нужно уведомить субъекта персональных данных или его представителя.
5.7. В случае достижения цели обработки персональных данных необходимо прекратить их обработку и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, или иным соглашением между администрацией города и субъектом персональных данных.
5.8. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных необходимо прекратить их обработку и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между администрацией города и субъектом персональных данных.
VI. Обеспечение безопасности, хранения и
уничтожения персональных данных
6.1. Персональные данные могут быть использованы только по прямому предназначению в соответствии с действующим законодательством Российской Федерации.
6.2. Разрешается доступ к персональным данным муниципальным служащим и работникам, замещающим должности, не отнесенные к должностям муниципальной службы, осуществляющим обработку персональных данных только в соответствии со списком.
6.3. Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа для входа в операционную систему и автоматизированные системы обработки персональных данных.
6.4. Для обрабатываемых персональных данных должна обеспечиваться конфиденциальность, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных.
Для обеспечения безопасности персональных данных, обрабатываемых на объектах информатизации, должны быть предприняты организационные и технические меры для их защиты в соответствии с действующими нормативными документами, в том числе:
- проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
- своевременное обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
- учет машинных носителей персональных данных;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
- возможность восстановления персональных данных, модифицированных или уничтоженных в случае несанкционированного доступа к ним;
- постоянный контроль за принимаемыми мерами по обеспечению безопасности персональных данных и обеспечением уровня защищенности информационных систем персональных данных.
6.5. В целях обеспечения безопасности персональных данных, обрабатываемых без использования средств автоматизации, необходимо выполнить следующие мероприятия:
- обработка должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ;
- необходимо обеспечить раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
- при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
6.6. Мероприятия по защите персональных данных финансируются из средств местного бюджета.
VII. Хранение персональных данных
7.1. Отраслевые (функциональные) и территориальные органы администрации города Тулы организуют обработку персональных данных субъектов персональных данных в соответствии с законодательством Российской Федерации, нормативными правовыми и локальными актами администрации города Тулы, регламентирующими порядок обработки и обеспечения безопасности персональных данных.
7.2. Хранение персональных данных работников осуществляется на электронных носителях, а также в бумажном варианте.
7.3. Доступ к программному обеспечению, а также к персональной информации, хранящейся на электронных носителях, строго регламентирован и осуществляется при введении личного идентификатора и пароля пользователя.
7.4. Документы персонального характера хранятся в сейфах (металлических ящиках с замком) отдела муниципальной службы и кадров, отдела учета и отчетности администрации города Тулы, ответственных за ведение и хранение таких документов.
7.5. Помещения, в которых хранятся персональные данные работников, оборудуются металлическими дверьми с кодовыми замками.
VIII. Уничтожение персональных данных
8.1. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном законодательством об архивном деле Российской Федерации.
8.2. Персональные данные работников подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении таких целей.
IX. Ответственность
Муниципальные служащие администрации города, имеющие доступ к персональным данным, обязаны:
- не разглашать сведения, являющиеся персональными данными, которые стали им известны;
- в случае попытки кого-либо получить от них сведения, являющиеся персональными данными, немедленно сообщить об этом своему непосредственному руководителю;
- обо всех фактах, которые могут привести к разглашению сведений, являющихся персональными данными, а также о причинах и условиях возможной утечки этих данных сообщать руководителю аппарата администрации города Тулы.
Муниципальные служащие администрации города, в соответствии со своими полномочиями работающие с персональными данными, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном действующим законодательством Российской Федерации.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.