Приложение. Политика в отношении обработки персональных данных в Совете Палехского муниципального района. Решение Совета Палехского муниципального района Ивановской области от 26.10.2017 N 88 "О политике в отношении персональных данных в Совете Палехского муниципального района"

Приложение
к решению
Совета Палехского
муниципального района
от 26.10.2017 N 88

Политика
в отношении обработки персональных данных в Совете Палехского муниципального района

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) разработана в соответствии с частью 2 статьи 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и действует в отношении персональных данных, которые Совет Палехского муниципального района может получить от субъекта персональных данных.

1.2. Основные понятия, используемые в Политике:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2. Принципы и условия обработки персональных данных

2.1. Обработка персональных данных в Совете Палехского муниципального района (далее - Совет района) основана на следующих принципах:

осуществление на законной и справедливой основе;

соответствие целей обработки персональных данных;

соответствие содержания и объема обрабатываемых персональных данных целям обработки персональных данных;

достоверность персональных данных, их актуальность и достаточность для целей обработки, недопустимость обработки избыточных по отношению к целям сбора персональных данных;

ограничение обработки персональных данных при достижении конкретных и законных целей, запрет обработки персональных данных, не совместимых с целями сбора персональных данных;

запрет объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

осуществление хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.

2.2. В соответствии с принципами обработки персональных данных определены следующие цели обработки персональных данных в Совете района:

для ведения кадровой работы;

для рассмотрения обращений граждан Российской Федерации в соответствии с действующим законодательством;

для исполнения муниципальных функций.

2.3. Совет района обрабатывает персональные данные, которые может получить от следующих субъектов персональных данных:

граждан, состоящих в отношениях, регулируемых трудовым законодательством (муниципальные служащие);

депутатов Совета района;

граждан, являющихся претендентами на замещение вакантных должностей муниципальной службы;

граждан, обращающихся к должностным лицам в соответствии с Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

граждан, являющихся стороной гражданско-правового договора;

граждан, обращающихся в связи с исполнением Совета района муниципальных функций.

2.4. Срок хранения персональных данных субъекта персональных данных определяется в соответствии с действующим законодательством.

3. Особенности обработки персональных данных и их передачи третьим лицам

3.1. При обработке персональных данных Совет района руководствуется Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Правилами обработки персональных данных в Совете Палехского муниципального района, утвержденными решением Совета района, и настоящей Политикой.

3.2. Субъект персональных данных обладает правами, предусмотренными Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".

4. Меры, применяемые для защиты персональных данных

4.1. Совет района принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных субъектов персональных данных. К таким мерам, в частности, относятся:

назначение сотрудника, ответственного за организацию обработки персональных данных;

осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных";

ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства о персональных данных, требованиями к защите персональных данных и иными документами по вопросам обработки персональных данных;

определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;

осуществление учета машинных носителей персональных данных;

установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;

осуществление контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;

разработка локальных документов по вопросам обработки персональных данных.

5. Цели сбора и обработки, хранение персональных данных

5.1. Совет района собирает и хранит персональные данные, необходимые для исполнения муниципальных функций, исполнения заключенных соглашений и договоров.

5.2. Совет района может использовать персональные данные в следующих целях:

идентификация стороны в рамках соглашений, договоров с Советом района;

связь с муниципальным служащим, депутатом Совета района, в том числе направление уведомлений, информации и запросов, а также обработка заявлений, запросов данных лиц;

проведение статистических и иных исследований на основе обезличенных данных;

для содействия депутатам Совета района в осуществлении ими своих полномочий;

противодействие коррупции.

5.3. Совет района собирает и хранит персональные данные муниципального служащего, необходимые для исполнения условий трудового договора и осуществления прав и обязанностей в соответствии с действующим законодательством.

5.4. Совет района собирает и хранит необходимые персональные данные депутата Совета района не дольше, чем этого требуют цели обработки персональных данных.

6. Права субъекта персональных данных

6.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Федеральном законе от 27.07.2006 N 152-ФЗ "О персональных данных", возлагается на Совет района.

6.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект персональных данных вправе требовать от Совета района уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.3. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.

6.4. Если субъект персональных данных считает, что Совет района осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Совета района в орган, уполномоченный на защиту прав субъектов персональных данных, или в судебном порядке.

7. Обеспечение безопасности персональных данных

7.1. Совет района принимает необходимые и достаточные меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней со стороны третьих лиц.

7.2. Безопасность персональных данных, обрабатываемых Советом района, обеспечивается реализацией правовых, организационных, технических и программных мер, необходимых и достаточных для обеспечения требований федерального законодательства в области защиты персональных данных.

7.3. Для целенаправленного создания в Совете района неблагоприятных условий и труднопреодолимых препятствий для нарушителей, пытающихся осуществить несанкционированный доступ к персональным данным в целях овладения ими, их видоизменения, уничтожения, заражения вредоносной компьютерной программой, подмены и совершения иных несанкционированных действий, Советом района принимаются следующие организационно-технические меры:

назначение должностного лица, ответственного за организацию обработки и защиты персональных данных;

ограничение и регламентация состава муниципальных служащих, имеющих доступ к персональным данным;

ознакомление муниципальных служащих с требованиями федерального законодательства и муниципальных правовых актов по обработке и защите персональных данных;

обеспечение учета и хранения материальных носителей информации и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;

определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;

разработка на основе модели угроз системы защиты персональных данных для соответствующего класса информационных систем;

проверка готовности и эффективности использования средств защиты информации;

реализация разрешительной системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;

регистрация и учет действий пользователей информационных систем персональных данных;

парольная защита доступа пользователей к информационной системе персональных данных;

применение средств контроля доступа к коммуникационным портам, устройствам ввода-вывода информации, съемным машинным носителям и внешним накопителям информации;

применение в необходимых случаях средств криптографической защиты информации для обеспечения безопасности персональных данных при передаче по открытым каналам связи и хранении на машинных носителях информации;

осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть Совета района вредоносных программ (программ-вирусов) и программных закладок;

применение межсетевого экранирования;

обнаружение вторжения в корпоративную сеть Совета района, нарушающего или создающего предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;

централизованное управление системой защиты персональных данных;

резервное копирование информации;

обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

обучение работников, использующих средства защиты информации, применяемые в информационных системах персональных данных, правилам работы с ними;

учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;

использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;

размещение технических средств обработки персональных данных в пределах охраняемой территории;

поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности.

7.4. Должностные лица Совета района, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном действующим законодательством.