Приложение N 1. Правила обработки персональных данных в администрации города Южно-Сахалинска. Постановление Администрации города Южно-Сахалинска от 13.12.2023 N 3706-па "Об обработке персональных данных в администрации города Южно-Сахалинска" (с изменениями и дополнениями)

Приложение N 1

Утверждены

постановлением администрации

города Южно-Сахалинска

от 13.12.2023 N 3706-па

Правила
обработки персональных данных в администрации города Южно-Сахалинска

1. Общие положения

1.1. Администрация города Южно-Сахалинска, в понятиях, установленных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), является муниципальным органом-оператором персональных данных, самостоятельно или совместно с другими лицами организующим и (или) осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, в структурных подразделениях аппарата, отраслевых (функциональных) органах администрации города Южно-Сахалинска и подведомственных им муниципальных предприятиях и учреждениях (далее - Администрация города и Подразделения, соответственно).

1.2. Обработка персональных данных в Администрации города осуществляется в целях решения возложенных на Администрацию вопросов местного значения городского округа, реализации прав Администрации на решение вопросов, не отнесенных к вопросам местного значения городского округа, исполнения полномочий Администрации как органа местного самоуправления и возложенных на Администрацию отдельных государственных полномочий, а также осуществления муниципальных функций, предоставления государственных и муниципальных услуг и в связи с реализацией трудовых отношений с сотрудниками структурных подразделений аппарата и отраслевых (функциональных) органов администрации города Южно-Сахалинска (далее - сотрудниками Подразделений) и работниками подведомственных им муниципальных предприятий и учреждений (далее - работниками Подразделений).

1.3. Муниципальные правовые акты, по вопросам, касающимся обработки персональных данных, подлежат обязательному согласованию с уполномоченным органом по защите прав субъектов персональных данных в случаях, если указанные муниципальные правовые акты регулируют отношения, связанные с осуществлением трансграничной передачи персональных данных, обработкой специальных категорий персональных данных, биометрических персональных данных, персональных данных несовершеннолетних, предоставлением и распространением персональных данных, полученных в результате обезличивания.

2. Правила обработки персональных данных

2.1. Обработка персональных данных в связи с реализацией Подразделениями трудовых отношений осуществляется с письменного согласия субъектов персональных данных, которое действует со дня их поступления на работу и на время ее прохождения, как с использованием средств автоматизации, так и без использования таких средств. Обеспечение защиты персональных данных, содержащихся в личных делах сотрудников (работников), от неправомерного их использования или утраты осуществляется Департаментом кадровой политики аппарата администрации города Южно-Сахалинска или кадровой службой (уполномоченным сотрудником (работником) соответствующего Подразделения.

2.1.1. В соответствии с Федеральным законом N 152-ФЗ Администрация вправе поручить обработку персональных данных другому лицу, в т.ч. Подразделению, с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия Администрацией соответствующего муниципального правового акта (далее - поручение Администрации).

Лицо, осуществляющее обработку персональных данных по поручению Администрации, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом N 152-ФЗ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом N 152-ФЗ.

В поручении Администрации:

а) должны быть определены - перечень персональных данных; перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных; цели их обработки;

б) должна быть установлена обязанность такого лица соблюдать - конфиденциальность персональных данных; требования об обеспечении записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных с использованием баз данных, находящихся на территории РФ;

в) должна быть установлена обязанность предоставлять по запросу Администрации в течение срока действия поручения, в том числе до начала обработки персональных данных - документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения требований и мер по обеспечению безопасности персональных данных при их обработке;

г) должно быть предусмотрено требование об уведомлении оператора о случаях неправомерной или случайной передачи персональных данных, повлекших нарушение прав субъектов персональных данных.

2.1.2. Персональные данные и иные сведения, содержащиеся в личных делах сотрудников (работников), относятся к служебной информации ограниченного распространения (за исключением сведений, которые в установленных федеральными законами случаях подлежат опубликованию или обязательному раскрытию), а в случаях, установленных федеральными законами и нормативными правовыми актами РФ, к сведениям, составляющим государственную тайну.

2.2. В случае, предусмотренном ч.4 ст.7 Федерального закона от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", получение согласия заявителя на обработку его персональных данных в соответствии с требованиями ст. 6 Федерального закона N 152-ФЗ, не требуется.

2.2.1. В целях предоставления государственных и муниципальных услуг установление личности заявителя может осуществляться в ходе личного приема посредством предъявления паспорта гражданина РФ либо иного документа, удостоверяющего личность в соответствии с законодательством РФ.

2.2.2. При предоставлении государственных и муниципальных услуг в электронной форме идентификация и аутентификация могут осуществляться посредством:

а) использования федеральной государственной информационной системы "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме" (далее - ЕСИА) или иных государственных информационных систем, если такие государственные информационные системы в установленном Правительством РФ порядке обеспечивают взаимодействие с ЕСИА, при условии совпадения сведений о физическом лице в указанных информационных системах;

б) ЕСИА и единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица.

2.3. При обработке Подразделениями персональных данных в целях осуществления муниципальных функций, предоставления государственных и муниципальных услуг и в связи с реализацией трудовых отношений сотрудники (работники), уполномоченные на обработку персональных данных (далее - уполномоченные должностные лица), обязаны соблюдать следующие требования:

2.3.1. объем и характер обрабатываемых персональных данных, способы обработки персональных данных должны соответствовать целям обработки персональных данных;

2.3.2. защита персональных данных от неправомерного их использования или уничтожения обеспечивается в порядке, установленном нормативными правовыми актами РФ и настоящим постановлением;

2.3.3. передача персональных данных третьим лицам не допускается без письменного согласия субъекта персональных данных, за исключением случаев, когда обязанность такой передачи установлена федеральными законами. В случае, если лицо, обратившееся с запросом, не обладает соответствующими полномочиями на получение персональных данных либо отсутствует письменное согласие субъекта персональных данных на передачу его персональных данных, Подразделение отказывает в предоставлении персональных данных. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации;

2.3.4. обеспечение конфиденциальности персональных данных обязательно, если иное предусмотрено федеральным законом;

2.3.5. хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Указанные сведения подлежат уничтожению либо обезличиванию по достижении цели обработки или в случае утраты необходимости в их достижении, если иное не установлено федеральным законом;

2.3.6. опубликование и раскрытие персональных данных допускается в случаях, установленных законодательством РФ.

2.4. В случае, если обращение поступило в Подразделение в форме, не позволяющей достоверно идентифицировать личность заявителя как субъекта персональных данных (по электронной почте, путем заполнения формы на официальном сайте администрации города Южно-Сахалинска, посредством социальных сетей или иным способом с использованием информационно-телекоммуникационной сети Интернет), Подразделение информирует такого заявителя о времени и месте, где он может получить результаты обработки персональных данных, по предъявлении документа, удостоверяющего его полномочия субъекта персональных данных.

2.5. В случае необходимости трансграничной передачи персональных данных, до начала осуществления деятельности по передаче, Администрация обязана уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных в порядке, установленном ст.12 Федерального закона N 152-ФЗ.

2.6. Подразделение, обеспечивающее эксплуатацию аппаратно-технического и программного обеспечения ЕМТС, обязано обеспечить передачу в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, информацию о компьютерных инцидентах, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных в порядке, установленном ч. 11 ст.23 Федерального закона N 152.

2.7. В связи с обработкой в Администрации персональных данных субъекты таких персональных данных вправе:

2.7.1. получать полную информацию о своих персональных данных и способе обработки этих данных (в том числе автоматизированной), за исключением случаев, предусмотренных ч.8 ст. 14 Федерального закона N 152;

2.7.2. получать свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, за исключением случаев, предусмотренных Федеральным законом N 152-ФЗ;

2.7.3. требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

2.7.4. получать разъяснения о порядке принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможных юридических последствиях такого решения, заявлять возражение против такого решения, а также защиты своих прав и законных интересов.

2.7.5. обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, а также имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

2.8. Идентификация и (или) аутентификация физических лиц с использованием биометрических персональных данных с использованием государственной информационной системы "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных" осуществляется в соответствии с Федеральным законом от 29.12.2022 N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты РФ и признании утратившими силу отдельных положений законодательных актов РФ".

Отказ физического лица от прохождения идентификации и (или) аутентификации с использованием его биометрических персональных данных не может служить основанием для отказа ему в оказании государственной или муниципальной услуги.

3. Правила обработки персональных данных, осуществляемой без использования средств автоматизации

3.1. Обработка персональных данных без использования средств автоматизации осуществляется Подразделениями как на бумажных носителях, так и в электронном виде на материальных носителях информации.

3.2. Неавтоматизированная обработка персональных данных в электронном виде должна осуществляться на съемных материальных носителях информации.

3.3. При отсутствии технологической возможности осуществления неавтоматизированной обработки персональных данных в электронном виде на съемных материальных носителях информации необходимо принимать организационные и технические меры, исключающие возможность несанкционированного доступа к персональных данным лиц, не допущенных к их обработке.

3.4. Обработка персональных данных на бумажных носителях осуществляется в соответствии с требованиями, установленными постановлением Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

3.5. При разработке и использовании типовых форм документов, необходимых для реализации возложенных на Администрацию полномочий, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

3.5.1. типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, наименование и адрес Администрации или Подразделения, фамилию, имя, отчество (при наличии) и адрес регистрации субъекта персональных данных по месту жительства, чьи персональные данные вносятся в указанную типовую форму, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки;

3.5.2. типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения согласия на обработку персональных данных;

3.5.3. типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, чьи персональные данные содержатся в типовой форме, при ознакомлении со своими персональными данными не имел возможности доступа к персональным данным других субъектов, содержащимся в указанной типовой форме;

3.5.4. типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

3.6. Уничтожение или обезличивание персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

3.7. Уточнение персональных данных при их обработке без использования средств автоматизации производится путем изготовления нового материального носителя с уточненными персональными данными.

3.8. Документом, подтверждающим уничтожение персональных данных субъектов персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, является акт об уничтожении персональных данных, составленный и оформленный в соответствии с Требованиями к подтверждению уничтожения персональных данных, утвержденными приказом Роскомнадзора от 28.10.2022 N 179.

4. Правила обработки персональных данных в информационных системах персональных данных

4.1. Информационные системы персональных данных Администрации и Подразделений функционируют в составе ЕМТС в качестве прикладных сервисов.

4.2. Обязанность по обеспечению защиты информации в ходе эксплуатации аттестованной по требованиям безопасности информации ЕМТС, включая управление (администрирование) системой защиты информации ЕМТС, возложена на МКУ "Муниципальный центр цифровой трансформации администрации города Южно-Сахалинска".

4.3. В ЕМТС реализованы организационные и технические меры по обеспечению 3-его уровня защищенности персональных данных, предусмотренные постановлением Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их о