Приложение N 1. Положение об обработке и защите персональных данных в администрации муниципального образования "Город Саратов". Распоряжение администрации муниципального образования "Город Саратов" от 15.06.2023 N 201-р "Об утверждении документов, определяющих политику в отношении обработки персональных данных в администрации муниципального образования "Город Саратов"

Приложение N 1
к распоряжению администрации
муниципального образования
"Город Саратов"
от 15 июня 2023 года N 201-р

Положение
об обработке и защите персональных данных в администрации муниципального образования "Город Саратов"

1. Общие положения

1.1. Положение об обработке и защите персональных данных в администрации муниципального образования "Город Саратов" (далее - Положение) определяет цели, содержание и порядок обработки персональных данных, меры защиты персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в администрации муниципального образования "Город Саратов" (далее - администрация города), как оператора персональных данных.

1.2. Настоящее Положение разработано в соответствии с Трудовым кодексом Российской Федерации, Кодексом Российской Федерации об административных правонарушениях, Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных), Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Федеральный закон "Об информации, информационных технологиях и о защите информации"), Федеральным законом от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" (далее - Федеральный закон "Об организации предоставления государственных и муниципальных услуг"), Федеральным законом от 2 сентября 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (далее - Федеральный закон "О порядке рассмотрения обращений граждан Российской Федерации"), постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных", постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

1.3. Обработка персональных данных в администрации города осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области персональных данных.

2. Условия и порядок обработки персональных данных работников, а также физических лиц, являющихся стороной гражданско-правовых договоров администрации города

2.1. Персональные данные работников, кандидатов для приема на работу, а также физических лиц, являющихся стороной гражданско-правовых договоров, обрабатываются в целях обеспечения кадровой и финансовой деятельности, в том числе для содействия работникам в трудоустройстве, карьерном росте, получении образования, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества, а также в целях противодействия коррупции.

2.2. В целях, указанных в пункте 2.1 Положения, обрабатываются персональные данные следующих категорий граждан:

2.2.1. Кандидаты для приема на работу:

- фамилия, имя, отчество;

- пол;

- гражданство;

- дата и место рождения;

- контактные данные;

- сведения об образовании, опыте работы, квалификации;

- иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.

2.2.2. Работники и бывшие работники:

- фамилия, имя, отчество;

- пол;

- гражданство;

- дата и место рождения;

- изображение (фотография);

- паспортные данные;

- адрес регистрации по месту жительства;

- адрес фактического проживания;

- контактные данные;

- индивидуальный номер налогоплательщика;

- страховой номер индивидуального лицевого счета (СНИЛС);

- сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;

- семейное положение, наличие детей, родственные связи;

- сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;

- данные о регистрации брака;

- сведения о воинском учете;

- сведения об инвалидности;

- сведения об удержании алиментов;

- сведения о доходе с предыдущего места работы;

- иные персональные данные, представляемые работниками в соответствии с требованиями трудового законодательства.

2.2.3. Члены семей работников:

- фамилия, имя, отчество;

- степень родства;

- год рождения;

- иные персональные данные, представляемые работниками в соответствии с требованиями трудового законодательства.

2.2.4. Субъекты, обратившиеся в администрацию города для получения муниципальной услуги или в целях исполнения муниципальной функции, и контрагенты (физические лица):

- фамилия, имя, отчество;

- дата и место рождения;

- паспортные данные;

- адрес регистрации по месту жительства;

- контактные данные;

- замещаемая должность;

- индивидуальный номер налогоплательщика;

- номер расчетного счета;

- иные персональные данные, представляемые субъектами, обратившимися в администрацию города для получения муниципальной услуги или в целях исполнения муниципальной функции, и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.

2.2.5. Представители контрагентов (юридических лиц):

- фамилия, имя, отчество;

- паспортные данные;

- контактные данные;

- замещаемая должность;

- иные персональные данные, представляемые представителями (работниками) и контрагентами, необходимые для заключения и исполнения договоров.

2.3. Обработка персональных данных и биометрических персональных данных осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 2.1 настоящего Положения, в соответствии с пунктами 2, 4 части 1 статьи 6 и частью 2 статьи 11 Закона о персональных данных, Федерального закона от 25 декабря 2008 г. N 273-ФЗ "О противодействии коррупции", Трудовым кодексом Российской Федерации.

2.4. Обработка специальных категорий персональных данных не осуществляется, за исключением случаев, предусмотренных законодательством Российской Федерации.

2.5. Обработка персональных данных работников, а также кандидатов для приема на работу осуществляется при условии получения согласия указанных лиц.

2.6. В случаях, предусмотренных пунктом 2.5 настоящего Положения, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Законом о персональных данных.

2.7. Обработка персональных данных работников и кандидатов для приема на работу осуществляется работниками отдела муниципальной службы и кадров администрации муниципального образования "Город Саратов" и включает следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.8. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных работников, а также кандидатов для приема на работу осуществляется путем:

2.8.1. Получения оригиналов необходимых документов (заявление, трудовая книжка и (или) иные сведения о трудовой деятельности, иные документы, представляемые работником отдела муниципальной службы и кадров).

2.8.2. Копирования оригиналов документов.

2.8.3. Внесения сведений в учетные формы (на бумажных и электронных носителях).

2.8.4. Формирования персональных данных в ходе кадровой работы.

2.8.5. Внесения персональных данных в информационные системы, используемые работниками отдела муниципальной службы и кадров администрации муниципального образования "Город Саратов".

2.9. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно у работников и кандидатов для приема на работу.

2.10. В случае возникновения необходимости получения персональных данных работника либо кандидата для приема на работу у третьей стороны следует известить об этом работника либо кандидата для приема на работу, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.

2.11. Запрещается получать, обрабатывать и приобщать к личному делу работника персональные данные, не предусмотренные пунктом 2.2 настоящего Положения, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

2.12. При сборе персональных данных работниками отдела муниципальной службы и кадров, осуществляющими сбор (получение) персональных данных непосредственно у работников и кандидатов для приема на работу, разъясняются юридические последствия отказа в представлении их персональных данных.

2.13. Передача (распространение, предоставление) и использование персональных данных работников и кандидатов для приема на работу осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

3. Порядок обработки персональных данных субъектов персональных данных в информационных системах

3.1. Обработка персональных данных в администрации города осуществляется в информационных системах персональных данных, определенных перечнем систем персональных данных администрации города, в которых содержатся персональные данные работников (в том числе бывших), физических лиц, являющихся стороной трудовых договоров, заключаемых администрацией города и их близких родственников, а также, персональные данные субъектов (заявителей), обратившихся в администрацию города в целях получения муниципальных услуг или в связи с исполнением муниципальных функций, предусмотренных пунктом 4 настоящего Положения.

3.2. Классификация информационных систем персональных данных, указанных в перечне систем персональных данных администрации города, осуществляется в порядке, установленном законодательством Российской Федерации.

3.3. Работникам, имеющим право осуществлять обработку персональных данных в информационных системах администрации города, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется к прикладным программам и подсистемам в соответствии с функциями, предусмотренными должностными регламентами работников.

3.4. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных администрации города, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

3.4.1. Определение актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных администрации города.

3.4.2. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации города, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.

3.4.3. Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации.

3.4.4. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных.

3.4.5. Учет машинных носителей персональных данных.

3.4.6. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер противодействия.

3.4.7. Восстановление персональных данных, модифицированных, удаленных или уничтоженных вследствие несанкционированного доступа к ним.

3.4.8. Установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных администрации города.

3.4.9. Контроль принимаемых мер по обеспечению безопасности персональных данных и защищенности информационных систем персональных данных.

3.4.10. Проведение периодических проверок условий обработки персональных данных в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям.

3.4.11. Определение порядка доступа служащих в помещения, в которых ведется обработка персональных данных.

3.5. Работник администрации города, ответственный за обеспечение безопасности персональных данных, при их обработке в информационных системах персональных данных администрации должен обеспечивать:

3.5.1. Своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до сведения ответственного за организацию обработки персональных данных в администрации города.

3.5.2. Недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование.

3.5.3. Возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

3.5.4. Постоянный контроль за обеспечением должного уровня защищенности персональных данных.

3.5.5. Знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией.

3.5.6. Учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных.

3.5.7. Организацию и контроль ведения учета материальных носителей персональных данных.

3.5.8. Обнаружение нарушений порядка представления персональных данных, незамедлительное приостановление представления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин.

3.5.9. Разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

3.6. Обмен персональными данными при их обработке в информационных системах персональных данных администрации города осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.

3.7. Доступ работников администрации города к персональным данным, находящимся в информационных системах персональных данных, предусматривает обязательное прохождение процедуры идентификации и аутентификации.

3.8. В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных администрации города, уполномоченным должностным лицом незамедлительно принимаются меры по установлению причин нарушений и их устранению.

4. Условия и порядок обработки персональных данных субъектов в связи с предоставлением муниципальных услуг или исполнением муниципальных функций

4.1. В рамках оказания муниципальных услуг или исполнения муниципальных функций могут обрабатываться следующие персональные данные заявителей:

- фамилия, имя, отчество;

- адрес фактического проживания;

- почтовый адрес;

- контактный телефон;

- адрес электронной почты;

- иные персональные данные, представляемые субъектами, необходимые для оказания муниципальных услуг или исполнения муниципальных функций.

4.2. Обработка персональных данных, необходимых в связи с предоставлением муниципальных услуг и исполнением муниципальных функций, в соответствии с Федеральными законами "Об организации предоставления государственных и муниципальных услуг", "О порядке рассмотрения обращений граждан Российской Федерации" и иными нормативными правовыми актами, может осуществляться без согласия субъектов персональных данных в соответствии с пунктом 4 части 1 статьи 6 Закона о персональных данных.

4.3. Обработка персональных данных, необходимых в связи с предоставлением муниципальных услуг, или в целях исполнения муниципальной функции, осуществляется структурными подразделениями администрации города, предоставляющими соответствующие муниципальные услуги или в целях исполнения муниципальной функции, включает следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

4.4. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов, обратившихся в администрацию города для получения муниципальной услуги, или в целях исполнения муниципальной функции, осуществляется путем:

4.4.1. Получения оригиналов необходимых документов (заявление).

4.4.2. Заверения копий документов.

4.4.3. Внесения сведений в учетные формы (на бумажных и электронных носителях).

4.4.4. Внесения персональных данных в соответствующие информационные системы.

4.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных (заявителей).

4.6. При предоставлении муниципальной услуги или исполнении муниципальной функции в администрации города, запрещается запрашивать у субъектов персональных данных и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации.

4.7. При сборе персональных данных уполномоченное должностное лицо структурного подразделения администрации города, осуществляющее получение персональных данных непосредственно от субъектов персональных данных, обратившихся за предоставлением муниципальной услуги, или в связи с исполнением муниципальной функции, разъясняет указанным субъектам персональных данных юридические последствия отказа от предоставления персональных данных.

4.8. Передача (распространение, предоставление) и использование персональных данных заявителей (субъектов персональных данных) администрации города, осуществляется лишь в случаях и в порядке, предусмотренных законодательством.

5. Обработка персональных данных в рамках межведомственного информационного взаимодействия

5.1. Администрация города в соответствии с законодательством Российской Федерации осуществляет обработку персональных данных в рамках межведомственного электронного информационного взаимодействия в электронном виде с федеральными органами государственной власти с применением единой системы межведомственного электронного взаимодействия (далее - СМЭВ).

5.2. В рамках СМЭВ на основании поступивших межведомственных запросов информация, включающая персональные данные субъектов, обрабатываемых в администрации города, направляется в федеральные органы исполнительной власти и их территориальные подразделения.

5.3. Администрация города в рамках СМЭВ вправе направить межведомственные запросы о представлении информации, включающей персональные данные субъектов, в федеральные органы исполнительной власти и их территориальные подразделения.

5.4. Обработка персональных данных также осуществляется администрацией города при электронном взаимодействии с подведомственными муниципальными организациями (учреждениями) в рамках полномочий, предусмотренных законодательством Российской Федерации.

6. Сроки обработки и хранения персональных данных

Сроки обработки и хранения персональных данных работников (бывших работников) администрации города, граждан, являющихся кандидатами для приема на работу, а также граждан, обратившихся за оказанием муниципальной услуги или в связи с исполнением муниципальной функции, определяются в соответствии с законодательством Российской Федерации.

7. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований определяется распоряжением администрации города и Положением о комиссии по уничтожению персональных данных.

8. Рассмотрение запросов субъектов персональных данных или их представителей

8.1. Работники и граждане из числа кандидатов для приема на работу, лица, состоящие с ними в родстве (свойстве), а также граждане, обратившиеся за оказанием муниципальной услуги (далее - субъекты персональных данных), имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

8.1.1. Подтверждение факта обработки персональных данных в администрации города.

8.1.2. Правовые основания и цели обработки персональных данных.

8.1.3. Применяемые в администрации города способы обработки персональных данных.

8.1.4. Наименование и место нахождения администрации города, сведения о лицах, которые имеют доступ к персональным данным или которыми могут быть раскрыты персональные данные на основании договора с администрацией города или на основании федерального закона.

8.1.5. Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом.

8.1.6. Сроки обработки персональных данных, в том числе сроки их хранения в администрации города.

8.1.7. Порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных.

8.1.8. Наименование организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению администрации города, если обработка поручена или будет поручена такой организации или лицу.

8.1.9. Иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.

8.2. Субъекты персональных данных вправе требовать от администрации города уточнения их персональных данных, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.3. Сведения, указанные в подпунктах 8.1.1-8.1.9 пункта 8.1 настоящего Положения, должны быть представлены субъекту персональных данных оператором в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

8.4. Сведения, указанные в подпунктах 8.1.1-8.1.9 пункта 8.1 настоящего Положения, представляются субъекту персональных данных или его представителю уполномоченным должностным лицом структурного подразделения администрации города, осуществляющим обработку соответствующих персональных данных при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать:

8.4.1. Номер документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе.

8.4.2. Сведения, подтверждающие участие субъекта персональных данных в правоотношениях с администрацией города, либо сведения, иным образом подтверждающие факт обработки персональных данных в администрации города, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

8.5. В случае, если сведения, указанные в подпунктах 8.1.1-8.1.9 пункта 8.1 настоящего Положения, а также обрабатываемые персональные данные были представлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в администрацию города или направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

8.6. Субъект персональных данных вправе обратиться повторно в администрацию города или направить повторный запрос в целях получения сведений, указанных в подпунктах 8.1.1-8.1.9 пункта 8.1 настоящего Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 8.5 настоящего Положения, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 8.4 настоящего Положения, должен содержать обоснование направления повторного запроса.

8.7. Администрация города (уполномоченное должностное лицо) вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 8.5 и 8.6 настоящего Положения. Такой отказ должен быть мотивированным.

8.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

9. Ответственный за организацию обработки персональных данных в администрации города

Ответственный за организацию обработки персональных данных в администрации города назначается распоряжением администрации муниципального образования "Город Саратов" и осуществляет свою деятельность в соответствии с Инструкцией ответственного за организацию обработки персональных данных в администрации муниципального образования "Город Саратов".