Приложение. Политика Пермской городской Думы в отношении обработки персональных данных. Постановление Председателя Пермской городской Думы от 12.09.2023 N 15-1 "Об утверждении Политики Пермской городской Думы в отношении обработки персональных данных" (документ не действует)

ПРИЛОЖЕНИЕ
к постановлению
председателя Пермской
городской Думы
от 12.09.2023 N 15-1

Политика
Пермской городской Думы в отношении обработки персональных данных

I. Общие положения

1.1. Настоящая Политика (далее - Политика) разработана в целях исполнения требований пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, оператором которых является Пермская городская Дума (далее - Дума), в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Основные понятия, используемые в Политике:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных),

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.3. Политика действует в отношении всех персональных данных, обрабатываемых Думой с использованием средств автоматизации, а также без использования таких средств.

1.4. Политика является общедоступной и подлежит размещению на официальном сайте Думы в информационно-телекоммуникационной сети Интернет.

1.5. При организации обработки персональных данных Дума имеет право:

1.5.1. осуществлять и ограничивать обработку персональных данных достижением конкретных, заранее определенных и законных целей;

1.5.2. определять содержание и объем обрабатываемых Думой персональных данных в соответствии с заявленными целями обработки;

1.5.3. обрабатывать персональные данные в соответствии с целями, заранее определенными и заявленными при сборе персональных данных, а также возложенными на Думу функциями, полномочиями и обязанностями в соответствии с законодательством Российской Федерации, а также нормативными и иными правовыми актами Думы и председателя Думы;

1.5.4. осуществлять обработку персональных данных с использованием и без использования средств автоматизации;

1.5.5. определять сроки обработки персональных данных Думой исходя из целей обработки персональных данных;

1.5.6. совершать иные действия, установленные законодательством Российской Федерации.

1.6. При организации обработки персональных данных Дума обязана:

1.6.1. осуществлять обработку персональных данных в соответствии с Законом о персональных данных, иными федеральными законами и нормативно-правовыми актами Российской Федерации, правовыми актами Думы и председателя Думы в указанной сфере;

1.6.2. не допускать обработку персональных данных, не совместимую с целями сбора персональных данных, и объединять базы данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

1.6.3. предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных в соответствии с Законом о персональных данных;

1.6.4. разъяснять субъекту персональных данных юридические последствия отказа предоставить его персональные данные, если их предоставление является обязательным в соответствии с Законом о персональных данных;

1.6.5. принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, за исключением случаев, предусмотренных федеральными законами;

1.6.6. обеспечивать точность персональных данных, их достаточность для заявленных целей обработки, а в необходимых случаях - их актуальность;

1.6.7.осуществлять хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных;

1.6.8. принимать необходимые меры по удалению или уточнению неполных/неточных персональных данных;

1.6.9. обеспечивать уничтожение или обезличивание персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законом о персональных данных;

1.6.10. исполнять иные обязанности, предусмотренные Законом о персональных данных.

1.7. Субъект персональных данных имеет право:

1.7.1. требовать от Думы уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

1.7.2. получать от Думы информацию, касающуюся обработки его персональных данных, в том числе предусмотренную частью 7 статьи 14 Закона о персональных данных;

1.7.3. отозвать согласие на обработку персональных данных (далее - Согласие);

1.7.4. обжаловать действия или бездействие Думы в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

1.7.5. совершать иные действия, предусмотренные действующим законодательством.

1.8. Субъект персональных данных обязан:

1.8.1. сообщать полную и достоверную информацию о себе и предоставлять документы, содержащие персональные данные, в объеме, необходимом для их обработки;

1.8.2. своевременно информировать Думу об изменениях своих персональных данных.

II. Цели обработки персональных данных

2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.2. Персональные данные обрабатываются в целях:

обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, законодательных и иных нормативных правовых актов Пермского края, муниципальных нормативных правовых актов, локальных нормативных актов Думы и председателя Думы,

осуществления функций и полномочий, возложенных на Думу, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд пенсионного и социального страхования Российской Федерации, а также в иные государственные органы,

защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных,

подготовки, заключения, исполнения и прекращения договоров с контрагентами.;

учета муниципальных служащих Думы и иных лиц, награжденных наградами города Перми, Думы, поощренных председателем Думы,

формирования справочных материалов для внутреннего информационного обеспечения деятельности Думы,

исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве,

в иных законных целях, в том числе предусмотренных пунктом 2.1 Правил обработки и защиты персональных данных в Думе, утвержденных постановлением председателя Думы от 26.11.2021 N 27-1 (далее - Правила).

III. Правовые основания обработки персональных данных

3.1. Правовым основанием обработки персональных данных является совокупность правовых актов, в соответствии с которыми Дума осуществляет обработку персональных данных, в том числе:

3.1.1. Конституция Российской Федерации.

3.1.2. Трудовой кодекс Российской Федерации.

3.1.3. федеральные законы:

от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации",

от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации",

от 25.12.2008 N 273-ФЗ "О противодействии коррупции".

3.1.4. Указ Президента Российской Федерации от 08.07.2013 N 613 "Вопросы противодействия коррупции".

3.1.5. постановления Правительства Российской Федерации:

от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации",

от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами",

от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

3.1.6. приказ Роскомнадзора от 28.10.2022 N 179 "Об утверждении Требований к подтверждению уничтожения персональных данных";

3.1.7. Устав города Перми;

3.1.8. решения Думы:

от 23.10.2007 N 266 "Об утверждении Положения о помощниках депутата Пермской городской Думы",

от 27.05.2008 N 156 "Об утверждении Положения о муниципальной службе в городе Перми",

от 25.03.2014 N 74 "Об утверждении Положения о гарантиях деятельности, запретах, ограничениях и обязанностях депутата Пермской городской Думы при осуществлении им своих полномочий",

от 25.04.2017 N 88 "О мерах по противодействию коррупции, касающихся лиц, замещающих отдельные муниципальные должности города Перми",

об исполнении полномочий депутата Думы на постоянной основе;

3.1.9. трудовые договоры, заключаемые между Думой и субъектом персональных данных;

3.1.10. согласия, полученные от лиц, замещающих в Думе муниципальные должности, от работников Думы, а также лиц, представляемых к награждению наградами Пермского края, города Перми, Думы, к поощрениям председателя Думы, а также от других категорий граждан.

IV. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным разделом II Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.2. Дума может обрабатывать персональные данные следующих категорий субъектов персональных данных:

муниципальные служащие аппарата Думы,

лица, претендующие на замещение должностей муниципальной службы в аппарате Думы,

помощники депутатов Думы,

лица, состоявшие ранее с Думой в трудовых отношениях и прекратившие их,

лица, замещающие в Думе муниципальные должности,

лица, состоящие в родстве (свойстве) с субъектами персональных данных, указанными в абзацах втором - шестом настоящего пункта,

лица, представленные к награждению (поощрению), наградные материалы по которым направлены в Думу, председателю Думы,

граждане, направившие обращения в Думу,

граждане, являющиеся стороной гражданско-правового договора, заключенного Думой;

иные физические лица, представляющие в Думу персональные данные в связи с выполнением Думой полномочий (функций) в соответствии с законодательством Российской Федерации, Уставом города Перми и другими муниципальными правовыми актами.

4.3. Объем персональных данных, обрабатываемых Думой, по каждой категории субъектов персональных данных указан в Правилах.

V. Порядок и условия обработки персональных данных

Порядок и условия обработки персональных данных устанавливаются председателем Думы с учетом способа обработки.

VI. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

6.1. Субъект персональных данных, указанный в пункте 1.5 Правил, имеет право на получение информации, касающейся обработки его персональных данных, указанной в части 7 статьи 14 Закона о персональных данных.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Закона о персональных данных.

6.2. Субъект персональных данных вправе требовать от Думы уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством меры по защите своих прав.

6.3. Для реализации своих прав субъект персональных данных или его законный представитель направляет обращение или запрос в письменной форме в Думу почтовым отправлением по адресу: 614015, Россия, г. Пермь, ул. Ленина, д. 23, или на электронный адрес: pgd@gorodperm.ru, или передает на личном приеме граждан.

6.4. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Думой, либо сведения, иным образом подтверждающие факт обработки персональных данных Думой, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью.

Требования к письменному обращению установлены статьей 7 Федерального закона от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации".

6.5. Ответ на обращение либо запрос направляется субъекту персональных данных в той форме, в которой Думой получены соответствующие обращение или запрос, если иное не указано в обращении или запросе, в установленный законодательством срок.

6.6. Сведения, предоставляемые Думой субъекту персональных данных в ответ на обращение либо запрос, должны излагаться в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

6.7. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных Дума обязана осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки.

В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу, или по запросу уполномоченного органа по защите прав субъектов персональных данных Дума обязана осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

6.8. В случае подтверждения факта неточности персональных данных или неправомерности их обработки Думой персональные данные подлежат соответственно уточнению либо их обработка должна быть прекращена.

6.9. Срок уточнения персональных данных, являющихся неполными, неточными или неактуальными, не может превышать семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными.

6.10. Срок прекращения обработки персональных данных Думой в случае выявления неправомерной обработки персональных данных не может превышать трех рабочих дней со дня выявления их неправомерной обработки. Дума обязана прекратить неправомерную обработку персональных данных. В случае если обеспечить правомерность обработки персональных данных невозможно, Дума в срок, не превышающий десяти рабочих дней со дня выявления неправомерной обработки персональных данных, обязана уничтожить такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Дума обязана уведомить субъекта персональных данных или его представителя либо уполномоченный орган по защите прав субъектов персональных данных.

6.11. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Дума обязана с момента выявления такого инцидента Думой, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Думой на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).