Приложение. Положение об обработке и защите персональных данных в администрации Тужинского муниципального района Кировской области. Постановление Администрации Тужинского муниципального района Кировской области от 17.06.2024 N 193 "Об утверждении Положения об обработке и защите персональных данных в администрации Тужинского муниципального района Кировской области"

Приложение

УТВЕРЖДЕНО
постановлением
администрации
Тужинского муниципального района
от 17.06.2024 N 193

Положение
об обработке и защите персональных данных в администрации Тужинского муниципального района Кировской области

1. Общие положения

1.1. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее - ИСПДн), представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием и без использования средств автоматизации, в администрации Тужинского муниципального района Кировской области (далее - оператор).

1.2. Настоящее Положение об обработке и защите персональных данных (далее - настоящее Положение) в администрации Тужинского муниципального района, расположенной по адресу: 612200, Кировская область, Тужинский муниципальный район, пгт Тужа, ул. Горького, д. 5, разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Федеральным законом от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", приказом ФСТЭК от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", Правилами внутреннего трудового распорядка администрации муниципального района.

1.3. Цель разработки настоящего Положения - определение порядка обработки персональных данных, обеспечение защиты прав и свобод субъектов при обработке их персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.4. Обработка персональных данных в администрации муниципального района осуществляется на основе принципов:

- законности целей и способов обработки персональных данных;

- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

- недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

1.5. Срок обработки персональных данных заканчивается при наступлении обстоятельств или достижении цели обработки персональных данных, с которыми закон, а также настоящее Положение связывает необходимость их уничтожения, если иное не предусмотрено соглашением между оператором и субъектом персональных данных.

2. Основные понятия и состав персональных данных субъектов

2.1. Для целей настоящего Положения используются следующие основные понятия:

- персональные данные (далее - ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

- оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.2. Перечень персональных данных, обрабатываемых в администрации Тужинского муниципального района, утверждается нормативным актом администрации Тужинского муниципального района.

2.3. Информация о персональных данных предоставляется субъектом ПДн оператору при:

- поступлении на работу;

- обращении;

- постановке на учет в КДН;

- участии в конкурсах и аукционах;

- оформлении различных документов в подразделениях администрации Тужинского муниципального района;

- оказании муниципальных услуг.

3. Сбор, обработка и защита персональных данных

3.1. Порядок получения ПДн.

3.1.1. Все ПДн субъекта следует получать у него самого. Если ПДн возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.

Форма согласия на получение, обработку и передачу персональных данных у третьих лиц приведена в приложении N 1 к настоящему Положению.

3.1.2. Письменное согласие субъекта на обработку своих персональных данных должно включать в себя:

- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

- наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

- срок, в течение которого действует согласие, а также порядок его отзыва;

- личную подпись субъекта.

Форма согласия субъекта на обработку персональных приведена в приложении N 2 к настоящему Положению.

В случае возникновения необходимости передачи персональных данных субъектов ПДн третьим лицам и их последующей обработки необходимо получать письменное согласие субъекта персональных данных.

Форма согласия субъекта на передачу персональных данных третьим лицам и последующую обработку полученных персональных данных приведена в приложении N 3 к настоящему Положению.

3.1.3. Согласие субъекта не требуется в следующих случаях:

1) обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

2) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия невозможно;

4) при поступлении официальных запросов в соответствии с положениями Федерального закона "Об оперативно-розыскных мероприятиях";

5) иных случаях, предусмотренных действующим законодательством.

3.1.4. Субъект, о котором запрашиваются сведения, должен быть уведомлен о передаче его персональных данных третьим лицам, за исключением случаев, когда такое уведомление невозможно в силу форс-мажорных обстоятельств, а именно: стихийных бедствий, аварий, катастроф.

3.2. Порядок обработки, передачи и хранения персональных данных:

3.2.1. Субъект предоставляет оператору достоверные сведения о себе. Оператор проверяет достоверность сведений, сверяя данные, предоставленные субъектом, с имеющимися у субъекта документами.

3.2.2. При определении объема и содержания обрабатываемых персональных данных оператор должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Федеральным законом от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Правилами внутреннего распорядка администрации Тужинского муниципального района.

Избыточность получаемых персональных данных о субъекте, не требующихся для выполнения поставленной цели, недопустима.

3.2.3. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.2.4. Не допускается объединение баз данных информационных систем персональных данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой.

3.2.5. Защита персональных данных субъекта от неправомерного их использования или утраты обеспечивается оператором за счет его средств в порядке, установленном федеральным законом.

3.3. Обработка персональных данных без использования средств автоматизации осуществляется в порядке, определенном Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденный постановлением Правительства РФ от 15.09.2008 N 687.

4. Передача, распространение и хранение персональных данных

4.1. При передаче персональных данных субъекта оператор должен соблюдать следующие требования:

4.1.1. Не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральными законами.

4.1.2. Не сообщать персональные данные субъекта в коммерческих целях.

4.1.3. Предупредить лиц, получивших персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные субъекта, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными субъектов в порядке, установленном федеральными законами.

4.1.4. Осуществлять передачу персональных данных субъектов в пределах администрации Тужинского муниципального района в соответствии с настоящим Положением.

4.1.5. Разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.

4.2. Распространение персональных данных.

4.2.1. Оператор не вправе распространять персональные данные субъектов третьим лицам без согласия субъектов на передачу таких данных.

4.2.2. Согласие на обработку персональных данных, разрешенных субъектом для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных и приведено в приложении N 7 к настоящему Положению.

4.2.3. Оператор обязан обеспечить субъекту возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на распространение персональных данных.

4.2.4. В случае если из предоставленного субъектом согласия на распространение персональных данных не следует, что субъект согласился с распространением персональных данных, такие персональные данные обрабатываются оператором без права распространения.

4.2.5. В случае если из предоставленного субъектом согласия на передачу персональных данных не следует, что субъект не установил запреты и условия на обработку персональных данных или не указал категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, оператор обрабатывает такие персональные данные без возможности передачи (распространения, предоставления, доступа) неограниченному кругу лиц.

4.2.6. Согласие субъекта на распространение персональных данных может быть предоставлено оператору:

- непосредственно;

- с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

4.2.7. В согласии на распространение персональных данных субъект вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом данных запретов и условий не допускается.

4.2.8. Оператор обязан в срок не позднее трех рабочих дней с момента получения согласия субъекта на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных субъекта для распространения.

4.2.9. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта, а также перечень персональных данных, обработка которых подлежит прекращению.

4.2.10. Действие согласия субъекта на распространение персональных данных прекращается с момента поступления оператору требования, указанного в пункте 5.14 настоящего Положения.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. В разделе 5 настоящего Положения пункт 5.14 отсутствует

4.2.11. Субъект вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений Федерального закона от 27.07.2006 N 152-ФЗ или обратиться с таким требованием в суд. Оператор или третье лицо обязаны прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта или в срок, указанный во вступившем в законную силу решении суда. Если такой срок в решении суда не указан, то оператор или третье лицо обязаны прекратить передачу персональных данных субъекта в течение трех рабочих дней с момента вступления решения суда в законную силу.

4.3. Хранение и использование персональных данных субъектов:

4.3.1. Персональные данные субъектов обрабатываются и хранятся в структурных подразделениях, в которые они поступают.

4.3.2. Документы, содержащие персональные данные субъектов, хранятся в шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.

4.3.3. Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа. Жесткие диски компьютеров должны быть пронумерованы и учтены в специальном журнале.

Форма журнала учета съемных носителей персональных данных приведена в приложении N 4 к настоящему Положению.

4.3.4. Системные блоки компьютеров должны быть опечатаны, все действия по обслуживанию и ремонту должны осуществляться специалистами сектора информационных технологий.

4.3.5. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде с передачей по внутренней сети информационной системы.

4.3.6. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют соответствующие цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

5. Доступ к персональным данным

5.1. Право доступа к персональным данным субъектов имеют сотрудники отделов, непосредственно занимающиеся их обработкой. Список должностей, имеющих доступ к персональным данным, утверждается нормативным актом администрации Тужинского муниципального района.

Уполномоченные лица имеют право получать только те персональные данные субъекта, которые необходимы для выполнения конкретных функций в соответствии с должностной инструкцией указанных лиц. Все остальные субъекты имеют право на полную информацию только об их персональных данных и обработке этих данных.

5.2. Субъект имеет право:

5.2.1. Получать доступ к своим персональным данным и на ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные.

5.2.2. Требовать от оператора уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для оператора персональных данных.

5.2.3. Получать от оператора:

- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

- перечень обрабатываемых персональных данных и источник их получения;

- сроки обработки персональных данных, в том числе сроки их хранения;

- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

5.2.4. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие оператора при обработке и защите его персональных данных.

5.2.5. Отозвать свое согласие на обработку персональных данных. Форма отзыва согласия на обработку персональных данных приведена в приложении N 5 к настоящему Положению.

5.3. Копировать и делать выписки персональных данных субъекта разрешается исключительно в служебных целях с письменного разрешения руководителя структурного подразделения.

6. Порядок уничтожения, блокирования, изменения персональных данных

6.1. Уничтожение персональных данных производится при наступлении обстоятельств или достижении цели обработки персональных данных, с которыми закон, а также настоящее Положение связывает необходимость их уничтожения, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Уничтожение документов, содержащих персональные данные, производится путем их физического уничтожения (сжигание, измельчение и т.п.), исключающего возможность восстановления персональных данных.

6.2. Блокирование персональных данных осуществляется на основании письменного заявления субъекта или в случаях, установленных законом.

В заявлении о блокировании персональных данных субъект обязан указать, на какой срок и какие его персональные данные необходимо блокировать.

По получении указанного заявления субъекта оператор блокирует персональные данные на срок, указанный в заявлении.

6.3. Изменение персональных данных производится в случае поступления заявления субъекта об изменении своих персональных данных либо в случае получения сведений об изменении персональных данных субъекта от третьих лиц в порядке и на условиях, предусмотренных действующим законодательством.

Внесение изменений в персональные данные субъекта производится путем внесения таких изменений в документы, в том числе информационную базу отдела, содержащую персональные данные субъекта.

7. Защита персональных данных

7.1. Комплекс мер по защите персональных данных направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивает безопасность информации в процессе деятельности администрации Тужинского муниципального района.

7.2. При обработке персональных данных обязательно принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в соответствии с требованиями к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

7.3. Для защиты персональных данных в администрации Тужинского муниципального района применяются следующие принципы и правила:

- ограничение и регламентация состава субъектов, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;

- строгое избирательное и обоснованное распределение документов и информации между субъектами;

- рациональное размещение рабочих мест субъектов, при котором исключалось бы бесконтрольное использование защищаемой информации;

- знание субъектами требований нормативно-методических документов по защите персональных данных;

- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

- определение и регламентация состава субъектов, имеющих право доступа (входа) в помещение, в котором находится соответствующая вычислительная техника;

- организация порядка уничтожения информации;

- своевременное выявление нарушений субъектами требований разрешительной системы доступа;

- воспитательная и разъяснительная работа с субъектами по предупреждению утраты ценных сведений при работе с конфиденциальными документами.

7.4. Сотрудник оператора, осуществляющий обработку персональных данных, в случае расторжения с ним трудового договора обязан прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей.

Форма обязательства сотрудника о прекращении обработки персональных данных приведена в приложении N 6 к настоящему Положению.

8. Порядок привлечения специализированных сторонних организаций к разработке ИСПДн и средств защиты информации

8.1. Порядок привлечения специализированных сторонних организаций к разработке и эксплуатации новых ИСПДн, их задачи и функции на различных стадиях создания и эксплуатации ИСПДн определяются руководителями структурных подразделений администрации Тужинского муниципального района, в чьем ведении находится создаваемая ИСПДн, исходя из особенностей автоматизированных систем и по согласованию с сектором информационных технологий администрации Тужинского муниципального района.

8.2. Разработка систем защиты персональных данных в ИСПДн администрации Тужинского муниципального района, контроль за эксплуатацией ИСПДн осуществляется сектором информационных технологий администрации Тужинского муниципального района.

8.3. Для проведения мероприятий по обеспечению безопасности персональных данных для ИСПДн первого и второго уровня защищенности и распределенных систем третьего уровня защищенности специализированные сторонние организации должны иметь лицензии ФСТЭК России на осуществление деятельности по технической защите конфиденциальной информации.

8.4. Без наличия соответствующих лицензий проведение мероприятий по защите персональных данных возможно только для нераспределенных информационных систем третьего уровня защищенности, а также для информационных систем четвертого уровня защищенности.

9. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

9.1. Руководители структурных подразделений администрации Тужинского муниципального района, где осуществляется обработка персональных данных, несут персональную ответственность за организацию обработки персональных данных в их структурных подразделениях.

9.2. Сотрудники администрации Тужинского муниципального района, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.

9.3. За нарушение норм, регулирующих получение, обработку и защиту персональных данных субъекта, оператор несет ответственность в соответствии с действующим законодательством.