Приложение N 1. Постановление администрации города Иркутска от 08.07.2016 N 031-06-644/6 "О внесении изменений в постановление администрации города Иркутска от 09.08.2012 г. N 031-06-1614/12" (документ не действует)

Приложение N 1

к Постановлению администрации г.Иркутска

от 8 июля 2016 г. N 031-06-644/6

Политика
в отношении обработки персональных данных в органах местного самоуправления города Иркутска

Раздел I. Введение

1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) в органах местного самоуправления города Иркутска (далее - ОМС города Иркутска) является документом, определяющим политику ОМС города Иркутска в отношении обработки персональных данных (далее - ПДн).

2. Настоящая Политика является открытым документом и предназначена для ознакомления неограниченным кругом лиц.

3. Политика разработана в соответствии с целями, задачами и принципами обеспечения безопасности ПДн в ОМС города Иркутска.

4. Политика разработана в соответствии с требованиями Федерального закона "О персональных данных" и постановления Правительства Российской Федерации от 01.11.2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

5. В Политике определены перечень субъектов ПДн, ПДн которых обрабатываются в ОМС города Иркутска, цели сбора и обработки ПДн, условия обработки ПДн и их передачи третьим лицам, методы защиты ПДн, реализуемые в ОМС города Иркутска, права субъектов ПДн и ответственность ОМС города Иркутска.

6. Настоящая Политика подлежит официальному опубликованию в информационно-телекоммуникационной сети "Интернет" на WEB-портале органов местного самоуправления города Иркутска.

Раздел II. Общие положения

7. Целью настоящей Политики является обеспечение обработки ПДн в соответствии с требованиями действующего законодательства Российской Федерации в сфере защиты ПДн, обеспечение безопасности ПДн, обрабатываемых ОМС города Иркутска, от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн.

8. Безопасность ПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иных неправомерных действий.

9. При обработке ПДн ОМС города Иркутска придерживаются следующих принципов:

1) соблюдение законности получения, обработки, хранения, а так же иных действий, совершаемых с ПДн;

2) обработка ПДн исключительно в законных целях;

3) хранение ПДн, обработка которых осуществляется с несвязанными между собой целями, в различных базах данных;

4) сбор только тех ПДн, которые минимально необходимы для достижения заявленных целей обработки;

5) выполнение мер по обеспечению безопасности ПДн, их точности, достаточности и других характеристик при обработке и хранении;

6) соблюдение прав субъекта ПДн на доступ к его ПДн;

7) соблюдение требований по уничтожению либо обезличиванию ПДн по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

10. В ОМС города Иркутска принятие решений на основании исключительно автоматизированной обработки ПДн, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, не производится.

Раздел III. Обрабатываемые персональные данные

11. Информационные системы персональных данных (далее - ИСПДн), принадлежащие ОМС города Иркутска, предназначены для обработки ПДн:

1) лиц, состоящих в трудовых отношениях с ОМС города Иркутска (муниципальных служащих), в том числе бывших работников;

2) лиц, связанных с работниками ОМС города Иркутска, чьи данные необходимо обрабатывать в соответствии с трудовым и иным законодательством (для выплаты алиментов по решению суда, в целях заполнения унифицированной формы N Т-2 "Личная карточка работника" в соответствии с трудовым законодательством и т.д.);

3) граждан Российской Федерации, иностранных граждан, в том числе несовершеннолетних детей и их законных представителей (родителей, приемных родителей и опекунов);

4) контрагентов (представителей организаций, физических лиц, индивидуальных предпринимателей), с которыми заключены муниципальные контракты (договоры).

12. Под обработкой ПДн в ОМС города Иркутска понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение ПДн.

13. В ОМС города Иркутска не допускается обработка ПДн, касающихся:

1) расовой и национальной принадлежности;

2) политических взглядов;

3) религиозных и философских убеждений;

4) интимной жизни.

14. Обработка ПДн о судимости в ОМС города Иркутска допускается только в случаях и в порядке, которые определяются в соответствии с федеральными законами Российской Федерации.

15. Обработка ПДн о состоянии здоровья в ОМС города Иркутска допускается только в случаях, установленных федеральными законами Российской Федерации, или с письменного согласия субъекта ПДн.

16. Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи ОМС города Иркутска не осуществляют.

Раздел IV. Цели сбора и обработки персональных данных

17. Цели обработки ПДн в ОМС города Иркутска определены в соответствии с действующим законодательством Российской Федерации, Уставом города Иркутска. Обработка ПДн осуществляется для достижения следующих целей:

1) для осуществления и выполнения возложенных законодательством Российской Федерации и Уставом города Иркутска на ОМС функций, полномочий и обязанностей;

2) обработка ОМС города Иркутска ПДн заявителей для предоставления государственных или муниципальных услуг в соответствии с Федеральным законом "Об организации предоставления государственных и муниципальных услуг";

3) исполнение обязанностей перед работниками как работодателя;

4) заключения и исполнения муниципальных контрактов (договоров) с контрагентами (физическими лицами, индивидуальными предпринимателями, юридическими лицами);

5) архивного хранения документов в соответствии с законодательством Российской Федерации.

Раздел V. Условия обработки персональных данных и их передача третьим лицам

Глава 1. Обработка персональных данных

18. Обработка ПДн в ОМС города Иркутска осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом "О персональных данных".

19. Обработка ПДн в ОМС города Иркутска происходит как неавтоматизированным, так и автоматизированным способом.

20. К обработке ПДн в ОМС города Иркутска допускаются только работники, прошедшие определенную процедуру допуска, к которой относятся:

1) ознакомление работника под роспись с локальными нормативными актами ОМС города Иркутска (положения, инструкции и т.д.), строго регламентирующими порядок и процедуру работы с ПДн;

2) взятие с работника подписки о соблюдении конфиденциальности в отношении ПДн при работе с ними, а также при прекращении обработки ПДн, ставших известными ему в связи с исполнением должностных обязанностей, в случае расторжения с ним трудового договора;

3) получение работником и использование в работе индивидуальных атрибутов доступа к информационным системам (далее - ИС) ОМС города Иркутска, содержащих ПДн. При этом каждому работнику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в ИСПДн;

21. Работники получают доступ только к тем ПДн, которые необходимы им для выполнения конкретных трудовых функций.

Глава 2. Хранение персональных данных

22. ПДн в ОМС города Иркутска хранятся в бумажном и электронном виде. В электронном виде ПДн хранятся в ИСПДн, а так же в архивных копиях баз данных этих ИСПДн.

23. При хранении ПДн соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ПДн. К ним относятся:

1) назначение работника, ответственного за обработку ПДн;

2) назначение должностного лица (работника), ответственного за обеспечение безопасности ПДн в ИСПДн;

3) применение утвержденной и поддерживаемой в актуальном состоянии организационно-распорядительной документации;

4) организация режима обеспечения безопасности помещений, в которых размещена ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения, ограничение физического доступа к техническим средствам ИСПДн, средствам защиты информации, средствам обеспечения функционирования, местам хранения и носителям ПДн;

5) утверждение ОМС города Иркутска документов, определяющих перечень лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей;

6) учет всех информационных систем и электронных носителей, а также архивных копий;

7) применение сертифицированных средств защиты информации и средств криптографической защиты информации (далее - СКЗИ).

24. Места хранения носителей ПДн, порядок хранения, учета, уничтожения и предоставления доступа к ним регламентируются внутренними документами ОМС города Иркутска.

Глава 3. Передача персональных данных

25. Для целей обработки данных ОМС города Иркутска могут передавать ПДн исключительно своим работникам и третьим лицам, подписавшим личное обязательство по обеспечению конфиденциальности и безопасности полученных сведений.

26. Передача ПДн третьим лицам возможна в исключительных случаях только с согласия субъекта ПДн и только с целью исполнения обязанностей перед субъектом ПДн в рамках договора, либо, когда такая обязанность у ОМС города Иркутска наступает в результате требований федерального законодательства Российской Федерации или при поступлении запроса от уполномоченных государственных органов.

27. При передаче ПДн в электронном виде третьим лицам по открытым каналам связи ОМС города Иркутска обеспечивают все необходимые меры по защите передаваемой информации в соответствии с требованиями действующего законодательства Российской Федерации в области защиты ПДн.

28. Трансграничная передача ПДн ОМС города Иркутска не производится.

Глава 4. Поручение обработки персональных данных

29. ОМС города Иркутска вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн (в согласие включаются: наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению ОМС города Иркутска), если иное не предусмотрено Федеральным законом "О персональных данных", на основании заключаемого с этим лицом договора. При этом в поручении ОМС города Иркутска определяют перечень действий (операций) с ПДн, и цели обработки, устанавливают обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивают безопасность ПДн при их обработке, а также указывает требования к защите обрабатываемых ПДн в соответствии со статьей 19 Федерального закона "О персональных данных".

30. Лицо, осуществляющее обработку ПДн по поручению, обязано соблюдать принципы и правила обработки ПДн, предусмотренные законодательством. В случае поручения обработки ПДн другому лицу ОМС города Иркутска несут ответственность перед субъектом ПДн за действия указанного лица.

Глава 5. Уничтожения персональных данных

31. Под уничтожением ПДн понимаются действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.

32. ОМС города Иркутска обязуются прекратить обработку ПДн и в сроки, установленные законодательством Российской Федерации, уничтожить собранные ПДн, если иное не установлено законодательством Российской Федерации, в следующих случаях:

1) по достижении целей обработки ПДн или при утрате необходимости в их достижении;

2) по требованию субъекта ПДн или уполномоченного органа по защите прав субъектов ПДн, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

3) при отзыве субъектом ПДн согласия на обработку своих ПДн, если такое согласие требуется в соответствии с законодательством Российской Федерации;

4) при невозможности устранения ОМС города Иркутска допущенных в соответствии с Федеральным законом "О персональных данных" нарушений при обработке ПДн.

33. Уничтожение ПДн производится ОМС города Иркутска в соответствии с порядком, установленным в Приложении N 1 к настоящему постановлению.

Раздел VI. Защита персональных данных

34. Обеспечение безопасности ПДн в ОМС города Иркутска достигается следующими мерами:

1) введением в ОМС города Иркутска системы защиты ПДн;

2) назначением работника, ответственного за организацию обработки ПДн;

3) назначением должностного лица (работника), ответственного за обеспечение безопасности ПДн в ИСПДн (администратора безопасности ИСПДн), а также ответственного пользователя криптосредств и лица, ответственного за выявление и реагирование на инциденты информационной безопасности;

4) проведением аудита ИСПДн ОМС города Иркутска, содержащих ПДн, определением требуемого уровня защищенности ПДн, обрабатываемых в ИСПДн и класса защищенности муниципальных информационных систем ОМС города Иркутска;

5) определением типа угроз безопасности ПДн и разработка Модели угроз безопасности ПДн при их обработке в ИСПДн;

6) утверждением документа, определяющего перечень лиц, доступ которым к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей;

7) организацией режима обеспечения безопасности помещений, в которых размещены ИСПДн, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

8) обеспечением сохранности носителей ПДн, а также обеспечением учета машинных носителей ПДн;

9) определением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;

10) обнаружением фактов несанкционированного доступа к ПДн и принятием мер;

11) восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

12) разработкой и утверждением локальных нормативных актов ОМС города Иркутска, регламентирующих порядок обработки ПДн, а также разработкой для пользователей и ответственных лиц рабочих инструкций;

13) контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ПДн, обрабатываемых в ИСПДн;

14) проведением периодического обучения и ознакомления работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику ОМС города Иркутска в отношении обработки ПДн, локальными актами по вопросам обработки ПДн;

15) реализацией технических мер, снижающих вероятность реализаций угроз безопасности ПДн, при помощи сертифицированных средств защиты информации и СКЗИ;

16) проведением периодических проверок состояния защищенности ИСПДн ОМС города Иркутска.

Раздел VII. Согласие субъекта персональных данных на обработку его персональных данных

35. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе.

36. Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн ОМС города Иркутска вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона "О персональных данных".

37. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

38. В случаях, предусмотренных федеральным законом, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн.

39. В случае недееспособности субъекта ПДн согласие на обработку его ПДн дает законный представитель субъекта ПДн.

40. В случае смерти субъекта ПДн согласие на обработку его ПДн дают наследники субъекта ПДн, если такое согласие не было дано субъектом ПДн при его жизни.

41. ПДн могут быть получены ОМС города Иркутска от лица, не являющегося субъектом ПДн, при условии предоставления ОМС города Иркутска подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона "О персональных данных".

Раздел VIII. Права субъекта персональных данных

42. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, за исключением случаев, когда право субъекта ПДн на доступ к ПДн может быть ограничено в соответствии с федеральными законами.

43. В частности, субъект ПДн имеет право на получение следующей информации, касающейся обработки его ПДн:

1) подтверждение факта обработки ПДн;

2) правовые основания и цели обработки ПДн;

3) цели и применяемые способы обработки ПДн;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников ОМС города Иркутска), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;

5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения;

6) сроки обработки ПДн, в том числе сроки их хранения;

7) порядок осуществления субъектом ПДн своих прав;

8) иные сведения, предусмотренные Федеральным законом "О персональных данных" и другими нормативными правовыми актами Российской Федерации.

44. Получить данную информацию субъект ПДн может, обратившись с письменным запросом в ОМС города Иркутска. Содержание запроса должно соответствовать требованиям части 3 статьи 14 Федерального закона "О персональных данных". Ответ, содержащий запрашиваемую информацию, либо мотивированный отказ в ее предоставлении направляется по адресу, указанному в запросе, в течение 30 дней.

45. Порядок обработки запросов субъектов ПДн по выполнению их законных прав в ОМС города Иркутска производится согласно утвержденному локальному документу, разработанному в соответствии с действующим законодательством в области защиты ПДн.

Раздел IX. Обязанности ОМС города Иркутска

46. ОМС города Иркутска обязуется осуществлять обработку ПДн только с согласия субъектов ПДн, за исключением случаев, предусмотренных Федеральным законом "О персональных данных". ОМС города Иркутска обязаны предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона "О персональных данных".

47. При сборе ПДн ОМС города Иркутска обязуются по запросу субъекта ПДн предоставлять информацию, касающуюся обработки его ПДн, перечисленную в пункте 43 раздела VIII настоящей Политики. В случае если предоставление ПДн является обязательным в соответствии с Федеральным законом "О персональных данных", ОМС города Иркутска обязуются разъяснять субъекту ПДн юридические последствия отказа предоставить его ПДн.

48. Если ПДн получены не от субъекта ПДн, ОМС города Иркутска до начала обработки таких ПДн обязуются предоставить субъекту ПДн сведения, касающиеся обработки его ПДн, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона "О персональных данных". В случаях если ОМС города Иркутска не являются оператором ПДн, полученных от субъектов ПДн, обязанность по предоставлению субъекту ПДн соответствующих сведений возлагается на оператора ПДн, от которого эти данные получены.

49. ОМС города Иркутска при обработке ПДн обязуются принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн. Описание принимаемых мер приведены в разделе VI настоящей Политики.

50. ОМС города Иркутска обязуются отвечать на запросы субъектов ПДн, их представителей, а также уполномоченного органа по защите прав субъектов ПДн касательно обрабатываемых ПДн в соответствии с требованиями законодательства.

51. В случае предоставления субъектом ПДн либо его представителем сведений, подтверждающих факты каких-либо нарушений в процессе обработки ПДн, ОМС города Иркутска обязуются устранить данные нарушения или обеспечить их устранение (если обработка ПДн осуществляется другим лицом, действующим по поручению ОМС города Иркутска) в течение семи рабочих дней и уведомить субъекта ПДн о внесенных изменениях и предпринятых мерах.

52. В случае достижения целей обработки ПДн ОМС города Иркутска обязуются прекратить обработку ПДн и уничтожить ПДн (если обработка ПДн осуществляется другим лицом, действующим по поручению ОМС города Иркутска обеспечить ее прекращение и уничтожение ПДн) в течение 30 дней, если иное не предусмотрено условиями договора, заключенного с субъектом ПДн, либо иным соглашением между ОМС города Иркутска и субъектом ПДн, либо если ОМС города Иркутска не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.

53. В случае отзыва субъектом ПДн согласия на обработку его ПДн ОМС города Иркутска обязаны прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению ОМС города Иркутска обеспечить ее прекращение и уничтожение ПДн) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между ОМС города Иркутска и субъектом ПДн либо если ОМС города Иркутска не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.

54. В случае выявления неправомерной обработки ПДн, осуществляемой ОМС города Иркутска или лицом, действующим по поручению ОМС города Иркутска, ОМС города Иркутска в срок, не превышающий 3 рабочих дней с даты этого выявления, обязуется прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению ОМС города Иркутска. В случае, если обеспечить правомерность обработки ПДн невозможно, ОМС города Иркутска в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн, обязуется уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн ОМС города Иркутска обязуются уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.

55. В случае отсутствия возможности уничтожения ПДн в течение срока, указанного в пунктах 52, 53, 54 настоящего раздела, ОМС города Иркутска обязуются осуществить блокирование таких ПДн или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению ОМС города Иркутска) и обеспечить уничтожение ПДн в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.

56. ОМС города Иркутска обязуются уведомлять уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных Федеральным законом "О персональных данных". В случае изменения предоставленных сведений ОМС города Иркутска обязуются предоставлять актуализированные сведения в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки ПДн.

Раздел X. Ответственность

57. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн в ОМС города Иркутска, привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном действующим законодательством Российской Федерации.

Раздел XI. Изменение политики

58. ОМС города Иркутска имеет право вносить изменения в настоящую Политику.

59. Новая редакция Политики подлежит размещению в информационно-телекоммуникационной сети "Интернет" на WEB-портале органов местного самоуправления города Иркутска.

60. Особенности работы с персональными данными в структурных подразделениях ОМС города Иркутска могут быть определены соответствующими правовыми актами ОМС города Иркутска.

Заместитель мэра - руководитель аппарата администрации города Иркутска

Ю.С.Ефимова

Начальник департамента информатизации и хозяйственного обеспечения аппарата администрации города Иркутска

А.А.Кишинский