Приложение N 1. Правила обработки персональных данных в администрации города Южно-Сахалинска. Постановление Администрации города Южно-Сахалинска от 13.12.2023 N 3706-па "Об обработке персональных данных в администрации города Южно-Сахалинска"

Приложение N 1

Утверждены

постановлением администрации

города Южно-Сахалинска

от 13.12.2023 N 3706-па

Правила
обработки персональных данных в администрации города Южно-Сахалинска

1. Общие положения

1.1. Администрация города Южно-Сахалинска, в понятиях, установленных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), является муниципальным органом-оператором персональных данных, самостоятельно или совместно с другими лицами организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, в структурных подразделениях аппарата, отраслевых (функциональных) органах администрации города Южно-Сахалинска и подведомственных им муниципальных предприятиях и учреждениях (далее - Администрация города и Подразделения, соответственно).

1.2. Обработка персональных данных в Администрации города осуществляется в целях решения возложенных на Администрацию вопросов местного значения городского округа, реализации прав Администрации на решение вопросов, не отнесенных к вопросам местного значения городского округа, исполнения полномочий Администрации как органа местного самоуправления и возложенных на Администрацию отдельных государственных полномочий, а также осуществления муниципальных функций, предоставления государственных и муниципальных услуг и в связи с реализацией трудовых отношений с сотрудниками структурных подразделений аппарата и отраслевых (функциональных) органов администрации города Южно-Сахалинска (далее - сотрудниками Подразделений) и работниками подведомственных им муниципальных предприятий и учреждений (далее - работниками Подразделений).

1.3. Муниципальные правовые акты, по вопросам, касающимся обработки персональных данных, подлежат обязательному согласованию с уполномоченным органом по защите прав субъектов персональных данных в случаях, если указанные муниципальные правовые акты регулируют отношения, связанные с осуществлением трансграничной передачи персональных данных, обработкой специальных категорий персональных данных, биометрических персональных данных, персональных данных несовершеннолетних, предоставлением и распространением персональных данных, полученных в результате обезличивания.

2. Правила обработки персональных данных

2.1. Обработка персональных данных в связи с реализацией Подразделениями трудовых отношений осуществляется с письменного согласия субъектов персональных данных, которое действует со дня их поступления на работу и на время ее прохождения, как с использованием средств автоматизации, так и без использования таких средств. Обеспечение защиты персональных данных, содержащихся в личных делах сотрудников (работников), от неправомерного их использования или утраты осуществляется Департаментом кадровой политики аппарата администрации города Южно-Сахалинска или кадровой службой (уполномоченным сотрудником (работником) соответствующего Подразделения.

2.1.1. В соответствии с Федеральным законом N 152-ФЗ Администрация вправе поручить обработку персональных данных другому лицу, в т.ч. Подразделению, с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия Администрацией соответствующего муниципального правового акта (далее - поручение Администрации).

Лицо, осуществляющее обработку персональных данных по поручению Администрации, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом N 152-ФЗ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом N 152-ФЗ.

В поручении Администрации:

а) должны быть определены - перечень персональных данных; перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных; цели их обработки;

б) должна быть установлена обязанность такого лица соблюдать - конфиденциальность персональных данных; требования об обеспечении записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных с использованием баз данных, находящихся на территории РФ;

в) должна быть установлена обязанность предоставлять по запросу Администрации в течение срока действия поручения, в том числе до начала обработки персональных данных - документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения требований и мер по обеспечению безопасности персональных данных при их обработке;

г) должно быть предусмотрено требование об уведомлении оператора о случаях неправомерной или случайной передачи персональных данных, повлекших нарушение прав субъектов персональных данных.

2.1.2. Персональные данные и иные сведения, содержащиеся в личных делах сотрудников (работников), относятся к служебной информации ограниченного распространения (за исключением сведений, которые в установленных федеральными законами случаях подлежат опубликованию или обязательному раскрытию), а в случаях, установленных федеральными законами и нормативными правовыми актами РФ, к сведениям, составляющим государственную тайну.

2.2. В случае, предусмотренном ч.4 ст.7 Федерального закона от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", получение согласия заявителя на обработку его персональных данных в соответствии с требованиями ст. 6 Федерального закона N 152-ФЗ, не требуется.

2.2.1. В целях предоставления государственных и муниципальных услуг установление личности заявителя может осуществляться в ходе личного приема посредством предъявления паспорта гражданина РФ либо иного документа, удостоверяющего личность в соответствии с законодательством РФ.

2.2.2. При предоставлении государственных и муниципальных услуг в электронной форме идентификация и аутентификация могут осуществляться посредством:

а) использования федеральной государственной информационной системы "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" (далее - ЕСИА) или иных государственных информационных систем, если такие государственные информационные системы в установленном Правительством РФ порядке обеспечивают взаимодействие с ЕСИА, при условии совпадения сведений о физическом лице в указанных информационных системах;

б) ЕСИА и единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица.

2.3. При обработке Подразделениями персональных данных в целях осуществления муниципальных функций, предоставления государственных и муниципальных услуг и в связи с реализацией трудовых отношений сотрудники (работники), уполномоченные на обработку персональных данных (далее - уполномоченные должностные лица), обязаны соблюдать следующие требования:

2.3.1. объем и характер обрабатываемых персональных данных, способы обработки персональных данных должны соответствовать целям обработки персональных данных;

2.3.2. защита персональных данных от неправомерного их использования или уничтожения обеспечивается в порядке, установленном нормативными правовыми актами РФ и настоящим постановлением;

2.3.3. передача персональных данных третьим лицам не допускается без письменного согласия субъекта персональных данных, за исключением случаев, когда обязанность такой передачи установлена федеральными законами. В случае, если лицо, обратившееся с запросом, не обладает соответствующими полномочиями на получение персональных данных либо отсутствует письменное согласие субъекта персональных данных на передачу его персональных данных, Подразделение отказывает в предоставлении персональных данных. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации;

2.3.4. обеспечение конфиденциальности персональных данных обязательно, если иное предусмотрено федеральным законом;

2.3.5. хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Указанные сведения подлежат уничтожению либо обезличиванию по достижении цели обработки или в случае утраты необходимости в их достижении, если иное не установлено федеральным законом;

2.3.6. опубликование и раскрытие персональных данных допускается в случаях, установленных законодательством РФ.

2.4. В случае, если обращение поступило в Подразделение в форме, не позволяющей достоверно идентифицировать личность заявителя как субъекта персональных данных (по электронной почте, путем заполнения формы на официальном сайте администрации города Южно-Сахалинска, посредством социальных сетей или иным способом с использованием информационно-телекоммуникационной сети Интернет), Подразделение информирует такого заявителя о времени и месте, где он может получить результаты обработки персональных данных, по предъявлении документа, удостоверяющего его полномочия субъекта персональных данных.

2.5. В случае необходимости трансграничной передачи персональных данных, до начала осуществления деятельности по передаче, Администрация обязана уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных в порядке, установленном ст.12 Федерального закона N 152-ФЗ.

2.6. Подразделение, обеспечивающее эксплуатацию аппаратно-технического и программного обеспечения ЕМТС, обязано обеспечить передачу в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, информацию о компьютерных инцидентах, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных в порядке, установленном ч. 11 ст.23 Федерального закона N 152.

2.7. В связи с обработкой в Администрации персональных данных субъекты таких персональных данных вправе:

2.7.1. получать полную информацию о своих персональных данных и способе обработки этих данных (в том числе автоматизированной), за исключением случаев, предусмотренных ч.8 ст. 14 Федерального закона N 152;

2.7.2. получать свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, за исключением случаев, предусмотренных Федеральным законом N 152-ФЗ;

2.7.3. требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

2.7.4. получать разъяснения о порядке принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможных юридических последствиях такого решения, заявлять возражение против такого решения, а также защиты своих прав и законных интересов.

2.7.5. обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, а также имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

2.8. Идентификация и (или) аутентификация физических лиц с использованием биометрических персональных данных с использованием государственной информационной системы "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных" осуществляется в соответствии с Федеральным законом от 29.12.2022 N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты РФ и признании утратившими силу отдельных положений законодательных актов РФ".

Отказ физического лица от прохождения идентификации и (или) аутентификации с использованием его биометрических персональных данных не может служить основанием для отказа ему в оказании государственной или муниципальной услуги.

3. Правила обработки персональных данных, осуществляемой без использования средств автоматизации

3.1. Обработка персональных данных без использования средств автоматизации осуществляется Подразделениями как на бумажных носителях, так и в электронном виде на материальных носителях информации.

3.2. Неавтоматизированная обработка персональных данных в электронном виде должна осуществляться на съемных материальных носителях информации.

3.3. При отсутствии технологической возможности осуществления неавтоматизированной обработки персональных данных в электронном виде на съемных материальных носителях информации необходимо принимать организационные и технические меры, исключающие возможность несанкционированного доступа к персональных данным лиц, не допущенных к их обработке.

3.4. Обработка персональных данных на бумажных носителях осуществляется в соответствии с требованиями, установленными постановлением Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

3.5. При разработке и использовании типовых форм документов, необходимых для реализации возложенных на Администрацию полномочий, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

3.5.1. типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, наименование и адрес Администрации или Подразделения, фамилию, имя, отчество (при наличии) и адрес регистрации субъекта персональных данных по месту жительства, чьи персональные данные вносятся в указанную типовую форму, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки;

3.5.2. типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения согласия на обработку персональных данных;

3.5.3. типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, чьи персональные данные содержатся в типовой форме, при ознакомлении со своими персональными данными не имел возможности доступа к персональным данным других субъектов, содержащимся в указанной типовой форме;

3.5.4. типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

3.6. Уничтожение или обезличивание персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

3.7. Уточнение персональных данных при их обработке без использования средств автоматизации производится путем изготовления нового материального носителя с уточненными персональными данными.

3.8. Документом, подтверждающим уничтожение персональных данных субъектов персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, является акт об уничтожении персональных данных, составленный и оформленный в соответствии с Требованиями к подтверждению уничтожения персональных данных, утвержденными приказом Роскомнадзора от 28.10.2022 N 179.

4. Правила обработки персональных данных в информационных системах персональных данных

4.1. Информационные системы персональных данных Администрации и Подразделений функционируют в составе ЕМТС в качестве прикладных сервисов.

4.2. Обязанность по обеспечению защиты информации в ходе эксплуатации аттестованной по требованиям безопасности информации ЕМТС, включая управление (администрирование) системой защиты информации ЕМТС, возложена на МКУ "Муниципальный центр цифровой трансформации администрации города Южно-Сахалинска".

4.3. В ЕМТС реализованы организационные и технические меры по обеспечению 3-его уровня защищенности персональных данных, предусмотренные постановлением Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

4.4. Обработка персональных данных в информационных системах, функционирующих в составе ЕМТС в качестве прикладных сервисов, осуществляется после завершения работ по созданию системы защиты персональных данных в такой информационной системе, её проверки и оценки соответствия такой информационной системы требованиям безопасности информации, установленным и аттестованным в ЕМТС.

4.5. Безопасность персональных данных при их обработке в информационной системе обеспечивает Подразделение, сотрудники (работники) которого обрабатывают персональные данные, или лицо, осуществляющее обработку персональных данных по поручению Администрации, на основании заключаемого с этим лицом договора или муниципального правового акта.

4.6. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты информации ЕМТС, включающей организационные и технические меры, в т.ч. использование сертифицированных Федеральной службой по техническому и экспортному контролю России и/или Федеральной службой безопасности России технических средств защиты информации и информационных технологий.

4.7. Безопасность персональных данных, обрабатываемых с использованием средств автоматизации, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным.

4.8. Доступ сотрудников (работников) к персональным данным в информационных системах персональных данных разрешается после обязательного прохождения ими процедуры идентификации и аутентификации пользователя ЕМТС.

4.9. Самостоятельное подключение к ЕМТС средств вычислительной техники, применяемых для хранения, обработки или передачи персональных данных, к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу РФ, в том числе к информационно-телекоммуникационной сети Интернет, запрещено.

4.10. Сотрудники (работники) Подразделений и ответственный за обеспечение безопасности персональных данных в ЕМТС, обеспечивают:

- своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до вице-мэра города Южно-Сахалинска (далее - вице-мэр);

- недопущение воздействия на технические средства автоматизированной обработки персональных данных ЕМТС, в результате которого может быть нарушено их функционирование;

- возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- постоянный контроль за обеспечением уровня защищенности персональных данных в ЕМТС;

- знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией ЕМТС;

- учет и соблюдение правил хранения применяемых в ЕМТС средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

- незамедлительное приостановление предоставления персональных данных пользователям ЕМТС при обнаружении нарушений порядка предоставления персональных данных до выявления причин нарушений и устранения этих причин;

- проведение служебных проверок и составление заключений по выявленным фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных ЕМТС, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

4.11. В случае выявления нарушений порядка обработки персональных данных по указанию вице-мэра, ответственного за организацию обработки персональных данных в администрации города Южно-Сахалинска, уполномоченными сотрудниками (работниками) принимаются меры по установлению причин таких нарушений и их устранению.

4.12. Документами, подтверждающими уничтожение персональных данных субъектов персональных данных, в случае, если обработка персональных данных осуществляется Подразделением с использованием средств автоматизации, являются акт об уничтожении персональных данных, составленный и оформленный в соответствии с Требованиями к подтверждению уничтожения персональных данных, утвержденными приказом Роскомнадзора от 28.10.2022 N 179 и файл (выгрузка) из журнала регистрации событий ЕМТС.

5. Правила допуска и доступа к персональным данным

5.1. Доступ к персональным данным предоставляется:

- Сотрудникам (работникам), допущенным к обработке персональных данных, в части, касающейся исполнения ими должностных обязанностей;

- уполномоченным представителям федеральных органов исполнительной власти в установленной сфере деятельности, осуществляющим контрольно-надзорные функции в порядке, установленном законодательством РФ;

- субъектам персональных данных к своим персональным данным, за исключением случаев, установленных ч.8 ст.14 Федерального закона N 152-ФЗ.

5.2. Фактом ознакомления сотрудника (работника) с разрешением на доступ к персональным данным для выполнения служебных обязанностей является подпись в должностной инструкции сотрудника (работника).

5.3. Допуск к персональным данным, в том числе содержащимся в информационных системах персональных данных сторонних организаций, деятельность которых не связана с исполнением функций Администрации, регламентируется законодательством и нормативными правовыми актами РФ, а также контрактами (договорами, соглашениями) Администрации или Подразделений с операторами соответствующих информационных систем персональных данных.

5.4. Доступ к техническим (программно-техническим) средствам ЕМТС предоставляется сторонним организациям, выполняющим работы или оказывающим услуги по муниципальным контрактам, в порядке, установленном требованиями по защите информации ЕМТС. Порядок допуска сторонних организаций и/или их представителей к ЕМТС определяется в муниципальном контракте на выполнение работ (оказание услуг). Решением о допуске является подписанный в установленном порядке муниципальный контракт на выполнение работ (оказание услуг).

5.5. Доступ сторонних организаций к персональным данным, обрабатываемым в ЕМТС, может осуществляться на основании письменных запросов или соглашений (договоров) сторон об обмене информацией.

В письменном запросе (соглашении, договоре) должны быть указаны следующие сведения:

- цель получения информации;

- состав персональных данных;

- способ доступа (предоставления), а также сведения о регистрации организации-заявителя в уполномоченном органе по защите прав субъектов персональных данных.

5.6. При наличии соглашения со сторонней организацией о доступе к персональным данным (предоставлении информации) доступ к персональным данным осуществляется в порядке, указанном в подписанном соглашении (договоре), в соответствии с установленными в ЕМТС требованиями по защите информации.

5.7. Доступ к персональным данным, в том числе содержащимся в информационных системах персональных данных сторонних организаций, выполняющих работы или оказывающими услуги по муниципальным контрактам, осуществляется в соответствии с условиями муниципального контракта и настоящих Правил.

5.8. Запрещается передача электронных копий баз (банков) данных, содержащих персональные данные, любым сторонним организациям, за исключением случаев, предусмотренных законодательством РФ.