Приложение N 1. Порядок обращения с персональными данными в местной администрации городского поселения Терек Терского муниципального района КБР. Постановление местной администрации городского поселения Терек Терского муниципального района от 20.06.2023 N 107 "Об обработке и защите персональных данных в местной администрации городского поселения Терек Терского муниципального района КБР"

Приложение N 1
к постановлению
Местной администрации
городского поселения Терек
Терского муниципального района КБР
от 20 июня 2023 г. N 107

Порядок
обращения с персональными данными в местной администрации городского поселения Терек Терского муниципального района КБР

Сокращения, термины и определения

Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом "О персональных данных".

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Основные положения

Настоящий Порядок регламентирует процессы обработки персональных данных в местной администрации городского поселения Терек Терского муниципального района КБР, в том числе устанавливает меры по обеспечению правомерности их обработки, а также закрепляет основные требования по обеспечению безопасности обрабатываемых персональных данных.

Настоящий Порядок разработан на основе и во исполнение Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

Действие настоящего Порядка распространяется на все процессы по обработке персональных данных, осуществляемые в местной администрации городского поселения Терек Терского муниципального района КБР, как с использованием средств вычислительной техники, так и без их использования.

Ознакомлению с настоящим Порядком под роспись подлежат все работники местной администрации городского поселения Терек Терского муниципального района КБР (далее - Администрация поселения).

Организационная структура местной администрации городского поселения Терек в области обеспечения безопасности персональных данных

Глава местной администрации городского поселения Терек Терского муниципального района КБР (далее - Глава Администрации поселения) в рамках обеспечения безопасности персональных данных выполняет следующие функции:

- осуществляет общую координацию действий в области защиты персональных данных;

- принимает решения о необходимости привлечения сторонних организаций для выполнения отдельных этапов работ по разработке системы защиты персональных данных, ее внедрению и обслуживанию.

Лицо, ответственное за организацию обработки персональных данных, выполняет следующие функции:

- обеспечивает контроль соблюдения в Администрации поселения требований законодательства Российской Федерации в сфере персональных данных;

- определяет необходимость взимания согласия субъектов на обработку их персональных данных;

- обеспечивает включение требований по обеспечению безопасности персональных данных в договоры (соглашения) или контракты, заключаемые со сторонними организациями, предполагающие поручение обработки (в том числе предоставление доступа к персональным данным) работникам сторонней организации;

- организует разработку и представление на утверждение проектов внутренних документов по вопросам обработки и защиты персональных данных, обеспечивает их поддержание в актуальном состоянии;

- организует прием и обработку обращений и запросов субъектов персональных данных или их представителей;

- контролирует соблюдение сроков обработки персональных данных (обеспечивает прекращение их обработки по истечении установленных сроков);

- обеспечивает направление и актуализацию уведомления уполномоченного органа по защите прав субъектов персональных данных об обработке персональных данных;

- организует проведение внутренних расследований случаев утраты материальных носителей персональных данных, попыток и случаев несанкционированного доступа к ним.

Лицо, ответственное за обеспечение безопасности персональных данных, выполняет следующие функции:

- участвует в выборе методов и способов защиты персональных данных;

- осуществляет мониторинг функционирования средств защиты информации;

- обеспечивает соблюдение требований по безопасности информации при эксплуатации средств вычислительной техники, а также при выводе технических средств или их элементов из эксплуатации, в том числе при передаче в ремонт;

- взаимодействует с лицами, осуществляющими обслуживание средств (системы) защиты информации.

Цели обработки персональных данных

Цели обработки персональных данных в Администрации поселения закрепляются в Перечне целей и сроков обработки персональных данных.

Обработка персональных данных в Администрации поселения строго ограничивается достижением целей, указанных в Перечне целей и сроков обработки персональных данных. Обработка персональных данных в иных целях не допускается.

Добавление в Перечень новой цели обработки персональных данных может осуществляться как по решению Главы Администрации поселения, так и по инициативе работников Администрации городского поселения Терек, которые должны уведомить лицо, ответственное за организацию обработки персональных данных, о необходимости введения новой цели обработки персональных данных. Администрации поселения запрещается осуществлять обработку персональных данных до включения новой цели в Перечень целей и сроков обработки персональных данных и обеспечения должного документального сопровождения процесса обработки персональных данных в соответствии с данной целью (определение необходимости взимания согласия субъекта на обработку его персональных данных и разработка формы согласия; актуализация внутренних документов).

Содержание (перечень категорий) обрабатываемых персональных данных и круг субъектов, персональные данные которых обрабатываются в Администрации поселения определяются целями обработки персональных данных и закрепляются в Перечне целей и сроков обработки персональных данных. Обработка персональных данных, избыточных по отношению к установленным целям обработки, не допускается.

Сроки обработки персональных данных

Сроки обработки и хранения персональных данных определяются в соответствии с целями их обработки, положениями законодательства Российской Федерации или договора (контракта), стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, либо согласием субъекта. По истечении установленных сроков персональные данные подлежат уничтожению, обезличиванию или переводу на архивное хранение в порядке, установленном законодательством Российской Федерации и внутренними документами Администрации поселения. Действия, совершаемые с персональными данными по истечении сроков их обработки, закрепляются в Перечне целей и сроков обработки персональных данных.

Прекращение обработки персональных данных может осуществляться:

- в отношении единичных записей (например, в случае отзыва согласия субъекта на обработку его персональных данных, увольнения работника);

- в отношении массива записей.

Прекращение обработки единичных записей осуществляется лицом, ответственным за обеспечение безопасности персональных данных, с записью в Журнал учета фактов прекращения обработки персональных данных, ведущийся по форме, приведенной в приложении N 1 к настоящему Порядку.

Правомерность сбора персональных данных

Необходимость взимания согласия субъекта на обработку (в том числе передачу третьим лицам) его персональных данных определяется лицом, ответственным за организацию обработки персональных данных. Лицо, ответственное за организацию обработки персональных данных, организует разработку формы согласия в соответствии с требованиями ч. 4 ст. 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

В случае если предоставление персональных данных субъектом является обязательным в соответствии с федеральным законом, сотрудник Администрации поселения непосредственно осуществляющий (либо обеспечивающий с помощью информационно-телекоммуникационных сетей) сбор персональных данных, обязан разъяснить субъекту юридические последствия отказа предоставить персональные данные.

В случае, если Администрация поселения получает персональные данные от третьей стороны и в соответствии с ч. 3 ст. 18 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" необходимо уведомление субъекта об осуществлении сбора и обработки его персональных данных, лицо, ответственное за организацию обработки персональных данных, организует разработку формы уведомления и обеспечивает направление уведомления субъектам.

Правомерность поручения обработки персональных данных третьей стороне

По решению Главы Администрации поселения обработка персональных данных может быть поручена сторонней организации на основании заключенного с ней договора (соглашения) или контракта. Поручение обработки персональных данных сторонней организации может происходить либо в форме предоставления доступа к информационной системе для выполнения определенных функций по обработке персональных данных, либо путем создания сторонней организацией собственных информационных систем для выполнения переданных ей функций по обработке персональных данных.

Договоры (соглашения) или контракты, в рамках которых предполагается поручение обработки персональных данных сторонней организации, подлежат обязательному согласованию с лицом, ответственным за организацию обработки персональных данных.

Порядок получения и утраты допуска к персональным данным

Право доступа к персональным данным, обрабатываемым в Администрации поселения имеют только работники, занимающие должности, включенные в Перечень должностей, назначение на которые предполагает доступ к персональным данным или их обработку. Данные работники обязаны знать и соблюдать положения законодательства Российской Федерации в сфере персональных данных и внутренних документов Администрации поселения по вопросам обработки и защиты персональных данных в части, их касающейся.

Правом вносить изменения в Перечень должностей, назначение на которые предполагает доступ к персональным данным или их обработку, обладает только Глава Администрации поселения.

Предоставление доступа к персональным данным, обрабатываемым в Администрации поселения, работникам сторонних организаций, в том числе в целях обслуживания информационных систем персональных данных, должно рассматриваться как поручение обработки персональных данных третьей стороне (раздел 6 настоящего документа).

В случае если работникам сторонних организаций предоставляется доступ к техническим средствам, участвующим в обработке персональных данных, не предполагающий доступа к обрабатываемым данным, контроль действий указанных лиц осуществляет лицо, ответственное за обеспечение безопасности персональных данных, несущее персональную ответственность за недопущение несанкционированного доступа к персональным данным.

Обеспечение безопасности персональных данных при их обработке

Лица, получившие допуск к персональным данным, равно как и лица, получившие доступ к персональным данным случайно, обязаны соблюдать их конфиденциальность, предпринимать все зависящие от них меры по недопущению несанкционированного искажения или уничтожения персональных данных, повреждения или утраты носителей персональных данных.

Все работники Администрации поселения обязаны незамедлительно уведомлять лицо, ответственное за обеспечение безопасности персональных данных, о ставших известными им фактах нарушения установленных требований по обеспечению безопасности персональных данных, а также возможных угрозах безопасности обрабатываемых персональных данных.

Порядок внутреннего контроля процесса обработки и обеспечения безопасности персональных данных:

Внутренний контроль процесса обработки и обеспечения безопасности персональных данных направлен на решение следующих задач:

- обеспечение соблюдения работниками Администрации поселения установленных требований по обращению с персональными данными и обеспечению их безопасности;

- оценка компетентности персонала, участвующего в процессе обработки и (или) обеспечения безопасности персональных данных, и определение необходимости его дополнительного обучения;

- выявление изменений технологического процесса обработки персональных данных, новых угроз безопасности персональных данных и их источников;

- сбор информации, необходимой для анализа выявленных нарушений требований по обращению с персональными данными и обеспечению их безопасности, выработки предложений и принятия решений по совершенствованию порядка обработки и обеспечения безопасности персональных данных.

Руководители подразделений, работники которых имеют доступ к персональным данным или осуществляют их обработку, обеспечивают текущий контроль соблюдения лицами, имеющими доступ к персональными данными, требований, установленных внутренними документами Администрации поселения.

Лицо, ответственное за организацию обработки персональных данных, совместно с лицом, ответственным за обеспечение безопасности персональных данных, проводит регулярные проверки соблюдения требований по обращению с персональными данными и обеспечению их безопасности. Проверки проходят в соответствии с ежегодно утверждаемым планом проведения проверок. Результаты проверок фиксируются лицом, ответственным за обеспечение безопасности персональных данных, в Журнале учета внутренних проверок, ведущемся по форме, приведенной в приложении N 2 к настоящему Порядку.

Ответственность за нарушение установленных требований по обращению с персональными данными и обеспечению их безопасности:

Ответственность за своевременность и качество выполнения требований законодательства Российской Федерации в сфере персональных данных несет глава местной администрации городского поселения Терек.

Лицо, ответственное за организацию обработки персональных данных, несет ответственность за:

- соответствие процессов обработки персональных данных в Администрации поселения области заявленным целям их обработки;

- соблюдение сроков обработки персональных данных и их соответствие заявленным целям их обработки;

- правомерность передачи персональных данных третьим лицам или их опубликования;

- актуальность уведомления уполномоченного органа по защите прав субъектов персональных данных об обработке персональных данных.

Лицо, ответственное за обеспечение безопасности персональных данных, несет ответственность за соблюдение установленных законодательством Российской Федерации и внутренними документами Администрации поселения требований по обеспечению безопасности персональных данных при их обработке.

Работник, получающий доступ к документам, файлам, базам данных или их частям, содержащим персональные данные, несет персональную ответственность за любые действия, совершаемые с информацией или ее носителями им или от его имени.

Лица, виновные в нарушении законодательно установленных норм, регулирующих порядок обработки персональных данных, а также требований по обеспечению их безопасности, в том числе осуществившие несанкционированный доступ к персональным данным или несанкционированную передачу (сообщение) персональных данных третьим лицам, несут административную или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.

За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного внутренними документами порядка обращения с персональными данными работодатель вправе применять предусмотренные Трудовым кодексом Российской Федерации дисциплинарные взыскания.