Приложение N 1. Правила обработки персональных данных в администрации Ангарского городского округа. Распоряжение администрации Ангарского городского округа Иркутской области от 25.05.2016 N 112-РА "Об определении политики в отношении персональных данных, обрабатываемых в администрации Ангарского городского округа" (с изменениями и дополнениями)

Приложение N 1

к Распоряжению администрации

Ангарского городского муниципального

образования Иркутской области

от 25 мая 2016 г. N 112-РА

Правила
обработки персональных данных в
администрации Ангарского городского округа

1. Общие положения

1.1. Настоящие Правила обработки персональных данных в администрации Ангарского городского округа (далее - Правила) разработаны во исполнение постановления Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (далее - Постановление Правительства Российской Федерации N 211) и определяют порядок получения, обработки, хранения и защиты, передачи и любого другого использования персональных данных сотрудников администрации Ангарского городского округа (далее - администрация АГО), заключивших трудовые договоры с мэром Ангарского городского округа (далее - работодатель).

1.2. Настоящие Правила определяют политику администрации АГО, как оператора, самостоятельно осуществляющего обработку персональных данных и определяющего цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с использованием средств автоматизации или без использования таких средств, совершаемые с персональными данными.

1.3. Персональные данные являются конфиденциальной, строго охраняемой законом информацией.

1.4. Для целей настоящих Правил используются следующие понятия и определения:

1.4.1. Персональные данные - любая информация, необходимая оператору (работодателю), организующему и осуществляющему обработку персональных данных, а также определяющему цели и содержание обработки персональных данных, в связи с трудовыми отношениями и относящаяся к субъекту персональных данных (работнику).

1.4.2. Обработка персональных данных - действие (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

1.4.3. Распространение и предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному кругу лиц или неограниченному кругу лиц, в том числе обнародование в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

1.4.4. Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи (за исключением случаев, если обработка необходима для уточнения персональных данных).

1.4.5. Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

1.4.6. Информационная система персональных данных - совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

1.4.7. Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

1.5. Сотрудники администрации АГО, уполномоченные на обработку персональных данных, при определении объема и содержания обрабатываемых персональных данных должны руководствоваться Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации и осуществлять обработку персональных данных в соответствии с требованиями Федерального закона от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации" (далее - Федеральный закон N 25-ФЗ), Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), постановления Правительства Российской Федерации N 211, постановления Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", другими нормативными правовыми актами Российской Федерации, нести ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.

2. Обработка, передача и хранение персональных данных работника

2.1. Получение, обработка, хранение, передача и любое другое использование персональных данных субъектов персональных данных в администрации АГО осуществляется в следующих целях:

1) поступления на муниципальную службу;

2) обучения и продвижения по службе;

3) содействия в трудоустройстве;

4) участия в конкурсе на замещения вакантных должностей муниципальной службы;

5) реализации трудовых отношений;

6) формирования кадрового резерва;

7) обеспечения личной безопасности работников;

8) контроля количества и качества выполняемых работ и обеспечения сохранности имущества;

9) противодействия коррупции;

10) предоставления государственных и муниципальных услуг;

11) рассмотрения обращений граждан;

12) осуществления гражданско-правовых отношений;

13) реализации полномочий администрации по решению вопросов местного значения;

14) выполнения других задач.

2.2. Персональные данные являются строго конфиденциальными. Любые лица, получившие к ним доступ, обязаны хранить эти данные в тайне, за исключением данных, относящихся к следующим категориям:

1) обезличенные персональные данные - данные, в отношении которых невозможно определить их принадлежность к конкретному физическому лицу без использования дополнительной информации;

2) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование конфиденциальности.

2.3. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении соответствующего срока хранения.

2.4. При получении, обработке, хранении и передаче персональных данных лица, уполномоченные на получение, обработку, хранение, передачу и любое другое использование персональных данных, обязаны соблюдать следующие требования:

2.4.1. Персональные данные следует получать лично у субъекта персональных данных, в случае возникновения необходимости получения персональных данных у третьей стороны следует известить об этом работника заранее, получив его письменное согласие, и сообщить ему о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.

Субъект персональных данных самостоятельно принимает решение о предоставлении своих персональных данных и дает согласие на их обработку.

Письменное согласие субъекта персональных данных на обработку персональных данных должно включать в себя:

1) фамилию, имя, отчество, адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, имя, отчество) и адрес оператора, получившего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается согласие работника;

5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также порядок его отзыва.

7) Для обработки персональных данных, содержащихся в согласии в письменной форме работника на обработку его персональных данных, дополнительного согласия не требуется.

В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, или иным соглашением между оператором и субъектом персональных данных либо, если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных действующим законодательством.

В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных выше, оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.

2.4.2. Работник обязан представлять работодателю или его представителю комплекс достоверных документированных персональных данных, перечень которых установлен Трудовым кодексом Российской Федерации, Федеральным законом N 25-ФЗ и другими действующими нормативно-правовыми актами Российской Федерации. Работодатель проверяет достоверность сведений, сверяя данные, предоставленные работником с имеющимися у него документами. Представление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.

Работник должен незамедлительно сообщать работодателю и его представителям об изменениях своих персональных данных в письменной форме либо с представлением копий документов, а также о случаях разглашения персональных данных ответственными работниками.

2.4.3. Обработка персональных данных должна осуществляться на законной и справедливой основе.

2.4.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

2.4.5. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

2.4.6. Запрещается получать, обрабатывать и приобщать к личному делу субъекта персональных данных не установленные Федеральными законами N 25-ФЗ и N 152-ФЗ персональные данные об их политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах.

Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации, ограничения прав граждан на основе использования информации о расовой, национальной, языковой, религиозной и партийной принадлежности.

2.4.7. При принятии решений, затрагивающих интересы субъекта персональных данных, запрещается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей.

2.4.8. Передача персональных данных третьей стороне не допускается без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.

Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного согласия самого работника.

В случае недееспособности работника согласие на обработку персональных данных дает в письменной форме законный представитель работника.

В случае смерти работника согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано работником при его жизни.

2.4.9. Персональные данные, которые обрабатываются в информационных системах, подлежат защите от несанкционированного доступа и копирования.

Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

Контроль за реализацией требований по обеспечению безопасности персональных данных в информационных системах возлагается на ответственных за организацию обработки персональных данных, назначаемых распоряжением администрации АГО.

2.5. Хранение персональных данных должно осуществляться в порядке, исключающем их утрату или их неправомерное использование:

1) персональные данные, содержащиеся на бумажных носителях, хранятся в помещении отдела правового обеспечения муниципальной службы и работы с персоналом комитета по правовой и кадровой политике администрации АГО;

2) персональные данные, содержащиеся на электронных носителях информации, хранятся в ПК специалистов, осуществляющих обработку персональных данных работников, доступ к которым ограничен паролем;

3) персональные данные, включенные в состав личных дел, хранятся в металлических запираемых шкафах, сейфе, установленных на рабочем месте специалистов отдела правового обеспечения муниципальной службы и работы с персоналом комитета по правовой и кадровой политике администрации АГО, осуществляющих обработку персональных данных;

4) личные дела уволенных работников хранятся в помещении отдела правового обеспечения муниципальной службы и работы с персоналом комитета по правовой и кадровой политике администрации АГО в специальных запираемых металлических шкафах.

2.6. Конкретные обязанности по хранению личных дел сотрудников администрации АГО, заполнению, хранению иных документов, отражающих персональные данные, возлагаются на специалистов отдела правового обеспечения муниципальной службы и работы с персоналом комитета по правовой и кадровой политике администрации АГО.

2.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.8. Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

2.9. К обработке, передаче, хранению персональных данных работника могут иметь доступ руководители органов администрации по направлению деятельности, специалисты администрации АГО, руководители отраслевых (функциональных) органов администрации в части тех персональных данных, которые необходимы для выполнения ими своих должностных обязанностей (внутренний доступ - доступ внутри администрации АГО).

К числу массовых потребителей персональных данных работников вне администрации АГО (внешний доступ) относятся государственные и негосударственные функциональные структуры:

1) налоговая инспекция по месту жительства работника;

2) правоохранительные органы;

3) органы статистики;

4) страховые агентства;

5) военкоматы;

6) органы социального страхования;

7) пенсионные фонды;

8) другие организации.

3. Защита персональных данных

3.1. Администрация АГО обязана принимать необходимые организационные и технические меры для обеспечения защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных работников администрации АГО.

3.2. Защита персональных данных от неправомерного их использования или утраты обеспечивается за счет средств администрации АГО в порядке, установленном Федеральным законом N 152-ФЗ и иными нормативными правовыми актами Российской Федерации.

3.3. В целях обеспечения сохранности и конфиденциальности персональных данных работников администрации АГО все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться муниципальными служащими отдела правового обеспечения муниципальной службы и работы с персоналом комитета по правовой и кадровой политике администрации АГО, осуществляющими данную работу в соответствии со своими трудовыми (должностными) обязанностями.

3.4. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

3.5. Для обеспечения внутренней защиты персональных данных работников администрации АГО необходимо соблюдать ряд мер:

1) ограничение и регламентация состава работников, функциональные особенности которых требуют конфиденциальных знаний;

2) строгое избирательное и обоснованное распределение документов и информации между работниками;

3) рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;

4) наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

5) организация порядка уничтожения информации;

6) не допускается выдача личных дел сотрудников на рабочие места руководителей;

7) обучение и ознакомление с принципами безопасности и конфиденциальности, важности защиты персональных данных и способов обеспечения защиты персональных данных; воспитательная и разъяснительная работа с сотрудниками администрации АГО, осуществляющими обработку персональных данных, по предупреждению утраты ценных сведений при работе с конфиденциальными документами.

3.6. В деятельности учреждения образуются бумажные (материальные) носители персональных данных и электронные носители персональных данных (информационные системы и базы данных). К работе и хранению информации на материальных и электронных носителях предъявляются разные требования.

3.7. Федеральный закон N 152-ФЗ требует от работодателя раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. При этом в отношении каждой категории должны быть определены места хранения персональных данных (материальных носителей).

3.8. Безопасность персональных данных на электронных носителях достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

Для обеспечения этой безопасности необходимы:

3.8.1. Обеспечение режима безопасности и охраны помещений, в которых ведется работа с персональными данными, а также обеспечение сохранности носителей персональных данных и средств защиты информации таким образом, чтобы исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

3.8.2. Обеспечение в информационных системах, используемых в администрации АГО, следующих возможностей:

а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;

в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

д) постоянный контроль за обеспечением уровня защищенности персональных данных.

3.9. Руководители отраслевых (функциональных) органов администрации АГО, сотрудники которых осуществляют обработку персональных данных или имеют доступ к ним, осуществляют непосредственный контроль за выполнением требований по защите персональных данных от несанкционированного доступа к ним, в том числе от копирования, записи конфиденциальных сведений на отчуждаемые и мобильные носители информации (ноутбуки, карманные персональные компьютеры, флеш-накопители, компакт-диски), их распространения, предоставления, использования или утраты.

3.10. Все документы, компакт-диски, флеш-накопители, содержащие персональные данные, подлежат уничтожению на основании актов только с применением соответствующих уничтожителей.

3.11. Сотрудники администрации АГО при обработке персональных данных с использованием информационных систем обязаны:

1) принимать меры, исключающие несанкционированный доступ к используемым программно-техническим средствам;

2) вести учет электронных носителей информации (включая резервные и архивные копии), осуществлять хранение документов, содержащих персональные данные, и электронных носителей информации в металлических шкафах или сейфах;

3) производить запись персональных данных (отдельных файлов, баз данных) на электронные носители только в случаях, регламентированных порядком работы с данными сведениями;

4) соблюдать установленный порядок и правила доступа в информационные системы;

5) не допускать передачу персональных кодов и паролей;

6) принимать все необходимые меры к надежной сохранности кодов и паролей доступа к информационным системам;

7) работать с информационными системами в объеме своих полномочий, не допускать их превышения;

8) обладать навыками работы с антивирусными программами в объеме, необходимом для выполнения функциональных обязанностей и требований по защите информации.

3.12. При работе на персональном компьютере, в том числе для доступа к информационным системам, сотрудникам администрации АГО запрещается:

1) записывать значения кодов и паролей доступа;

2) передавать коды и пароли доступа другим лицам;

3) пользоваться в работе чужими кодами и паролями доступа;

4) производить подбор кодов и паролей доступа других пользователей;

5) записывать на электронные носители с персональными данными посторонние программы и данные;

6) копировать данные на неучтенные электронные носители информации;

7) выносить электронные носители с персональными данными за пределы администрации, за исключением случаев межведомственного взаимодействия;

8) покидать рабочее место с включенным персональным компьютером без применения аппаратных или программных средств, блокирования доступа к персональному компьютеру;

9) приносить, самостоятельно устанавливать и эксплуатировать на технических средствах любые программные продукты, не принятые к эксплуатации;

10) открывать, разбирать, ремонтировать технические средства, вносить изменения в конструкцию, подключать нештатные блоки и устройства;

11) передавать технические средства для ремонта и обслуживания сторонним организациям без извлечения носителей, содержащих персональные данные.

3.13. Обработка и защита персональных данных в информационных системах администрации АГО без использования средств автоматизации (далее - неавтоматизированная обработка) осуществляется на бумажных носителях в виде документов и в электронном виде (файлы, базы данных) на электронных носителях информации.

3.13.1. При неавтоматизированной обработке персональных данных:

а) не допускается фиксация на одном бумажном носителе персональных данных, цели обработки, которых заведомо не совместимы. При фиксации на одном бумажном носителе таких персональных данных, в случае, если бумажный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

б) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же бумажном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

в) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется бумажный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию;

г) персональные данные обособляются от иной информации, в частности, путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);

д) документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;

е) дела с документами, содержащими персональные данные, имеют внутренние описи документов с указанием цели обработки и категории персональных данных;

ж) уточнение персональных данных производится путем обновления или изменения данных на бумажном носителе, а если это не допускается техническими особенностями бумажного носителя, путем фиксации на том же носителе сведений о вносимых в них изменениях, либо путем изготовления нового бумажного носителя с уточненными персональными данными;

з) обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (бумажных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;

и) необходимо обеспечивать раздельное хранение персональных данных (бумажных носителей), обработка которых осуществляется в различных целях;

к) при хранении бумажных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

3.13.2. Неавтоматизированная обработка персональных данных в электронном виде осуществляется на внешних электронных носителях информации.

3.14. Сотрудники администрации АГО, уполномоченные на обработку персональных данных, виновные в нарушении норм и требований действующего законодательства, регулирующих обработку и защиту персональных данных, несут ответственность в соответствии с действующим законодательством Российской Федерации.

Мэр Ангарского городского округа

С.А.Петров