Постановление Мэрии города Магадана от 26.04.2017 N 1222 "Об утверждении Политики в отношении обработки персональных данных мэрии города Магадана" (с изменениями и дополнениями)

Постановление Мэрии города Магадана
от 26 апреля 2017 г. N 1222
"Об утверждении Политики в отношении обработки персональных данных мэрии города Магадана"

В соответствии с требованиями ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", руководствуясь статьями 35.1, 45 Устава муниципального образования "Город Магадан", мэрия города Магадана постановляет:

1. Утвердить Политику в отношении обработки персональных данных мэрии города Магадана согласно приложению.

2. Опубликовать настоящее постановление в средствах массовой информации.

3. Контроль за исполнением постановления возложить на заместителя мэра города Магадана Вебер В.В.

Глава муниципального образования "Город Магадан", мэр города Магадана

Ю. Гришан

Политика
в отношении обработки персональных данных мэрии города Магадана
(утв. постановлением Мэрии города Магадана от 26 апреля 2017 г. N 1222)

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных мэрии города Магадана (далее - Политика) разработана в целях обеспечения реализации требований законодательства Российской Федерации в области защиты персональных данных.

1.2. Политика формирует категории персональных данных, обрабатываемых мэрией города Магадана (далее - Оператор), цели, способы и принципы обработки персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Оператором для обеспечения безопасности персональных данных при их обработке.

1.3. Настоящая Политика обязательна для соблюдения, подлежит доведению до всех сотрудников Оператора, осуществляющих обработку персональных данных, и опубликованию на официальном сайте Оператора в течение 10 дней со дня утверждения.

1.4. Понятия, используемые в данной Политике, приведены в Федеральном законе от 27.07.2006 N 152-ФЗ "О персональных данных".

2. Правовое основание обработки персональных данных

2.1. Обработка персональных данных осуществляется Оператором в соответствии со следующими законодательными и нормативными правовыми актами Российской Федерации:

- Конституцией Российской Федерации;

- Трудовым кодексом Российской Федерации;

- Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";

- Федеральным законом от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации";

- Федеральным законом от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";

- Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

- иными нормативными правовыми актами, предусмотренными законодательством Российской Федерации.

3. Цели обработки персональных данных

3.1. Целями обработки персональных данных Оператора являются:

3.1.1. Выполнение требований трудового законодательства Российской Федерации и законодательства о муниципальной службе в Российской Федерации, ведение бухгалтерского и кадрового учета, исполнение требований договоров гражданско-правового характера, осуществление наградной деятельности.

3.1.2. Осуществление и выполнение возложенных законодательством Российской Федерации функций, полномочий и обязанностей, оказание государственных и муниципальных услуг, организация приема граждан по личным вопросам, рассмотрение обращений граждан.

3.1.3. Исполнение иных целей в рамках полномочий по решению вопросов местного значения, предусмотренных законодательством Российской Федерации.

4. Категории субъектов обрабатываемых персональных данных

4.1. В информационных системах персональных данных Оператора обрабатываются следующие категории персональных данных:

- муниципальные служащие;

- работники, замещающие должности, не относящиеся к должностям муниципальной службы;

- физические лица, с которыми заключен договор гражданско-правового характера;

- граждане, персональные данные которых необходимы для оказания государственных и муниципальных услуг;

- граждане, персональные данные которых необходимы для выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;

- близкие родственники муниципальных служащих, персональные данные которых необходимы в целях выполнения требований трудового законодательства Российской Федерации и законодательства о муниципальной службе в Российской Федерации;

- близкие родственники работников, персональные данные которых необходимы в целях выполнения требований трудового законодательства Российской Федерации;

- граждане, включенные в кадровый резерв; граждане, участвовавшие в конкурсах, но не прошедшие конкурсный набор;

- граждане, претендующие на замещение вакантной должности муниципальной службы;

- граждане, претендующие на получение наград;

- граждане, персональные данные которых необходимы для рассмотрения обращений граждан;

- иные граждане, обработка персональных данных которых предусмотрена законодательством Российской Федерации.

4.2. Перечень обрабатываемых персональных данных утвержден нормативным актом мэрии города Магадана.

5. Основные принципы обработки персональных данных

5.1. Обработка персональных данных осуществляется в соответствии с принципами, установленными Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".

5.2. Оператор не осуществляет трансграничную передачу персональных данных.

5.3. Оператор не осуществляет обработку биометрических персональных данных.

5.4. Персональные данные субъектов обрабатываются как на бумажных носителях, так и с помощью средств вычислительной техники.

5.5. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

6. Обязанности Оператора при обработке персональных данных

6.1. Оператор при обработке персональных данных обязан:

6.1.1. Издавать правовые акты по вопросам обработки персональных данных, а также правовые акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации и иных нормативных правовых актов, связанных с обработкой персональных данных, устранение последствий таких нарушений.

6.1.2. Определять состав и перечень правовых, организационных и технических мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами.

6.1.3. Назначать лицо, ответственное за организацию обработки персональных данных в мэрии города Магадана.

6.1.4. Обеспечивать выполнение лицами, осуществляющими обработку персональных данных, и лицами, имеющими доступ к персональным данным, требований по защите персональных данных, установленных нормативными правовыми актами.

6.1.5. Обеспечивать конфиденциальность персональных данных, обрабатываемых Оператором, кроме общедоступных персональных данных, если иное не предусмотрено федеральным законом.

6.1.6. Принимать меры по обеспечению безопасности персональных данных при их обработке.

6.1.7. Не допускать обработку и приобщение к личному делу субъекта персональных данных сведений, касающихся состояния здоровья, расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни, членства в общественных объединениях или его профсоюзной деятельности, если иное не предусмотрено федеральным законом.

6.1.8. Обеспечивать уничтожение персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

6.1.9. Выполнять иные требования в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами.

7. Порядок доступа к персональным данным и их предоставления

7.1. К обработке персональных данных допускаются сотрудники Оператора, выполняющие соответствующие функции по предоставлению государственных и муниципальных услуг, реализации соответствующих полномочий.

7.2. Лицо, ответственное за организацию обработки персональных данных Оператора, при организации доступа к персональным данным, обязано ознакомить его с требованиями федерального закона и правовых актов Оператора к обработке персональных данных и обеспечению безопасности персональных данных.

7.3. Лицам, допущенным к обработке персональных данных, предоставляется доступ только к персональным данным, необходимым для выполнения их служебных обязанностей в пределах возложенных соответствующих задач и функций.

7.4. Каждое лицо, допущенное к обработке персональных данных, использует индивидуальный идентификатор и пароль, которые не имеет права передавать другим лицам.

7.5. Оператор вправе передавать (распространять, предоставлять, давать доступ) персональные данные третьим лицам с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (соглашения) либо путем принятия мэрией города Магадана правового акта. В правовом акте должны быть определены перечень действий (операций) с персональными данными и цели их обработки, должна быть установлена обязанность лица, которому предоставлены персональные данные, соблюдать конфиденциальность и обеспечивать безопасность персональных данных, а также должны быть указаны требования к их защите в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".

7.6. Основаниями для отказа в предоставлении персональных данных третьим лицам являются:

7.6.1. Отсутствие согласия субъекта персональных данных.

7.6.2. Отсутствие условий, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", при которых согласие субъекта персональных данных не требуется.

8. Организация защиты персональных данных

8.1. Персональные данные относятся к сведениям ограниченного доступа и подлежат защите в рамках функционирующей у Оператора системы защиты информации.

8.2. При организации системы защиты персональных данных Оператор руководствуется:

- Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";

- постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

- постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами";

- постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических средств по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

8.3. Под безопасностью информации понимают состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность.

8.4. Задачами системы защиты персональных данных являются исключение или минимизация ущерба от возможной реализации случайных или злонамеренных воздействий на персональные данные, а также прогнозирование или предотвращение таких воздействий.

8.5. Меры, принимаемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных, подразделяются на правовые, организационные и технические.

8.5.1. К правовым мерам защиты персональных данных относятся принятие правовых актов Оператором в соответствии с федеральными законами в области защиты персональных данных и принятыми в их исполнение нормативными документами, закрепляющих права и обязанности субъектов информационных отношений в процессе обработки персональных данных, а также устанавливающих ответственность за нарушение этих правил.

8.5.2. К организационным мерам защиты персональных данных относятся:

- назначение Оператором ответственного за обеспечение безопасности информации;

- разработка и поддержание в актуальном состоянии организационно-распорядительных документов, регламентирующих порядок обработки персональных данных, создания и функционирования системы защиты персональных данных.

8.5.3. Организация деятельности отраслевых (функциональных) органов мэрии города Магадана:

- информирование лиц, осуществляющих обработку персональных данных, а также об особенностях и правилах осуществления такой обработки;

- обеспечение раздельной фиксации на материальных носителях персональных данных, имеющих различную цель обработки, или их раздельной обработки;

- обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

8.5.4. Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных и безопасности персональных данных Оператора требованиям законодательства Российской Федерации и иных нормативных правовых актов о персональных данных, в том числе требованиям к защите персональных данных.

8.5.5. Обучение, периодическое повышение квалификации сотрудников, ответственных за организацию обработки и обеспечение безопасности информации, сотрудников, непосредственно выполняющих мероприятия по обеспечению безопасности персональных данных.

8.5.6. К техническим мерам защиты относится использование программно-аппаратных средств, выполняющих самостоятельно или в комплексе с другими средствами защиты персональных данных, и методов защиты:

- программной или программно-технической защиты от несанкционированного доступа к информационным ресурсам автоматизированных рабочих мест, на которых обрабатываются персональные данные;

- средств защиты от вредоносного программного обеспечения.

8.6. Оператором применяются сертифицированные средства защиты информации, соответствующие требованиям, установленным уполномоченными органами в области технической защиты информации.

8.7. Лица, ответственные за организацию обработки персональных данных, при обеспечении безопасности персональных данных вправе:

- иметь доступ к информации, касающейся обработки персональных данных;

- привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых Оператором, сотрудников с возложением на них соответствующих обязанностей и закреплением ответственности.

9. Ответственность за нарушение требований законодательства Российской Федерации в области персональных данных

9.1. Ответственные за организацию обработки персональных данных Оператора несут ответственность за ненадлежащее выполнение возложенных функций по организации обработки персональных данных в соответствии с законодательством Российской Федерации и иными нормативными правовыми актами в области защиты персональных данных.

9.2. Лица, осуществляющие обработку персональных данных Оператора, в соответствии со своими полномочиями несут гражданско-правовую, уголовную, административную, дисциплинарную ответственность за нарушение требований к обработке и защите персональных данных, предусмотренную законодательством Российской Федерации.