Приложение. Политика администрации Ленинск-Кузнецкого муниципального района в отношении обработки персональных данных и реализации требований к их защите. Постановление Администрации Ленинск-Кузнецкого муниципального района Кемеровской области от 12.04.2018 N 424 "Об утверждении политики администрации Ленинск-Кузнецкого муниципального района в отношении обработки персональных данных и реализации требований к их защите"

Приложение
к постановлению
администрации Ленинск-Кузнецкого
муниципального района
от 12 апреля 2018 г. N 424

Политика
администрации Ленинск-Кузнецкого муниципального района в отношении обработки персональных данных и реализации требований к их защите

1. Общие положения

Настоящий документ определяет цели обработки персональных данных в администрации Ленинск-Кузнецкого муниципального района (далее - оператор), принципы их обработки, категории субъектов, персональные данные которых обрабатываются, права субъектов персональных данных, содержит сведения о передаче персональных данных взаимодействующим организациям и реализуемых требованиях по защите персональных данных при их обработке.

1.1. Политика администрации Ленинск-Кузнецкого муниципального района в отношении обработки персональных данных и реализации требований к их защите (далее - политика) разработана в соответствии с пунктом 2 статьи 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"и действует в отношении всех персональных данных, обрабатываемых оператором.

1.2. Политика распространяется на персональные данные, полученные как до, так и после утверждения настоящей политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения настоящей Политики не могут быть распространены на отношения по обработке и защите персональных данных, полученных до ее утверждения.

1.3. Политика является публичным документом.

1.4. Основные понятия, используемые в политике:

- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

- оператор персональных данных (оператор) - муниципальный орган, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

- обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:

- сбор;

- запись;

- систематизацию;

- накопление;

- хранение;

- уточнение (обновление, изменение);

- извлечение;

- использование;

- передачу (распространение, предоставление, доступ);

- обезличивание;

- блокирование;

- удаление;

- уничтожение;

- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.5. Основные права оператора и субъектов персональных данных.

1.5.1. Должностные лица оператора, в обязанности которых входит обработка запросов и обращений субъектов персональных данных, обязаны обеспечить каждому субъекту возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом.

1.5.2. Оператор обязуется не принимать на основании исключительно автоматизированной обработки решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы.

1.6. Права и обязанности оператора и субъектов персональных данных.

1.6.1. В целях защиты своих персональных данных, хранящихся у оператора, субъект персональных данных имеет право:

- получить доступ к своим персональным данным;

- получить информацию, касающуюся обработки его персональных данных;

- требовать исключения или исправления неверных или неполных персональных данных;

- получать свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;

- дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;

- определять своих представителей для защиты своих персональных данных;

- требовать сохранения и защиты своей личной и семейной тайны;

- обжаловать в суде любые неправомерные действия или бездействия оператора при обработке и защите его персональных данных.

1.6.2. Работники оператора обязаны:

- в случаях, предусмотренных законом или договором, передавать оператору достоверные документы, содержащие персональные данные;

- не предоставлять неверные персональные данные, а в случае изменений в персональных данных, обнаружения ошибок или неточностей в них (фамилия, место жительства и т. д.), незамедлительно сообщить об этом оператору.

1.7. Информация об операторе.

Наименование: Администрация Ленинск-Кузнецкого муниципального района.

ИНН: 4236002912.

КПП: 421201001.

Юридический адрес: 652507, г. Ленинск-Кузнецкий, ул. Григорченкова, 47.

Тел.: (8384-56) 7-24-53, факс: (8384-56) 3-35-36.

Адрес электронной почты: admin_Lnkrayon@mail.ru.

2. Цели обработки персональных данных

Оператор обрабатывает персональные данные исключительно в следующих целях:

- предоставление государственных и муниципальных услуг;

- регулирование трудовых отношений и иных непосредственно связанных с ними отношений с сотрудниками оператора;

- рассмотрение обращений граждан;

- осуществление гражданско-правовых отношений;

- выполнение других задач, возложенных на оператора.

3. Правовые основания обработки персональных данных

Настоящая политика оператора в области обработки и защиты персональных данных определяется в соответствии с:

- Конституцией Российской Федерации;

- Трудовым кодексом Российской Федерации;

- Кодексом Российской Федерации об административных правонарушениях;

- Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации";

- Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";

- Федеральным законом от 27.05.2003 N 58-ФЗ "О системе государственной службы Российской Федерации";

- Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

- Федеральный закон от 09.02.2009 N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления";

- Федеральным законом от 27.07.2004 N 79-ФЗ "О государственной гражданской службе в Российской Федерации";

- Федеральным законом от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";

- постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

- постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных"и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

- постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

- Уставом Ленинск-Кузнецкого муниципального района;

- договорами, заключаемыми между оператором и субъектом персональных данных;

- согласием на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора).

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

4.1. К категориям субъектов персональных данных, обрабатываемых оператором, относятся:

- сотрудники оператора;

- бывшие сотрудники оператора;

- близкие родственники сотрудника (супруг(-а), дети, родители) оператора;

- граждане, претендующие на замещение муниципальных должностей и должностей муниципальной службы, подавшие документы на участие в конкурсе и для формирования кадрового резерва;

- лица, замещающие должности руководителей муниципальных учреждений;

- граждане, обратившиеся с обращением (жалобой или заявлением);

- граждане, состоящие в договорных отношениях с оператором;

- граждане, персональные данные которых обрабатываются оператором в связи с предоставлением оператором государственных и муниципальных услуг;

- иные лица, связанные с исполнением оператором муниципальных функций по решению вопросов местного значения, определенных Уставом Ленинск-Кузнецкого муниципального района.

4.2. Объем персональных данных, обрабатываемых оператором, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами оператора с учетом целей обработки персональных данных, указанных в разделе 3 Политики.

4.3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, у оператора не осуществляется.

5. Порядок и условия обработки персональных данных

5.1. Оператор при осуществлении обработки персональных данных:

- принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов оператора в области персональных данных;

- принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

- назначает лицо, ответственное за организацию обработки персональных данных у оператора;

- издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных у оператора;

- осуществляет ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальных нормативных актов оператора в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;

- публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;

- сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;

- прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;

- совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.

5.2. Обработка персональных данных у оператора осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.

5.3. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5.4. Обработка персональных данных оператором ведется с использованием средств автоматизации (электронные носители персональных данных) и без использования средств автоматизации (бумажные носители персональных данных).

5.5. Хранение персональных данных оператором осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, за исключением случаев, когда срок хранения персональных данных установлен федеральными законами или договором, стороной которого является субъект персональных данных.

5.6. Персональные данные, полученные оператором от субъекта персональных данных, хранятся как на бумажных носителях, так и в электронном виде.

5.7. Персональные данные на бумажных носителях хранятся в шкафах и сейфах.

5.8. Персональные данные в электронном виде хранятся на жестких дисках компьютеров сотрудников оператора.

5.9. Оператором запрещено размещать электронные документы, содержащие персональные данные, в открытых электронных каталогах (файловых хостингах).

5.10. Уничтожение персональных данных осуществляется оператором в случае достижения целей обработки персональных данных в срок, не превышающий 30 (тридцати) дней с даты достижения целей обработки персональных данных.

5.11. Уничтожение носителей персональных данных на бумажных носителях производится оператором путем дробления (измельчения).

Персональные данные на электронных носителях уничтожаются путем форматирования носителя, без возможности последующего восстановления информации.

5.12. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

5.13. Обработка персональных данных оператором осуществляется на основе следующих принципов:

- обработка персональных данных осуществляется на законной и справедливой основе;

- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

- обработке подлежат только те персональные данные, которые отвечают целям их обработки;

- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;

- при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.

5.14. Оператор при обработке персональных данных обеспечивает необходимые условия для беспрепятственной реализации субъектом персональных данных своих прав.

5.15. Передача персональных данных осуществляется оператором в следующих случаях, если:

- субъект персональных данных выразил свое согласие на передачу своих персональных данных;

- передача персональных данных предусмотрена законодательством Российской Федерации;

- предоставление обрабатываемых персональных данных производится в соответствии с законодательством Российской Федерации органам налоговой службы, внебюджетным фондам, кредитным организациям;

- информация передается по внутренней сети и с использованием информационно-телекоммуникационной сети "Интернет";

- оператор не поручает обработку персональных данных другим лицам на основании договора;

- оператор не производит трансграничную передачу персональных данных.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

6.1. В случае предоставления субъектом персональных данных фактов о неполных, устаревших, недостоверных или незаконно полученных персональных данных оператор обязан внести необходимые изменения, уничтожить или блокировать их, а также уведомить о своих действиях субъекта персональных данных.

6.2. В случае подтверждения факта неточности персональных данных персональные данные подлежат их актуализации оператором, а или неправомерности их обработки такая обработка должна быть прекращена.

6.3. При достижении целей обработки персональных данных, а также в случае истечения срока согласия на обработку персональных данных или отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

- оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных"или иными федеральными законами;

- иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.

6.4. Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.

7. Меры по обеспечению безопасности персональных данных при их обработке

7.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические (программно- и аппаратно реализуемые) меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них.

7.2. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:

- документальным оформлением требований к безопасности обрабатываемых персональных данных;

- изданием нормативных правовых документов по организации защиты персональных данных;

- назначением ответственного за организацию обработки персональных данных;

- распределением ответственности по вопросам защиты персональных данных между сотрудниками оператора;

- установлением персональной ответственности сотрудников оператора за обеспечением безопасности обрабатываемых персональных данных;

- осуществлением внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных";

- своевременным выявлением угроз безопасности персональных данных и принятием соответствующих мер защиты;

- приданием мероприятиям защиты информации характера обязательных элементов производственного процесса оператора, а требованиям по их исполнению - элементов производственной дисциплины;

- ознакомлением сотрудников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных и (или) обучением указанных сотрудников;

- резервным копированием информационных ресурсов;

- применением программных продуктов, отвечающих требованиям защиты персональных данных;

- учетом машинных носителей персональных данных;

- выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;

- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;

- своевременным применением критических обновлений общесистемного и прикладного программного обеспечения.