Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение N 11
к постановлению Администрации
городского округа Самара
от 08.02.2021 N 67
Положение
о порядке организации обработки и обеспечения безопасности персональных данных в отраслевых (функциональных) органах Администрации городского округа Самара, не наделенных правами юридического лица
1. Общие положения
1.1. Настоящее Положение о порядке организации обработки и обеспечения безопасности персональных данных в отраслевых (функциональных) органах Администрации городского округа Самара, не наделенных правами юридического лица (далее - Положение), определяет цели, содержание и порядок организации обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в отраслевых (функциональных) органах Администрации городского округа Самара, не наделенных правами юридического лица (далее - Структурное подразделение).
1.2. Настоящее Положение разработано в соответствии с:
Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ);
Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
Трудовым кодексом Российской Федерации;
Кодексом Российской Федерации об административных правонарушениях;
Федеральным законом от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации";
Федеральным законом от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";
Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";
постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
1.3. Настоящее Положение не распространяется на отношения, возникающие при обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, и в случаях, предусмотренных действующим законодательством.
1.4. Обработка персональных данных в Структурных подразделениях осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных, и настоящим Положением.
1.5. В Положении используются основные понятия, определенные в Федеральном законе N 152-ФЗ.
1.6. Положение является обязательным для исполнения всеми работниками Структурных подразделений, имеющими доступ к персональным данным.
1.7. Обработку персональных данных в Структурных подразделениях осуществляют работники в соответствии с распоряжением Администрации городского округа Самара от 21.03.2019 N 22-р "Об утверждении Перечня должностей муниципальной службы в отраслевых (функциональных) органах Администрации городского округа Самара, не наделенных правами юридического лица, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным".
1.8. Работники, непосредственно осуществляющие обработку персональных данных, в случае расторжения с ними трудового договора и прекращения обработки персональных данных, ставших известными им в связи с исполнением должностных обязанностей, подписывают соответствующее обязательство по типовой форме, утвержденной постановлением Администрации городского округа Самара.
2. Условия и порядок обработки персональных данных в Структурных подразделениях
2.1. Персональные данные муниципальных служащих, состоящих на кадровом учете в Департаменте по управлению персоналом и кадровой политике Аппарата Администрации городского округа Самара (далее - Департамент); служащих, осуществляющих техническое обеспечение деятельности Администрации городского округа Самара, состоящих на кадровом учете в Департаменте; руководителей муниципальных предприятий и учреждений городского округа Самара, состоящих на кадровом учете в Департаменте; Главы городского округа Самара; граждан, претендующих на замещение вакантных должностей в Структурных подразделениях; вакантных должностей руководителей муниципальных предприятий и учреждений городского округа Самара, ведение кадрового учета в отношении которых отнесено к компетенции Департамента; граждан, претендующих на включение (включенных) в резерв для замещения вакантных должностей муниципальной службы в Структурных подразделениях и в резерв управленческих кадров городского округа Самара, а также граждан, ранее состоявших на кадровом учете в Департаменте, обрабатываются в целях обеспечения кадровой работы, в том числе в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
2.2. В целях, указанных в пункте 2.1 настоящего Положения, обрабатываются категории персональных данных в соответствии с пунктом 1 Перечня персональных данных, обрабатываемых в отраслевых (функциональных) органах Администрации городского округа Самара, не наделенных правами юридического лица, в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием муниципальных услуг и осуществлением муниципальных функций, утвержденного постановлением Администрации городского округа Самара (далее - Перечень).
2.3. Обработка персональных данных лиц, указанных в пункте 2.1 настоящего Положения, осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 2.1 настоящего Положения, за исключением случаев, предусмотренных пунктами 2.4 и 2.5 настоящего Положения.
2.4. В случае возникновения необходимости получения персональных данных работников, находящихся на кадровом учете в Департаменте, у третьей стороны следует известить об этом вышеуказанных работников и сообщить им о целях, предполагаемых источниках и способах получения персональных данных и получить их письменное согласие.
2.5. Обработка персональных данных, указанных в пункте 2.1 настоящего Положения, осуществляется при условии получения согласия указанных лиц в следующих случаях:
1) при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации о муниципальной службе;
2) при трансграничной передаче персональных данных;
3) при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
2.6. В случаях, предусмотренных пунктом 2.5 настоящего Положения, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом N 152-ФЗ.
2.7. Обработка персональных данных в целях, указанных в пункте 2.1 настоящего Положения, осуществляется Департаментом и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение в установленных федеральными законами случаях, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
2.8. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных лиц, указанных в пункте 2.1 настоящего Положения, осуществляется путем:
1) получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые в Администрацию городского округа Самара непосредственно от лиц, указанных в пункте 2.1 настоящего Положения);
2) копирования оригиналов документов;
3) внесения сведений в учетные формы (на бумажных и электронных носителях);
4) формирования персональных данных в ходе кадровой работы;
5) внесения персональных данных в информационные системы персональных данных, утвержденные постановлением Администрации городского округа Самара.
2.9. Запрещается получать, обрабатывать и приобщать к личному делу работников, находящихся на кадровом учете в Департаменте, персональные данные, не предусмотренные Перечнем, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
2.10. При сборе персональных данных работники Департамента, осуществляющие сбор (получение) персональных данных непосредственно от лиц, указанных в пункте 2.1 настоящего Положения, обязаны разъяснить юридические последствия отказа предоставить их персональные данные.
2.11. Передача (распространение, предоставление) и использование персональных данных лиц, указанных в пункте 2.1 настоящего Положения, осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.
2.12. При переводе или назначении муниципального служащего Структурного подразделения на должность муниципальной службы в отраслевой (функциональный) орган Администрации городского округа Самара, наделенный правами юридического лица, или в другой орган местного самоуправления городского округа Самара его личное дело передается по новому месту прохождения муниципальной службы по письменному запросу соответствующего органа.
2.13. Персональные данные граждан, обратившихся в Администрацию городского округа Самара лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением заявителей о результатах рассмотрения.
В рамках рассмотрения обращений граждан в соответствии с Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" подлежат обработке персональные данные заявителей в соответствии с пунктом 2 Перечня.
2.14. Персональные данные граждан, являющихся стороной гражданско-правового договора с Администрацией городского округа Самара, подлежат обработке в соответствии с пунктом 3 Перечня.
Обработка персональных данных субъектов персональных данных, указанных в настоящем пункте, осуществляется в целях реализации прав и обязанностей сторон по гражданско-правовому договору.
2.15. Персональные данные граждан, обращающихся в Администрацию городского округа Самара для получения муниципальных услуг и осуществления муниципальных функций, подлежат обработке в соответствии с пунктом 4 Перечня.
Обработка персональных данных субъектов персональных данных, указанных в настоящем пункте, осуществляется в целях предоставления муниципальных услуг и исполнения муниципальных функций.
При сборе персональных данных работник Структурного подразделения, осуществляющий получение персональных данных непосредственно от субъектов персональных данных, обратившихся за предоставлением муниципальной услуги или в связи с исполнением муниципальных функций, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.
2.16. Персональные данные граждан, представленных к награждению наградами Российской Федерации, Самарской области и городского округа Самара, подлежат обработке в соответствии с пунктом 5 Перечня.
Обработка персональных данных субъектов персональных данных, указанных в настоящем пункте, осуществляется в целях награждения граждан наградами Российской Федерации, Самарской области и городского округа Самара.
2.17. Персональные данные граждан, включенных в списки кандидатов в присяжные заседатели, подлежат обработке в соответствии с пунктом 6 Перечня.
Обработка персональных данных субъектов персональных данных, указанных в настоящем пункте, осуществляется в целях формирования списка кандидатов в присяжные заседатели для Самарского областного суда, Центрального окружного военного суда и Самарского гарнизонного военного суда.
2.18. Персональные данные студентов образовательных учреждений, расположенных на территории городского округа Самара, проходящих практику в Администрации городского округа Самара, иных органах местного самоуправления городского округа Самара, муниципальных предприятиях и учреждениях городского округа Самара, подлежат обработке в соответствии с пунктом 7 Перечня.
Обработка персональных данных субъектов персональных данных, указанных в настоящем пункте, осуществляется в целях прохождения практики студентами образовательных учреждений, расположенных на территории городского округа Самара.
2.19. Персональные данные граждан, проходящих стажировку в Администрации городского округа Самара, подлежат обработке в соответствии с пунктом 8 Перечня.
Обработка персональных данных субъектов персональных данных, указанных в настоящем пункте, осуществляется в целях повышения престижа муниципальной службы в Администрации городского округа Самара, привлечения на муниципальную службу высококвалифицированных специалистов, создания условий для реализации ими своего потенциала, а также для формирования и закрепления на практике профессиональных и организаторских знаний, навыков и умений, полученных в результате теоретической подготовки.
2.20. Персональные данные лиц, посещающих Администрацию городского округа Самара, подлежат обработке в соответствии с пунктом 9 Перечня.
Обработка персональных данных субъектов персональных данных, указанных в настоящем пункте, осуществляется в целях осуществления контрольно-пропускного режима.
2.21. Персональные данные муниципальных служащих городского округа Самара, служащих, осуществляющих техническое обеспечение деятельности Администрации городского округа Самара, работников муниципальных предприятий и учреждений городского округа Самара, сведения о которых размещаются на официальном сайте Администрации городского округа Самара, подлежат обработке в соответствии с пунктом 10 Перечня.
Обработка персональных данных субъектов персональных данных, указанных в настоящем пункте, осуществляется в целях информирования жителей городского округа Самара о деятельности Администрации городского округа Самара, осуществления полномочий по решению вопросов местного значения.
2.22. Персональные данные муниципальных служащих, замещающих должности муниципальной службы в Администрации городского округа Самара, Департаменте градостроительства городского округа Самара, Департаменте управления имуществом городского округа Самара, Думе городского округа Самара, Контрольно-счетной палате городского округа Самара, включенных в реестр муниципальных служащих городского округа Самара, подлежат обработке в соответствии с пунктом 11 Перечня.
Обработка персональных данных субъектов персональных данных, указанных в настоящем пункте, осуществляется в целях организации учета прохождения муниципальной службы лицами, замещающими должности муниципальной службы, реализации Федерального закона от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации".
2.23. Если в ходе осуществления своей деятельности в Структурных подразделениях будут обрабатываться другие категории персональных данных физических лиц, то о намерении их обработки (до начала обработки) сообщается в Управление информационных ресурсов и технологий Аппарата Администрации городского округа Самара для уведомления уполномоченного органа по защите прав субъектов персональных данных об изменениях.
3. Порядок обработки персональных данных субъектов персональных данных в информационных системах
3.1. Обработка персональных данных в Структурных подразделениях может осуществляться в информационных системах персональных данных (далее - ИСПДн).
3.2. Доступ к персональным данным в ИСПДн может быть представлен:
работникам, допущенным к обработке персональных данных в части, касающейся их должностных обязанностей;
третьим лицам по поручению Администрации городского округа Самара в соответствии с частью 3 статьи 6 Федерального закона N 152-ФЗ;
уполномоченным работникам федеральных органов исполнительной власти в порядке, установленном законодательством Российской Федерации.
3.3. ИСПДн Структурных подразделений перечислены в Перечне информационных систем персональных данных в отраслевых (функциональных) органах Администрации городского округа Самара, не наделенных правами юридического лица, утвержденном постановлением Администрации городского округа Самара.
4. Порядок обработки персональных данных субъектов персональных данных, осуществляемый без использования средств автоматизации
4.1. При неавтоматизированной обработке персональных данных на бумажных носителях:
не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы;
персональные данные должны обособляться от иной информации, в частности, путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков).
4.2. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться условия, установленные пунктом 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 N 687.
5. Обеспечение безопасности обработки персональных данных
5.1. Обеспечение безопасности персональных данных, обрабатываемых с использованием средств автоматизации, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным.
5.2. В ИСПДн безопасность персональных данных обеспечивается с помощью системы защиты, включающей организационные меры и средства защиты информации, в том числе шифровальные (криптографические) средства.
5.3. Обмен персональными данными при их обработке в ИСПДн осуществляется по каналам связи, защита которых обеспечивается путем реализации организационных мер и путем применения программных и технических средств.
5.4. Самостоятельное подключение средств вычислительной техники, применяемых для хранения, обработки или передачи персональных данных, к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к информационно-телекоммуникационной сети "Интернет", не допускается.
5.5. Доступ пользователей к персональным данным в ИСПДн должен осуществляться с обязательным прохождением процедуры идентификации и аутентификации.
5.6. Лицом, ответственным за организацию обработки персональных данных в Структурных подразделениях, обеспечивается:
своевременное обнаружение фактов несанкционированного доступа к персональным данным;
недопущение воздействия на технические средства обработки персональных данных, в результате которого может быть нарушено их функционирование;
возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
постоянный контроль за обеспечением уровня защищенности персональных данных;
знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.
Обеспечение безопасности материальных носителей персональных данных осуществляется в соответствии с настоящим Положением, в том числе путем хранения материальных носителей информации в закрываемых шкафах, ящиках, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним.
Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители Структурных подразделений.
В случаях выявления нарушений порядка обработки персональных данных в информационных системах Структурных подразделений принимаются меры по установлению причин нарушений и их устранению.
6. Передача, сроки обработки и хранения персональных данных
6.1. Передача персональных данных субъекта персональных данных третьим лицам может осуществляться только с согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных федеральными законами.
6.2. Трансграничная передача персональных данных на территории иностранных государств (в том числе в иностранные посольства и консульства) может осуществляться, если иностранное государство, на территорию которого осуществляется передача персональных данных, обеспечивает адекватную защиту прав субъектов персональных данных.
В иных случаях трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях наличия согласия в письменной форме субъекта персональных данных и случаях, указанных в Федеральном законе N 152-ФЗ.
6.3. Сроки обработки и хранения персональных данных муниципальных служащих, состоящих на кадровом учете в Департаменте; служащих, осуществляющих техническое обеспечение деятельности Администрации городского округа Самара, состоящих на кадровом учете в Департаменте; руководителей муниципальных предприятий и учреждений городского округа Самара, состоящих на кадровом учете в Департаменте; Главы городского округа Самара; граждан, претендующих на замещение вакантных должностей в Структурных подразделениях, вакантных должностей руководителей муниципальных предприятий и учреждений городского округа Самара, ведение кадрового учета в отношении которых отнесено к компетенции Департамента; граждан, претендующих на включение (включенных) в резерв для замещения вакантных должностей муниципальной службы в Структурных подразделениях и в резерв управленческих кадров городского округа Самара, а также граждан, ранее состоявших на кадровом учете в Департаменте, определяются в соответствии с законодательством Российской Федерации.
6.4. Сроки хранения документов на бумажных носителях, содержащих персональные данные субъектов персональных данных, определяются в соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным приказом Федерального архивного агентства от 20.12.2019 N 236 (далее - Перечень архивных документов).
6.5. Персональные данные граждан, обратившихся в Структурные подразделения лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в соответствии с Перечнем архивных документов.
6.6. Персональные данные, полученные Структурными подразделениями, в целях, указанных в разделе 2 настоящего Положения, хранятся в соответствующих Структурных подразделениях, к полномочиям которых относится обработка персональных данных, в соответствии с положениями об этих Структурных подразделениях.
6.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6.8. Срок хранения персональных данных, внесенных в ИСПДн Структурных подразделений, должен соответствовать сроку хранения бумажных оригиналов.
7. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований
7.1. Структурными подразделениями, осуществляющими обработку персональных данных, осуществляется систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.
7.2. Уничтожение документов, содержащих персональные данные, проводится с использованием уничтожителей документов (шредеров). Возможно уничтожение в подрядной организации, имеющей необходимую производственную базу для обеспечения установленного порядка уничтожения документов.
7.3. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
7.4. По окончании процедуры уничтожения работниками Структурных подразделений, производившими уничтожение, составляется соответствующий акт об уничтожении документов, содержащих персональные данные.
8. Рассмотрение запросов субъектов персональных данных или их представителей
8.1. Лица, персональные данные которых обрабатываются в Структурных подразделениях в соответствии с настоящим Положением, имеют право на получение информации, касающейся обработки их персональных данных в соответствии с Правилами рассмотрения в отраслевых (функциональных) органах Администрации городского округа Самара, не наделенных правами юридического лица, запросов субъектов персональных данных или их представителей, утвержденными постановлением Администрации городского округа Самара.
9. Лицо, ответственное за организацию обработки персональных данных в Структурных подразделениях
9.1. Лицо, ответственное за организацию обработки персональных данных в Структурных подразделениях, назначается Главой городского округа Самара из числа муниципальных служащих Структурных подразделений.
9.2. Лицо, ответственное за организацию обработки персональных данных в Структурных подразделениях, в своей работе руководствуется законодательством Российской Федерации в области персональных данных, должностными обязанностями лица, ответственного за организацию обработки персональных данных в отраслевых (функциональных) органах Администрации городского округа Самара, не наделенных правами юридического лица, утвержденными постановлением Администрации городского округа Самара, настоящим Положением.
10. Ответственность за нарушение норм, регулирующих обработку персональных данных
10.1. Работники Структурных подразделений, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.