Приложение N 2. Правила обработки персональных данных в местной администрации городского поселения Терек Терского муниципального района КБР. Постановление местной администрации городского поселения Терек Терского муниципального района Кабардино-Балкарской Республики от 18.10.2017 N 264 "О мерах, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", в местной администрации городского поселения Терек Терского муниципального района КБР" (с изменениями и дополнениями)

Приложение N 2

к постановлению местной администрации

городского поселения Терек

Терского муниципального района КБР

от 18.10.2017 г. N 264

Правила
обработки персональных данных в местной администрации городского поселения Терек Терского муниципального района КБР.

1. Общие положения

Настоящие Правила обработки персональных данных (далее - Правила) определяют политику администрации сельского поселения в отношении обработки персональных данных и устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных (ПДн), а также определяющие для каждой цели обработки ПДн содержание обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, сроки их обработки и хранения; порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

Правила разработаны в соответствии с:

- Конституцией Российской Федерации;

- Трудовым кодексом Российской Федерации;

- Федеральным законом от 27.07.2006 г. N 152-ФЗ "О персональных данных";

- Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"

- Федеральным законом от 27.07.2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";

- Постановлением Правительства Российской Федерации от 15.09.2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

- Постановлением Правительства Российской Федерации от 21.03.2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

- Постановлением Правительства Российской Федерации от 01.11.2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

Лицо, ответственное за организацию обработки персональных данных в администрации сельского поселения, определяется распоряжением администрации.

Должностные лица администрации, которые обрабатывают персональные данные при выполнении своих должностных обязанностей, несут ответственность за обработку и защиту персональных данных.

Лица, допущенные к обработке ПДн, в обязательном порядке под роспись ознакамливаются с настоящими Правилами и подписывают обязательство о неразглашение информации, содержащей ПДн в соответствии с Приложением N 1 к настоящим Правилам

2. Категории субъектов ПДн:

В администрации городского поселения Терек осуществляется обработка ПДн следующих категорий лиц (далее - субъект персональных данных): В администрации городского поселения Терек осуществляется обработка ПДн следующих категорий лиц (далее - субъект персональных данных):

- муниципальных служащих и их близких родственников, а также лиц, поступающих на должности муниципальной службы;

- работников, принятых по договорам оказания услуг;

- руководителей автономных учреждений, лиц, поступающих на должности руководителей дочерних учреждений, а также их супругов и несовершеннолетних детей;

- граждан, включенных в кадровый резерв;

- претендентов, участвующих в конкурсах на замещение вакантных должностей;

- граждан, обратившихся в администрацию городского поселения Терек с обращениями, заявлениями с целью получения муниципальных услуг, предоставляемых администрацией городского поселения Терек при осуществлении муниципальных функций и полномочий, предусмотренных федеральными законами и законами Кабардино-Балкарской Республики;

3. Принципы обработки персональных данных

Обработка ПДн в администрации городского поселения Терек осуществляться на основе следующих принципов:

- обработки ПДн на законной и справедливой основе;

- ограничения обработки ПДн при достижении конкретных, заранее определенных и законных целей;

- недопущения объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

- обработки ПДн субъектов персональных данных, которые отвечают целям их обработки;

- соответствия содержания и объема обрабатываемых ПДн заявленным целям обработки;

- исключения избыточности обрабатываемых ПДн по отношению к заявленным целям их обработки;

- обеспечения точности, достаточности и актуальности ПДн по отношению к целям обработки ПДн;

- обеспечения принятия необходимых мер оператором при удалении или уточнении неполных или неточных данных;

- осуществления хранения ПДн оператором в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

- уничтожения либо обезличивания ПДн по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;

- обеспечения защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;

- обязанности лица, осуществляющего обработку ПДн по поручению оператора, соблюдать принципы и правила обработки ПДн;

- соблюдения принципов и правил обработки ПДн при поручении такой обработки другому лицу;

- соблюдения конфиденциальности ПДн;

- обработки ПДн (в том числе при обработке общедоступных ПДн, специальных категорий ПДн, биометрических ПДн, при принятии решений на основании исключительно автоматизированной обработки ПДн, ) с письменного согласия субъектов персональных данных либо на ином законном основании;

- принятия мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством в области ПДн;

- принятия необходимых правовых, организационных и технических мер или обеспечение их принятия для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;

- недопустимости ограничения прав и свобод человека и гражданина по мотивам, связанным с использованием различных способов обработки ПДн или обозначения принадлежности ПДн, содержащихся в государственных информационных системах персональных данных (ИСПДн), конкретному субъекту персональных данных;

- личной ответственности должностных лиц, осуществляющих обработку ПДн.

4. Способы и правила обработки персональных данных в информационной системе ПДн в зависимости от применения средств автоматизации

- смешанная обработка персональных данных;

- без передачи по внутренней сети юридического лица

- с передачей по сети Интернет.

Обработка ПДн администрацией городского поселения Терек осуществляется с соблюдением следующих условий:

- персональные данные должны быть получены от субъекта персональных данных или его законного представителя;

- обработка ПДн осуществляется с согласия субъекта персональных данных на обработку его персональных данных (согласие субъекта персональных данных на обработку его персональных данных не требуется в случае обработки персональных данных для достижения целей, предусмотренных законодательством Российской Федерации, а также при передаче (предоставлении) персональных данных в органы (организации), участвующие в предоставлении муниципальных (государственных) услуг в соответствии со статьей 7 Федерального закона от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг");

- обработка ПДн осуществляется после принятия необходимых мер по защите ПДн;

Администрация городского поселения Терек обязана обеспечивать безопасность ПДн, осуществлять защиту от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения ПДн, а также от иных неправомерных действий.

Лица, допущенные к обработке ПДн, обязаны принимать все необходимые меры для обеспечения их конфиденциальности, доступности и целостности.

Обязанность по исполнению требований по нераспространению сведений, содержащих ПДн субъектов, сохраняется за бывшими работниками администрации городского поселения Терек в течение всего срока действия конфиденциальности ПДн.

Запрещается:

- обрабатывать ПДн в присутствии лиц, не допущенных к обработке ПДн;

- осуществлять ввод ПДн под диктовку.

4.1. Порядок обработки ПДн с использованием средств автоматизации

Обработка ПДн с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", действующих нормативных методических и руководящих документов ФСТЭК и ФСБ.

В соответствии с Указом Президента Российской Федерации от 6 марта 1997 г. N 188 "Об утверждении Перечня сведений конфиденциального характера" администрация городского поселения Терек утверждает Перечень персональных данных, обрабатываемых в ИСПДн.

Не допускается обработка ПДн в ИСПДн при отсутствии настроенных средств защиты информации от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств, в соответствии с требованиями безопасности информации.

4.2. Порядок обработки ПДн без использования средств автоматизации

Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн должен использоваться отдельный материальный носитель.

При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы.

При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн, должны быть приняты меры по обеспечению раздельной обработки ПДн, в частности, при необходимости использования или распространения определенных ПДн отдельно от находящихся на том же материальном носителе других ПДн, осуществляется копирование ПДн, подлежащих распространению или использованию, способом, исключающим одновременное копирование ПДн, не подлежащих распространению и использованию, и используется (распространяется) копия ПДн.

При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн, должны соблюдаться следующие условия:

- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать:

- сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации;

- имя (наименование) и адрес оператора;

- фамилию, имя, отчество и адрес субъекта персональных данных, источник получения ПДн;

- сроки обработки ПДн;

- перечень действий с персональными данными, которые будут совершаться в процессе их обработки;

- общее описание используемых оператором способов обработки ПДн; типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации, при необходимости получения письменного согласия на обработку ПДн;

- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

- типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.

Уточнение ПДн при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными

5. Хранение и использование персональных данных

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.

6. Передача персональных данных

Передача персональных данных субъекта персональных данных возможна только с согласия субъекта персональных данных или в случаях, предусмотренных законодательством. Если передача персональных данных субъекта персональных данных не предусмотрена законодательством, то с субъекта персональных данных в обязательном порядке берется письменное согласие на бумажном носителе или в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

При передаче ПДн субъектов третьим лицам должны соблюдаться следующие требования:

- передача ПДн третьим лицам осуществляется на основании договора или на основании действующего законодательства РФ;

- передача ПДн должна осуществляться с исключением несанкционированного доступа к ним;

- существенным условием договора является обеспечение третьими лицами конфиденциальности ПДн и безопасности ПДн при их обработке.

Передача ПДн субъектов третьим лицам осуществляется по письменному запросу о предоставлении ПДн на имя главы местной администрации городского поселения Терек с указанием цели предоставления и характера ПДн, либо по заявлению самого субъекта.

Не допускается отвечать на вопросы, связанные с передачей персональных данных по телефону или факсу.

7. Осуществление блокирования персональных данных

Блокированием ПДн называется временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

Блокирование ПДн конкретного субъекта персональных данных должно осуществляться во всех информационных системах ПДн администрации городского поселения Терек, включая архивы баз данных, содержащих такие персональные данные.

Блокирование ПДн в администрации осуществляется:

- в случае выявления неправомерной обработки ПДн при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных с момента такого обращения или получения указанного запроса на период проверки;

- в случае отсутствия возможности уничтожения ПДн в установленные сроки до их уничтожения.

После устранения выявленной неправомерной обработки ПДн администрация осуществляет снятие блокирования ПДн.

Решение о блокировании и снятии блокирования ПДн субъекта персональных данных принимается ответственным за организацию обработки ПДн в администрации.

8. Осуществление удаления и уничтожения персональных данных

Уничтожение ПДн - это действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.

Уничтожение ПДн в администрации городского поселения Терек производится только в следующих случаях:

- обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом;

- персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;

- в случае выявления неправомерной обработки ПДн, если обеспечить правомерность обработки ПДн невозможно;

- в случае достижения цели обработки ПДн;

- в случае отзыва субъектом персональных данных согласия на обработку его ПДн и в случае, если сохранение ПДн более не требуется для целей обработки ПДн.

При уничтожении ПДн необходимо:

- убедиться в необходимости уничтожения ПДн;

- убедиться в том, что уничтожаются те персональные данные, которые предназначены для уничтожения;

- уничтожить персональные данные подходящим способом в соответствии с настоящими Правилами или способом, указанным в соответствующем требовании или распорядительном документе;

- проверить необходимость уведомления об уничтожении ПДн; при необходимости уведомить об уничтожении ПДн требуемых лиц.

При уничтожении ПДн применяются следующие способы:

- сжигание - для документов, исполненных на бумаге;

- физическое уничтожение частей носителей информации - разрушение или сильная деформация - для носителей информации на жестком магнитном диске (уничтожению подлежат внутренние диски и микросхемы); CD (ВУБ)-дисках, USB- и Flash-носителях (уничтожению подлежат модули и микросхемы долговременной памяти);

- стирание с помощью сертифицированных средств уничтожения информации - для записей в базах данных и отдельных документов на машинном носителе.

При уничтожении ПДн необходимо учитывать их наличие в архивных базах данных и производить уничтожение во всех копиях базы данных, если иное не установлено действующим законодательством Российской Федерации.

При необходимости уничтожения части ПДн допускается уничтожать материальный носитель одним из указанных в настоящем Положении способов, с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению.

Уничтожение ПДн производится лицами, обрабатывающими персональные данные в соответствующей информационной системе ПДн, в которой производится уничтожение ПДн, только в присутствии лица, ответственного за организацию обработки ПДн в администрации сельского поселения.

По факту уничтожения ПДн составляется акт об уничтожении ПДн, который подписывается лицами, производившими уничтожение, заверяется лицом, ответственным за организацию обработки ПДн в администрации городского поселения Терек, руководителем соответствующего структурного подразделения администрации, в котором производилось уничтожение ПДн.

Хранение актов об уничтожении ПДн осуществляется в течение срока исковой давности, если иное не установлено нормативными правовыми актами Российской Федерации.

9. Права и обязанности субъектов персональных данных по обеспечению защиты персональных данных, хранящихся в администрации

- Права субъектов персональных данных

В целях защиты персональных данных, хранящихся в администрации, субъект персональных данных имеет право:

- на полную информацию о своих персональных данных и обработку этих данных;

- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований федеральных законов;

- дополнять персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;

- определять своих представителей для защиты своих персональных данных;

- на сохранение и защиту своей личной и семейной тайны;

- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законодательством;

- требовать об извещении всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях;

- на обжалование в суде любых неправомерных действий или бездействия при обработке и защите его персональных данных.

- Обязанности субъектов персональных данных

Субъект персональных данных, чьи персональные данные обрабатываются в администрации муниципального района, обязан:

- предоставлять свои персональные данные в случаях, когда федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих ПДн;

- с целью соблюдения его законных прав и интересов подавать только достоверные персональные данные.

Кроме указанных обязанностей в вопросах обработки его ПДн на субъекта персональных данных налагаются иные обязанности, предусмотренные действующим законодательством Российской Федерации.

10. Права и обязанности администрации при обработке персональных данных субъектов персональных данных

10.1. Права администрации

Администрация городского поселения Терек при обработке ПДн субъектов персональных данных имеет право:

- обрабатывать персональные данные в соответствии с действующим законодательством Российской Федерации;

- поручить обработку ПДн другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта;

- мотивированно отказать субъекту персональных данных в выполнении повторного запроса в целях получения сведений, касающихся обработки его ПДн, при нарушении субъектом персональных данных своих обязанностей по подаче такого запроса;

- ограничить право субъекта персональных данных на доступ к его персональным данным в соответствии с федеральными законами, в том числе, если обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доход