Приложение 1. Правила обработки персональных данных в Администрации городского округа Мытищи. Постановление Администрации городского округа Мытищи Московской области от 17.07.2023 N 3625 "Об обработке персональных данных в Администрации городского округа Мытищи"

Приложение 1
к постановлению Администрации
городского округа Мытищи
от 17.07.2023 года N 3625

Правила
обработки персональных данных в Администрации городского округа Мытищи

I. Общие положения

1. Настоящие Правила определяют цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в Администрации городского округа Мытищи (далее - Администрация).

2. Настоящие Правила определяют политику Администрации как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

3. Настоящие Правила разработаны в соответствии с:

Трудовым кодексом Российской Федерации;

Федеральным законом от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации";

Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";

Федеральным законом от 25.12.2008. N 273-ФЗ "О противодействии коррупции";

Федеральным законом от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";

Федеральным законом от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд";

Федеральным законом от 02.05.2006. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

Указом Президента Российской Федерации от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";

Указом Президента Российской Федерации от 08.07.2013 N 613 "Вопросы противодействия коррупции" (вместе с "Порядком размещения сведений о доходах, расходах, об имуществе и обязательствах имущественного характера отдельных категорий лиц и членов их семей на официальных сайтах федеральных государственных органов, органов публичной власти и территориальной избирательной комиссии федеральной территории "Сириус", органов государственной власти субъектов Российской Федерации и организаций и предоставления этих сведений общероссийским средствам массовой информации для опубликования");

постановлением Правительства Российской Федерации от 06.07.2008 N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";

постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

распоряжением Правительства Российской Федерации от 26.05.2005 N 667-р "Об утверждении формы анкеты, представляемой гражданином Российской Федерации, поступающим на государственную гражданскую службу Российской Федерации или на муниципальную службу в Российской Федерации";

приказом Федеральной службы по техническому и экспертному контролю от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных".

4. Обработка персональных данных в Администрации осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных, а также настоящими Правилами.

II. Категории субъектов персональных данных

5. К субъектам персональных данных, персональные данные которых обрабатываются в Администрации соответствии с настоящими Правилами, относятся:

1) муниципальные служащие Администрации (далее - муниципальные служащие);

2) граждане, претендующие на замещение должностей муниципальной службы в Администрации;

3) лица, замещающие должности, не относящиеся к должностям муниципальной службы в Администрации (далее - работники);

4) граждане, претендующие на замещение должностей работников;

5) лица, замещающие должности руководителей муниципальных учреждений и муниципальных унитарных предприятий, находящихся в ведении органов местного самоуправления городского округа Мытищи Московской области (далее - руководители муниципальных организаций);

6) граждане, претендующие на замещение должностей руководителей муниципальных организаций;

7) лица, состоящие в родстве (свойстве) с субъектами персональных данных, указанными в подпунктах 1 - 6 настоящих Правил;

8) лица, представляемые к награждению, наградные материалы по которым представлены в Администрацию;

9) физические лица и представители юридических лиц, обратившиеся в Администрацию:

в связи с предоставлением муниципальной (государственной) услуги;

в связи с исполнением муниципальной (государственной) функции;

10) граждане, обратившиеся в Администрацию в соответствии с Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации".

III. Условия и порядок обработки персональных данных субъектов персональных данных в связи с реализацией служебных или трудовых отношений

6. Персональные данные субъектов персональных данных (далее - персональные данные), указанных в подпунктах 1 - 7 пункта 5 настоящих Правил, обрабатываются в целях обеспечения задач кадровой работы, в том числе кадрового учета, делопроизводства, содействия в осуществлении служебной (трудовой) деятельности, формирования кадрового резерва, обучения и должностного роста, учета результатов исполнения должностных обязанностей, обеспечения личной безопасности субъектов персональных данных, обеспечения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, а также в целях противодействия коррупции.

Персональные данные субъектов персональных данных, указанных в подпунктах 8 - 10 пункта 5 настоящих Правил при реализации полномочий Администрации городского округа Мытищи обрабатываются в целях обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

7. В целях, указанных в пункте 6 настоящих Правил, обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

8. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, которые обрабатываются в целях, определенных пунктом 6 настоящих Правил и необходима для достижения целей, и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

9. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 статьи 10 Федерального закона "О персональных данных" и при наличии соответствующих полномочий у оператора персональных данных.

10. Необходимо получить согласие субъекта персональных данных на обработку его персональных данных в следующих случаях:

при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации о муниципальной службе, о противодействии коррупции и трудовым законодательством;

при трансграничной передаче персональных данных;

при принятии решений, порождающих юридические последствия отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

11. В случаях, предусмотренных пунктом 10 настоящих Правил, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами органов местного самоуправления городского округа Мытищи.

12. Обработка персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 6 настоящих Правил, осуществляется муниципальными служащими и работниками соответствующего органа Администрации, на который возложены функции по обеспечению осуществления деятельности по вопросам муниципальной службы и кадров, уполномоченными на обработку персональных данных.

Порядок обработки персональных данных в интересах обеспечения муниципальной службы и кадровой работы, а также в целях противодействия коррупции лиц, указанных в подпунктах 1 - 7 пункта 5 настоящих Правил регулируется отдельными распоряжениями Администрации городского округа Мытищи.

Порядок обработки персональных данных лиц и граждан, указанных в подпунктах 7 - 10 пункта 5 настоящих Правил устанавливается нормативными правовыми актами органов местного самоуправления городского округа Мытищи Московской области, издаваемыми в соответствии с законодательством Российской Федерации и Московской области по вопросам правового регулирования соответствующих правоотношений в указанных сферах деятельности.

Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

Перечень должностей в Администрации городского округа Мытищи, замещение которых предусматривает осуществление обработки персональных данных, либо осуществление доступа к персональным данным, а также проведение мероприятий по обезличиванию персональных данных утверждается настоящим постановлением Администрации городского округа Мытищи (приложение 8).

13. Обработка персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 6 настоящих Правил, включает в себя следующие действия: сбор (получение), запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

14. Сбор (получение), запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктами 5 - 6 настоящих Правил, осуществляется путем:

получения оригиналов необходимых документов;

копирования оригиналов документов;

внесения сведений в учетные формы (на бумажных и электронных носителях);

формирования персональных данных в ходе кадровой работы и противодействия коррупции;

внесения персональных данных в автоматизированные информационные системы, оператором которых является Администрация (далее - автоматизированные информационные системы), используемые в целях кадровой работы или в иных сферах деятельности при вступлении в правоотношения с субъектами персональных данных, указанных в пункте 5 настоящих Правил.

15. Сбор (получение), запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных, перечисленных в пункте 5 настоящих Правил, чьи данные обрабатываются в целях, определенных пунктом 6 настоящих Правил.

16. В случае возникновения необходимости получения персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 6 настоящих Правил, у третьей стороны, следует письменно известить об этом субъектов персональных данных заранее, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.

17. Запрещается получать, обрабатывать, приобщать к личным делам муниципальных служащих, работников Администрации, руководителей организаций, а также к иным материалам, представляемым субъектами персональных данных, указанных в пункте 5 настоящих Правил, персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, частной жизни, членства в общественных объединениях, за исключением случаев, предусмотренных частями 2 и 2.1. статьи 10 Федерального закона "О персональных данных" и при наличии соответствующих полномочий у оператора персональных данных.

18. При сборе персональных данных муниципальный служащий либо работник, уполномоченный на обработку персональных данных, осуществляющий сбор (получение) персональных данных непосредственно от субъектов персональных данных, указанных в пункте 5 настоящих Правил, чьи данные обрабатываются в целях, определенных пунктом 6 настоящих Правил, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.

19. Передача (распространение, предоставление) и использование персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 6 настоящих Правил, осуществляется лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации.

IV. Условия и порядок обработки персональных данных субъектов персональных данных в связи с предоставлением государственной, муниципальной услуги, исполнением государственной, муниципальной функции

20. В Администрации обработка персональных данных физических лиц и представителей организаций (далее - заявители) осуществляется в связи с предоставлением государственной либо муниципальной услуги и исполнением государственной или муниципальных функций, установленных законодательством Российской Федерации и Московской области при реализации Администрацией полномочий в соответствии с действующим законодательством.

21. В целях, указанных в пункте 20 настоящих Правил, осуществляется обработка следующих персональных данных заявителей:

1) фамилия, имя, отчество (при наличии);

2) паспортные данные (документ удостоверяющий личность);

ГАРАНТ:

Нумерация подпунктов приводится в соответствии с источником

2) номер контактного телефона;

3) адрес электронной почты;

4) почтовый адрес.

22. Обработка персональных данных в целях, указанных в пункте 20 настоящих Правил, осуществляется без согласия заявителей в соответствии с пунктом 4 части 1 статьи 6 Федерального закона "О персональных данных", федеральными законами "Об организации предоставления государственных и муниципальных услуг", "О порядке рассмотрения обращений граждан Российской Федерации" и иными нормативными правовыми актами, определяющими предоставление государственной либо муниципальной услуги и исполнение государственной, а равно и муниципальной функции в установленной сфере ведения Администрации в порядке, определяемом нормативными правовыми актами органов местного самоуправления городского округа Мытищи.

23. Обработка персональных данных в целях, указанных в пункте 20 настоящих Правил, осуществляется соответствующими отраслевыми (функциональными) органами Администрации, в полномочия которых в соответствии с положениями о данных органах входит предоставление государственной, муниципальной услуги, исполнение государственной, муниципальной функции.

24. Сбор (получение), запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных в целях, указанных в пункте 20 настоящих Правил, осуществляется путем:

получения оригиналов необходимых документов (заявлений);

заверения копий документов;

внесения сведений в учетные формы (на бумажных и электронных носителях);

внесения персональных данных в автоматизированные информационные системы.

25. Сбор (получение), запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от заявителей.

26. Запрещается запрашивать у заявителей и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации.

27. При сборе (получении) персональных данных уполномоченное должностное лицо соответствующего отраслевого (функционального) органа Администрации, осуществляющее получение персональных данных непосредственно от заявителей, обратившихся в Администрацию в связи с предоставлением государственной, муниципальной услуги, исполнением государственной, муниципальной функции обязано разъяснить указанным заявителям юридические последствия отказа предоставить персональные данные.

28. Передача (распространение, предоставление) и использование персональных данных заявителей осуществляется лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации, Московской области и изданными в соответствии с данным законодательством нормативными правовыми актами органов местного самоуправления городского округа Мытищи Московской области.

V. Условия и порядок обработки персональных данных субъектов персональных данных в связи с рассмотрением обращений граждан

29. В Администрации обработка персональных данных граждан осуществляется в целях обеспечения своевременного и в полном объеме рассмотрения их устных и письменных обращений в порядке, установленном Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации" и в соответствии с нормативными правовыми актами органов местного самоуправления городского округа Мытищи Московской области.

30. Персональные данные граждан, обратившихся в Администрацию лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением граждан о результатах рассмотрения.

В соответствии с законодательством Российской Федерации в Администрации подлежат рассмотрению обращения граждан Российской Федерации, иностранных граждан и лиц без гражданства.

31. В соответствии со статьями 7 и 13 Федерального закона "О порядке рассмотрения обращений граждан Российской Федерации" в связи с рассмотрением поступивших в Администрацию обращений граждан обработке подлежат следующие персональные данные:

1) фамилия, имя, отчество (при наличии);

2) почтовый адрес;

3) адрес электронной почты;

4) указанный в обращении контактный телефон;

5) иные персональные данные, указанные в обращении, а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения.

32. Обработка персональных данных, необходимых в связи с рассмотрением обращений граждан, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 2 части 1 статьи 6 Федерального закона "О персональных данных" и Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации".

33. Передача (распространение, предоставление) и использование персональных данных, указанных в пункте 31 настоящих Правил, осуществляется лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации.

VI. Порядок обработки персональных данных в автоматизированных информационных системах

34. Обработка персональных данных в Администрации может осуществляется с использованием автоматизированных информационных систем в случаях, предусмотренных законодательством Российской Федерации и Московской области.

35. Доступ к автоматизированным информационным системам муниципальных служащих и работников Администрации, осуществляющих обработку персональных данных в автоматизированных информационных системах, реализуется посредством учетной записи, состоящей из имени пользователя и пароля.

36. Доступ к автоматизированным информационным системам предоставляется в соответствии с функциями, предусмотренными должностными инструкциями муниципальных служащих и работников Администрации.

37. Информация может размещаться в автоматизированных информационных системах как в автоматическом, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

38. Обеспечение безопасности персональных данных, обрабатываемых в автоматизированных информационных системах, осуществляется должностными лицами соответствующего отраслевого органа Администрации, ответственными за обеспечение безопасности информационных систем, используемых в Администрации и достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также иных неправомерных действий в отношении персональных данных согласно статье 19 Федерального закона "О персональных данных".

VII. Организация хранения персональных данных

39. Персональные данные хранятся на бумажном носителе в отраслевых (функциональных) органах Администрации, в функции которых входит обработка персональных данных в соответствии с положениями об этих органах и законодательством Российской Федерации об архивном деле.

40. Персональные данные хранятся в электронном виде в автоматизированных электронных системах в соответствии с законодательством Российской Федерации и Московской области, регламентирующим функционирование данных систем.

41. Сроки хранения персональных данных на бумажном носителе определяются нормативными правовыми актами, регламентирующими порядок их сбора (получения) и обработки, а также законодательством об архивном деле.

42. Срок хранения персональных данных, внесенных в автоматизированные информационные системы, должен соответствовать сроку хранения персональных данных на бумажных носителях.

VIII. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

43. Документы, содержащие персональные данные, сроки хранения которых истекли, подлежат уничтожению.

44. Документы, содержащие персональные данные, на бумажном носителе, не имеющие исторической ценности или надобность в дальнейшей работе с которыми не предусматривается, подлежат уничтожению в установленном порядке.

45. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

45.1. При выполнении обязанностей оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных муниципальные служащие и работники руководствуются требованиями статьи 21 Федерального закона "О персональных данных".

IX. Порядок доступа в помещения, в которых ведется обработка персональных данных

46. Доступ в помещения, в которых ведется обработка персональных данных, в том числе хранятся персональные данные, содержащиеся на материальных носителях персональных данных, имеют муниципальные служащие и работники, уполномоченные на обработку персональных данных.

Порядок доступа в помещения, в которых ведется обработка персональных данных, в том числе хранятся персональные данные, регламентируется приложением 5 к настоящему постановлению.

47. Пребывание лиц, не имеющих право на осуществление обработки персональных данных либо на осуществление доступа к персональным данным в помещениях, в которых ведется обработка персональных данных, возможно только в сопровождении муниципального служащего либо работника, уполномоченного на обработку персональных данных.

X. Ответственные лица за организацию обработки персональных данных

48. Ответственные лица за организацию обработки персональных данных в Администрации (далее - ответственные лица за обработку персональных данных), назначаются Главой городского округа Мытищи из числа муниципальных служащих Администрации, относящихся к высшей и (или) главной группе должностей категории "руководители".

49. Ответственные лица за обработку персональных данных в своей работе руководствуется законодательством Российской Федерации в области персональных данных и настоящими Правилами.

50. Ответственные лица за обработку персональных данных обязаны:

1) организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в Администрации, от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;

2) осуществлять внутренний контроль за соблюдением муниципальными служащими (работниками), уполномоченными на обработку персональных данных, требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;

3) доводить до сведения муниципальных служащих (работников), уполномоченных на обработку персональных данных, положения законодательства Российской Федерации в области персональных данных, нормативные правовые акты органов местного самоуправления городского округа Мытищи, локальные акты по вопросам обработки персональных данных, требования к защите персональных данных;

4) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в Администрации;

5) в случае нарушения в Администрации требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

51. Ответственные лица за обработку персональных данных вправе:

1) иметь доступ к информации, касающейся обработки персональных данных в Администрации и включающей:

цели обработки персональных данных;

категории обрабатываемых персональных данных;

категории субъектов персональных данных, персональные данные которых обрабатываются;

правовые основания обработки персональных данных;

перечень действий с персональными данными, общее описание используемых в Администрации способов обработки персональных данных;

описание мер, предусмотренных статьями 18.1 и 19 Федерального закона "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

дату начала обработки персональных данных;

срок или условия прекращения обработки персональных данных;

сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, установленными постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

2) привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в Администрации, иных муниципальных служащих (работников) Администрации с возложением на них соответствующих обязанностей и закреплением ответственности.

52. Ответственные лица за обработку персональных данных несет ответственность за ненадлежащее выполнение функций по организации обработки персональных данных в Администрации в соответствии с законодательством Российской Федерации в области персональных данных.