Приложение. Политика Пермской городской Думы в отношении обработки персональных данных. Постановление Председателя Пермской городской Думы от 27.11.2024 N 28-1 "Об утверждении Политики Пермской городской Думы в отношении обработки персональных данных"

Приложение
к постановлению
председателя Пермской
городской Думы
от 27.11.2024 N 28-1

Политика
Пермской городской Думы в отношении обработки персональных данных

I. Общие положения

1.1. Настоящая Политика (далее - Политика) разработана в целях исполнения требований пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, оператором которых является Пермская городская Дума (далее - Дума).

1.2. Политика определяет правила обработки персональных данных в Думе, включая процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных, а также для каждой цели обработки персональных данных - категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.

1.3. Для целей Политики используются следующие основные понятия:

автоматизированное рабочее место (далее - АРМ) - индивидуальный комплекс технических и программных средств, предназначенный для автоматизации профессионального труда муниципального служащего и обеспечивающий подготовку, редактирование, поиск и вывод на экран программно-технического устройства и печать необходимых ему документов и данных;

материальный носитель персональных данных - это бумажный и машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений о человеке, на основе которых можно установить его личность;

машиночитаемый (равнозначно - машинный) носитель персональных данных - носитель, пригодный для непосредственной записи и считывания данных программно-техническими средствами.

Понятия: "автоматизированная обработка персональных данных", "обработка персональных данных", "персональные данные", "распространение персональных данных" "субъект персональных данных", "уничтожение персональных данных" - употребляются в значениях, установленных Законом о персональных данных.

Понятие "электронная вычислительная машина" употребляется в значении, определенном Гражданским кодексом Российской Федерации.

1.4. Политика действует в отношении всех персональных данных, обрабатываемых Думой с использованием средств автоматизации, а также без использования таких средств.

1.5. Политика является общедоступной и подлежит размещению на официальном сайте Думы в информационно-телекоммуникационной сети Интернет.

II. Правовые основания обработки персональных данных

2.1. Правовым основанием обработки персональных данных является совокупность правовых актов, в соответствии с которыми Дума осуществляет обработку персональных данных, в том числе:

2.1.1 Конституция Российской Федерации;

2.1.2 Трудовой кодекс Российской Федерации;

2.1.3 федеральные законы:

от 06.10.2003 N 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации",

от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации",

от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации",

от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации",

от 25.12.2008 N 273-ФЗ "О противодействии коррупции",

от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд";

2.1.4 Указ Президента Российской Федерации от 08.07.2013 N 613 "Вопросы противодействия коррупции";

2.1.5 постановления Правительства Российской Федерации:

от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации",

от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами",

от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

2.1.6 приказы:

Федеральной службы по техническому и экспортному контролю от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных",

Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникации от 28.10.2022 N 179 "Об утверждении Требований к подтверждению уничтожения персональных данных";

2.1.7 Устав города Перми;

2.1.8 решения Думы:

от 07.09.2004 N 116 "Об утверждении "Положения о Контрольно-счетной палате города Перми",

от 23.10.2007 N 266 "Об утверждении Положения о помощниках депутата Пермской городской Думы",

от 27.05.2008 N 156 "Об утверждении Положения о муниципальной службе в городе Перми",

от 25.03.2014 N 74 "Об утверждении Положения о гарантиях деятельности, запретах, ограничениях и обязанностях депутата Пермской городской Думы при осуществлении им своих полномочий",

от 25.04.2017 N 88 "О мерах по противодействию коррупции, касающихся лиц, замещающих отдельные муниципальные должности города Перми",

от 15.12.2020 N 280 "Об утверждении Положения о порядке проведения конкурса по отбору кандидатур на должность Главы города Перми - главы администрации города Перми",

об исполнении полномочий депутата Думы на постоянной основе,

по вопросам награждения (поощрения) физических и юридических лиц.

III. Цели обработки Думой персональных данных

3.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.2. Персональные данные обрабатываются Думой в следующих целях:

3.2.1 обеспечение соблюдения трудового законодательства;

3.2.2 обеспечение соблюдения законодательства о муниципальной службе;

3.2.3 обеспечение соблюдения пенсионного законодательства;

3.2.4 обеспечение соблюдения законодательства о противодействии коррупции;

3.2.5 подготовка, заключение и исполнение гражданско-правового договора;

3.2.6 ведение кадрового и бухгалтерского учета;

3.2.7 обеспечение прохождения ознакомительной, производственной или преддипломной практики учащегося на основании договора с образовательной организацией;

3.2.8 участие в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

3.2.9 обеспечение соблюдения законодательства в сфере закупок товаров, работ, услуг для обеспечения муниципальных нужд;

3.2.10 обеспечение соблюдения законодательства в связи с выполнением полномочий (функций), возложенных на Думу законодательством Российской Федерации.

3.3. Для каждой цели обработки персональных данных, указанной в подпунктах 3.2.1 - 3.2.10 настоящего раздела, определяются категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований согласно приложению 1 к Политике.

3.4. Содержание и объем обрабатываемых персональных данных должны соответствовать целям обработки, предусмотренным в подпунктах 3.2.1 - 3.2.10 настоящего раздела. Обрабатываемые персональные данные не должны быть избыточными по отношению к целям их обработки.

IV. Права и обязанности Думы как оператора

4.1. Дума как оператор персональных данных имеет право:

4.1.1 осуществлять и ограничивать обработку персональных данных достижением конкретных, заранее определенных и законных целей;

4.1.2 определять содержание и объем обрабатываемых Думой персональных данных в соответствии с заявленными целями обработки;

4.1.3 обрабатывать персональные данные с согласия субъекта персональных данных на обработку его персональных данных в соответствии с целями, заранее определенными и заявленными при сборе персональных данных, а также возложенными на Думу полномочиями (функциями);

4.1.4 осуществлять обработку персональных данных с использованием и без использования средств автоматизации;

4.1.5 определять сроки обработки персональных данных Думой исходя из целей обработки персональных данных;

4.1.6 совершать иные действия, установленные законодательством Российской Федерации.

4.2. При организации обработки персональных данных Дума обязана:

4.2.1 осуществлять обработку персональных данных в соответствии с Законом о персональных данных, иными федеральными законами и принятыми на основании и в соответствии с ними нормативно-правовыми актами Российской Федерации, правовыми актами Думы и председателя Думы в указанной сфере;

4.2.2 не допускать обработку персональных данных, несовместимую с целями сбора персональных данных, и объединять базы данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

4.2.3 предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных в соответствии с Законом о персональных данных;

4.2.4 разъяснять субъекту персональных данных юридические последствия отказа предоставить его персональные данные, если их предоставление является обязательным в соответствии с Законом о персональных данных;

4.2.5 принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных;

4.2.6 не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, за исключением случаев, предусмотренных федеральными законами;

4.2.7 осуществлять хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

4.2.8 обеспечивать уничтожение или обезличивание персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законом о персональных данных;

4.2.9 исполнять иные обязанности, предусмотренные Законом о персональных данных.

V. Субъекты персональных данных в Думе и их права

5.1. Субъектами персональных данных для целей обработки персональных данных в Думе (далее - субъекты персональных данных) являются:

5.1.1 муниципальные служащие Думы;

5.1.2 лица, замещающие муниципальные должности в Думе;

5.1.3 помощники депутатов Думы;

5.1.4 граждане, претендующие на замещение должностей муниципальной службы в аппарате Думы (далее - Соискатели 1);

5.1.5 граждане, претендующие на замещение должности помощников депутатов Думы (далее - Соискатели 2);

5.1.6 лица, ранее состоявшие с Думой в трудовых отношениях и прекратившие их;

5.1.7 лица, состоящие в родстве (свойстве) с субъектами персональных данных, указанными в подпунктах 5.1.1-5.1.3 настоящего пункта;

5.1.8 граждане, претендующие на участие в конкурсе по отбору кандидатур на должность Главы города Перми-главы администрации города Перми;

5.1.9 граждане, претендующие на назначение Думой на должность председателя Контрольно-счетной палаты города Перми (далее - КСП), заместителя председателя КСП и аудиторов КСП;

5.1.10 граждане, представленные для награждения государственными наградами Российской Федерации, наградами Пермского края, поощрениями города Перми, Думы и председателя Думы;

5.1.11 граждане, претендующие на включение в кадровый резерв аппарата Думы для замещения вакантных должностей муниципальной службы и состоящие в нем;

5.1.12 граждане, их представители, представители юридических лиц, являющиеся стороной гражданско-правового договора, заключенного с Думой;

5.1.13 физические лица и их представители, представители юридических лиц, взаимодействующие с Думой в рамках законодательства о контрактной системе;

5.1.14 иные физические лица, представляющие в Думу персональные данные в связи с выполнением Думой полномочий (функций) в соответствии с законодательством Российской Федерации, обработка персональных данных которых необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

5.2. Субъект персональных данных имеет право:

5.2.1 требовать от Думы уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

5.2.2 получать от Думы информацию, касающуюся обработки его персональных данных, в том числе предусмотренную частью 7 статьи 14 Закона о персональных данных;

5.2.3 отозвать согласие на обработку персональных данных;

5.2.4 обжаловать действия или бездействие Думы в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

5.2.5 совершать иные действия, предусмотренные законодательством.

VI. Общие правила и условия обработки персональных данных

6.1. Дума осуществляет обработку персональных данных, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка персональных данных в Думе осуществляется с использованием средств автоматизации, в том числе в информационных системах, и без использования таких средств.

6.2. Обработка и защита персональных данных в Думе осуществляется лицами, замещающими в Думе должности, включённые в соответствующий перечень, утвержденный председателем Думы (далее - Перечень).

Лицо, осуществляющее обработку персональных данных, до начала работы с персональными данными заполняет типовое обязательство о прекращении обработки персональных данных, ставших известными ему в связи с исполнением должностных обязанностей (полномочий), в случае расторжения с ним трудового договора (прекращения полномочий) по форме согласно приложению 2 к Политике.

6.3. Обработка в Думе персональных данных лиц, указанных в подпунктах 5.1.2, 5.1.4, 5.1.5 Политики, осуществляется с согласия субъекта персональных данных, заполняемого по типовой форме согласно приложению 3 к Политике (для Соискателей 1), согласно приложению 4 к Политике (для Соискателей 2), согласно приложению 5 к Политике (для лиц, замещающих муниципальные должности в Думе), если иное не предусмотрено законодательством Российской Федерации в области персональных данных.

Обработка персональных данных лиц, указанных в подпунктах 5.1.6 - 5.1.11 Политики, осуществляется с согласия субъекта персональных данных, типовая форма которого установлена соответствующим правовым актом Думы, председателя Думы, либо в иной форме, соответствующей части 4 статьи 9 Закона о персональных данных.

Распространение персональных данных субъектов персональных данных возможно только с согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, которое заполняется субъектом персональных данных по типовой форме согласно приложению 6 к Политике.

6.4. Обработка персональных данных субъектов, указанных в подпунктах 5.1.1, 5.1.3, 5.1.12 - 5.1.14 Политики, осуществляется без согласия указанных лиц в рамках целей, определенных приложением 1 к Политике, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Закона о персональных данных и положениями Трудового кодекса Российской Федерации, федеральных законов от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации", от 25.12.2008 N 273-ФЗ "О противодействии коррупции", от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд".

6.5. При сборе персональных данных лицо, уполномоченное на обработку персональных данных, осуществляющее сбор (получение) персональных данных непосредственно от субъектов персональных данных, обязано разъяснить субъектам персональных данных юридические последствия отказа предоставить их персональные данные.

Разъяснение оформляется в письменном виде по типовой форме согласно приложению 7 к Политике.

6.6. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Дума обязана прекратить их обработку или обеспечить прекращение такой обработки в соответствии с Законом о персональных данных.

6.7. Обрабатываемые в Думе персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

VII. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации

7.1. Персональные данные, обрабатываемые без использования средств автоматизации, должны обособляться от другой информации.

7.2. При обработке персональных данных, осуществляемой без использования средств автоматизации, не допускается фиксация на одном материальном носителе персональных данных, обработка которых осуществляется в различных целях, заведомо несовместимых между собой.

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществить обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных.

7.3. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими указанных персональных данных, категориях обрабатываемых персональных данных, особенностях и правилах такой обработки, установленных законодательством о персональных данных и принятыми в соответствии с ним правовыми актами, в том числе Политикой.

7.4. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

7.5. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации, определяются правовым актом председателя Думы.

7.6. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться условия, определенные Правительством Российской Федерации.

7.7. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

7.8. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не позволяют технические возможности материального носителя, - путем фиксации на том же носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

VIII. Особенности обработки персональных данных с использованием средств автоматизации, в том числе в информационных системах

Порядок обработки персональных данных с использованием средств автоматизации, в том числе в информационных системах, используемых в Думе для целей такой обработки персональных данных, а также перечень таких информационных систем устанавливаются председателем Думы.

IX. Сроки обработки и хранения персональных данных

9.1. Сроки обработки и хранения персональных данных определяются в соответствии с законодательством Российской Федерации.

9.2. Хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях, осуществляется раздельно.

9.3. Контроль за хранением и использованием материальных носителей с размещенными на них персональными данными осуществляют руководители структурных подразделений аппарата Думы либо иные уполномоченные лица, определенные председателем Думы.

X. Порядок доступа в помещения, в которых ведется обработка персональных данных

10.1. Доступ в помещения Думы, в которых ведется обработка персональных данных, (далее - помещения) имеют лица, замещающие муниципальные должности в Думе, муниципальные служащие аппарата Думы, помощники депутатов Думы, должности которых включены в Перечень.

10.2. Для помещений организуется режим обеспечения безопасности, при котором обеспечивается сохранность материальных носителей информации, содержащих персональные данные, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц. Данный режим должен обеспечиваться в том числе:

закрытием дверей помещений, в которых хранятся материальные носители, содержащие персональные данные, на запорные устройства в период отсутствия в помещении лиц, должности которых включены в Перечень, и в нерабочее время,

закрытием сейфов, шкафов и ящиков в столах, оснащенных запорными устройствами, где хранятся материальные носители, содержащие персональные данные, во время отсутствия в помещении лиц, должности которых включены в Перечень.

10.3. Вскрытие и закрытие помещений производятся муниципальными служащими, имеющими право доступа в данные помещения.

10.4. Нахождение в помещениях лиц, должности которых не включены в Перечень, возможно только в присутствии лица, должность которого включена в Перечень.

10.5. Техническое обслуживание электронно-вычислительной техники, а также проведение других работ в помещении осуществляются в присутствии лица, работающего в данном помещении, должность которого включена в Перечень.

10.6. Ответственность за соблюдение порядка доступа в помещения возлагается на муниципальных служащих аппарата Думы, определенных председателем Думы.

XI. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

11.1. Уничтожение персональных данных производится в случаях:

11.1.1 истечения сроков хранения персональных данных, установленных законодательством;

11.1.2 достижения цели обработки персональных данных или утраты необходимости в достижении этих целей;

11.1.3 выявления неправомерной обработки персональных данных, в том числе по обращению субъекта персональных данных или его представителя либо запросу уполномоченного органа по защите прав субъектов персональных данных, если обеспечить правомерность обработки персональных данных невозможно;

11.1.4 требования субъекта персональных данных, если его персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

11.1.5 отзыва субъектом персональных данных согласия на обработку его персональных данных, если дальнейшее сохранение персональных данных не требуется для целей обработки персональных данных;

11.1.6 признания недостоверности персональных данных или получения их незаконным путем - по требованию уполномоченного органа по защите прав субъектов персональных данных.

11.2. Уничтожение персональных данных, обработка которых осуществлялась без использования средств автоматизации, осуществляется путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, и средствами гарантированного удаления остаточной информации следующими способами:

физическим уничтожением носителя (сжигание, механическое измельчение),

химическим уничтожением носителя (растворение в кислотах, щелочах),

вымарыванием (удалением) с носителя персональных данных химическим или механическим способом (вырезанием).

11.3. Уничтожение персональных данных, обработка которых осуществлялась без использования средств автоматизации, в случаях, указанных в подпунктах 11.1.1, 11.1.2 (в случае передачи персональных данных для хранения) Политики, осуществляется в соответствии с инструкцией по организации делопроизводства в Думе, утвержденной правовым актом председателя Думы (далее - Инструкция).

11.4. Муниципальный служащий, осуществляющий обработку персональных данных:

11.4.1 обеспечивает постоянный контроль за сроками хранения обрабатываемых персональных данных;

11.4.2 в порядке, предусмотренном Инструкцией, формирует и направляет в структурное подразделение аппарата Думы, осуществляющее функции делопроизводства, опись персональных данных, подлежащих уничтожению в связи с истечением сроков хранения или передаваемых на хранение в указанное структурное подразделение аппарата Думы, по форме согласно приложению 8 к Политике.

11.5. В случаях, предусмотренных подпунктами 11.1.3 - 11.1.6 Политики, по решению ответственного за обработку персональных данных в Думе муниципальный служащий, осуществляющий обработку персональных данных, обработка которых осуществлялась без использования средств автоматизации, обеспечивает их уничтожение.

По окончании процедуры уничтожения персональных данных, обработка которых осуществлялась без использования средств автоматизации, составляется акт об уничтожении по форме согласно приложению 9 к Политике.

11.6. Особенности уничтожения персональных данных, обработка которых осуществлялась с использованием средств автоматизации, устанавливаются правовым актом председателя Думы.

XII. Правила работы с обезличенными персональными данными

12.1. Обезличивание персональных данных в Думе осуществляется лицами, ответственными за проведение мероприятий по обезличиванию персональных данных, определенными председателем Думы.

12.2. Правила работы с обезличенными персональными данными утверждаются правовым актом председателя Думы.

XIII. Актуализация, исправление, удаление и уничтожение персональных данных, правила рассмотрения запросов субъектов персональных данных или их представителей

ГАРАНТ:

Пункт 13.1 вступает в силу с 1 января 2025 г.

13.1. Субъекты персональных данных, указанные в пункте 5.1 Политики, или их представители имеют право на получение информации, касающейся обработки их персональных данных. Представительство устанавливается в порядке, определенном Гражданским кодексом Российской Федерации.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Закона о персональных данных.

13.2. Субъект персональных данных вправе требовать от Думы уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством меры по защите своих прав.

13.3. Для реализации своих прав субъект персональных данных или его представитель приносит в Думу обращение или запрос лично либо передает его на личном приеме граждан, либо направляет его в письменной форме в Думу почтовым отправлением по адресу: 614015, Россия, г. Пермь, ул. Ленина, д. 23, или на электронный адрес: pgd@permkrai.ru.

13.4. Запрос должен содержать номер документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Думой, либо сведения, иным образом подтверждающие факт обработки персональных данных Думой, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью.

Требования к письменному обращению установлены статьей 7 Федерального закона от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации".

13.5. Ответ на обращение либо запрос направляется субъекту персональных данных в установленный законодательством срок.

13.6. Сведения, предоставляемые Думой субъекту персональных данных в ответ на обращение либо запрос, должны излагаться в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

13.7. В случае выявления неправомерной обработки персональных данных при обращении или запросе субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Дума обязана осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки.

В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Дума обязана осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента получения такого обращения или запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

13.8. В случае подтверждения факта неточности персональных данных или неправомерности их обработки Думой персональные данные подлежат соответственно уточнению либо их обработка должна быть прекращена.

13.9. Срок уточнения персональных данных, являющихся неполными, неточными или неактуальными, не может превышать семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными.

13.10. Срок прекращения обработки персональных данных Думой в случае выявления неправомерной обработки персональных данных не может превышать трех рабочих дней со дня выявления их неправомерной обработки. Дума обязана прекратить неправомерную обработку персональных данных. В случае если обеспечить правомерность обработки персональных данных невозможно, Дума в срок, не превышающий десяти рабочих дней со дня выявления неправомерной обработки персональных данных, обязана уничтожить такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Дума обязана уведомить субъекта персональных данных или его представителя либо уполномоченный орган по защите прав субъектов персональных данных.

13.11. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Дума обязана с момента выявления такого инцидента Думой, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

13.11.1 в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Думой на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

13.11.2 в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

XIV. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных

Для выявления и предотвращения нарушений законодательства Российской Федерации в сфере персональных данных используются следующие процедуры:

14.1 осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;

14.2 оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, результаты которой оформляются актом оценки вреда по форме согласно приложению 10 к Политике;

14.3 ознакомление работников, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных;

14.4 прекращение обработки персональных данных при достижении конкретных целей, определенных Политикой;

14.5 недопущение обработки персональных данных, несовместимой с целями сбора персональных данных;

14.6 уничтожение или обезличивание обрабатываемых персональных данных при достижении целей обработки или в случае утраты необходимости в достижении целей обработки.

XV. Меры по надлежащей организации обработки и обеспечению безопасности персональных данных

15.1. Дума при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

15.2. Обеспечение безопасности персональных данных достигается следующими способами:

15.2.1 повышение уровня знаний лиц, осуществляющих обработку персональных данных, в сфере законодательства Российской Федерации о персональных данных;

15.2.2 определение угроз безопасности персональных данных при их обработке в информационных системах;

15.2.3 выявление фактов несанкционированного доступа к персональным данным и принятие превентивных мер обеспечения безопасности в соответствии с законодательством;

15.2.4 восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

15.2.5 обеспечение регистрации и учета действий, совершаемых с персональными данными в информационных системах;

15.2.6 контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем.

15.3. Обязанности муниципальных служащих, осуществляющих обработку персональных данных, а также их ответственность определяются соответствующими должностными инструкциями.