Приложение. Положение о защите персональных данных в администрации Сусуманского городского округа. Распоряжение Администрации Сусуманского городского округа Магаданской области от 07.05.2018 N 82-р "О Положении о защите персональных данных в администрации Сусуманского городского округа"

Приложение
Утверждено
распоряжением администрации
Сусуманского городского округа
от 07.05.2018 года N 82-р

Положение
о защите персональных данных в администрации Сусуманского городского округа

1. Общие положения

1.1. Положение о защите персональных данных (далее - Положение) определяет порядок получения, учета, сбора, хранения, комбинирования, передачи и любого другого использования персональных данных в соответствии с законодательством Российской Федерации.

1.2. Положение разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Федеральными законами от 27.07.2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27.07.2006 г. N 152-ФЗ "О персональных данных от 02.03.2007 г. N 25-ФЗ "О муниципальной службе в Российской Федерации", Областным законом от 02.11.2007 г. N 900-ОЗ "О муниципальной службе в Магаданской области", Постановлением Правительства РФ от 21.03.2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Уставом муниципального образования "Сусуманский городской округ", иными нормативными актами, действующими на территории Российской Федерации.

1.3. В настоящем Положении используются следующие понятия и термины:

- оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

- конфиденциальность персональных данных - обязанность операторов и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;

- использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

- информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;

- доступ к информации - возможность получения информации и ее использования;

- документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;

- под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах;

- базой данных является представленная в объективной форме совокупность самостоятельных материалов, систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ);

Иные понятия в настоящих Правилах используются в значениях, определенных действующим законодательством Российской Федерации

1.4. Настоящее Положение является обязательным для исполнения всеми муниципальными служащими и работниками, чьи должности не отнесены к должностям муниципальной службы (далее работники).

2. Понятие и состав персональных данных

2.1. Под персональными данными понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, а также любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

2.2. Персональные данные работника составляют:

а) сведения о фактах, событиях и обстоятельствах частной жизни работника, позволяющие идентифицировать его, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;

б) служебные сведения, а также иные сведения, связанные с профессиональной деятельностью работника, в том числе сведения о поощрениях и о дисциплинарных взысканиях.

2.3. Персональными данными работника являются:

- сведения, содержащиеся в документах, удостоверяющих личность;

- информация, содержащаяся в трудовой книжке;

- анкетные и биографические данные;

- личный листок по учету кадров;

- информация, содержащаяся в страховом свидетельстве государственного пенсионного страхования;

- свидетельство о постановке на учет в налоговый орган и присвоения ИНН;

- сведения, содержащиеся в документах воинского учета;

- сведения об образовании, квалификации или наличии специальных знаний или подготовки;

- данные об образовании (номер, серия диплома(ов), год окончания);

- данные о приобретенных специальностях;

- сведения о семейном положении, о составе семьи, наличие иждивенцев, сведения о месте работы или учебы членов семьи;

- данные о членах семьи (степень родства, Ф. И. О., год рождения, паспортные данные, включая место регистрации и место рождения);

- фактическое место проживания;

- контактная информация;

- сведения о доходах, расходах, об имуществе и обязательствах имущественного характера;

- сведения о социальных льготах;

- сведения о состоянии здоровья и наличии заболеваний (в случаях установленных законодательством);

- данные о текущей трудовой деятельности (дата начала трудовой деятельности, кадровые перемещения, оклады и их изменения, сведения о поощрениях, данные о повышении квалификации и т. п.);

- документы, содержащие сведения о заработной плате, доплатах, надбавках;

- документы, содержащие сведения, предназначенные для использования в служебных целях.

2.4. Указанные в п. 2.3. сведения являются конфиденциальными и не подлежат разглашению иначе как по основаниям, предусмотренным законодательством РФ. Режим защиты может быть снят по истечению 75 лет, если больший срок не предусмотрен законодательством.

3. Создание, обработка и хранение персональных данных

3.1. Обработка персональных данных осуществляется для следующих целей:

- выполнение функций работодателя;

- осуществления и выполнения возложенных на администрацию Сусуманского городского округа законодательством Российской Федерации и уставом муниципального образования "Сусуманский городской округ" функций, полномочий и обязанностей;

- исполнение судебного решения;

- исполнение договора, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных;

- рассмотрение обращения граждан;

- оказания муниципальных услуг.

3.2. В администрации Сусуманского городского округа обрабатываются персональные данные следующих категорий субъектов:

- лица замещающие муниципальные должности и их родственники;

- работники администрации Сусуманского городского округа должности, которых не отнесены к должностям муниципальной службы и их родственники;

- муниципальные служащие, замещающие должности муниципальной службы в администрации Сусуманского городского округа и их родственники;

- муниципальные служащие, руководители структурных подразделений администрации Сусуманского городского округа и их родственники;

- граждане, подавшие заявление на участие в конкурсе на замещение вакантной должности муниципальной службы в администрации Сусуманского городского округа;

- граждане, состоящие в кадровом резерве;

- лица, состоящие в договорных и иных гражданско-правовых отношениях с администрацией Сусуманского городского округа;

- граждане, обратившиеся с жалобами и/или подавшие официальное заявление;

- получатели муниципальной услуги.

4. Порядок обработки персональных данных

4.1. Должностные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

4.2. Обработка персональных данных осуществляется с согласия субъекта, если иное не предусмотрено федеральным законом.

Согласие на обработку персональных данных даётся субъектом обработки персональных данных в письменной форме.

Настоящим положением утверждены типовые формы согласия субъекта на обработку персональных данных:

- лиц замещающих муниципальные должности и работников в связи с реализацией служебных или трудовых отношений с работодателем (приложение N 1);

- при предоставлении муниципальных услуг (приложение N 2);

- при осуществлении возложенных на администрацию Сусуманского городского округа федеральным законодательством и уставом муниципального образования "Сусуманский городской округ" функций, полномочий и обязанностей (приложение N 3).

4.3. Все персональные данные следует получать у самого субъекта. Если персональные данные возможно получить только у третьей стороны, то субъект должен быть заранее информирован о целях, предполагаемых источниках и способах получения персональных данных и от него должно быть получено письменное согласие. Работодатель должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.

4.4. Передача персональных данных работника третьей стороне без письменного согласия субъекта не допускается, за исключением случаев, установленных федеральными законами.

4.5. Передача персональных данных по телефону, факсу или электронной почте, без письменного согласия субъекта запрещается.

4.6. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в том объеме, который позволяет не разглашать излишний объем персональных данных.

4.7. В случае отзыва субъектом согласия на обработку его персональных данных или в случае достижения цели их обработки, уполномоченные должностные лица обязаны в срок, не превышающий тридцати дней, их уничтожить, если иное не предусмотрено законом. Письменная форма отзыва согласия на обработку персональных данных утверждена настоящим положением (приложение N 4).

4.8. Уничтожение персональных данных производится физическим уничтожением носителя персональных данных, либо очисткой его тем способом, который позволяет гарантировать невозможность их последующего восстановления. По факту уничтожения комиссией в составе должностного лица, ответственного за обработку персональных данных, лица, ответственного за защиту персональных данных составляется акт. В акте уничтожения персональных данных необходимо указать дату, способ, и основание для уничтожения.

4.9. Мероприятия по обезличиванию обрабатываемых персональных данных в администрации Сусуманского городского округа не проводятся.

4.10. Всеми лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных.

Вне зависимости от необходимости обеспечения конфиденциальности персональных данных, при обработке персональных данных должно определяться наличие требований по обеспечению иных характеристик безопасности персональных данных, отличных от нее.

4.11. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных сотрудника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.

5. Порядок обработки персональных данных без использования средств автоматизации

Порядок обработки персональных данных без использования средств автоматизации осуществляется:

5.1. На бумажных носителях:

5.1.1. Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных и магнитных носителях.

5.1.2. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.

5.1.3. При неавтоматизированной обработке персональных данных на бумажных носителях:

- не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы;

- персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);

- документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;

- дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.

5.1.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, - при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

5.2. В электронном виде без использования средств автоматизации:

5.2.1. Неавтоматизированная обработка персональных данных в электронном виде осуществляется на электронных носителях информации.

5.2.2. При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном электронном носителе, если электронный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

5.3. Перечень мест хранения персональных данных (материальных носителей) устанавливается распоряжением администрации Сусуманского городского округа.

6. Сроки обработки и хранения персональных данных

6.1. В соответствии с законодательством Российской Федерации определяются и устанавливаются следующие сроки обработки и хранения персональных данных:

1) персональные данные, содержащиеся документах по личному составу (о приеме, о переводе, об увольнении, о надбавках), подлежат хранению в структурных подразделениях администрации Сусуманского городского округа (у должностных лиц) к полномочиям которых относится ведение кадрового учета в течение двух лет с последующим формированием и передачей указанных документов в архивный отдел для хранения в установленном законодательством Российской Федерации порядке;

2) персональные данные, содержащиеся в личных делах и личных карточках работников подлежат хранению в структурных подразделениях администрации Сусуманского городского округа (у должностных лиц) к полномочиям которых относится ведение кадрового учета в течении десяти лет с последующим формированием и передачей указанных документов в архивный отдел администрации Сусуманского городского округа для хранения в установленном Российской Федерацией порядке;

3) персональные данные, содержащиеся документах о предоставлении отпусков, о командировках, подлежат хранению в структурных подразделениях (у должностных лиц) к полномочиям которых относится ведение кадрового учета в течение пяти лет с последующим уничтожением;

4) персональные данные, содержащиеся в документах граждан, претендующих на замещение вакантных должностей в администрации Сусуманского городского округа, хранятся в структурных подразделениях (у должностных лиц) к полномочиям которых относится ведение кадрового учета в течение 3-х лет, после чего подлежат уничтожению.

6.2. Сроки обработки и хранения персональных данных, предоставляемых в связи с предоставлением муниципальных услуг или исполнением муниципальных функций, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки в соответствии с Федеральным законодательством.

Если сроки обработки и хранения персональных данных не установлены Федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, то обработка и хранение персональных данных категорий субъектов, персональные данные которых обрабатываются в администрации Сусуманского городского округа, осуществляются не дольше, чем этого требуют цели их обработки и хранения.

6.3. Персональные данные граждан, обратившихся в администрацию Сусуманского городского округа лично, а также направивших индивидуальные или коллективные письменные обращения или обращении в форме электронного документа, хранятся в течение пяти лет, после истечения срока подлежат уничтожению.

6.4. Персональные данные, предоставляемые на бумажном носителе в связи с предоставлением муниципальных услуг и (или) исполнением муниципальных функций в установленных законодательством случаях, хранятся в структурных подразделениях (у должностных лиц) к полномочиям которых относится предоставление муниципальных услуг и (или) исполнение муниципальных функций.

6.5. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

7. Доступ к персональным данным

7.1. Требования к сотрудникам, осуществляющим доступ к персональным данным или их обработки.

Руководители структурных подразделений администрации Сусуманского городского округа осуществляют ознакомление своих работников, непосредственно осуществляющих обработку персональных данных, или имеющих доступ к ним, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами администрации Сусуманского городского округа по вопросам обработки персональных данных, включая настоящее Положение:

- при оформлении договора, в том числе трудового;

- при первоначальном допуске к обработке персональных данных в информационной системе персональных данных;

- при назначении на новую должность, связанную с обработкой персональных данных или доступом к ним;

- после внесения изменений в действующее законодательство Российской Федерации о персональных данных, локальные акты по вопросам обработки персональных данных, включая настоящее Положение.

7.2. Работники, непосредственно осуществляющие обработку персональных данных, или имеющие доступ к ним обязаны:

- неукоснительно следовать принципам обработки персональных данных;

- знать и строго соблюдать положения действующего законодательства Российской Федерации в области персональных данных;

- знать и строго соблюдать инструкции, руководства и иные эксплуатационные документы на применяемые средства автоматизации, в том числе программное обеспечение, и средства защиты информации;

- соблюдать конфиденциальность персональных данных, то есть не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;

- не допускать нарушений требований и правил обработки и обеспечения безопасности персональных данных;

- обо всех ставших известными случаях нарушений требований и правил обработки и обеспечения безопасности персональных данных или предпосылках к таким нарушениям, сообщать руководителю отдела, комитета управления.

7.3. Работники, несут личную ответственность за соблюдение указанных обязанностей в предусмотренном действующим законодательством Российской Федерации объеме.

7.4. Порядок доступа работников в помещения, в которых ведется обработка персональных данных:

7.4.1. Запрещается оставлять материальные носители с персональными данными без присмотра в незапертом помещении, в котором осуществляется обработка персональных данных.

7.4.2. Доступ работников в помещения, в которых ведется обработка персональных данных, осуществляется в соответствии с перечнем должностей, замещение которых предусматривает осуществление обработки персональных данных, либо осуществление доступа к персональным данным работников, руководителей структурных подразделений администрации Сусуманского городского округа, граждан, впервые поступающих на муниципальную службу, принимающихся на работу сотрудников, граждан, принимающих участие в конкурсе на замещение муниципальной должности муниципальной службы, граждан, обратившихся с обращениями, заявлениями (приложение N 5)

7.4.3. Дополнения и изменения в перечень готовятся и уточняются лицом, ответственным за организацию обработки персональных данных и утверждаются постановлением администрации Сусуманского городского округа.

7.4.4. Ответственные за обработку персональных данных обязаны обеспечить:

- сохранность доступа в помещения, где хранятся персональные данные, в которых ведется обработка персональных данных;

- сохранность содержащихся в личных делах персональных данных, в том числе и в электронном виде;

- обеспечение режима безопасности в этих помещениях;

- обеспечение сохранности носителей персональных данных и средств их защиты;

- исключение несанкционированного проникновения или пребывания в этих помещениях посторонних лиц;

- контроль за эффективностью предусмотренных мер защиты.

В служебных помещениях применяются административные, технические, физические и процедурные меры, направленные на защиту данных от нецелевого использования, несанкционированного доступа, раскрытия, потери, изменения и уничтожения обрабатываемых персональных данных.

К указанным мерам относятся:

1) физические меры защиты: двери, снабжённые замками; сейфы; безопасное уничтожение носителей, содержащих персональные данные;

2) технические меры защиты: применение антивирусных программ, программ защиты; установление паролей на персональных компьютерах;

3) организационные меры защиты: обучение и ознакомление с принципами безопасности и конфиденциальности; доведение до операторов обработки персональных данных важности защиты персональных данных и способов обеспечения защиты.

Нахождение в помещениях, в которых ведется обработка персональных данных лиц, не являющихся работниками администрации Сусуманского городского округа, уполномоченными на обработку персональных данных, возможно только в присутствии работника администрации Сусуманского городского округа, уполномоченного на обработку персональных данных, на время, ограниченное необходимостью решения вопросов, связанных с предоставлением персональных данных, предоставлением муниципальных услуг и (или) осуществлением муниципальных функций.

7.4.5. Внутренний доступ (доступ внутри администрации).

Право доступа к персональным данным работника имеют:

- глава Сусуманского городского округа и его заместители;

- руководители структурных подразделений по направлению деятельности (доступ к личным данным только работников своего подразделения);

- при переводе из одного структурного подразделения в другое, доступ к персональным данным работника может иметь руководитель нового подразделения;

- сам работник, носитель данных.

7.4.6. Внешний доступ.

К числу массовых потребителей персональных данных вне администрации можно отнести государственные и негосударственные функциональные структуры:

- налоговые инспекции;

- правоохранительные органы;

- военкоматы;

- органы социального страхования;

- пенсионный фонд.

7.4.7. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.

7.4.8. Организации, в которые работник может осуществлять перечисления денежных средств ( негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.

7.4.9. Другие организации.

- Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника.

- Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.

- В случае развода бывшая супруга (супруг) имеют право обратиться в организацию с письменным запросом о размере заработной платы работника без его согласия (УК РФ).

7.5. Вся информация об учете лиц, получивших доступ к персональным данным, и (или) лиц (организаций), которым такая информация была предоставлена или передана ведется в Журнале учета (приложение N 6).

8. Правила рассмотрения запросов субъектов персональных данных

8.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных;

- правовые основания и цели обработки персональных данных;

- цели и способы обработки персональных данных;

- наименование и место нахождения персональных данных, сведения о лицах (за исключением работников), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или иного нормативного акта;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные Федеральным законом или другими федеральными законами.

8.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

8.3. Субъект персональных данных вправе требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.4. Сведения, указанные в п. 8.1., предоставляются субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.

8.5. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с администрацией Сусуманского городского округа, либо сведения, иным образом подтверждающие факт обработки персональных данных, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

8.6. Должностные лица администрации Сусуманского городского округа обеспечивают:

- объективное, всестороннее и своевременное рассмотрения запроса;

- принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов персональных данных;

- направление письменных ответов по существу запроса.

8.7. Все поступившие запросы регистрируются в день их поступления. На запросе проставляется штамп, в котором указывается входящий номер и дата регистрации.

8.8. Запрос прочитывается, проверяется на повторность, при необходимости сверяется с находящейся в архиве предыдущей перепиской. Субъект персональных данных вправе направить повторный запрос не ранее чем через тридцать дней после первоначального обращения, если более короткий срок не установлен федеральным законом. Повторный запрос наряду со сведениями, указанными в п. 8.5., должен содержать обоснование направления повторного запроса.

8.9. Администрация Сусуманского городского округа вправе отказать субъекту персональных данных в выполнении повторного запроса не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

8.10. Прошедшие регистрацию запросы в тот же день представляются главе округа, либо лицу, его замещающему, который определяет порядок и сроки их рассмотрения, дает по каждому из них письменное указание исполнителям.

8.11. Исполнители запроса, при рассмотрении и разрешении запроса обязаны:

- внимательно разобраться в их существе, в случае необходимости истребовать дополнительные материалы или направить сотрудников на места для проверки фактов, изложенных в запросах, принять другие меры для объективного разрешения поставленных заявителями вопросов, выявления и устранения причин и условий, порождающих факты нарушения законодательства о персональных данных;

- принимать по ним законные, обоснованные и мотивированные решения и обеспечивать своевременное и качественное их исполнение;

- сообщать в письменной форме заявителям о решениях, принятых по их запросам, со ссылками на законодательство Российской Федерации, а в случае отклонения запроса - разъяснять также порядок обжалования принятого решения.

8.12. Администрация Сусуманского городского округа обязана сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

8.13. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя уполномоченные должностные лица администрации Сусуманского городского округа обязаны дать в письменной форме мотивированный ответ, содержащий ссылку на положение федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

8.14. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, уполномоченные должностные лица администрации Сусуманского городского округа обязаны внести в них необходимые изменения.

8.15. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уполномоченные должностные лица администрации Сусуманского городского округа обязаны уничтожить такие персональные данные.

8.16. Администрация Сусуманского городского округа обязана уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

8.17. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных уполномоченные должностные лица администрации Сусуманского городского округа обязаны осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки.

8.18. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя, либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных уполномоченные должностные лица администрации Сусуманского городского округа обязаны осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

8.19. В случае подтверждения факта неточности персональных данных уполномоченные должностные лица администрации Сусуманского городского округа на основании сведений, представленных субъектом персональных данных или его представителем, либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязаны уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

8.20. В случае выявления неправомерной обработки персональных данных уполномоченные должностные лица администрации Сусуманского городского округа в срок, не превышающий трех рабочих дней с даты этого выявления, обязаны прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, уполномоченные должностные лица администрации Сусуманского городского округа в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязаны уничтожить такие персональные данные или обеспечить их уничтожение.

8.21. Для проверки фактов, изложенных в запросах, при необходимости организуются служебные проверки в соответствии с законодательством Российской Федерации.

8.22. По результатам служебной проверки составляется мотивированное заключение, которое должно содержать объективный анализ собранных материалов.

8.23. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы заявителю.

8.24. Глава Сусуманского городского округа осуществляет контроль за работой с запросами и организацией их приема как лично, так и через своих заместителей.

8.25. При осуществлении контроля обращается внимание на сроки исполнения поручений по запросам и полноту рассмотрения поставленных вопросов, объективность проверки фактов, изложенных в запросах, законность и обоснованность принятых по ним решений, своевременность их исполнения и направления ответов заявителям.

8.26. Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных должностных лиц ответственность в соответствии с законодательством Российской Федерации.

9. Обязательство о прекращении обработки персональных данных

9.1. Лица, осуществлявшие обработку персональных данных в случае расторжения с ним трудового договора (контракта), дают письменное обязательство прекратить обработку персональных данных, ставших известными им в связи с исполнением должностных обязанностей. Типовое обязательство о прекращении обработки персональных данных даётся в письменной форме согласно Приложению N 7 к настоящему Положению.

10. Разъяснения субъекту персональных данных юридические последствий отказа предоставить свои персональные данные

10.1. Субъекту персональных данных при заключении трудового договора с администрацией Сусуманского городского округа, а также гражданско-правового договора, договора об оказании муниципальной услуги разъясняются юридические последствия отказа предоставить свои персональные данные. Разъяснения проводятся специалистом, который готовит проект договора.

Разъяснение юридических последствий осуществляется в письменной форме. Типовые формы разъяснения субъекту персональных данных юридических последствий отказа представить свои персональные данные представлены в Приложении N 8 к настоящему распоряжению.

10.2. Персональные данные работника администрации Сусуманского городского округа:

10.2.1. Персональные данные работника администрации Сусуманского городского округа собираются и обрабатываются на основании следующих законодательных актов: Трудовой кодекс Российской Федерации, Федеральный закон от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации", Федеральный закон от 06.10.2003 N 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации".

10.2.2. В случае отказа субъектом от предоставления своих персональных данных при трудоустройстве с ним невозможно заключить трудовой договор.

10.2.3. В случае отзыва согласия на обработку персональных данных работником администрации Сусуманского городского округа трудовой договор с ним подлежит расторжению.

10.3. Персональные данные граждан, состоящих с администрацией Сусуманского городского округа гражданско-правовых отношениях:

10.3.1. Персональные данные граждан, состоящие с администрацией Сусуманского городского округа в гражданско-правовых отношениях собираются и обрабатываются на основании следующих законодательных актов: Федеральный закон от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", Федеральный закон от 26.12.2008 N 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля".

10.3.2. В случае отказа субъектом о предоставлении своих персональных данных при оформлении гражданско-правовых отношений, указанные отношения оформлены не будут.

10.3.3. В случае отзыва согласия на обработку персональных данных субъектом, уже состоящим в гражданско-правовых отношениях, указанные отношения прекращаются.

11. Обработка персональных данных в рамках межведомственного информационного взаимодействия с применением единой системы межведомственного электронного взаимодействия

11.1. В соответствии с законодательством Российской Федерации администрация Сусуманского городского округа осуществляет обработку персональных данных в рамках межведомственного электронного информационного взаимодействия в электронном виде с федеральными органами государственной власти, государственными органами, органами местного самоуправления, организациями, с применением единой системы межведомственного электронного взаимодействия (далее - СМЭВ).

Администрация Сусуманского городского округа в рамках СМЭВ направляет межведомственные запросы о предоставлении информации, включающей персональные данные субъектов в соответствии с административными регламентами.

11.2. В рамках СМЭВ на основании поступивших межведомственных запросов администрация Сусуманского городского округа направляет испрашиваемую информацию, которая находится в ее распоряжении.

12. Защита персональных данных

12.1. В администрации, с целью защиты персональных данных от неправомерного или случайного доступа, уничтожения или модификации, а также от иных неправомерных действий в отношении персональных данных принимаются следующие меры:

- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- обеспечение защиты от несанкционированного физического доступа к носителям персональных данных;

- применение средств защиты информации только прошедших в установленном порядке процедуру оценки соответствия;

- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учет машинных носителей персональных данных;

- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;

- резервное копирование персональных данных, на случай их несанкционированного модифицирования или уничтожения;

- регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

12.2. В рамках реализации пунктов настоящего Положения, распоряжением администрации Сусуманского городского округа назначается лицо, ответственное за соблюдение порядка работы с персональными данными, на котором лежат все обязанности по обеспечению конфиденциальности полученных данных, а также организации работы с ними.

12.3. Поступающие запросы от третьих лиц на предоставление персональный информации должны визироваться правовым управлением с резолюцией о возможности ответа и полноте предоставляемой информации.

12.4. Передача информации происходит только в письменном виде. Запрос должен быть сделан в письменном виде с указанием всех реквизитов лица, запрашивающего информацию. Ответ должен быть сделан на фирменном бланке администрации Сусуманского городского округа и отправлен либо нарочно, либо заказным письмом.

12.5. Все полученные персональные данные должны храниться в месте, исключающем несанкционированных доступ третьих лиц.

12.6. Электронные носители информации, должны быть защищены криптографическими средствами защиты информации.

12.7. Лица осуществляющие обработку персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о соблюдении конфиденциальности персональных данных. Форма обязательства о соблюдении конфиденциальности персональных данных утверждается настоящим положением, согласно приложению N 9.

12.8. Лица ответственные за обработку персональных данных руководствуются должностным регламентом муниципального служащего администрации Сусуманского городского округа (приложение N 12).

13. Перечень информационных систем персональных данных

13.1. Все информационные системы, в которых производится обработка персональных данных, являются информационными системами персональных данных. Информационная система персональных данных состоит из совокупности:

- базы данных, в состав которой входят персональные данные;

- информационных технологий, позволяющих осуществлять обработку, содержащихся в базе данных персональных данных;

- технических средств, позволяющих осуществлять обработку, содержащихся в базе данных персональных данных.

13.2. Обработка персональных данных может осуществляться как с использованием средств автоматизации, так и без использования таких средств.

13.3. Обработка персональных данных с помощью средств вычислительной техники является автоматизированной обработкой персональных данных.

13.4. Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

13.5. Обязательным условием создания информационной системы персональных данных является наличие обособленной базы данных, содержащей персональные данные, при изоляции которой от других информационных систем персональных данных, возможна обработка содержащихся в ней персональных данных с помощью информационных технологий и технических средств, входящих в состав этой информационной системы персональных данных.

13.6. Перечень информационных систем персональных данных, используемых для обработки персональных данных администрацией Сусуманского городского округа, утверждается настоящим положением, согласно приложению N 10.

14. Осуществление удаления и уничтожения персональных данных

14.1. Уничтожение персональных данных - это действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

14.2. Уничтожение персональных данных в администрации Сусуманского городского округа производится только в следующих случаях:

- по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;

- персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;

- в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки персональных данных невозможно;

- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных.

14.3. При уничтожении персональных данных необходимо:

- убедиться в необходимости уничтожения персональных данных;

- убедиться в том, что уничтожаются те персональные данные, которые предназначены для уничтожения;

- проверить необходимость уведомления об уничтожении персональных данных;

- при необходимости, уведомить об уничтожении персональных данных требуемых лиц.

14.4. Уничтожение персональных данных производится лицами, обрабатывающими персональные данные в соответствующей информационной системе персональных данных, в которой производится уничтожение персональных данных, только в присутствии лица, ответственного за организацию обработки персональных данных.

14.5. По факту уничтожения персональных данных составляется Акт уничтожения персональных данных, по форме, приведенной в Приложении N 11, который подписывается лицами, производившими уничтожение, заверяется лицом, ответственным за организацию обработки персональных данных, присутствовавшим при уничтожении и утверждается руководителем.

14.6. Хранение актов уничтожения персональных данных осуществляется в течение срока исковой давности, если иное не установлено нормативно-правовыми актами Российской Федерации.

15. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

15.1. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации Сусуманского городского округа (далее - Правила) определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

15.2. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в администрации организовывается проведение периодических проверок условий обработки персональных данных.

15.3. Проверки осуществляются комиссией по осуществлению внутреннего контроля соответствия обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. Состав комиссии и Положение о комиссии утверждаются локальным актом. В проведении проверки не может участвовать работник, прямо или косвенно заинтересованный в её результатах.

15.4. Проверки соответствия обработки персональных данных установленным требованиям в администрации, проводятся на основании распоряжения главы округа или на основании поступившего в администрацию письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.

15.5. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:

- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

- порядок и условия применения средств защиты информации;

- эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- состояние учета машинных носителей персональных данных;

- соблюдение правил доступа к персональным данным;

- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

- мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- осуществление мероприятий по обеспечению целостности персональных данных.

15.6. Комиссия по осуществлению внутреннего контроля имеет право:

- запрашивать у служащих администрации информацию, необходимую для реализации полномочий;

- требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

- вносить главе Сусуманского городского округа предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

- вносить главе Сусуманского городского округа предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.

15.7. В отношении персональных данных, ставших известными Комиссии по осуществлению внутреннего контроля в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных. Работа Комиссии по осуществлению внутреннего контроля может носить плановый и внеплановый характер. Плановая проверка (заседание комиссии по осуществлению внутреннего контроля) проводится один раз в год (в последнем квартале отчетного года). Внеплановая проверка (заседание комиссии по осуществлению внутреннего контроля) проводится по мере необходимости.

15.8. Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о ее проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, главе Сусуманского городского округа докладывает ответственный за организацию обработки персональных данных или председатель комиссии по осуществлению внутреннего контроля, в форме письменного заключения.

16. Ответственность за разглашение информации, связанной с персональными данными работника

Лица, признанные виновными в нарушении пунктов настоящего Положения привлекаются к ответственности предусмотренной законодательством РФ и локальными нормативными актами.