Постановление Администрации города Южно-Сахалинска от 06.12.2022 N 3032-па "О внесении изменений в постановление администрации города Южно-Сахалинска от 21.02.2020 N 489-па "Об обработке персональных данных в администрации города Южно-Сахалинска" (документ не действует)

Постановление Администрации города Южно-Сахалинска от 6 декабря 2022 г. N 3032-па
"О внесении изменений в постановление администрации города Южно-Сахалинска от 21.02.2020 N 489-па "Об обработке персональных данных в администрации города Южно-Сахалинска"

В соответствии с Федеральным законом от 14.07.2022 N 266-ФЗ "О внесении изменений в федеральный закон "О персональных данных", отдельные законодательные акты российской федерации и признании утратившей силу части четырнадцатой статьи 30 федерального закона "О банках и банковской деятельности", ст. 37 Устава городского округа "Город Южно-Сахалинск", администрация города Южно-Сахалинска постановляет:

1. Внести в Правила обработки персональных данных в администрации города Южно-Сахалинска, утвержденные постановлением администрации города Южно-Сахалинска от 21.02.2020 N 489-па "Об обработке персональных данных в администрации города Южно-Сахалинска", следующие изменения:

1.1. Раздел 1 дополнить пунктом 1.3 следующего содержания:

"1.3. Нормативные правовые акты, по вопросам касающимся обработки персональных данных, подлежат обязательному согласованию с уполномоченным органом по защите прав субъектов персональных данных в случаях, если указанные нормативные правовые акты регулируют отношения, связанные с осуществлением трансграничной передачи персональных данных, обработкой специальных категорий персональных данных, биометрических персональных данных, персональных данных несовершеннолетних, предоставлением, распространением персональных данных, полученных в результате обезличивания. Срок указанного согласования не может превышать тридцать дней с даты поступления соответствующего нормативного правового акта в уполномоченный орган по защите прав субъектов персональных данных".

1.2. Раздел 2 дополнить подпунктами 2.1.1, 2.4.9, 2.4.10, 2.4.11 и пунктом 2.10 следующего содержания:

"2.1.1. В соответствии с ч. 3 ст. 6 Федерального закона N 152-ФЗ Администрация вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия Администрацией соответствующего акта (далее - поручение Администрации). Лицо, осуществляющее обработку персональных данных по поручению Администрации, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом N 152-ФЗ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом N 152-ФЗ. В поручении Администрации должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона N 152-ФЗ, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона N 152-ФЗ, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона N 152-ФЗ.

2.4.9. В случае необходимости трансграничной передаче персональных данных, до начала осуществления деятельности по передаче, Администрация обязана уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных. Указанное уведомление направляется в соответствии с требованиями ст. 12 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

2.4.10. Оператор, обеспечивающий эксплуатацию аппаратно-технического и программного обеспечения ЕМТС обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

2.4.11. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Администрация обязана с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

2.10. Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных частью 2 статьи 11 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных". Администрация не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным".

2. Внести в Правила рассмотрения запросов субъектов персональных данных или их представителей в администрации города Южно-Сахалинска, утвержденные постановлением администрации города Южно-Сахалинска от 21.02.2020 N 489-па "Об обработке персональных данных в администрации города Южно-Сахалинска", следующие изменения:

2.1. Раздел 1 дополнить пунктом 1.7 следующего содержания:

"1.7. Сведения, указанные в части 7 статьи 14 Федерального закона N 152-ФЗ, предоставляются субъекту персональных данных или его представителю оператором в течение десяти рабочих дней с момента обращения либо получения оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Сведения предоставляются субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе".

2.2. Пункты 2.2, 2.3, 2.5, 2.7 раздела 2 изложить в следующей редакции:

"2.2. Уполномоченные должностные лица Администрации обязаны сообщить в порядке, предусмотренном ст. 14 Федерального закона N 152-ФЗ, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение 10 (десяти) рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

2.3. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или его персональных данных, субъекту персональных данных или его представителю при их обращении, либо при получении запроса субъекта персональных данных или его представителя, уполномоченные должностные лица Администрации обязаны дать в письменной форме мотивированный ответ, содержащий ссылку на положение п. 8 ст. 14 Федерального закона N 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 10 (десяти) рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

2.5. Уполномоченные должностные лица Администрации обязаны сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 (десяти) рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

2.7. Во всем ином, что не урегулировано настоящими Правилами в том числе по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных, при работе с запросами, уведомлениями и иными обращениями по вопросам обработки персональных данных уполномоченные должностные лица Администрации руководствуются действующим законодательством".

3. Настоящее постановление опубликовать в газете "Южно-Сахалинск сегодня" и разместить на официальном сайте администрации города Южно-Сахалинска.

4. Контроль исполнения постановления администрации города Южно-Сахалинска возложить на директора Департамента мобилизационной подготовки и защиты информации аппарата администрации города Южно-Сахалинска (Гулаков А.В.).

Мэр города

С.А. Надсадин