Приложение. Правила обработки персональных данных в Администрации муниципального образования "Майкопский район". Постановление Администрации муниципального образования "Майкопский район" Республики Адыгея от 23.01.2014 N 2-н "Об утверждении Правил обработки персональных данных в Администрации муниципального образования "Майкопский район"

Приложение
к постановлению Администрации
муниципального образования
"Майкопский район"
от 23 января 2014 г. N 2-н

Правила
обработки персональных данных в Администрации
муниципального образования "Майкопский район"

1. Общие положения

1.1. Настоящие правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в Администрации муниципального образования "Майкопский район (далее - Правила) разработаны на основании требований Трудового кодекса Российской Федерации, федеральных законов от 02.03.2007 года N 25-ФЗ "О муниципальной службе в Российской Федерации", от 22 октября 2004 года N 125-ФЗ "Об архивном деле в Российской Федерации", от 27 июля 2006 года N 152-ФЗ "О персональных данных", от 27.07.2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", Постановлений Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися муниципальными или муниципальными органами", от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", от 17 ноября 2007 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

1.2. Целью Правил является определение порядка действий при обработке персональных данных, содержания обрабатываемых персональных данных, категорий субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в Администрации муниципального образования "Майкопский район"(далее - администрация).

1.3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

1.4. Действие настоящих Правил не распространяется на отношения, возникшие при:

- организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

- обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим муниципальную тайну;

- предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 г. N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".

2. Принципы и цели обработки персональных данных

2.1. Принципы обработки персональных данных:

- обработка персональных данных должна осуществляться на законной и справедливой основе;

- обработка персональных данных должна ограничиваться достижением конкретных, определенных настоящими Правилами целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- обработке подлежат только персональные данные, которые отвечают целям их обработки;

- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

- при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Должностные лица администрации должны принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;

- хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законодательством, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.

2.2. Обработке в администрации подлежат только персональные данные, которые отвечают нижеследующим целям их обработки:

- обеспечение соблюдения Конституции Российской Федерации, федеральных законов, иных нормативных правовых актов Российской Федерации, содействие муниципальному гражданскому служащему в прохождении муниципальной гражданской службы, в обучении и должностном росте, обеспечение личной безопасности муниципального гражданского служащего и членов его семьи, обеспечение сохранности принадлежащего ему имущества и имущества администрации, учет результатов исполнения им должностных обязанностей;

- статистическим целям;

- исполнения договора, стороной которого является субъект персональных данных;

- предоставление государственной или муниципальной услуги в соответствии федеральным законом от 27.07.2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг".

3. Процедуры, направленные на выявление и предотвращение нарушений
законодательства Российской Федерации в сфере персональных данных

3.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

3.2. Администрация муниципального образования "Майкопский район" устанавливает следующие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:

- издание нормативных правовых актов, распоряжений по вопросам обработки персональных данных;

- назначение ответственных на получение, обработку, хранение, передачу и любое другое использование персональных данных в администрации и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных;

- ознакомление муниципальных гражданских служащих, непосредственно осуществляющих обработку персональных данных под роспись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику администрации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.

- получение персональных данных лично у субъекта персональных данных, в случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных, в случае возникновения необходимости получения персональных данных у третьей стороны администрация извещает об этом субъекта персональных данных заранее, получает его письменное согласие и сообщает ему о целях, предполагаемых источниках и способах получения персональных данных;

- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

- опубликование на официальном сайте администрации в информационно-телекоммуникационной сети "Интернет" документов, определяющих политику администрации в отношении обработки персональных данных, реализуемые требования к защите персональных данных;

- осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике администрации в отношении обработки персональных данных.

4. Категории субъектов, персональные данные которых
обрабатываются, сроки их обработки и хранения

4.1. К категориям субъектов, персональные данные которых обрабатываются в администрации, относятся:

- муниципальные гражданские служащие администрации;

- кандидаты на замещение вакантных должностей и на включение в кадровый резерв администрации;

- граждане, обратившиеся в администрацию за предоставлением муниципальных услуг.

4.2. Документы, содержащие персональные данные обрабатываются в сроки, обусловленные заявленными целями их обработки.

4.3. Использование персональных данных осуществляется с момента их получения оператором и прекращается:

- по достижении целей обработки персональных данных;

- в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных.

4.4. Сроки хранения персональных данных устанавливаются в соответствии с действующим законодательством.

5. Порядок уничтожения персональных данных при достижении
целей обработки или при наступлении иных законных оснований

5.1. В случае достижения цели обработки персональных данных администрация обязана прекратить обработку персональных и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению администрации) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено служебным контрактом, договором или соглашением, стороной которого является субъект персональных данных, либо если администрация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

5.2. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных администрация обязана прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено служебным контрактом, договором или соглашением, стороной которого является субъект персональных данных.

5.3. Уничтожение документов, содержащих персональные данные, утративших свое практическое значение и не подлежащих архивному хранению, производится на основании акта уничтожения персональных данных.

6. Обязанности уполномоченных лиц на получение, обработку, хранение,
передачу и любое другое использование персональных данных
при обработке персональных данных

6.1. Уполномоченные лица на получение, обработку, хранение, передачу и любое другое использование персональных данных обязаны:

- знать и выполнять требования законодательства в области обеспечения защиты персональных данных, настоящих Правил;

- хранить в тайне известные им персональные данные, информировать о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним;

- соблюдать правила использования персональных данных, порядок их учета и хранения, исключить доступ к ним посторонних лиц;

- обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей.

6.2. При обработке персональных данных уполномоченным лицам на получение, обработку, хранение, передачу и любое другое использование персональных данных запрещается:

- использовать сведения, содержащие персональные данные, в неслужебных целях, а также в служебных целях - при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;

- передавать персональные данные по незащищенным каналам связи (телетайп, факсимильная связь, электронная почта) без использования сертифицированных средств криптографической защиты информации;

- снимать копии с документов и других носителей информации, содержащих персональные данные, или производить выписки из них, а равно использовать различные технические средства (видео- и звукозаписывающую аппаратуру) для фиксации сведений, содержащих персональные данные;

- выполнять на дому работы, связанные с использованием персональных данных, выносить документы и другие носители информации, содержащие персональные данные, из места их хранения.

7. Получение согласия у субъекта персональных данных

Администрация поручает обработку персональных данных другому лицу с согласия субъекта персональных данных согласно приложения к правилам.

8. Права и обязанности субъекта персональных данных

8.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных;

- правовые основания и цели обработки персональных данных;

- цели и применяемые оператором способы обработки персональных данных;

- наименование и место нахождения администрации, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с администрациям или на основании законодательства;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных законодательством;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных.

8.2. Право субъекта персональных данных на доступ к его персональным данным ограничивается в соответствии с частью 8 статьи 14 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

8.3. Субъект персональных данных вправе требовать от администрации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.4. Сведения, указанные в пункте 8.1. раздела 8 Правил, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

8.5. Если субъект персональных данных считает, что администрация осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие администрации в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

8.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

8.7. Субъект персональных данных обязан:

- передавать в администрацию достоверные, документированные персональные данные, состав которых установлен законодательством;

- своевременно сообщать уполномоченным администрациям лицам на получение, обработку, хранение, передачу и любое другое использование персональных данных об изменении своих персональных данных.

8.8. В целях защиты частной жизни, личной и семейной тайны субъекты персональных данных не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда.

9. Ответственность лиц, уполномоченных на получение, обработку, хранение,
передачу и любое другое использование персональных данных

9.1. Лица, уполномоченные на получение, обработку, хранение, передачу и любое другое использование персональных данных, виновные в нарушении требований законодательства о защите персональных данных, в том числе допустившие разглашение персональных данных, несут персональную гражданскую, административную, дисциплинарную и иную предусмотренную законодательством ответственность.

9.2. Текущий контроль за соблюдением требований законодательства при обработке персональных данных осуществляется администрацией путем проведения проверок по соблюдению и исполнению законодательства о персональных данных.

9.3. Проверки выполнения требований законодательства при обработке персональных данных проводятся в соответствии с Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленными в администрации.

10. Меры, принимаемые для защиты персональных данных

10.1. Администрация для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных принимает следующие меры:

- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учет машинных носителей персональных данных;

- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;

- восстановление персональных данных, модифицированных и уничтоженных вследствие несанкционированного доступа к ним;

- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Главный специалист по информатизации и защите информации управления экономики

В. Сметанин