Приложение 1. Правила обработки персональных данных в Саратовской городской Думе. Постановление председателя Саратовской городской Думы от 27.03.2023 N 02-02-01-01 "О работе с персональными данными в Саратовской городской Думе"

Приложение 1
к постановлению председателя
Саратовской городской Думы
от 27 марта 2023 года N 02-02-01-01

Правила
обработки персональных данных в Саратовской городской Думе

1. Правила обработки персональных данных в Саратовской городской Думе (далее - Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют содержание персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

2. Субъектами персональных данных являются лица, замещающие муниципальные должности, муниципальные служащие, работники, граждане, в том числе претендующие на замещение вакантных должностей муниципальной службы Саратовской городской Думы (далее - субъекты персональных данных).

3. Непосредственно обработку персональных данных осуществляют работники городской Думы (далее - работники оператора) в соответствии с возложенными на них муниципальными правовыми актами задачами и функциями. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

4. Персональные данные субъектов персональных данных обрабатываются в целях исполнения полномочий Саратовской городской Думы (далее - городская Дума, оператор), в том числе:

4.1. Кадровой работы, обучения и должностного роста, обеспечения муниципальным служащим установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, а также в целях противодействия коррупции.

4.2. Ведения бухгалтерского учета.

4.3. Рассмотрения обращений граждан.

5. Обработка персональных данных субъектов персональных данных осуществляется на основании письменного согласия субъектов персональных данных как с использованием средств автоматизации, так и без использования таких средств.

6. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов персональных данных осуществляется путем:

6.1. Получения оригиналов необходимых документов (заявление, обращение, трудовая книжка, иные документы).

6.2. Копирования оригиналов документов.

6.3. Внесения сведений в учетные формы (на бумажных и электронных носителях).

6.4. Формирования персональных данных в ходе кадровой работы.

6.5. Внесения персональных данных в информационные системы оператора.

7. При сборе персональных данных работник оператора, осуществляющий сбор персональных данных непосредственно от субъектов персональных данных, разъясняет субъектам персональных данных юридические последствия отказа предоставить их персональные данные.

8. Передача (распространение, предоставление) и использование персональных данных работников оператора, граждан, в том числе претендующих на замещение должностей оператора, осуществляется лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации.

9. Работником оператора могут обрабатываться следующие персональные данные:

9.1. Фамилия, имя, отчество, адрес субъекта персональных данных, номер документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, номер телефона, семейное положение.

9.2. Фамилия, имя, отчество, адрес представителя субъекта персональных данных, номер документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных).

9.3. Иные персональные данные, необходимые для достижения целей, указанных в пункте 4 Правил, согласно приложению 8 к настоящему распоряжению.

10. При обработке персональных данных работник оператора не вправе запрашивать у субъектов персональных данных персональные данные третьих лиц.

11. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных оператора, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

11.1. Назначение оператором ответственного за организацию обработки персональных данных в городской Думе (далее - ответственный за обработку персональных данных).

11.2. Издание оператором правовых актов по вопросам обработки персональных данных, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

11.3. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных оператора в соответствии со статьей 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных").

11.4. Применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия.

11.5. Оценка эффективности применяемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.

11.6. Ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, и (или) обучение работников оператора.

11.7. Учет машинных носителей персональных данных.

11.8. Обнаружение фактов несанкционированного доступа к персональным данным.

11.9. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

11.10. Установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных оператора, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных оператора.

11.11. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных.

11.12. Исполнение обязанностей оператора в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждение и ликвидацию последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

12. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

13. Работники оператора, осуществляющие обработку персональных данных в информационных системах персональных данных, должны обеспечить:

13.1. Своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных в информационных системах персональных данных оператора.

13.2. Недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование.

13.3. Знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией, касающейся соответствующей информационной системы персональных данных.

13.4. При обнаружении нарушений в порядке предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин.

14. Сроки обработки персональных данных ограничиваются достижением целей их обработки.

15. Сроки хранения персональных данных не должны превышать сроков хранения, установленных законодательством Российской Федерации.

16. Обрабатываемые персональные данные подлежат уничтожению по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.