Приложение 2. Положение о порядке обработки и защиты персональных данных при предоставлении муниципальных услуг и рассмотрении запросов субъектов персональных данных или их представителей администрацией Ивановского муниципального района. Постановление Администрации Ивановского муниципального района Ивановской области от 19.02.2021 N 155 "Об организации работы с персональными данными в администрации Ивановского муниципального района" (с изменениями и дополнениями)

Приложение 2
к постановлению
администрации Ивановского
муниципального района
от 19.02.2021 г. N 155

Положение
о порядке обработки и защиты персональных данных при предоставлении муниципальных услуг и рассмотрении запросов субъектов персональных данных или их представителей администрацией Ивановского муниципального района

1. Общие положения

1.1. Настоящее Положение о порядке обработки и защиты персональных данных при предоставлении муниципальных услуг и рассмотрении запросов администрацией Ивановского муниципального района (далее - Положение) определяет требования к политике обработки и защите персональных данных субъектов персональных данных (далее - заявителей) при предоставлении муниципальных услуг администрацией Ивановского муниципального района (далее - Оператор) и рассмотрении запросов, а также ответственность Оператора за нарушение требований по обработке персональных данных.

1.2. Настоящее Положение разработано в соответствии с требованиями:

Конституции Российской Федерации;

Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";

Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

Федерального закона от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";

Федерального закона от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации";

Федерального закона от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

Федерального закона от 06.10.2003 N 131-ФЗ "Об общих принципах организации местного самоуправления";

Постановления Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации";

Постановления Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами";

Указа Президента Российской Федерации от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера".

1.3. В Положении используются следующие основные понятия:

1.3.1. Персональные данные заявителей при предоставлении муниципальных услуг - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.3.2. Оператор - администрация Ивановского муниципального района самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными при предоставлении муниципальных услуг.

1.3.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемые с использованием средств автоматизации или без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.3.4. Использование персональных данных - действия (операции) с персональными данными, совершаемые Оператором в целях принятия решений об отказе в предоставлении муниципальных услуг или о принятии решений, которые порождают юридические последствия в отношении заявителей (решения о предоставлении муниципальных услуг).

1.3.5. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

1.3.6. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц или на ознакомление с персональными данными неограниченного круга лиц.

1.3.7. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

1.3.8. Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных заявителей, в результате которых уничтожаются материальные носители персональных данных.

1.3.9. Документированная информация - зафиксированная на материальном носителе (бумажном или электронном) путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

1.3.10. Информационная система персональных данных - совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных.

1.3.11. Конфиденциальность персональных данных - обязательное для Оператора требование не допускать распространения персональных данных без согласия субъекта персональных данных.

1.4. Целью настоящего Положения является защита персональных данных заявителей от несанкционированного доступа и разглашения при предоставлении муниципальных услуг Оператором. Персональные данные являются конфиденциальной, строго охраняемой информацией.

2. Принципы обработки персональных данных

2.1. Обработка персональных данных осуществляется на основе принципов:

2.1.1. Законности целей и способов обработки персональных данных.

2.1.2. Соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора персональных данных.

2.1.3. Соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных.

2.1.4. Достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных.

2.1.5. Недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

3. Особенности организации и обработки персональных данных

3.1. Обработка и использование персональных данных осуществляются в целях, указанных в запросе или заявлении на предоставление муниципальной услуги, а также в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.2. Согласие субъекта персональных данных не требуется на обработку общедоступных персональных данных или содержащих только фамилии, имена и отчества, а также адресных данных, необходимых для доставки почтовых отправлений организациями почтовой связи в целях исполнения обращения, запроса субъекта персональных данных и в иных случаях, предусмотренных законодательством Российской Федерации.

3.3. Обеспечение конфиденциальности персональных данных не требуется:

в отношении общедоступных персональных данных;

при использовании общедоступных персональных данных - данных, доступ неограниченного круга лиц, к которым предоставлен с согласия заявителя или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

3.4. Оператор осуществляет обработку персональных данных с использованием средств автоматизации, а также без использования таких средств.

3.5. Персональные данные хранятся у Оператора на бумажных и электронных носителях, с соблюдением мер, предусмотренных настоящим Положением, нормативными правовыми актами Российской Федерации по защите персональных данных.

3.6. Право на доступ к персональным данным предоставляется должностным лицам Оператора, право на обработку персональных данных предоставляется работникам Оператора в соответствии с Перечнем должностей в администрации Ивановского муниципального района уполномоченных на обработку персональных данных (приложение 18 к постановлению администрации Ивановского муниципального района от 19.02.2021 N 155 "Об организации работы с персональными данными в администрации Ивановского муниципального района").

3.7. Обработка персональных данных при предоставлении муниципальных услуг осуществляется Оператором в информационных системах с использованием системы межведомственного электронного взаимодействия.

3.8. В случае, если для предоставления муниципальной услуги необходима обработка персональных данных лица, не являющегося заявителем и, если в соответствии с федеральным законом обработка таких персональных данных может осуществляться с согласия указанного лица, при обращении за получением муниципальной услуги заявитель дополнительно представляет документы, подтверждающие получение согласия указанного лица или его законного представителя на обработку персональных данных указанного лица. Документы, подтверждающие получение согласия, могут быть представлены, в том числе, в форме электронного документа. Действие данного пункта не распространяется на лиц, признанных безвестно отсутствующими, и на разыскиваемых лиц, место нахождения которых не установлено уполномоченным федеральным органом исполнительной власти.

3.9. Согласие обладателя персональных данных не требуется в случае получения такой информации для служебного пользования, то есть для целей предоставления муниципальных услуг. Указанное исключение подлежит применению исключительно в рамках деятельности органов, предоставляющих муниципальные услуги, причем как в отношении информации, имеющейся в распоряжении таких органов, так и применительно к сведениям, истребуемым ими на основании межведомственного запроса.

Получения согласия на обработку персональных данных не требуется в случаях:

- передачи сведений органу, предоставляющему государственную или муниципальную услугу, при условии, что такие данные имеются в распоряжении данного органа.

- в случае регистрации субъекта на едином портале государственных и муниципальных услуг и при регистрации субъекта на региональном портале государственных и муниципальных услуг Ивановской области субъект также добровольно вносит сведения о себе, одновременно выражая свое согласие на обработку персональных данных в рамках предоставления государственных и муниципальных услуг, а также передачу таких данных в рамках межведомственного взаимодействия.

Во всех остальных случаях обработка и использование персональных данных должны быть сопряжены с получением согласия обладателя таких данных на совершение с ними указанных операций. Неполучение такого согласия, в том числе и в отношении третьего лица, является нарушением требований действующего законодательства, в первую очередь Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных".

4. Права субъекта персональных данных

4.1. Субъект персональных данных имеет право:

4.1.1. На обеспечение защиты прав и законных интересов при обработке его персональных данных.

4.1.2. На доступ к своим персональным данным.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

4.1.3. На основании письменного запроса получать информацию, касающуюся его персональных данных и их обработки, в том числе содержащую:

подтверждение факта обработки персональных данных Оператором;

правовые основания и цели обработки персональных данных;

цели и применяемые Оператором способы обработки персональных данных;

наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные;

обрабатываемые персональные данные, относящиеся к субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;

сроки обработки персональных данных, в том числе сроки их хранения (форма запроса на получение информации об обработке персональных данных заявителя при предоставлении муниципальной услуги - Приложение 13 к постановлению администрации Ивановского муниципального района от 19.02.2021 N 155 "Об организации работы с персональными данными в администрации Ивановского муниципального района");

порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";

информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;

наименование или фамилию, имя, отчество лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

иные сведения, предусмотренные Федеральным законом о персональных данных или другими федеральными законами.

4.1.4. На получение сведений, содержащих информацию, касающуюся обработки его персональных данных в доступной форме.

4.1.5. На отзыв согласия на обработку персональных данных (если такое согласие было дано Оператору).

4.1.6. Требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.1.7. Обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 4.1.3. настоящего Положения и ознакомления с такими сведениями не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом.

4.1.8. Обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 4.1.3. настоящего Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения 30 (тридцати) дней в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.

4.1.9. Субъект персональных данных вправе обжаловать действия (бездействия) Оператора, осуществляющего обработку его персональных данных с нарушением требований настоящего Положения, требований нормативных правовых актов в области защиты персональных данных или иным образом нарушающего его права и свободы в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

5. Права Оператора

5.1. Оператор имеет право:

5.1.1. Запрашивать у заявителей информацию, необходимую для реализации своих полномочий строго в соответствии с целями предоставления муниципальных услуг.

5.1.2. Запрашивать сведения о персональных данных заявителей с использованием системы межведомственного электронного взаимодействия у иных участников информационного обмена системы межведомственного электронного взаимодействия строго в соответствии с целями предоставления муниципальных услуг.

5.1.3. Осуществлять проверку сведений, содержащихся в заявлении о предоставлении муниципальной услуги и привлекать для осуществления такой проверки государственные органы в пределах своих полномочий.

5.1.4. Принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Положения, нормативных правовых актов в области защиты персональных данных.

5.1.5. Отказать заявителю в выполнении повторного запроса, касающегося обработки его персональных данных, если данный запрос не соответствует условиям, предусмотренным в пунктах 4.1.7. и 4.1.8 настоящего Положения. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.

5.1.6. Привлекать к дисциплинарной ответственности лиц, допустивших неправомерные действия с персональными данными заявителей.

6. Обязанности Оператора при обращении либо получении запроса субъекта персональных данных

6.1. Оператор обязан:

6.1.1. Безвозмездно предоставить заявителю возможность ознакомления с информацией об обработке его персональных данных в течение 10 (десяти) рабочих дней с даты получения запроса.

6.1.2. Сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

6.1.3. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона о персональных данных или иного федерального закона, являющегося основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

6.1.4. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

7. Обязанности Оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению и блокированию персональных данных

7.1. Оператор обязан:

7.1.1. Прекратить обработку и осуществить блокирование персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними в срок, не превышающий 3 (трех) рабочих дней.

7.1.2. Уведомить заявителя о блокировании его персональных данных в срок, не превышающий 7 (семи) рабочих дней.

7.1.3. Уточнить персональные данные в случае подтверждения факта неточности персональных данных на основании документов, представленных заявителем, либо органами государственной власти в рамках межведомственного информационного взаимодействия по оказанию муниципальной услуги в срок, не превышающий 7 (семи) рабочих дней.

7.1.4. Устранить нарушения, допущенные неправомерными действиями при обработке персональных данных заявителя в срок, не превышающий 3 (трех) рабочих дней.

7.1.5. Снять блокирование персональных данных заявителя в течение 1 (одного) дня с момента уточнения персональных данных заявителя и устранения иных нарушений.

8. Обязанности Оператора по уничтожению персональных данных

8.1. Оператор обязан:

8.1.1. Прекратить обработку персональных данных и уничтожить персональные данные в случае отзыва согласия заявителя на обработку персональных данных в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва.

8.1.2. Уничтожить персональные данные в случае невозможности устранения нарушений, допущенных при обработке персональных данных, в срок, не превышающий 10 (десяти) рабочих дней с даты выявления таких нарушений.

8.1.3. Уведомить заявителя об уничтожении персональных данных по основаниям, указанным в пунктах 8.1.1. и 8.1.2. настоящего Положения в срок, не превышающий 30 (тридцати) дней.

8.1.4. Уничтожить персональные данные в случае окончания срока хранения персональных данных в срок, не превышающий 30 (тридцати) дней.

9. Ответственность Оператора

Ответственность за соблюдение требований законодательства Российской Федерации при обработке и использовании персональных данных возлагается на должностных лиц Оператора, имеющих доступ к персональным данным и работников Оператора, обрабатывающих персональные данные в рамках их должностных обязанностей.

10. Сроки обработки персональных данных

10.1. Обработка Оператором персональных данных осуществляется в следующие сроки:

10.1.1. Первичная запись (документирование информации) и систематизация персональных данных заявителя осуществляется в течение 3 (трех) рабочих дней