Приложение N 1. Правила обработки персональных данных в администрации Ковровского района, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований. Постановление администрации Ковровского района Владимирской области от 07.06.2023 N 204 "Об утверждении перечня документов, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных"

Приложение N 1
к постановлению администрации
Ковровского района
от 07.06.2023 N 204

Правила
обработки персональных данных в администрации Ковровского района, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований

1. Общие положения

1.1. Настоящие Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований (далее - Правила) в администрации муниципального образования Ковровский район (далее, администрации района) разработаны в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", и иными нормативными правовыми актами Российской Федерации, регулирующими отношения в данной сфере деятельности.

1.2. Целью настоящих Правил является обеспечение защиты персональных данных граждан от несанкционированного доступа, неправомерного их использования или утраты.

Настоящие Правила устанавливают единый порядок действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными в администрации района, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов, персональные данные которых обрабатываются в администрации района.

1.3. В настоящих Правилах используются основные понятия, установленные статьей 3 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ).

1.4. Ответственные должностные лица администрации района, должности которых предусматривают осуществление обработки персональных данных либо осуществление доступа к персональным данным, (далее - ответственные лица администрации района) назначается распоряжением администрации района.

2. Процедуры, направленные на выявление и предотвращение нарушений законодательства в сфере персональных данных

2.1. К мерам, направленным на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных относятся:

1) назначение ответственного за организацию обработки персональных данных в администрации района;

2) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с частями 1 и 2 статьи 19 Федерального закона N 152-ФЗ;

3) осуществление внутреннего контроля соответствия обработки персональных данных нормам Федерального закона N 152-ФЗ и принятым в соответствии с ним нормативным правовым актам;

4) оценка вреда, который может быть причинён субъектам персональных данных в случае нарушения законодательства Российской Федерации и настоящих Правил;

5) определение перечня должностей муниципальных служащих администрации района, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к ним; ознакомление ответственных лиц администрации района, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику администрации района в отношении обработки персональных данных, муниципальными правовыми актами администрации района по вопросам обработки персональных данных, и (или) обучение ответственных лиц администрации района;

6) запрет на обработку персональных данных лицами, не допущенными к их обработке.

2.2. Обработка персональных данных в администрации района осуществляется на основе принципов, установленных статьей 5 Федерального закона N 152-ФЗ.

2.3. Обработка персональных данных субъекта персональных данных осуществляется после:

1) получения письменного согласия субъекта персональных данных или его представителя на обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона N 152-ФЗ;

2) направления до начала обработки персональных данных уведомления в Управление федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Владимирской области о своем намерении осуществлять обработку персональных данных за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона N 152-ФЗ;

3) принятия необходимых мер по обеспечению безопасности персональных данных.

2.4. При обработке персональных данных ответственные лица администрации района обязаны соблюдать следующие требования:

1) обработка персональных данных осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;

2) персональные данные следует получать лично у субъекта персональных данных, в случае возникновения необходимости получения персональных данных у третьей стороны следует известить об этом субъекта персональных данных заранее, получить его письменное согласие и сообщить о целях, предполагаемых источниках и способах получения персональных данных;

3) при принятии решений, затрагивающих интересы субъекта персональных данных, запрещается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;

2.5. При передаче персональных данных ответственные лица администрации района соблюдать следующие требования:

1) не сообщать персональные данные субъекта персональных данных без его письменного согласия для использования их в коммерческих целях;

2) предупреждать лиц, получающих персональные данные субъекта персональных данных, о том, что эти данные должны использоваться только в целях, для которых они сообщены, и требовать от этих лиц подтверждения о соблюдении требований;

3) передавать персональные данные субъекта персональных данных его представителю в порядке, установленном федеральными законами, и ограничивать эту информацию только теми персональными данными субъекта персональных данных, которые необходимы для выполнения представителем его функций.

2.6. Передача персональных данных от администрации района иному оператору персональных данных допускается в минимальных объемах в целях выполнения задач, соответствующих объективной причине сбора этих данных, и только после заключения с этим оператором договора о соблюдении конфиденциальности.

2.7. Не допускается отвечать на вопросы, связанные с передачей персональных данных по телефону или факсу.

2.8. Обработка персональных данных субъекта в информационных системах администрации района с использованием средств автоматизации осуществляется в соответствии с Требованиями к защите персональных данных при обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 01 ноября 2012 года N 1119.

2.9. Ответственные лица администрации района при обработке персональных данных с использованием информационных систем обязаны:

- принимать меры, исключающие несанкционированный доступ к используемым программно-техническим средствам;

- вести учет электронных носителей информации (включая резервные и архивные копии), осуществлять хранение документов, содержащих персональные данные, и электронных носителей информации в металлических шкафах или сейфах;

- производить запись персональных данных (отдельных файлов, баз данных) на электронные носители только в случаях, регламентированных порядком работы с данными сведениями;

- соблюдать установленный порядок и правила доступа в информационные системы, не допускать передачу персональных кодов и паролей;

- принимать все необходимые меры к надежной сохранности кодов и паролей доступа к информационным системам;

- работать с информационными системами в объеме своих полномочий, не допускать их превышения;

- обладать навыками работы с антивирусными программами в объеме, необходимом для выполнения функциональных обязанностей и требований по защите информации.

2.10. При работе на персональном компьютере, в том числе для доступа к информационным системам, запрещается:

- записывать значения кодов и паролей доступа;

- передавать коды и пароли доступа другим лицам;

- пользоваться в работе чужими кодами и паролями доступа;

- производить подбор кодов и паролей доступа других пользователей;

- записывать на электронные носители с персональными данными посторонние программы и данные;

- копировать данные на неучтенные электронные носители информации;

- выносить электронные носители с персональными данными за пределы администрации района без согласования с главой администрации района;

- покидать рабочее место с включенным персональным компьютером без применения аппаратных или программных средств, блокирования доступа к персональному компьютеру;

- приносить, самостоятельно устанавливать и эксплуатировать на технических средствах любые программные продукты, не принятые к эксплуатации;

- открывать, разбирать, ремонтировать технические средства, вносить изменения в конструкцию, подключать нештатные блоки и устройства;

- передавать технические средства для ремонта и обслуживания сторонним организациям без извлечения носителей, содержащих персональные данные.

2.11. Все документы, компакт-диски, флеш-накопители, содержащие персональные данные, подлежат уничтожению на основании актов только с применением соответствующих уничтожителей.

2.12. Администрация района при обработке персональных данных в информационных системах персональных данных обеспечивает:

1) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

2) своевременное обнаружение фактов несанкционированного доступа к персональным данным;

3) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которых нарушается их функционирование;

4) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

5) постоянный контроль за обеспечением уровня защищенности персональных данных.

2.13. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии:

1) настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств в соответствии с требованиями безопасности информации;

2) охраны и организации режима допуска в помещения администрации района, предназначенные для обработки персональных данных;

3) документа, подтверждающего эффективность применяемых мер и средств защиты по нейтрализации актуальных угроз безопасности, определенных в частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных администрации района;

4) утвержденных организационно-технических документов о порядке эксплуатации информационных систем персональных данных.

2.14. Обработка и защита персональных данных в информационных системах персональных данных администрации района без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) осуществляется в соответствии с Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства Российской Федерации от 15.09.2008 N 687.

2.15. Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации.

2.16. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.

2.17. При неавтоматизированной обработке персональных данных на бумажных носителях:

1) не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы;

2) персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);

3) документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;

4) дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.

2.18. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия:

1) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

2) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, - при необходимости получения письменного согласия на обработку персональных данных;

3) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

4) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

2.19. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.

2.20. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

2.21. При несовместимости целей