Приложение N 2. Правила обработки персональных данных. Постановление администрации города Нижнего Новгорода от 04.02.2014 N 269 "Об организации обработки персональных данных в администрации города Нижнего Новгорода" (с изменениями и дополнениями)

Приложение N 2
к постановлению администрации города
от 4 февраля 2014 г. N 269

Правила
обработки персональных данных

1. Общие положения

1.1. Настоящие правила обработки персональных данных в отраслевых (функциональных) структурных подразделениях администрации города Нижнего Новгорода, не являющихся юридическими лицами, (далее - структурные подразделения, структурные подразделения администрации города Нижнего Новгорода) устанавливают:

особенности организации обработки персональных данных с использованием средств автоматизации и без использования средств автоматизации;

сроки обработки и хранения персональных данных;

порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований.

1.2. В правилах используются понятия и термины, определенные Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации".

1.3. В структурных подразделениях администрации города Нижнего Новгорода осуществляется автоматизированная обработка персональных данных, а также обработка персональных данных без использования средств автоматизации.

1.4. Лица, осуществляющие обработку персональных данных, должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также под роспись ознакомлены с настоящими правилами, положениями законодательства Российской Федерации, правовыми актами администрации города Нижнего Новгорода о порядке обработки персональных данных и требованиях к обеспечению безопасности персональных данных. Форма соответствующего листа ознакомления приводится в приложении к настоящим правилам.

2. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации

2.1. Порядок обработки персональных данных, осуществляемой без использования средств автоматизации, определяется постановлением Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и правовыми актами администрации города Нижнего Новгорода.

2.2. Обработка персональных данных без использования средств автоматизации осуществляется на материальных носителях информации (далее - материальные носители).

2.3. Персональные данные обособляются от иной информации путем фиксации их на отдельных материальных носителях.

2.4. Запрещается оставлять материальные носители без присмотра или передавать на хранение другим лицам, не имеющим на это полномочий.

2.5. Запрещается выносить из служебных помещений материальные носители.

2.6. Учет машинных съемных носителей информации осуществляется путем ведения журналов учета.

2.7. Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.

2.8. В случае, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на этом носителе персональных данных или иной информации, принимаются следующие меры:

2.8.1. При необходимости использования или распространения определенных персональных данных осуществляется их копирование с целью последующего использования копии.

2.8.2. При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или копированию.

2.9. Уточнение персональных данных производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

3. Особенности обработки персональных данных с использованием средств автоматизации

3.1. Основы обработки персональных данных, осуществляемой с использованием средств автоматизации, определяются Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", постановлением Правительства РФ от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", постановлением Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", распоряжением администрации города Нижнего Новгорода от 31.08.2009 N 271-р "Об организации работ по защите персональных данных", а также другими принятыми нормативно-методическими и организационно-распорядительными документами администрации города Нижнего Новгорода.

3.2. В структурных подразделениях администрации города Нижнего Новгорода один из заместителей руководителя структурного подразделения назначается ответственным за обеспечение безопасности информации ограниченного доступа на объектах вычислительной техники и осуществляет непосредственное руководство работами по защите информации.

3.3. Для обеспечения безопасности персональных данных при их обработке в информационных системах выполняются мероприятия, предусмотренные распоряжением администрации города Нижнего Новгорода от 31.08.2009 N 271-р "Об организации работ по защите персональных данных".

3.4. Лица, ответственные за безопасность персональных данных при их обработке в информационных системах, обеспечивают, в том числе:

3.4.1. Своевременное обнаружение фактов несанкционированного доступа к персональным данным.

3.4.2. Недопущение воздействия на программно-аппаратные средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование.

3.4.3. Возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа.

3.4.4. Постоянный контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

3.4.5. Знание и соблюдение условий использования средств защиты информации лицами, осуществляющими обработку персональных данных.

3.4.6. Незамедлительное приостановление предоставления доступа к персональным данным лицам, осуществляющим обработку персональных данных, при обнаружении нарушений.

3.4.7. Незамедлительное доведение информации о фактах нарушений функционирования системы защиты информации до руководителя структурного подразделения с целью последующего уведомления лица, ответственного за организацию обработки персональных данных в структурных подразделениях администрации города Нижнего Новгорода, составление заключений по фактам нарушений.

3.5. Запрещается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии:

настроенных сертифицированных средств защиты от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств, в соответствии с требованиями безопасности информации;

утвержденных организационно-распорядительных документов по информационной системе персональных данных;

приказа о вводе в эксплуатацию информационной системы персональных данных с назначением ответственных лиц за безопасность информации.

3.6. В информационных системах персональных данных структурных подразделений администрации города Нижнего Новгорода не осуществляется обработка:

биометрических персональных данных;

специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

В случае принятия решения об обработке биометрических персональных данных и специальных категорий персональных данных, такие данные могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных или в случаях, установленных законодательством Российской Федерации.

3.7. Трансграничная передача персональных данных структурными подразделениями администрации города Нижнего Новгорода не осуществляется. В случае принятия решения о трансграничной передаче персональных данных такие данные могут передаваться только при наличии согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных или в случаях, установленных законодательством Российской Федерации, предусматривающих трансграничную передачу персональных данных без письменного согласия субъекта персональных данных.

3.8. Сведения об информационных системах персональных данных структурных подразделений содержатся в Реестре муниципальных информационных систем администрации города Нижнего Новгорода, утвержденном распоряжением администрации города Нижнего Новгорода от 13.12.2012 N 593-р.

4. Сроки обработки и хранения персональных данных

4.1. Сроки обработки персональных данных определяются в соответствии с целью обработки. Персональные данные подлежат уничтожению по достижении цели обработки персональных данных, если иное не предусмотрено федеральным законодательством.

4.2. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

4.3. Сроки обработки и хранения персональных данных в информационных системах персональных данных устанавливаются правовыми актами администрации города Нижнего Новгорода, определяющими порядок их эксплуатации.

4.4. Сроки обработки и хранения персональных данных на бумажных носителях определяются:

4.4.1. При обработке персональных данных муниципальных служащих структурных подразделений администрации города Нижнего Новгорода, иных сотрудников структурных подразделений, руководителей муниципальных предприятий и муниципальных учреждений города Нижнего Новгорода требованиями трудового законодательства, законодательства о муниципальной службе и законодательства об архивном деле.

4.4.2. При обработке персональных данных граждан, обратившихся в администрацию города Нижнего Новгорода лично либо направивших индивидуальные или коллективные письменные обращения, а также в целях предоставления муниципальных услуг и исполнения муниципальных функций, требованиями Федерального закона от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", Федерального закона от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", законодательства об архивном деле, административными регламентами и иными правовыми актами администрации города Нижнего Новгорода.

5. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

5.1. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5.2. Лица, осуществляющие обработку персональных данных, в рамках своих полномочий, проводят систематические проверки и выделение документов на бумажных и материальных съемных носителях, а также данных, хранящихся в информационных системах персональных данных и содержащих персональные данные с истекшими сроками хранения, подлежащих уничтожению.

5.3. Решение об уничтожении документов, содержащих персональные данные, принимают руководители структурных подразделений, в которых осуществляется обработка персональных данных.

5.4. По окончании процедуры уничтожения составляется соответствующий акт с указанием даты и основания уничтожения.