Приложение. Правила обработки персональных данных в органах Администрации города Тюмени, не являющихся юридическими лицами. Распоряжение Администрации г. Тюмени от 10.06.2019 N 427 "Об утверждении Правил обработки персональных данных в органах Администрации города Тюмени, не являющихся юридическими лицами" (с изменениями и дополнениями)

Приложение
к распоряжению
от 10.06.2019 N 427

Правила
обработки персональных данных в органах Администрации города Тюмени, не являющихся юридическими лицами

1. Общие положения

1.1. Настоящие Правила обработки персональных данных в органах Администрации города Тюмени, не являющихся юридическими лицами (далее - Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных (далее - ПДн), определяют для каждой цели обработки ПДн содержание обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований, а также меры, направленные на защиту ПДн.

1.2. Для целей настоящих Правил применяются следующие понятия.

Органы Администрации - отраслевые (функциональные) органы Администрации города Тюмени, не наделенные правами юридического лица и входящие в состав оператора ПДн "Администрация города Тюмени":

административный департамент;

департамент безопасности жизнедеятельности;

департамент потребительского рынка;

департамент экономики и стратегического развития;

комитет здравоохранения;

правовой департамент.

Уполномоченная организация - муниципальное казенное учреждение "Комитет по информатизации города Тюмени", обеспечивающее организацию и координацию работы по обработке и защите ПДн.

1.3. Настоящие правила разработаны в соответствии с:

Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ);

постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (далее - Постановление Правительства РФ N 687);

постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

распоряжением Администрации города Тюмени от 18.12.2015 N 1023 "Об организации обработки и защиты персональных данных в Администрации города Тюмени" (далее - Распоряжение N 1023);

иными нормативными правовыми актами в области обработки и обеспечения безопасности ПДн, а также руководящими документами Федеральной службы по техническому и экспортному контролю Российской Федерации и Федеральной службы безопасности Российской Федерации, муниципальными правовыми актами города Тюмени.

1.4. Обработка ПДн в Органах Администрации осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в сфере ПДн и настоящими Правилами.

2. Порядок и условия обработки ПДн

2.1. В Органах Администрации обработка ПДн осуществляется с использованием средств автоматизации или без использования таких средств, включая сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

2.2. Обработка ПДн осуществляется при условии получения согласия за исключением случаев, предусмотренных законодательством Российской Федерации.

2.3. Цели обработки ПДн, содержание обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, устанавливаются в соответствии с приложением к настоящим Правилам.

2.4. При сборе ПДн работники Органов Администрации, ответственные за сбор, получение ПДн непосредственно от субъектов ПДн, обязаны разъяснить субъектам ПДн юридические последствия отказа предоставить их ПДн.

2.5. Порядок обработки ПДн, осуществляемой без использования средств автоматизации, определяется Постановлением Правительства РФ N 687.

2.6. При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн должен использоваться отдельный материальный носитель.

2.7. К обработке ПДн, осуществляемой без использования средств автоматизации, допускаются работники, указанные в соответствующем приказе руководителя Органа Администрации.

2.8. Обработка ПДн, осуществляемая без использования средств автоматизации, может осуществляться только в помещениях, определенных приказом руководителя Органа Администрации.

2.9. Для ПДн, обработка которых осуществляется без использования средств автоматизации, необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.

2.10. Материальные носители ПДн должны храниться в местах, где можно обеспечить сохранность ПДн и исключить несанкционированный к ним доступ (сейфы, запираемые шкафы, помещения, доступ к которым ограничен).

2.11. Обработка ПДн в рамках использования системы межведомственного электронного взаимодействия (далее - СМЭВ) осуществляется в соответствии с Федеральным законом от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг".

2.12. Органы Администрации в рамках СМЭВ направляют сведения, содержащие ПДн, в федеральные органы исполнительной власти, исполнительные органы государственной власти Тюменской области, органы местного самоуправления Тюменской области.

3. Обеспечение безопасности ПДн

3.1. Для реализации мер по обеспечению безопасности ПДн применяются межсетевые экраны, системы обнаружения вторжений, средства анализа защищенности, специализированные комплексы защиты и анализа защищенности информации, а также организационные меры.

3.2. Обеспечение безопасности ПДн, обрабатываемых в информационных системах, достигается путем исключения несанкционированного, в том числе случайного, доступа к ПДн, а также принятия Органами Администрации следующих организационных мер:

принятие мер, предусмотренных Распоряжением N 1023;

определение помещений, в которых осуществляется обработка ПДн;

утверждение правил работы с обезличенными ПДн, в случае обезличивания ПДн;

обеспечение выполнения требований по обработке ПДн, осуществляемой без использования средств автоматизации;

ведение учета машинных носителей ПДн.

3.3. Применение технических мер по обеспечению безопасности ПДн при их обработке в информационной системе ПДн (далее - ИСПДн) в соответствии с Распоряжением N 1023 осуществляет Уполномоченная организация.

3.4. Обработка ПДн в ИСПДн осуществляется с использованием каналов связи, защита которых обеспечивается путем реализации и применения программных и технических средств.

3.5. Доступ работников к ПДн, находящимся в ИСПДн, предусматривает обязательное прохождение процедуры идентификации и аутентификации, для чего работникам присваиваются уникальные идентификаторы и пароли.

3.6. К работникам Органов Администрации, осуществляющим обработку ПДн либо имеющим доступ к ПДн, предъявляются следующие требования:

при использовании ИСПДн, знать и выполнять установленные требования по доступу к защищаемым объектам и соблюдению конфиденциальности защищаемой информации в Органе Администрации;

ознакамливаться с нормативными правовыми актами Российской Федерации и муниципальными правовыми актами города Тюмени в области обработки и обеспечения безопасности ПДн;

при использовании технических средств аутентификации обеспечивать сохранность идентификаторов (электронных ключей), не допускать несанкционированного доступа к ним, а также возможность их утери или использования третьими лицами, нести персональную ответственность за сохранность идентификаторов;

не устанавливать постороннее программное обеспечение, а также записывать защищаемую информацию на личные мобильные устройства и носители информации;

не разглашать защищаемую информацию, которая стала им известна при работе с ПДн, третьим лицам;

при работе с ПДн в ИСПДн обеспечивать отсутствие возможности просмотра ПДн третьими лицами с мониторов компьютеров;

сообщать обо всех наблюдаемых или подозрительных случаях работы с ПДн, могущих повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, лицу, ответственному за выполнение мероприятий по обеспечению безопасности ПДн в Органе Администрации.

4. Сроки обработки и хранения ПДн

4.1. Органы Администрации обеспечивают раздельное хранение ПДн на разных материальных носителях, обработка которых осуществляется в различных целях, предусмотренных приложением к настоящим Правилам.

4.2. Срок хранения ПДн, содержащихся в ИСПДн, должен соответствовать сроку хранения бумажных оригиналов, определяемому в соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным приказом Министерства культуры Российской Федерации от 25.08.2010 N 558.

4.3. В случае, если сроки обработки и хранения ПДн не установлены законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, то обработка и хранение ПДн субъектов, ПДн которых обрабатываются в Органах Администрации, осуществляется не дольше, чем этого требуют цели их обработки.

5. Уничтожение ПДн

5.1. Уничтожение ПДн осуществляется в соответствии с Положением об организации обработки и защиты ПДн в Администрации города Тюмени, утвержденным Распоряжением N 1023.

6. Ответственный за выполнение мероприятий по обеспечению безопасности ПДн

6.1. Ответственный за выполнение мероприятий по обеспечению безопасности ПДн назначается приказом руководителя Органа Администрации.

6.2. Ответственный за выполнение мероприятий по обеспечению безопасности ПДн в своей работе руководствуется законодательством Российской Федерации в сфере ПДн, муниципальными правовыми актами и настоящими Правилами.

6.3. Ответственный за выполнение мероприятий по обеспечению безопасности ПДн в рамках своей компетенции обязан:

обеспечивать выполнение мероприятий, предусмотренных приказом директора Уполномоченной организации, устанавливающим содержание организационных мер защиты и порядок их применения в ИСПДн;

осуществлять контроль за соблюдением работниками Органа Администрации требований законодательства Российской Федерации в сфере ПДн, в том числе требований к защите ПДн;

обеспечивать конфиденциальность ПДн, ставших известными в ходе проведения контроля;

доводить до сведения работников Органа Администрации положения законодательства Российской Федерации в сфере ПДн, муниципальных правовых актов по вопросам обработки ПДн, требований к защите ПДн;

принимать меры по приостановлению или прекращению обработки ПДн, осуществляемой с нарушением требований законодательства Российской Федерации;

организовывать режим обеспечения безопасности для помещений, в которых обрабатываются ПДн, при котором обеспечивается сохранность носителей ПДн и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц;

принимать необходимые меры по устранению выявленных нарушений, связанных с обработкой и защитой ПДн.

6.4. С целью осуществления текущего внутреннего контроля ответственный за выполнение мероприятий по обеспечению безопасности ПДн в рамках своей компетенции:

контролирует состояние учета машинных носителей ПДн;

контролирует работу в Органе Администрации по формированию и ведению перечней: должностей работников, замещение которых предусматривает осуществление обработки ПДн либо осуществление доступа к ПДн; ИСПДн; ПДн, обрабатываемых Органом Администрации в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием муниципальных услуг и осуществлением муниципальных функций; должностей работников, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн, в случае обезличивания ПДн;

осуществляет контроль за приемом и обработкой обращений и запросов субъектов ПДн в соответствии с нормативными правовыми актами Российской Федерации;

осуществляет контроль за соблюдением правил доступа в помещения, где обрабатываются и хранятся ПДн;

осуществляет контроль за режимом обеспечения безопасности помещений, в которых осуществляется хранение носителей ПДн;

осуществляет контроль за учетом мест хранения носителей ПДн;

осуществляет контроль за соблюдением правил хранения ПДн, обработка которых осуществляется без использования средств автоматизации (бумажные носители).

6.5. Ответственный за выполнение мероприятий по обеспечению безопасности ПДн вправе:

запрашивать у работников Органа Администрации информацию, необходимую для реализации своих полномочий;

привлекать к реализации мер, направленных на обеспечение безопасности ПДн, других работников Органа Администрации.