Приложение. Политика Оператора в отношении обработки персональных данных администрации Сладковского муниципального района. Распоряжение Администрации Сладковского муниципального района Тюменской области от 26.05.2021 N 101 "Об утверждении Политики Оператора в отношении обработки персональных данных"

Приложение
к распоряжению
администрации района
от 26.05.2021 N 101

Политика
Оператора в отношении обработки персональных данных администрации Сладковского муниципального района

1. Общие положения

В целях гарантирования выполнения норм федерального законодательства в полном объеме Администрация Сладковского муниципального района (далее - Оператор) считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных (далее - ПДн), а также обеспечение безопасности процессов их обработки.

Настоящая Политика оператора в отношении обработки ПДн в администрации Сладковского муниципального района (далее - Политика) характеризуется следующими признаками:

- разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки ПДн субъектов Пдн;

- раскрывает основные категории ПДн, обрабатываемых Оператором, цели, способы и принципы обработки Оператором ПДн, права и обязанности Оператора при обработке ПДн, права субъектов ПДн, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности ПДн при их обработке;

- является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке ПДн, и содержит сведения о реализуемых требованиях к защите персональных данных.

2. Информация об Операторе

Наименование Оператора: Администрация Сладковского муниципального района.

Юридический адрес Оператора: Тюменская область, Сладковский район, с. Сладково, ул. Ленина, д. 59.

3. Основные понятия

Для целей настоящей Политики используются следующие понятия:

3.1. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

3.2. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

3.3. Субъект - субъект ПДн.

3.4. Работник - физическое лицо, состоящее в трудовых отношениях с оператором.

3.5. Обработка ПДн - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:

- сбор;

- запись;

- систематизацию;

- накопление;

- хранение;

- уточнение (обновление, изменение);

- извлечение;

- использование;

- передачу (распространение, предоставление, доступ);

- обезличивание;

- блокирование;

- удаление;

- уничтожение.

3.6. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

3.7. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

3.8. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

3.9. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

3.10. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3.11. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

3.12. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

3.13. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

4. Правовые основания обработки Пдн

Политика Оператора в области обработки ПДн, а также основание для обработки ПДн определяются в соответствии со следующими нормативными правовыми актами Российской Федерации:

- Конституцией Российской Федерации;

- Трудовым кодексом Российской Федерации;

- Гражданским кодексом Российской Федерации;

- Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Налоговым кодексом Российской Федерации;

- Федеральным законом от 06.12.2011 N 402-ФЗ "О бухгалтерском учете";

- Федеральным законом от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации";

- Федеральным законом от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";

- Федеральным законом от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации";

- Федеральным законом от 06.10.2003 N 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации";

- Законом Тюменской области от 29.12.2005 N 444 "О местном самоуправлении в Тюменской области";

- Законом Тюменской области от 05.07.2007 N 10 "О муниципальной службе в Тюменской области"

- Уставом Сладковского муниципального района.

5. Цели обработки Пдн

Оператор обрабатывает ПДн исключительно в следующих целях:

- исполнения положений нормативных актов, указанных в п. 4;

- заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическими лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и локальными нормативными актами Оператора;

- организации кадрового учета, заключения и исполнения обязательств по трудовым договорам, ведения кадрового делопроизводства, содействия сотрудникам в трудоустройстве, обучении и продвижении по службе;

- исполнения требований налогового законодательства и пенсионного законодательства в связи с исчислением и уплатой налогов, сборов и иных обязательных платежей;

- организации работы с обращениями граждан;

- предоставления государственных и муниципальных услуг.

6. Объем и категории обрабатываемых ПДн, сроки хранения Пдн

Состав обрабатываемых данных, категории субъектов, чьи персональные данные обрабатываются, соответствующие целям и правовым основаниям их обработки, сроки обработки и хранения ПДн определяются для каждой информационной системы Оператора.

7. Основные принципы обработки, передачи и хранения Пдн

Оператор в своей деятельности обеспечивает соблюдение принципов обработки ПДн, указанных в ст. 5 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных":

- обработка персональных данных осуществляется на законной и справедливой основе.

- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

- обработке подлежат только персональные данные, которые отвечают целям их обработки.

- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки.

- при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Обработка персональных данных осуществляется только в случаях:

- наличия согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством РФ;

- необходимости достижения целей, предусмотренных нормативно-правовыми актами Российской Федерации и трудовым законодательством, для осуществления и выполнения возложенных законодательством РФ на Оператора функций, полномочий и обязанностей;

- обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

- обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;

- обработка ПДн осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания ПДн за исключением целей, указанных в Федеральном законе от 27.07.2006 N 152-ФЗ "О персональных данных";

- осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (далее - ПДн, сделанные общедоступными субъектом ПДн);

- осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

- организации пропускного режима на территории администрации района.

Оператор производит автоматическую обработку персональных данных и без помощи средств вычислительной техники.

Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу ПДн.

Все электронные базы данных содержащие ПДн размещены в Центре обработки данных Правительства Тюменской области, находящемся по адресам: Тюменская обл, г. Тюмень, ул. Республики, дом 142 и Тюменская обл, г. Тюмень, ул. Советская, дом 61.

8. Сведения о третьих лицах, участвующих в обработке Пдн

В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов ПДн Оператор в ходе своей деятельности предоставляет ПДн следующим организациям:

- в рамках кадрового, бухгалтерского, налогового учета территориальные органы ФНС России, Пенсионного фонда Российской Федерации, Фонда социального страхования Российской Федерации, Фонда обязательного медицинского страхования Российской Федерации;

- во исполнение обязанностей по воинскому учету в военные комиссариаты по местонахождению Оператора;

- банки и кредитные организации (для оформления зарплатных карт и начисления заработной платы);

- в рамках организации оказания медицинской помощи в медицинские организации, с которыми заключено соглашение об информационном обмене.

Оператор может поручать обработку ПДн другим лицам на основании договора. В случае, если в ходе обработки ПДн возникает необходимость их передачи третьему лицу, такая передача может быть осуществлена только с согласия субъекта ПДн, Согласие на передачу может быть отражено как в общем согласии субъекта на передачу персональных данных, так и в отдельном согласии на передачу ПДн.

9. Меры по обеспечению безопасности ПДн при их обработке

Осуществляются следующие организационно-технические меры для защиты персональных данных:

1) назначение лица, ответственного за организацию обработки персональных данных;

2) утверждение документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона N 152 "О персональных данных", включая:

- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;

- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;

- учет машинных носителей персональных данных;

- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;

- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

4) осуществление внутреннего контроля соответствия обработки персональных данных законодательству РФ и принятыми в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политики в отношении обработки персональных данных, локальным актам;

5) ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.

6) доступ к содержанию электронного журнала сообщений возможен исключительно для администратора информационной безопасности, ответственного за обеспечение безопасности персональных данных в информационных системах.

Все меры конфиденциальности при сборе, обработке и хранении ПДн субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

Все сотрудники, имеющие доступ к ПДн субъектов, подписывают обязательство о неразглашении ПДн.

10. Права и обязанности субъектов ПДн и оператора

10.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

- подтверждение факта обработки ПДн оператором;

- правовые основания и цели обработки ПДн;

- цели и применяемые оператором способы обработки ПДн;

- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;

- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки ПДн, в том числе сроки их хранения;

- порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные действующим законодательством Российской Федерации.

10.2. В целях обеспечения защиты ПДн субъекты имеют право:

- требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

- требовать предоставления сведений, указанных в пункте 10.1, от Оператора в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн;

- требовать исключения или исправления неверных или неполных ПДн, а также данных, обработанных с нарушением законодательства;

- при отказе оператора или уполномоченного им лица исключить или исправить ПДн субъекта - заявить в письменной форме о своем несогласии, представив соответствующее обоснование;

- дополнить ПДн оценочного характера заявлением, выражающим его собственную точку зрения;

- требовать от Оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные ПДн субъекта, обо всех произведенных в них изменениях или исключениях из них;

- обжаловать в суд любые неправомерные действия или бездействие Оператора или уполномоченного им лица при обработке и защите ПДн субъекта.

Субъект ПДн или его законный представитель обязуется предоставлять ПДн, соответствующие действительности.

11. Ответственность за нарушение норм, регулирующих обработку и защиту Пдн

Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, содержащему ПДн, несет персональную ответственность за данное разрешение.

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым Кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

12. Контактная информация

Ответственный за организацию обработки ПДн в администрации Сладковского муниципального района: Гришечко Лилия Ивановна, начальник юридического отдела

Тел.: 8 (34555) 23-5-64

E-mail: sladkovoyur@yandex.ru