Приложение. Политика Администрации Волоколамского городского округа Московской области в отношении обработки персональных данных. Распоряжение Главы Волоколамского городского округа Московской области от 18.03.2021 N 245-Р "Об утверждении Политики администрации Волоколамского городского округа Московской области в отношении обработки и защиты персональных данных"

Приложение
к распоряжению Главы
Волоколамского городского округа
от 18.03.2021 N 245-Р

Политика
Администрации Волоколамского городского округа Московской области в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика администрации Волоколамского городского округа Московской области в отношении обработки персональных данных (далее - Политика) определяет политику администрации Волоколамского городского округа Московской области (далее - Администрация) как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

1.2. Политика разработана в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - федеральный закон).

1.3. В Политике используются термины и определения, установленные в Федеральном законе от 27.07.2006 N 152-ФЗ "О персональных данных":

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

1.4. Политика действует в отношении информации, которую Администрация получает о субъекте персональных данных в процессе предоставления государственных (муниципальных) услуг или исполнения договорных обязательств.

1.5. Настоящая Политика раскрывает состав персональных данных, принципы, порядок и условия обработки персональных данных сотрудников администрации и иных лиц, чьи персональные данные обрабатываются администрацией, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайны.

1.6. Персональные данные являются конфиденциальной, строго охраняемой информацией и на них распространяются все требования, установленные внутренними документами администрации по защите конфиденциальной информации.

1.7. К настоящей Политике должен иметь доступ любой субъект персональных данных.

2. Принципы и цели обработки персональных данных

2.1. Политика разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных, направленного на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности в целях защиты от несанкционированного доступа и неправомерного распространения персональных данных, обрабатываемых в информационных системах Администрации.

2.2. Обработка персональных данных осуществляется на основе следующих принципов:

- законности и справедливости целей и способов обработки персональных данных;

- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Администрации;

- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

- недопустимости объединения, созданных для несовместимых между собой целей баз данных, содержащих персональные данные;

- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

- уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

2.3. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.3.1. Администрация осуществляет обработку персональных данных в следующих целях:

- заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством;

- организации кадрового учета Администрации, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам;

- ведения кадрового делопроизводства, содействия сотрудникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности: "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования", "О персональных данных";

- исполнения полномочий Администрации и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

- работой с обращениями граждан в соответствии с Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан".

2.4. В целях информационного обеспечения в Администрации могут создаваться общедоступные источники персональных данных работников, в том числе справочники и адресные книги. В общедоступные источники персональных данных с согласия работника могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. Сведения о работнике должны быть в любое время исключены из общедоступных источников персональных данных по требованию работника либо по решению суда или иных уполномоченных государственных органов.

2.5. Администрацией не осуществляется трансграничная передача персональных данных на территорию иностранных государств.

3. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

3.1. Содержание и объем обрабатываемых персональных данных определяются исходя из целей обработки персональных данных. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

3.2. К основным категориям субъектов персональных данных, чьи данные обрабатываются Администрацией, относятся:

- работники Администрации (муниципальные служащие и лица, замещающие должности, не отнесенные к муниципальной службе);

- физические лица, проживающие на территории муниципального образования;

- граждане, обратившиеся в орган местного самоуправления.

Для указанных категорий субъектов персональных данных могут обрабатываться: фамилия, имя, отчество; год, месяц, дата рождения; место рождения, адрес регистрации; семейное положение; социальное положение; имущественное положение; образование; профессия; доходы; ИНН; СНИЛС; контактная информация (телефон, адрес электронной почты) и иные сведения, предусмотренные типовыми формами и установленным порядком обработки персональных данных.

4. Права субъекта персональных данных

4.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект персональных данных вправе требовать от Администрации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.2. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.

4.3. Если субъект персональных данных считает, что обработка его персональных данных в информационных системах персональных данных Администрации осуществляется с нарушением требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Администрации в Уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

5. Порядок и условия обработки персональных данных

5.1. Обработка персональных данных осуществляется в соответствии с утвержденными Администрацией локальными нормативными правовыми актами, регламентирующими защиту и обработку персональных данных.

5.2. Все персональные данные Администрация получает от самого субъекта персональных данных в рамках поступления на муниципальную службу, в рамках гражданско-правовых отношений и исполнения Администрацией своих полномочий. В случае получения персональных данных не от субъекта персональных данных (третьей стороны), Администрация по запросу субъекта персональных данных или его представителя обязано уведомить об этом субъект персональных данных или его представителя в письменной форме. Администрация сообщает субъекту персональных данных или его представителю информацию о составе обрабатываемых персональных данных, источнике их получения, целях, способах и сроках обработки данных персональных данных, а также о возможных последствиях отказа субъекта персональных данных от обработки его персональных данных Администрацией. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

5.3. Обработка персональных данных в Администрации ведется с использованием средств автоматизации (электронные носители персональных данных) и без использования средств автоматизации (бумажные носители персональных данных).

5.4. Администрация производит обработку персональных данных при наличии хотя бы одного из следующих условий:

- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее общедоступные персональные данные);

- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

5.5. Администрация вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора либо соглашения. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные федеральным законом.

5.6. Обработка персональных данных на основании договоров и иных соглашений оператора, поручений оператору и поручений оператора на обработку персональных данных осуществляется в соответствии с условиями этих договоров, соглашений оператора, а также соглашений с лицами, которым поручена обработка или которые поручили обработку на законных основаниях. Такие соглашения могут определять, в частности:

- цели, условия, сроки обработки персональных данных;

- обязательства сторон, в том числе меры по обеспечению конфиденциальности;

- права, обязанности и ответственность сторон, касающиеся обработки персональных данных.

5.7. В случаях, не предусмотренных действующим законодательством или договором, обработка осуществляется после получения согласия субъекта персональных данных. Согласие может быть выражено в форме совершения действий, проставления соответствующих отметок, заполнения полей в формах, бланках, или оформлено в письменной форме в соответствии с законодательством.

5.8. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, направив соответствующий запрос в Администрацию по почте или обратившись лично.

5.9. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных Администрацией;

- правовые основания и цели обработки персональных данных;

- цели и применяемые в Администрации способы обработки персональных данных;

- наименование и место нахождения Администрации, сведения о лицах (за исключением сотрудников/работников Администрации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Администрацией или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом "О персональных данных";

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные Федеральным законом "О персональных данных" или другими федеральными законами.

6. Обеспечение безопасности обработки персональных данных

6.1. Администрация предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного (в том числе, случайного) доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

К таким мерам, в частности, относятся:

- назначение сотрудников, ответственных за организацию обработки и обеспечение безопасности персональных данных;

- проверка наличия в договорах и включение при необходимости в договоры пунктов об обеспечении конфиденциальности персональных данных;

- издание локальных актов по вопросам обработки персональных данных, ознакомление с ними работников, обучение пользователей;

- обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;

- ограничение и разграничение доступа сотрудников и иных лиц к персональным данным и средствам обработки, мониторинг действий с персональными данными;

- определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;

- применение средств обеспечения безопасности (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;

- учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;

- резервное копирование информации для возможности восстановления;

- осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.

6.2. В целях координации действий по обеспечению безопасности персональных данных в Администрации назначено ответственное лицо за обеспечение безопасности персональных данных.

7. Заключительные положения

7.1. Иные права и обязанности Администрации, как оператора персональных данных, определяются законодательством Российской Федерации в области персональных данных.

Должностные лица Администрации, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами, локальными актами, соглашениями Администрации.