Приложение. Правила обработки и организации защиты персональных данных в мэрии города Новосибирска. Постановление Мэрии г. Новосибирска от 16.08.2021 N 2838 "О Правилах обработки и организации защиты персональных данных в мэрии города Новосибирска"

Приложение
к постановлению мэрии
города Новосибирска
от 16 августа 2021 г. N 2838

Правила
обработки и организации защиты персональных данных в мэрии города Новосибирска

1. Общие положения

1.1. Правила обработки и организации защиты персональных данных в мэрии города Новосибирска (далее - Правила) разработаны в соответствии с Федеральными законами от 06.10.2003 N 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации", от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Уставом города Новосибирска.

1.2. Правила определяют условия и порядок обработки персональных данных, перечень процедур, направленных на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, правила рассмотрения запросов субъектов персональных данных или их представителей, правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, правила работы с обезличенными данными в случае обезличивания персональных данных, порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований, порядок доступа в помещения, в которых ведется обработка персональных данных.

2. Условия и порядок обработки персональных данных

2.1. Оператором, организующим и осуществляющим обработку персональных данных (далее - оператор), является мэрия города Новосибирска.

В целях организации обработки персональных данных оператор назначает лицо, ответственное за организацию обработки персональных данных, действующее в соответствии с должностной инструкцией (приложение 1).

В структурных подразделениях мэрии города Новосибирска назначаются лица, непосредственно осуществляющие обработку персональных данных. При назначении такого лица оформляется обязательство о прекращении обработки персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, в случае расторжения с ним трудового договора (контракта) (приложение 2).

Перечень должностей, замещение которых предусматривает осуществление обработки персональных данных, а также осуществление доступа к персональным данным, утверждается постановлением мэрии города Новосибирска.

2.2. Оператор осуществляет учет обрабатываемых персональных данных в информационных системах мэрии города Новосибирска согласно перечню (приложение 3).

2.3. Персональные данные обрабатываются с использованием и без использования средств автоматизации.

Обработка персональных данных осуществляется после получения согласия субъекта персональных данных на обработку его персональных данных в соответствии с типовой формой (приложение 4), за исключением случаев, предусмотренных законодательством Российской Федерации.

В случае если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные согласно форме (приложение 5).

2.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.

2.5. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных или утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, соглашением, стороной по которому является субъект персональных данных.

2.6. В случае если персональные данные являются неполными, неточными или неактуальными, оператор обязан в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных (его представителем) подтверждающих это сведений, внести в них необходимые изменения.

В случае если персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан по требованию субъекта персональных данных в срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих это сведений, уточнить, блокировать или уничтожить такие персональные данные.

3. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных

При обработке персональных данных оператор принимает меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, в том числе:

назначает лицо, ответственное за организацию обработки персональных данных в мэрии города Новосибирска;

применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных;

осуществляет внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом N 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами;

производит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации и Правил, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом N 152-ФЗ;

знакомит работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и Правилами;

не допускает обработки персональных данных, не совместимых с целями сбора персональных данных.

4. Содержание обрабатываемых персональных данных

Перечни персональных данных, обрабатываемых в мэрии города Новосибирска, включающие содержание обрабатываемых персональных данных для каждой цели их обработки, утверждаются постановлением мэрии города Новосибирска.

5. Субъекты персональных данных

К субъектам, персональные данные которых обрабатываются в мэрии города Новосибирска, относятся:

мэр города Новосибирска;

лица, претендующие на замещение должностей муниципальной службы и должностей, не отнесенных к должностям муниципальной службы, в мэрии города Новосибирска;

лица, замещающие (замещавшие) должности муниципальной службы и должности, не отнесенные к должностям муниципальной службы, в мэрии города Новосибирска;

лица, обратившиеся в мэрию города Новосибирска по вопросам, входящим в ее компетенцию;

лица, обработка персональных данных которых предусмотрена федеральным законом или иными нормативными правовыми актами Российской Федерации.

6. Правила рассмотрения запросов субъектов персональных данных или их представителей

6.1. Субъект персональных данных имеет право на ознакомление с его персональными данными и получение информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных оператором;

правовые основания и цели обработки персональных данных;

цели и применяемые оператором способы обработки персональных данных;

наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

сроки обработки персональных данных, в том числе сроки их хранения;

порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом N 152-ФЗ;

информацию об осуществленной или о предполагаемой трансграничной передаче данных;

наименование или фамилию, имя, отчество (при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

иные сведения, предусмотренные Федеральным законом N 152-ФЗ или другими федеральными законами.

6.2. Сведения, указанные в пункте 6.1 Правил, представляются оператором в течение 30 дней со дня обращения субъекта персональных данных (его представителя) либо получения запроса субъекта персональных данных (его представителя). Рассмотрение запросов субъектов персональных данных или их представителей осуществляются оператором в соответствии с требованиями Федерального закона N 152-ФЗ.

Запрос субъекта персональных данных (его представителя) должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных (его представителя). Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

6.3. В случае отказа субъекту персональных данных (его представителю) в представлении сведений, указанных в пункте 6.1 Правил, оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положения федерального закона, являющиеся основанием для такого отказа, в срок, не превышающий 30 дней со дня обращения субъекта персональных данных (его представителя) либо получения запроса субъекта персональных данных (его представителя).

6.4. Сведения предоставляются субъекту персональных данных на безвозмездной основе, в доступной форме, без указания персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

7. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

7.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом N 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актам, лицо, ответственное за организацию обработки персональных данных, организует проведение проверок условий обработки персональных данных.

7.2. Для проведения проверки создается комиссия по проведению проверок условий обработки персональных данных в мэрии города Новосибирска (далее - комиссия), состав которой утверждается постановлением мэрии города Новосибирска. Председателем комиссии является лицо, ответственное за организацию обработки персональных данных.

7.3. Проведение проверок носит плановый и внеплановый характер. Плановые проверки осуществляются на основании годовых планов работы комиссии, утверждаемых председателем комиссии. Внеплановые проверки проводятся при получении информации о фактах нарушений требований, установленных правовыми актами, регулирующими отношения в сфере персональных данных.

7.4. По результатам проверки оформляется протокол проведения проверки условий обработки персональных данных в мэрии города Новосибирска (приложение 6).

При выявлении нарушений в протоколе делается запись о необходимости проведения мероприятий по их устранению и сроках их устранения.

8. Правила работы с обезличенными данными в случае обезличивания персональных данных

8.1. В случае необходимости использования персональных данных без определения их принадлежности конкретному субъекту персональных данных, производится обезличивание персональных данных.

8.2. Обезличенные данные обрабатываются с использованием и без использования средств автоматизации.

8.3. Обезличивание персональных данных осуществляется путем уменьшения обрабатываемых сведений, замены части сведений идентификаторами, обобщения (понижения) точности некоторых сведений, деления сведений на части и другими способами.

8.4. Обезличенные данные могут использоваться в статистических и других исследовательских целях.

8.5. Оператор назначает лиц, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных. Перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, утверждается постановлением мэрии города Новосибирска.

9. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

9.1. Решение о необходимости уничтожения персональных данных принимает лицо, непосредственно осуществляющее обработку персональных данных.

9.2. Уничтожение персональных данных производится путем физического уничтожения носителя персональных данных или путем удаления персональных данных без физического повреждения носителя персональных данных.

9.3. При необходимости уничтожения части персональных данных, содержащихся на бумажном носителе, с указанного носителя предварительно копируются сведения, не подлежащие уничтожению, затем уничтожается сам носитель.

9.4. Факт уничтожения персональных данных оформляется соответствующим актом.

10. Порядок доступа в помещения, в которых ведется обработка персональных данных

10.1. Оборудование и охрана помещений, в которых ведется обработка и хранение персональных данных, должны обеспечивать сохранность носителей персональных данных, а также исключать возможность неконтролируемого проникновения или пребывания посторонних лиц.

10.2. Доступ в помещения, в которых производится обработка персональных данных, осуществляется в соответствии с пропускным режимом, установленным Регламентом мэрии города Новосибирска.

10.3. Организация рабочих мест в помещениях, в которых ведется обработка персональных данных, должна соответствовать условиям, обеспечивающим персональную ответственность за сохранность обрабатываемых персональных данных.