Руководствуясь Федеральным законом от 6 октября 2003 года N 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации", Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", статьями 11, 37, 38, 42 Устава города Иркутска, администрация города Иркутска постановляет:
1. Утвердить:
1) Политику обработки персональных данных в администрации города Иркутска (прилагается);
2) Правила работы с обезличенными данными в администрации города Иркутска в случае обезличивания персональных данных (прилагается);
3) Типовое обязательство лица, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей (прилагается);
4) Типовую форму согласия на обработку персональных данных субъектов персональных данных (прилагается);
5) Типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные и (или) дать согласие на их обработку (прилагается);
6) Порядок доступа в помещения администрации города Иркутска, в которых ведется обработка персональных данных (прилагается);
7) Примерную форму отзыва согласия на обработку персональных данных (прилагается).
2. Отменить:
1) постановление администрации города Иркутска от 9 августа 2012 года N 031-06-1614/12 "О реализации отдельных мер по защите персональных данных в органах местного самоуправления города Иркутска";
2) постановление администрации города Иркутска от 15 октября 2012 года N 031-06-2042/12 "О внесении изменений в постановление администрации г. Иркутска от 09.08.2012 N 031-06-1614/2";
3) постановление администрации города Иркутска от 2 марта 2015 года N 031-06-188/5 "О внесении изменений в постановление администрации города Иркутска от 09.08.2012 N 031-06-1614/12";
4) постановление администрации города Иркутска от 8 июля 2016 года N 031-06-644/6 "О внесении изменений в постановление администрации города Иркутска от 09.08.2012 N 031-06-1614/12";
5) постановление администрации города Иркутска от 28 марта 2018 года N 031-06-235/8 "О внесении изменений в постановление администрации города Иркутска от 9 августа 2012 года N 031-06-1614/12 "О реализации отдельных мер по защите персональных данных в органах местного самоуправления города Иркутска";
6) постановление администрации города Иркутска от 28 июня 2019 года N 031-06-460/9 "О внесении изменений в постановление администрации города Иркутска от 9 августа 2012 года N 031-06-1614/12 "О реализации отдельных мер по защите персональных данных в органах местного самоуправления города Иркутска";
7) постановление администрации города Иркутска от 20 декабря 2022 года N 031-06-979/22 "О внесении изменений в Политику в отношении обработки персональных данных в органах местного самоуправления города Иркутска, утвержденную постановлением администрации города Иркутска от 9 августа 2012 года N 031-06-1614/12 "О реализации отдельных мер по защите персональных данных в органах местного самоуправления города Иркутска".
3. Признать утратившими силу:
1) пункт 2 постановления администрации города Иркутска от 25 февраля 2014 года N 031-06-176/14 "О внесении изменений в муниципальные правовые акты города Иркутска";
2) пункт 6 постановления администрации города Иркутска от 5 декабря 2014 года N 031-06-1461/14 "О внесении изменений в некоторые муниципальные правовые акты города Иркутска".
4. Отделу документационного обеспечения и архива организационного управления аппарата администрации города Иркутска внести:
1) в оригиналы постановлений администрации города Иркутска, указанных в пункте 2 настоящего Постановления, информационные справки об утрате их силы в связи с отменой настоящим Постановлением;
2) в оригиналы постановлений администрации города Иркутска, указанных в пункте 3 настоящего Постановления, информационные справки об утрате силы соответствующих пунктов.
5. Назначить лицом, ответственным за организацию обработки персональных данных в администрации города Иркутска, заместителя мэра - руководителя аппарата администрации города Иркутска.
6. Руководителям органов администрации города Иркутска (структурных подразделений) органов администрации города Иркутска, являющихся юридическими лицами, назначить ответственного за организацию обработки персональных данных в возглавляемом отраслевом (функциональном) органе (структурном подразделении органа), территориальном органе администрации города Иркутска не ниже заместителя руководителя указанного органа (структурного подразделения органа), внести соответствующие изменения в их должностные инструкции (если такие изменения не внесены).
7. Руководителям отраслевых (функциональных) органов (структурных подразделений органов), территориальных органов администрации города Иркутска, в которых осуществляется обработка персональных данных:
1) своими индивидуальными правовыми актами:
определить для каждой цели обработки персональных данных категории и перечень обрабатываемых в возглавляемом органе (структурном подразделении органа) администрации города Иркутска персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований;
утвердить перечень должностей работников возглавляемого органа (структурного подразделения органа) администрации города Иркутска, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, а также перечень должностей работников возглавляемого органа (структурного подразделения органа) администрации города Иркутска, имеющих право беспрепятственного доступа в помещения, в которых ведется обработка персональных данных либо хранятся носители персональных данных;
утвердить перечень должностей муниципальных служащих (работников) возглавляемых органов (структурных подразделений органов) администрации города Иркутска, ответственных за проведение мероприятий по обезличиванию персональных данных (при осуществлении обезличивания персональных данных);
назначить лиц, осуществляющих обработку персональных данных в возглавляемом органе (структурном подразделении органа) администрации города Иркутска;
2) обеспечить поддержание принятых ими в соответствии с настоящим Постановлением правовых актов в актуальном состоянии и в случае их изменения направление копий принятых правовых актов в отдел информационной безопасности управления информатизации аппарата администрации города Иркутска в срок не позднее месяца со дня принятия соответствующего правового акта.
8. Управлению по информационной политике аппарата администрации города Иркутска опубликовать настоящее Постановление с приложениями в средствах массовой информации и разместить на официальном сайте органов местного самоуправления города Иркутска в информационно-телекоммуникационной сети "Интернет".
9. Аппарату администрации города Иркутска при приеме граждан на работу на должности в органах местного самоуправления, замещение которых предусматривает обработку персональных данных либо доступ к материальным носителям персональных данных, требовать предоставления данными лицами документов, предусмотренных приложениями к настоящему Постановлению, указанными в подпунктах 3 - 5 пункта 1 настоящего Постановления.
10. Контроль за исполнением настоящего Постановления оставляю за собой.
Мэр города Иркутска |
Р.Н. Болотов |
УТВЕРЖДЕНА
постановлением администрации
города Иркутска
от 05.05.2023 N 031-06-336/23
Политика
обработки персональных данных в администрации города Иркутска
Глава 1. Введение
1. Настоящая Политика является документом, определяющим политику администрации города Иркутска в отношении обработки персональных данных (далее - ПДн).
2. Операторами, организующими и осуществляющими обработку ПДн, являются администрация города Иркутска, органы (структурные подразделения органов) администрации города Иркутска, наделенные правами юридического лица.
3. Настоящая Политика является открытым документом и предназначена для ознакомления неограниченным кругом лиц.
4. Политика разработана в соответствии с требованиями Федерального закона от 27 июля 2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), постановления Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановления Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
5. В Политике определены перечень субъектов ПДн, ПДн которых обрабатываются Оператором, цели обработки ПДн, условия обработки ПДн и их передачи третьим лицам, права субъектов ПДн, а также иные вопросы, связанные с обработкой Оператором ПДН.
6. Настоящая Политика подлежит официальному опубликованию в информационно-телекоммуникационной сети "Интернет" на WEB-портале органов местного самоуправления города Иркутска.
Глава 2. Общие положения
7. Целью настоящей Политики является обеспечение обработки ПДн в соответствии с требованиями законодательства Российской Федерации в сфере защиты ПДн, обеспечение безопасности ПДн, обрабатываемых Оператором, от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн.
8. Безопасность ПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иных неправомерных действий.
9. При обработке ПДн Оператор придерживается следующих принципов:
1) соблюдение законности получения, обработки, хранения, а также иных действий, совершаемых с ПДн;
2) обработка ПДн исключительно в законных целях;
3) хранение ПДн, обработка которых осуществляется с не связанными между собой целями, в различных базах данных;
4) сбор только тех ПДн, которые минимально необходимы для достижения заявленных целей обработки;
5) выполнение мер по обеспечению безопасности ПДн, их точности, достаточности и других характеристик при обработке и хранении;
6) соблюдение прав субъекта ПДн на доступ к его ПДн;
7) соблюдение требований по уничтожению либо обезличиванию ПДн по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
10. Оператором принятие решений на основании исключительно автоматизированной обработки ПДн, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, не производится.
Глава 3. Обрабатываемые ПДн
11. Информационные системы персональных данных (далее - ИСПДн), принадлежащие Оператору, предназначены для обработки ПДн:
1) лиц, состоящих в трудовых отношениях с органами местного самоуправления города Иркутска (муниципальных служащих и (или) работников органов местного самоуправления города Иркутска, замещающих должности, не являющиеся должностями муниципальной службы, на основании трудового договора (далее - служащие)), в том числе бывших работников;
2) лиц, связанных со служащими, чьи данные необходимо обрабатывать в соответствии с трудовым и иным законодательством (для выплаты алиментов по решению суда, в целях заполнения унифицированной формы N Т-2 "Личная карточка работника" в соответствии с трудовым законодательством и т.д.);
3) граждан Российской Федерации, иностранных граждан, в том числе несовершеннолетних детей и их законных представителей (родителей, приемных родителей и опекунов);
4) контрагентов (представителей организаций, физических лиц, индивидуальных предпринимателей), с которыми заключены муниципальные контракты (договоры).
12. Под обработкой ПДн Оператором понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение ПДн.
13. Оператором не допускается обработка ПДн, касающихся:
1) расовой и национальной принадлежности;
2) политических взглядов;
3) религиозных и философских убеждений;
4) интимной жизни.
14. Обработка Оператором ПДн о судимости допускается только в случаях и в порядке, которые определяются в соответствии с федеральными законами Российской Федерации.
15. Обработка Оператором ПДн о состоянии здоровья допускается только в случаях, установленных федеральными законами Российской Федерации, или с письменного согласия субъекта ПДн.
16. Обработку ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи Оператор не осуществляет.
Глава 4. Цели обработки ПДн, обработка ПДн
17. Цели обработки ПДн Оператором определены в соответствии с законодательством Российской Федерации, Уставом города Иркутска. Обработка ПДн осуществляется для достижения следующих целей:
1) для осуществления и выполнения возложенных законодательством Российской Федерации, нормативными правовыми актами Иркутской области, Уставом города Иркутска, иными нормативными правовыми актами города Иркутска на органы местного самоуправления функций, полномочий и обязанностей;
2) обработка Оператором ПДн заявителей для предоставления государственных или муниципальных услуг в соответствии с Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";
3) исполнение обязанностей как работодателя;
4) заключение и исполнение муниципальных контрактов (договоров) с контрагентами (физическими лицами, индивидуальными предпринимателями, юридическими лицами);
5) архивное хранение документов в соответствии с законодательством Российской Федерации.
18. Обработка ПДн Оператором осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом N 152-ФЗ.
19. Обработка ПДн Оператором происходит как неавтоматизированным, так и автоматизированным способом.
20. К обработке ПДн допускаются только служащие, прошедшие определенную процедуру допуска, к которой относятся:
1) ознакомление служащего под роспись с локальными нормативными актами Оператора (положения, инструкции и т.д.), строго регламентирующими порядок и процедуру работы с ПДн;
2) взятие со служащего подписки о соблюдении конфиденциальности в отношении ПДн при работе с ними, а также при прекращении обработки ПДн, ставших известными ему в связи с исполнением должностных обязанностей, в случае расторжения с ним трудового договора;
3) получение служащим и использование в работе индивидуальных атрибутов доступа к информационным системам (далее - ИС) Оператора, содержащих ПДн. При этом каждому служащему выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в ИСПДн.
21. Служащие получают доступ только к тем ПДн, которые необходимы им для выполнения конкретных трудовых функций.
Глава 5. Хранение ПДн
22. Оператор ПДн хранит в бумажном и электронном виде. В электронном виде ПДн хранятся в ИСПДн, а также в архивных копиях баз данных этих ИСПДн.
23. При хранении ПДн соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ПДн. К ним относятся:
1) назначение служащего, ответственного за обработку ПДн;
2) назначение служащего, ответственного за обеспечение безопасности ПДн в ИСПДн;
3) применение утвержденной и поддерживаемой в актуальном состоянии организационно-распорядительной документации;
4) организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения, ограничение физического доступа к техническим средствам ИСПДн, средствам защиты информации, средствам обеспечения функционирования, местам хранения и носителям ПДн;
5) утверждение Оператором документов, определяющих перечень лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей;
6) учет всех информационных систем и электронных носителей, а также архивных копий;
7) применение сертифицированных средств защиты информации и средств криптографической защиты информации (далее - СКЗИ).
24. Места хранения носителей ПДн, порядок хранения, учета, уничтожения и предоставления доступа к ним регламентируются внутренними документами Оператора.
Глава 6. Передача ПДн
25. Для целей обработки данных Оператор может передавать ПДн исключительно своим служащим и третьим лицам, подписавшим личное обязательство по обеспечению конфиденциальности и безопасности полученных сведений.
26. Передача ПДн третьим лицам возможна в исключительных случаях только с согласия субъекта ПДн и только с целью исполнения обязанностей перед субъектом ПДн в рамках договора, либо, когда такая обязанность у Оператора наступает в результате требований федерального законодательства Российской Федерации или при поступлении запроса от уполномоченных государственных органов.
27. При передаче ПДн в электронном виде третьим лицам по открытым каналам связи Оператор обеспечивает все необходимые меры по защите передаваемой информации в соответствии с требованиями действующего законодательства Российской Федерации в области защиты ПДн.
28. Администрацией города Иркутска в соответствии с Федеральным законом N 152-ФЗ осуществляется трансграничная передача ПДн. Обработку ПДн, в отношении которых осуществляется или предполагается трансграничная передача ПДн, осуществляет отдел протокола и международной деятельности аппарата администрации города Иркутска.
Глава 7. Поручение обработки ПДн
29. Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн (в согласие включаются: наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора), если иное не предусмотрено Федеральным законом N 152-ФЗ, на основании заключаемого с этим лицом муниципального контракта. При этом в поручении Оператор определяет перечень действий (операций) с ПДн и цели их обработки, устанавливает обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, выполнять требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона N 152-ФЗ, обязанность по запросу Оператора в течение срока действия поручения Оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения требований поручения Оператора, а также указывает требования к защите обрабатываемых ПДн в соответствии со статьей 19 Федерального закона N 152-ФЗ, в том числе требование об уведомлении Оператора о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона N 152-ФЗ.
30. Лицо, осуществляющее обработку ПДн по поручению, обязано соблюдать принципы и правила обработки ПДн, предусмотренные законодательством. В случае поручения обработки ПДн другому лицу Оператор несет ответственность перед субъектом ПДн за действия указанного лица.
Глава 8. Уничтожение ПДн
31. Под уничтожением ПДн понимаются действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.
32. Оператор обязуется прекратить обработку ПДн и в сроки, установленные законодательством Российской Федерации, уничтожить собранные ПДн, если иное не установлено законодательством Российской Федерации, в следующих случаях:
1) по достижении целей обработки ПДн или при утрате необходимости в их достижении;
2) по требованию субъекта ПДн или уполномоченного органа по защите прав субъектов ПДн, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
3) при отзыве субъектом ПДн согласия на обработку своих ПДн, если такое согласие требуется в соответствии с законодательством Российской Федерации;
4) при невозможности устранения Оператором допущенных в соответствии с Федеральным законом N 152-ФЗ нарушений при обработке ПДн.
33. Уничтожение персональных данных, обрабатываемых без использования средств автоматизации, оформляется в соответствии с приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 года N 179 "Об утверждении Требований к подтверждению уничтожения персональных данных" (далее - приказ N 179) актом об уничтожении персональных данных.
Уничтожение персональных данных, обрабатываемых с использованием средств автоматизации, оформляется в соответствии с приказом N 179 актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных.
Глава 9. Защита ПДн, внутренний контроль и оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона N 152-ФЗ
34. Обеспечение безопасности ПДн у Оператора достигается следующими мерами:
1) введением системы защиты ПДн;
2) назначением служащего, ответственного за организацию обработки ПДн;
3) назначением служащего, ответственного за обеспечение безопасности ПДн в ИСПДн (администратора безопасности ИСПДн), а также ответственного пользователя криптосредств и лица, ответственного за выявление и реагирование на инциденты информационной безопасности;
4) проведением аудита ИСПДн Оператора, содержащих ПДн, определением требуемого уровня защищенности ПДн, обрабатываемых в ИСПДн и класса защищенности муниципальных информационных систем Оператора;
5) определением типа угроз безопасности ПДн и разработкой Модели угроз безопасности ПДн при их обработке в ИСПДн;
6) утверждением документа, определяющего перечень лиц, доступ которым к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей;
7) организацией режима обеспечения безопасности помещений, в которых размещены ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
8) обеспечением сохранности носителей ПДн, а также обеспечением учета машинных носителей ПДн;
9) определением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
10) обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
11) восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
12) разработкой и утверждением локальных нормативных актов Оператора, регламентирующих порядок обработки ПДн, а также разработкой для пользователей и ответственных лиц рабочих инструкций;
13) контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ПДн, обрабатываемых в ИСПДн;
14) проведением периодического обучения и ознакомления служащих, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику администрации города Иркутска в отношении обработки ПДн, локальными актами по вопросам обработки ПДн;
15) реализацией технических мер, снижающих вероятность реализаций угроз безопасности ПДн, при помощи сертифицированных средств защиты информации и СКЗИ;
16) проведением периодических проверок (внутреннего контроля) состояния защищенности ИСПДн Оператора и законодательства Российской Федерации о персональных данных, служащим ответственным за организацию обработки ПДн.
35. Оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона N 152-ФЗ осуществляется ответственным за организацию обработки персональных данных либо комиссией, образуемой Оператором в соответствии с приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 года N 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных".
Глава 10. Согласие субъекта ПДн на обработку его ПДн
36. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе.
37. Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн органы местного самоуправления города Иркутска вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона N 152-ФЗ.
38. Согласие на обработку ПДн дается субъектом ПДн или его представителем по типовой форме согласия на обработку персональных данных субъектов персональных данных, являющейся приложением к постановлению администрации города Иркутска "О реализации отдельных мер по защите персональных данных в администрации города Иркутска", если иное не установлено законодательством, муниципальными правовыми актами города Иркутска.
Требования к содержанию согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.
39. В случаях, предусмотренных федеральным законом, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн.
40. В случае недееспособности субъекта ПДн согласие на обработку его ПДн дает законный представитель субъекта ПДн.
41. В случае смерти субъекта ПДн согласие на обработку его ПДн дают наследники субъекта ПДн, если такое согласие не было дано субъектом ПДн при его жизни.
42. ПДн могут быть получены Оператором от лица, не являющегося субъектом ПДн, при условии предоставления Оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона N 152-ФЗ.
Глава 11. Права субъекта ПДн
43. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, за исключением случаев, когда право субъекта ПДн на доступ к ПДн может быть ограничено в соответствии с федеральными законами.
44. В частности, субъект ПДн имеет право на получение следующей информации, касающейся обработки его ПДн:
1) подтверждение факта обработки ПДн;
2) правовые основания и цели обработки ПДн;
3) цели и применяемые Оператором способы обработки ПДн;
4) наименование и место нахождения Оператора, сведения о лицах (за исключением служащих), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;
5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения;
6) сроки обработки ПДн, в том числе сроки их хранения;
7) порядок осуществления субъектом ПДн своих прав;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
10) информацию о способах исполнения Оператором обязанностей, установленных статьей 18.1 Федерального закона N 152-ФЗ;
11) иные сведения, предусмотренные настоящим Федеральным законом N 152-ФЗ или другими федеральными законами.
45. Получить информацию, указанную в пункте 44 настоящей Политики, субъект ПДн может, обратившись с письменным запросом к Оператору. Содержание запроса должно соответствовать требованиям части 3 статьи 14 Федерального закона N 152-ФЗ. Ответ, содержащий запрашиваемую информацию, либо мотивированный отказ в ее предоставлении направляется по адресу, указанному в запросе, в течение 30 дней.
46. Порядок обработки запросов субъектов ПДн по выполнению их законных прав определяется распоряжением администрации города Иркутска от 2 марта 2015 года N 031-10-125/5 "Об утверждении Правил рассмотрения запросов субъектов персональных данных и их представителей в администрации города Иркутска".
Глава 12. Обязанности Оператора, лица, ответственного за организацию обработки ПДн
47. Оператор обязуется осуществлять обработку ПДн только с согласия субъектов ПДн, за исключением случаев, предусмотренных Федеральным законом N 152-ФЗ. Оператор обязан предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона 152-ФЗ.
48. При сборе ПДн Оператор обязуются по запросу субъекта ПДн предоставлять информацию, касающуюся обработки его ПДн, перечисленную в пункте 43 настоящей Политики. В случае если предоставление ПДн и (или) получение Оператором согласия является обязательным в соответствии с Федеральным законом N 152-ФЗ, оператор обязуются разъяснять субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку.
49. Если ПДн получены не от субъекта ПДн, Оператор до начала обработки таких ПДн обязуются предоставить субъекту ПДн сведения, касающиеся обработки его ПДн, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона N 152-ФЗ. В случаях если администрация города Иркутска, орган (структурное подразделение органа) администрации города Иркутска не являются оператором ПДн, полученных от субъектов ПДн, обязанность по предоставлению субъекту ПДн соответствующих сведений возлагается на оператора ПДн, от которого эти данные получены.
50. Оператор при обработке ПДн обязуется принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн. Описание принимаемых мер приведены в пункте 34 настоящей Политики.
51. Оператор обязуется отвечать на запросы субъектов ПДн, их представителей, а также уполномоченного органа по защите прав субъектов ПДн касательно обрабатываемых ПДн в соответствии с требованиями законодательства.
52. В случае предоставления субъектом ПДн либо его представителем сведений, подтверждающих факты каких-либо нарушений в процессе обработки ПДн, Оператор обязуется устранить данные нарушения или обеспечить их устранение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней и уведомить субъекта ПДн о внесенных изменениях и предпринятых мерах.
53. Оператор выполняет обязанности по устранению нарушений законодательства, допущенных при обработке ПДн, по уточнению, блокированию и уничтожению персональных ПДн, предусмотренные статьей 21 Федерального закона N 152-ФЗ.
54. Оператор обязуется, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона N 152-ФЗ, уведомлять уполномоченный орган по защите прав субъектов ПДн:
1) об обработке (о намерении осуществлять обработку) ПДн, изменении сведений, указанных в уведомлении, или о прекращении обработки ПДн по формам, определенным приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 года N 180 "Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных";
2) об установление факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, включая успешно реализованные компьютерные атаки на информационную инфраструктуру повлекшей нарушение прав субъектов персональных данных обрабатываемых в ИСПДн и муниципальных информационных системах администрации города Иркутска и структурных подразделениях администрации города Иркутска в срок, предусмотренный частью 3.1 статьи 21 Федерального закона N 152-ФЗ;
3) о своем намерении осуществлять деятельность по трансграничной передаче персональных данных. Указанное уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных.
Уведомление уполномоченного органа по защите прав субъектов ПДн об обработке (о намерении осуществлять обработку) ПДн, изменении сведений, указанных в уведомлении, или о прекращении обработки ПДн, а также установлении фактов нарушений обработки ПДн осуществляет лицо, организующее обработку ПДн, или иное лицо, определенное правовым актом заместителя мэра - руководителя аппарата администрации города Иркутска (применительно к Оператору - администрация города Иркутска), правовым актом руководителя органа (структурного подразделения органа) администрации города Иркутска, наделенного правами юридического лица (применительно к Оператору - органу (структурному подразделению органа) администрации города Иркутска, наделенный (наделенное) правами юридического лица).
55. Лицо, ответственное за организацию обработки ПДн, выполняет следующие должностные обязанности, которые подлежат включению в его должностную инструкцию:
1) осуществляет внутренний контроль за соблюдением требований законодательства Российской федерации при обработке ПДн Оператора, в том числе требований к защите персональных данных;
2) доводит до сведения работников Оператора положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
3) организует прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществляет контроль за приемом и обработкой таких обращений и запросов;
4) выполняет иные обязанности, возложенные на него федеральными законами и принятыми в соответствии с ними нормативными правовыми актами Российской Федерации, муниципальными правовыми актами города Иркутска, регламентирующими вопросы обработки ПДн.
Глава 13. Ответственность
56. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн в администрации города Иркутска, органах (структурных подразделениях органов) администрации города Иркутска, привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном действующим законодательством Российской Федерации.
Глава 14. Изменение Политики
57. Оператор имеет право вносить изменения в настоящую Политику.
58. Новая редакция Политики подлежит размещению в информационно-телекоммуникационной сети "Интернет" на WEB-портале органов местного самоуправления города Иркутска.
УТВЕРЖДЕНЫ
постановлением администрации
города Иркутска
от 05.05.2023 N 031-06-336/23
Правила
работы с обезличенными данными в администрации города Иркутска в случае обезличивания персональных данных
1. Настоящие Правила определяют порядок работы с обезличенными данными в администрации города Иркутска (далее - Оператор) и разработаны в соответствии с:
Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ);
постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (далее - постановление N 687);
постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требования к защите персональных данных при их обработке в информационных системах персональных данных" (далее - постановление N 1119);
приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 года N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (далее - приказ N 996).
2. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона N 152-ФЗ.
3. Обезличивание персональных данных Оператора проводится с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных Оператора и по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
4. Обезличиванию подвергаются персональные данные, обработка которых осуществляется как с использованием, так и без использования средств автоматизации.
5. Для обезличивания персональных данных, обработка которых осуществляется с использованием средств автоматизации применяются методы по обезличиванию персональных данных, утвержденные приказом N 996.
6. Перечень должностей муниципальных служащих (работников) администрации города Иркутска, ответственных за обезличивание персональных данных (при осуществлении обезличивания персональных данных), определяется и утверждается руководителем отраслевого (функционального) органа (структурного подразделения органа) администрации города Иркутска, территориального органа администрации города Иркутска.
7. Предложения по обезличиванию персональных данных, обоснование такой необходимости и метод обезличивания готовят работники, осуществляющие обработку соответствующих персональных данных, и представляют своему непосредственному руководителю для принятия решения об обезличивании.
8. При использовании процедуры обезличивания не допускается совместное хранение персональных данных и обезличенных данных.
При реализации процедур обезличивания не должны нарушаться права субъекта персональных данных.
9. Обработка обезличенных персональных данных с использованием средств автоматизации должна вестись в соответствии с постановлением N 1119 и с соблюдением положений распоряжения администрации города Иркутска от 7 декабря 2010 года N 031-10-1167/10 "Об утверждении Положения о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации г. Иркутска".
10. Обработка обезличенных персональных данных без использования средств автоматизации должна вестись в соответствии с постановлением N 687 и с соблюдением положений распоряжения администрации города Иркутска от 17 декабря 2010 года N 031-10-1228/10 "Об организации обработки персональных данных, осуществляемой без использования средств автоматизации, в администрации г. Иркутска".
11. Обезличивание персональных данных при обработке персональных данных с использованием средств автоматизации осуществляется с помощью специализированного программного обеспечения на основании нормативных правовых актов, правил, руководств, регламентов, инструкций на такое программное обеспечение и иных документов для достижения заранее определенных и заявленных целей.
12. Обезличивание персональных данных при обработке персональных данных без использования средств автоматизации допускается производить способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
УТВЕРЖДЕНО
постановлением администрации
города Иркутска
от 05.05.2023 N 031-06-336/23
Типовое обязательство
лица, непосредственно осуществляющего обработку
персональных данных, в случае расторжения с
ним трудового договора прекратить обработку
персональных данных, ставших известными ему в связи
с исполнением должностных обязанностей
Я, ________________________________________________________________,
(фамилия, имя, отчество (при наличии) полностью)
обязуюсь прекратить обработку персональных данных, ставших мне
известными в связи с исполнением должностных обязанностей, в случае
расторжения со мной трудового договора.
В соответствии со статьей 7 Федерального закона от 27 июля 2006 года
N 152-ФЗ "О персональных данных" я уведомлен(а) о том, что персональные
данные являются конфиденциальной информацией и я обязан(а) не раскрывать
третьим лицам и не распространять персональные данные без согласия
субъекта персональных данных.
Положения законодательства Российской Федерации, предусматривающие
ответственность за нарушение требований Федерального закона от 27 июля
2006 года N 152-ФЗ "О персональных данных" мне разъяснены.
"___" ______________ 20____ г. _____________ ____________________________
(дата) (подпись) (расшифровка подписи)
УТВЕРЖДЕНА
постановлением администрации
города Иркутска
от 05.05.2023 N 031-06-336/23
Типовая форма
согласия на обработку персональных
данных субъектов персональных данных
Я,______________________________________________________________________,
(фамилия, имя и отчество (при наличии)
зарегистрированный(ая) по адресу:
_________________________________________________________________________
________________________________________________________________________,
_________________________________________________________________________
(номер основного документа, удостоверяющего личность субъекта
персональных данных, сведения о дате выдачи указанного документа и
выдавшем его органе)
свободно, своей волей и в своем интересе даю согласие оператору
_________________________________________________________________________
(указывается наименование и адрес оператора, получающего согласие
субъекта персональных данных)
_________________________________________________________________________
(при получении согласия от представителя субъекта персональных
данных указываются: фамилия, имя, отчество (при наличии), адрес
представителя субъекта персональных данных, номер основного документа,
удостоверяющего его личность, сведения о дате выдачи указанного
документа и выдавшем его органе, реквизиты доверенности или иного
документа, подтверждающего полномочия этого представителя)
на обработку (любое действие (операция) или совокупность действий
(операций), совершаемых с использованием средств автоматизации или без
использования таких средств, включая сбор, запись, систематизацию,
накопление, хранение, уточнение (обновление, изменение), извлечение,
использование, передачу (распространение), предоставление, доступ,
обезличивание, блокирование, удаление, уничтожение)
_________________________________________________________________________
(необходимо подчеркнуть действия с персональными данными, на
совершение которых дается согласие)
следующих персональных данных:
_________________________________________________________________________
_________________________________________________________________________
(указываются персональные данные, на обработку которых дается
согласие субъекта персональных данных)
Вышеуказанные персональные данные предоставляются для обработки в целях:
_________________________________________________________________________
________________________________________________________________________,
Способами обработки персональных данных являются:
_________________________________________________________________________
________________________________________________________________________,
(приводится общее описание используемых оператором способов
обработки персональных данных)
Я ознакомлен(а) с тем, что:
обработка персональных данных будет осуществляться
_____________________________________________ по поручению оператора;
(указывается наименование или фамилия, имя, отчество (при наличии) и
адрес лица, осуществляющего обработку персональных данных,
действующего по поручению оператора) (заполняется при поручении
оператором обработки персональных данных третьему лицу)
согласие на обработку персональных данных может быть отозвано на
основании письменного заявления в произвольной форме.
Срок действия настоящего согласия и способ его отзыва:
_________________________________________________________________________
(указывается срок, в течение которого действует согласие субъекта
персональных данных, а также способ его отзыва, если иное
не установлено федеральным законом)
Дата начала обработки персональных данных "__" _____________ 20__ г.
(число, месяц, год)
__________________________________ ________________________________
(подпись субъекта персональных данных) (расшифровка подписи)
УТВЕРЖДЕНА
постановлением администрации
города Иркутска
от 05.05.2023 N 031-06-336/23
Типовая форма разъяснения
субъекту персональных данных юридических
последствий отказа предоставить свои
персональные данные и (или) дать согласие
на их обработку
В соответствии с частью 2 статьи 18 Федерального закона от 27 июля
2006 года N 152-ФЗ О персональных данных" разъясняем Вам, что
_________________________________________________________________________
(указывается оператор)
в целях
_________________________________________________________________________
(указываются цели обработки персональных данных)
необходимы следующие Ваши персональные данные:
_________________________________________________________________________
_________________________________________________________________________
В случае Вашего отказа предоставить свои персональные данные или
дать согласие на обработку Ваших персональных данных:
________________________________________________________________________.
(указываются юридические последствия для субъекта персональных
данных в случае его отказа предоставить свои персональные
данные или дать согласие на обработку персональных данных, например,
невозможность предоставления муниципальной услуги)
__________________________________ ___________________________
(должность муниципального служащего (подпись) (фамилия, имя, отчество
(при наличии) (работника) администрации города Иркутска, давшего
разъяснение)
Утвержден
постановлением администрации
города Иркутска
от 05.05.2023 N 031-06-336/23
Порядок
доступа в помещения администрации города Иркутска, в которых ведется обработка персональных данных
Глава 1. Общие положения
1. Настоящий Порядок разработан в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
2. Размещение в администрации города Иркутска информационных систем персональных данных, хранилищ или носителей персональных данных, работа с персональными данными осуществляются в помещениях, оборудованных средствами охранной сигнализации. Для помещений, в которых обрабатываются персональные данные (далее - помещения), организуется режим безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.
Глава 2. Порядок доступа в помещения
3. Право беспрепятственного доступа в помещения отраслевых (функциональных), территориальных органов администрации имеют:
мэр города Иркутска, вице-мэр города Иркутска, первый заместитель мэра города Иркутска;
руководитель соответствующего отраслевого (функционального), территориального органа администрации;
муниципальные служащие управления информатизации аппарата администрации города Иркутска;
лица, наделенные таким правом в соответствии с перечнем должностей работников, имеющих право беспрепятственного доступа в помещения, в которых ведется обработка персональных данных либо хранятся носители персональных данных, утверждаемым лицами, указанными в пункте 7 постановления администрации города Иркутска "О реализации отдельных мер по защите персональных данных в администрации города Иркутска".
4. Не допускается предоставлять право беспрепятственного доступа в помещения лицам, не допущенным к обработке персональных данных или носителям персональных данных, хранящимся в соответствующем помещении.
5. Лица, не имеющие права беспрепятственного доступа в помещения, находятся в Помещениях только в присутствии одного или нескольких лиц, имеющих право беспрепятственного доступа в соответствующее помещение в соответствии с пунктом 3 настоящего Порядка.
6. В случае пребывания в помещении лиц, указанных в пункте 5 настоящего Порядка, лица, имеющие право беспрепятственного доступа в помещение в соответствии с пунктом 3 настоящего Порядка, принимают меры по исключению несанкционированного доступа к персональным данным (материальным носителям персональных данных).
7. Ответственными за организацию доступа в помещения являются руководители отраслевых (функциональных), территориальных органов администрации.
УТВЕРЖДЕНА
постановлением администрации
города Иркутска
от 05.05.2023 N 031-06-336/23
Примерная форма
отзыва согласия на обработку персональных данных
Я, _____________________________________________________________________,
(фамилия, имя, отчество (при наличии)
документ, удостоверяющий личность __________N ______ серия _____________,
(вид документа)
Выдан __________________________________________________________________,
(кем и когда)
проживающий(ая)_________________________________________________________,
(адрес места жительства)
в соответствии с частью 2 статьи 9 Федерального закона от 27 июля
2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон
N 152-ФЗ) прошу отозвать свое согласие на обработку персональных данных в
_________________________________________________________________________
(указывается наименование и юридический адрес оператора, получившего
согласие на обработку персональных данных)
Причина отзыва согласия на обработку персональных данных:
_________________________________________________________________________
________________________________________________________________________.
Подтверждаю, что ознакомлен(а) с положениями Федерального закона
N 152-ФЗ, права и обязанности в области защиты персональных данных мне
разъяснены.
_________________________________________________________________________
(дата, подпись, фамилия, имя, отчество (при наличии) субъекта
персональных данных)
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Постановление администрации города Иркутска от 5 мая 2023 г. N 031-06-336/23 "О реализации отдельных мер по защите персональных данных в администрации города Иркутска"
Вступает в силу с 5 мая 2023 г.
Опубликование:
газета "Иркутск официальный" от 12 мая 2023 г. N 19
сетевое издание "Иркутскинформ.рф" http://irkutskinform.ru 12 мая 2023 г.