Приложение. Положение об организации обработки и защиты персональных данных в Администрации города Тобольска. Распоряжение Администрации города Тобольска Тюменской области от 01.06.2022 N 133 "Об организации обработки и защиты персональных данных в Администрации города Тобольска"

Приложение
к распоряжению
Администрации
города Тобольска
от 1 июня 2022 г. N 133

Положение
об организации обработки и защиты персональных данных в Администрации города Тобольска

1. Общие положения

1.1. Настоящее Положение определяет политику Администрации города Тобольска (далее - Администрации) как органа местного самоуправления, осуществляющего обработку персональных данных (далее - ПДн) в отношении обработки и защиты ПДн, через установление правил обработки ПДн, правил рассмотрения запросов субъектов ПДн или их представителей, правил осуществления внутреннего контроля, аудита соответствия обработки ПДн требованиям к защите ПДн, установленным законодательством в области ПДн, контроля за выполнением требований к защите ПДн при их обработке в информационных системах ПДн (далее - ИСПДн), контроля за приемом и обработкой обращений и запросов субъектов ПДн или их представителей, правил работы с обезличенными ПДн, правил обработки ПДн в ИСПДн, порядка доступа в помещения, в которых ведется обработка ПДн.

1.2. Настоящее положение обработки и защиты персональных данных в Администрации (далее - Положение) разработано в соответствии с:

Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ);

Постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях персональных данных, осуществляемой без использования средств автоматизации" (далее - постановление Правительства N 687);

Постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами" (далее - постановление Правительства N 211);

Постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (далее - постановление Правительства N 1119);

Иными нормативными правовыми актами в области обработки и обеспечения безопасности ПДн, а также руководящими документами Федеральной службы по техническому и экспортному контролю Российской Федерации и Федеральной службы безопасности Российской Федерации.

1.3. Действие настоящего Положения распространяется на все процессы обработки ПДн субъектов в Администрации как с использованием средств автоматизации, так и без использования таких средств.

1.4. Для целей настоящего Положения применяются следующие понятия:

орган Администрации - отраслевой орган Администрации, наделенный правами юридического лица, и являющий оператором ПДн, либо отраслевой орган Администрации города Тобольска, не наделенный правами юридического лица и входящий в состав оператора ПДн "Администрация города Тобольска";

ответственный за организацию обработки ПДн в Администрации - работник Управления делами Администрации (далее - УД АГТ), назначаемый распоряжением Администрации города Тобольска за подписью заместителя Главы города Тобольска, управляющего делами;

ответственный за организацию обработки ПДн в органе Администрации - работник органа Администрации, наделенного правами юридического лица, назначаемый муниципальным правовым актом руководителя соответствующего органа Администрации;

ответственный за выполнение мероприятий по обеспечению безопасности ПДн в органе Администрации - работник органа Администрации, не наделенного правами юридического лица и входящего в состав оператора ПДн "Администрация города Тобольска", назначаемый муниципальным правовым актом руководителя соответствующего органа Администрации.

2. Цели и субъекты обработки персональных данных

2.1. Целями обработки ПДн в органах Администрации, являются: осуществление возложенных на орган Администрации действующим законодательством, муниципальными правовыми актами города Тобольска функций, полномочий и обязанностей;

рассмотрение обращений граждан Российской Федерации в соответствии с действующим законодательством;

предоставление муниципальных услуг;

реализация законодательства о муниципальной службе и противодействии коррупции, кадровой работы;

иные цели, предусмотренные правовыми актами города Тобольска.

2.2. Субъектами обработки ПДн в органах Администрации являются: физические лица, обратившиеся в Администрацию в целях возможного трудоустройства, физические лица, состоящие в трудовых отношениях с Администрацией, а также члены их семей в случаях, предусмотренных действующим законодательством;

физические лица, обратившиеся в Администрацию в связи с осуществлением ею установленных действующим законодательством, муниципальными правовыми актами города Тобольска функций, полномочий и обязанностей;

физические лица, состоящие в договорных отношениях с Администрацией города.

2.3. Обработка ПДн осуществляется в соответствии с приложением 1 к настоящему Положению, с согласия субъекта ПДн и в иных случаях, предусмотренных Федеральным законом N 152-ФЗ. Согласие субъекта ПДн должно отвечать требованиям, определенным Федеральным законом N 152-ФЗ. Типовые формы согласия на обработку ПДн, разъяснения субъекту ПДн юридических последствий отказа приведены в приложениях 2 - 4 к настоящему Положению.

Опубликование информации об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПДн, разрешенных субъектом персональных данных для распространения, обеспечивается в сроки, установленные Федеральным законом N 152-ФЗ, лицами, ответственными за прием соответствующих согласий.

2.4. Цели обработки ПДн, содержание обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются в органах Администрации (в случае, если органы Администрации не наделены правами юридического лица и входят в состав оператора ПДн "Администрация города Тобольска") устанавливаются в соответствии с приложением 8 к настоящему Положению.

В случае, если орган Администрации наделен правами юридического лица, цели обработки ПДн, содержание обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются в данном органе Администрации, устанавливаются приказом руководителя соответствующего органа.

3. Порядок доступа к ПДн

3.1. К обработке ПДн допускаются работники органов Администрации, которые в связи с выполнением своих должностных обязанностей, осуществляют обработку ПДн.

3.2. Предоставление доступа работнику органа Администрации к ПДн осуществляется на основании перечня должностей работников, замещение которых предусматривает осуществление обработки ПДн либо осуществление доступа к персональным данным, утвержденного муниципальным правовым актом руководителя органа Администрации.

3.3. При назначении на должность и предоставлении работнику органа Администрации доступа к обработке ПДн ответственный за организацию обработки ПДн в Администрации осуществляет ознакомление указанного работника органа Администрации с требованиями федерального законодательства, правовых актов и внутренних организационно-распорядительных документов по обработке ПДн и обеспечению безопасности ПДн под роспись.

3.4. Лицам, допущенным к обработке ПДн, предоставляется доступ только к ПДн, необходимым для выполнения ими должностных обязанностей в пределах задач и функций соответствующего органа Администрации.

4. Обработка ПДн, осуществляемая без использования средств автоматизации

4.1. Порядок обработки ПДн, осуществляемой без использования средств автоматизации, определяется Постановлением Правительства РФ N 687.

4.2. Обработка ПДн без использования средств автоматизации осуществляется на материальных носителях информации (далее материальные носители).

4.3. В случае, если обработка ПДн осуществляется без использования средств автоматизации, ПДн обособляются от иной информации путем фиксации их на отдельных материальных носителях.

4.4. Запрещается оставлять материальные носители без присмотра или передавать на хранение другим лицам, не допущенным к обработке ПДн.

4.5. Учет машинных носителей информации осуществляется в каждом органе Администрации путем ведения журналов учета.

5. Обработка ПДн с использованием средств автоматизации

5.1. Для обеспечения безопасности ПДн при их обработке в ИСПДн работники органов Администрации, допущенные к обработке ПДн, обеспечивают выполнение установленных постановлением Правительства N 1119 требований к защите ПДн при их обработке:

при использовании ИСПДн, знать и выполнять установленные требования по доступу к защищаемым объектам и соблюдению конфиденциальности защищаемой информации в органе Администрации;

в соответствии со своими должностными обязанностями обеспечивают выполнение мероприятий по защите информации и обеспечению безопасности ПДн в соответствии с Планом мероприятий по защите информации и обеспечению безопасности ПДн при их обработке в Администрации города Тобольска;

своевременное обнаружение несанкционированного доступа к ПДн;

недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

постоянный контроль за принимаемыми мерами по обеспечению безопасности ПДн.

5.2. Обработка ПДн в ИСПДн осуществляется с использованием каналов связи, защита которых обеспечивается путем реализации и применения программных и технических средств.

Доступ работников к ПДн, находящимся в ИСПДн, предусматривает обязательное прохождение процедуры идентификации и аутентификации, для чего работникам присваиваются уникальные идентификаторы и пароли.

6. Правила работы с обезличенными ПДн

6.1. Мероприятия по обезличиванию и обработке обезличенных ПДн производятся в соответствии с приказом Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных" и Методическими рекомендациями по применению приказа, утвержденными 13.12.2013.

6.2. Необходимость обезличивания ПДн и случаи обезличивания ПДн определяются в соответствии с Федеральным законом N 152-ФЗ.

7. Правила рассмотрения органами Администрации запросов субъектов ПДн или их представителей

7.1. При получении запроса субъекта ПДн или его представителя орган Администрации предоставляет указанным лицам сведения в порядке, предусмотренном статьями 14, 20, 21 Федерального закона N 152-ФЗ.

7.2. При обращении субъекта ПДн или его представителя орган Администрации предоставляет возможность ознакомления указанных лиц с ПДн в порядке, предусмотренном статьей 20 Федерального закона N 152-ФЗ. Факт обращения субъекта ПДн или его представителя, а также ознакомления указанных лиц с ПДн фиксируются способом, позволяющим подтвердить указанные факты.

8. Сроки обработки и хранения ПДн

8.1. Сроки обработки ПДн определяются в соответствии с каждой целью обработки. ПДн подлежат уничтожению в порядке, установленном главой 9 настоящего Положения, если иное не предусмотрено федеральным законодательством.

8.2. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

9. Порядок уничтожения ПДн

9.1. Обрабатываемые ПДн подлежат уничтожению в соответствии с Федеральным законом N 152-ФЗ и другими федеральными законами.

9.2. Работники, осуществляющие обработку ПДн в рамках своих полномочий, не реже одного раза в год проводят инвентаризацию документов на бумажных и материальных съемных носителях с истекшими сроками хранения, подлежащих уничтожению.

9.3. По окончании процедуры уничтожения ПДн составляется соответствующий акт:

в случае уничтожения ПДн, находящихся на бумажных носителях, - в соответствии с законодательством об архивном деле;

в случае уничтожения ПДн, находящихся на иных материальных носителях, - по форме, установленной приложением 5 к настоящему Положению.

10. Порядок доступа в помещения, в которых ведется обработка ПДн

10.1. Доступ в помещения органов Администрации, в которых ведется обработка ПДн, осуществляется в соответствии с Перечнем должностей работников, замещение которых предусматривает осуществление обработки ПДн либо осуществление доступа к персональным данным, утвержденным в соответствующем органе Администрации.

10.2. Нахождение в помещениях, в которых ведется обработка ПДн, лиц, не являющихся работниками органа Администрации, возможно только в сопровождении работника, допущенного к обработке ПДн.

10.3. Возможность неконтролируемого проникновения в помещения, в которых ведется обработка ПДн, исключается путем закрытия таких помещений во время отсутствия в помещении работников, замещающих должности согласно Перечню должностей работников, замещение которых предусматривает осуществление обработки ПДн либо осуществление доступа к персональным данным. В случае невозможности закрытия таких помещений по обстоятельствам, не зависящим от работников, замещающих должности согласно Перечню должностей работников, замещение которых предусматривает осуществление обработки ПДн либо осуществление доступа к персональным данным, режим обеспечения безопасности, при котором обеспечивается сохранность носителей информации, содержащих ПДн, обеспечивается путем помещения и закрытия указанных носителей в запираемых шкафах или сейфах на период отсутствия в помещении таких работников.

11. Меры, направленные на обеспечение безопасности ПДн

11.1. В органе Администрации, осуществляющем обработку ПДн, принимаются следующие муниципальные правовые акты:

о назначении лица, ответственного за организацию обработки ПДн в органе Администрации (в случае, если орган Администрации наделён правами юридического лица);

о назначении лица, ответственного за выполнение мероприятий по обеспечению безопасности ПДн в органе Администрации (в случае, если орган Администрации не наделен правами юридического лица и входит в состав оператора ПДн "Администрация города Тобольска);

перечня должностей работников, замещение которых предусматривает осуществление обработки ПДн либо осуществление доступа к ПДн;

перечня ИСПДн;

перечня должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн, в случае обезличивания ПДн;

правила работы в органе Администрации с обезличенными данными, в случае обезличивания ПДн;

перечня помещений, в которых ведется обработка ПДн;

плана проверок в органе Администрации на 2022 год (в случае, если орган Администрации наделён правами юридического лица);

цели обработки ПДн, содержание обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются в органе Администрации (в случае, если орган Администрации наделен правами юридического лица).

11.2. Органы Администрации (в случае, если орган Администрации наделён правами юридического лица), ответственный за организацию обработки ПДн в Администрации, ответственный за выполнение мероприятий по обеспечению безопасности ПДн в органе Администрации осуществляют функции, предусмотренные Должностным регламентом ответственных за организацию обработки ПДн в Администрации, органе Администрации согласно приложению 6 к настоящему Положению, использование типовых форм, предусмотренных приложениями 2 - 4 к настоящему Положению, а также применение правил, предусмотренных приложением 1 к настоящему Положению, при осуществлении возложенных законодательством, муниципальными правовыми актами города Тобольска функций, полномочий и обязанностей. Использование типовой формы, предусмотренной приложением 7 к настоящему Положению, обеспечивается органом Администрации, наделенным правами юридического лица, а также ответственным за выполнение мероприятий по обеспечению безопасности ПДн в органе Администрации.

11.3. Руководители органов Администрации обязаны незамедлительно сообщать ответственному за организацию обработки ПДн в Администрации, ответственному за организацию обработки ПДн в соответствующем органе Администрации о фактах несоблюдения условий хранения носителей ПДн, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн.

12. Правила осуществления внутреннего контроля, аудита соответствия обработки ПДн требованиям к защите ПДн в органе Администрации, контроля за выполнением требований к защите ПДн при их обработке в ИСПДн, а также контроля за приемом и обработкой обращений и запросов субъектов ПДн или их представителей

12.1. Внутренний контроль соответствия обработки ПДн требованиям к защите ПДн осуществляется:

ответственным за организацию обработки ПДн в Администрации, органе Администрации - в случаях проведения плановых проверок;

комиссией по осуществлению внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн в Администрации (далее - Комиссия) - в случаях проведения внеплановых проверок.

12.2. В Комиссию, предусмотренную абзацем 3 пункта 12.1 настоящего Положения входят:

ответственный за организацию обработки ПДн в Администрации - председатель Комиссии;

работник УД АГТ - секретарь комиссии;

ответственный за организацию обработки ПДн в органе Администрации или ответственный за выполнение мероприятий по обеспечению безопасности ПДн в органе Администрации - член Комиссии;

председатель Комитета информатизации УД АГТ - член Комиссии;

начальник Отдела специальных мероприятий Администрации - член Комиссии.

Секретарь Комиссии является ответственным за обеспечение организационно-документационной работы Комиссии, в том числе за обеспечение хранения документов, образуемых в результате работы Комиссии.

12.3. Проверке условий обработки ПДн (далее - Проверки) подлежит организационно-распорядительная документация по обеспечению безопасности ПДн.

12.4. Проверки данных подразделяются на плановые и внеплановые (далее при совместном упоминании - проверочные мероприятия).

12.5. Плановые проверки органов Администрации проводятся не реже одного раза в год в соответствии с планом проведения проверок в Администрации (органе Администрации, наделенном правами юридического лица), утверждаемым муниципальным правовым актом за подписью уполномоченного должностного лица в срок не позднее 31 декабря года, предшествующего году проведения плановой проверки.

В ежегодном плане проведения проверок указывается субъект плановой проверки (субъекты плановых проверок), период проведения плановой проверки (плановых проверок). Период проведения плановой проверки в одном органе Администрации не может превышать 10 рабочих дней.

12.6. Одновременно с проведением плановой проверки ответственный за организацию обработки ПДн в Администрации (в органе Администрации) осуществляет контроль за приемом и обработкой обращений и запросов субъектов ПДн или их представителей.

Предметом контроля за приемом и обработкой обращений и запросов субъектов ПДн или их представителей является установление фактов несоблюдения Администрацией, органом Администрации требований главы 7 настоящего Положения. Результаты соответствующего контроля указываются ответственным за организацию обработки ПДн в Администрации (в органе Администрации) в Проверочном листе, предусмотренном пунктом 12.8 настоящего Положения.

12.7. Внеплановые проверки проводятся Комиссией в соответствии с компетенцией, установленной настоящей главой, в связи с поступлением обращений (заявлений, жалоб) физических и (или) юридических лиц, служебных записок руководителей органов Администрации, содержащих указание на факты несоблюдения органами Администрации требова