Приложение N 1. Положение об обработке и защите персональных данных в Норильском городском совете депутатов. Распоряжение Норильского городского Совета депутатов Красноярского края от 26.04.2024 N 07 "Об организации обработки персональных данных в Норильском городском Совете депутатов" (с изменениями и дополнениями)

Приложение N 1
к распоряжению
Председателя Норильского
городского Совета депутатов
от 26.04.2024 N 07

Положение
об обработке и защите персональных данных в Норильском городском совете депутатов

1. Общие положения

1.1. Настоящее Положение об обработке и защите персональных данных (далее - Положение) разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации", Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", Федеральным законом от 25.12.2008 N 273-ФЗ "О противодействии коррупции", Федеральным законом от 03.12.2012 N 230-ФЗ "О контроле за соответствием расходов лиц, замещающих государственные должности, и иных лиц их доходам", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Приказом Роскомнадзора от 27.10.2022 N 178 "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", Приказом Роскомнадзора от 28.10.2022 N 179 "Об утверждении Требований к подтверждению уничтожения персональных данных".

1.2. Целью настоящего Положения является обеспечение защиты персональных данных граждан от несанкционированного доступа, неправомерного их использования или утраты при обработке в Норильском городском Совете депутатов (далее - Городской Совет).

Положение устанавливает и определяет:

- типовое обязательство лица, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей (приложение N 1);

- категории субъектов, персональные данные которых обрабатываются;

- категории персональных данных, обрабатываемых в Городском Совете;

- перечень информационных систем персональных данных (приложение N 2);

- форму согласия на обработку персональных данных субъектов персональных данных (приложение N 3, приложение N 4, приложение N 5);

- форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные и (или) дать согласие на их обработку (приложение N 6);

- способы, сроки обработки и хранения обрабатываемых персональных данных;

- процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;

- правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;

- правила рассмотрения запросов субъектов персональных данных или их представителей;

- порядок доступа в помещения, в которых ведется обработка персональных данных;

- должностную инструкцию ответственного за организацию обработки персональных данных (приложение N 8);

- перечень должностей Городского Совета, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (приложение N 9);

- форму согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения (приложение N 10);

- типовое обязательство о неразглашении персональных данных (приложение N 11);

1.3. Для целей настоящего Положения используются следующие понятия:

- Оператор - Городской Совет в лице Председателя Городского Совета, действующего на основании Устава городского округа город Норильск Красноярского края;

- персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому субъекту персональных данных;

- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Иные понятия используются в настоящем Положении в значениях, определенных статьей 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон).

1.4. В связи с реализацией трудовых отношений и муниципальных функций в Городском Совете обрабатываются общие, биометрические, специальные, иные персональные данные.

1.5. Перечень персональных данных, обрабатываемых в Городском Совете, утверждается распоряжением Председателя Городского Совета.

1.6. Перечень лиц, осуществляющих обработку персональных данных либо имеющих доступ к персональным данным работников и депутатов Городского Совета, утверждается распоряжением Председателя Городского Совета.

1.7. Перечень работников Городского Совета, осуществляющих в информационных системах персональных данных обработку персональных данных, содержащихся в обращениях граждан, юридических лиц и индивидуальных предпринимателей, или имеющих доступ к персональным данным, утверждается распоряжением Председателя Городского Совета.

1.8. Целью обработки персональных данных в Городском Совете является исполнение положений нормативных актов, указанных в пункте 1.1 настоящего Положения.

2. Порядок и условия обработки персональных данных

2.1. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением.

2.2. Обработка персональных данных в Городском Совете выполняется следующими способами:

- неавтоматизированная обработка персональных данных;

- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

- смешанная обработка персональных данных.

2.3. Обработка персональных данных в Городском Совете осуществляется с согласия субъекта персональных данных на обработку его персональных данных (если иное не предусмотрено законодательством), которое оформляется в письменной форме согласно приложениям N 3, N 4, N 5, N 10 к настоящему Положению, если иная форма не предусмотрена правовыми актами Российской Федерации.

Согласие субъекта персональных данных на обработку персональных данных не требуется, если обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей, а также в иных случаях, предусмотренных Федеральным законом.

Если предоставление персональных данных и (или) получение Оператором согласия на обработку персональных данных является обязательным в соответствии с Федеральным законом, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку. Разъяснения предоставляются по форме согласно приложению N 6 к настоящему Положению.

2.4. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона. Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных.

2.5. Трансграничная передача персональных данных осуществляется в соответствии со статьей 12 Федерального закона.

2.6. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.

2.7. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных в Городском Совете осуществляются посредством:

- получения оригиналов документов либо их копий;

- копирования оригиналов документов;

- внесения сведений в учетные формы на бумажных и электронных носителях;

- создания документов, содержащих персональные данные, на бумажных и электронных носителях;

- внесения персональных данных в информационные системы персональных данных.

2.8. В Городском Совете используются информационные системы, установленные в приложении N 2 к настоящему Положению.

2.9. Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Положением.

3. Сроки обработки и хранения персональных данных

3.1. Персональные данные депутатов, работников Городского Совета, граждан, претендующих на замещение должностей муниципальной службы в Городском Совете, граждан, получающих денежные выплаты из средств Городского Совета, хранятся и обрабатываются в Управлении по персоналу Администрации города Норильска и в соответствующих отделах Городского Совета, которые обеспечивают их защиту от несанкционированного доступа и копирования.

Обработка и хранение персональных данных производится работниками Городского Совета в соответствии с перечнем должностей Городского Совета, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (приложение N 9).

Перечень лиц, которые осуществляют обработку персональных данных либо имеющих доступ к персональным данным работников и депутатов Городского Совета, утверждается распоряжением Председателя Городского Совета.

3.2. Обработка персональных данных в Городском Совете прекращается в следующих случаях:

- при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение 3 рабочих дней с даты выявления такого факта;

- при достижении целей их обработки;

- по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Федеральным законом о персональных данных их обработка допускается только с согласия;

- при обращении субъекта персональных данных с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных частью 5.1 статьи 21 Федерального закона). Срок прекращения обработки - не более 10 рабочих дней с даты получения требования (с возможностью продления не более чем на 5 рабочих дней, если направлено уведомление о причинах продления).

3.3. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.

3.4. Персональные данные на бумажных носителях хранятся в Городском Совете в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в Российской Федерации (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденный Приказом Росархива от 20.12.2019 N 236).

4. Порядок блокирования и уничтожения персональных данных

4.1. Персональные данные блокируются в порядке и на условиях, предусмотренных законодательством в области персональных данных.

4.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются.

4.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение 7 рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.

4.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления факта неправомерной обработки.

4.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Оператором если Оператор не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

4.6. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.

4.7. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 30 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку. Иное может предусматривать договор, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных. Персональные данные также уничтожаются в указанный срок, если Оператор не вправе обрабатывать их без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

4.8. Уничтожение персональных данных осуществляется с учетом требований Приказа Роскомнадзора от 28.10.2022 N 179.

4.9. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.

4.10. Уничтожение персональных данных подтверждается согласно Требованиям к подтверждению уничтожения персональных данных, утвержденным Приказом Роскомнадзора от 28.10.2022 N 179, а именно:

- актом об уничтожении персональных данных - если данные обрабатываются без использования средств автоматизации;

- актом об уничтожении персональных данных и выгрузкой из журнала регистрации событий в информационной системе персональных данных - если данные обрабатываются с использованием средств автоматизации либо одновременно с использованием и без использования таких средств.

4.11. Акт об уничтожении персональных данных и выгрузки из журнала регистрации событий в информационной системе персональных данных комиссия хранится в общем отделе Управления делами Городского Совета. Акты и выгрузки из журнала хранятся в течение трех лет с момента уничтожения персональных данных.

5. Порядок рассмотрения запросов субъектов персональных данных или их представителей

5.1. Субъекты персональных данных имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных в Городском Совете;

- правовые основания и цели обработки персональных данных;

- цели и применяемые в Городском Совете способы обработки персональных данных;

- наименование и место нахождения Городского Совета, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;

- сроки обработки персональных данных, в том числе сроки их хранения в Городском Совете;

- порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;

- информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона;

- иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.

5.2. Обращения субъектов персональных данных или их представителей о получении информации о персональных данных фиксируются в Журнале учета обращений субъектов персональных данных согласно приложению N 7 к настоящему Положению.

5.3. Сведения, касающиеся обработки персональных данных и относящиеся к соответствующему субъекту персональных данных, предоставляются Оператором при обращении субъекта персональных данных (его представителя) либо в течение 10 рабочих дней с даты получения запроса субъекта персональных данных (его представителя). Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

Повторный запрос возможен в сроки и в порядке, предусмотренные частями 4, 5 статьи 14 Закона.

5.4. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора и (или) иные сведения), либо иные сведения, иным образом подтверждающие факт обработки персональных данных Оператором, и подпись субъекта персональных данных или его представителя.

5.5. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет сведения, указанные в пункте 5.1 настоящего раздела, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

5.6. Право субъекта персональных данных на доступ к своим персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона.

5.7. В случае отказа в предоставлении информации субъекту персональных данных (его представителю), Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положения Федерального закона, являющиеся основанием для такого отказа, в срок, не превышающий 10 рабочих дней со дня обращения субъекта персональных данных (его представителя) либо с даты получения запроса субъекта персональных данных (его представителя). Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

5.8. Сведения предоставляются субъекту персональных данных на безвозмездной основе, в доступной форме, без указания персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

5.9. В срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

5.10. В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федеральног