Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение N 1
к приказу
администрации Ленинского
района города Пензы
от 14.06.2017 N 182
Правила обработки персональных данных в администрации Ленинского района города Пензы
1. Термины, определения и сокращения
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Доступ к информации - возможность получения информации и ее использования.
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Защита персональных данных - деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальной информации о конкретном работнике, полученной работодателем в связи с трудовыми отношениями
Источник угрозы безопасности информации - субъект доступа, материальный объект, физическое явление или совокупность данных факторов, являющиеся причиной возникновения угрозы безопасности информации.
Конфиденциальная информация - это информация (в документированном или электронном виде), доступ к которой ограничивается в соответствии с законодательством РФ.
Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Межсетевой экран - локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.
Неавтоматизированная обработка персональных данных - обработка персональных данных, содержащихся в информационной системе персональных данных, либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляется при непосредственном участии человека.
Несанкционированный доступ (НСД) - доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней, с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам.
Носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Оператор - администрация Ленинского района города Пензы, организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Пользователь информационной системы персональных данных - сотрудник, участвующий в функционировании информационной системы персональных данных или использующий результаты ее функционирования.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Технический канал утечки информации - совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.
Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2. Общие положения
Нумерация пунктов приводится в соответствии с источником
1.1. Настоящие Правила определяют порядок обработки персональных данных, устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения или обезличивания при достижении целей обработки или при наступлении иных законных оснований.
1.2. Правила разработаны в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Перечнем сведений конфиденциального характера, утвержденным Указом Президента РФ от 06.03.1997 N 188, Федеральным законом от 27.07.2006 N 149 "Об информации, информационных технологиях и защите информации", Федеральным законом от 27.07.2006 N 152 "О персональных данных", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятых в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 N 1119, постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", приказом Федеральной службы по техническому и экспортному контролю России от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", Федеральным законом от 22.10.2004 N 125 "Об архивном деле в Российской Федерации" и иными нормативными актами в области защиты персональных данных, действующими на территории Российской Федерации.
2.2. Правила доводятся начальниками отделов администрации района до сведения своих сотрудников под роспись.
2.3. Обеспечение безопасности персональных данных осуществляется путем выполнения комплекса организационных и технических мероприятий, реализуемых в рамках создаваемой системы (подсистемы) защиты персональных данных.
Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором (уполномоченным лицом) угроз безопасности персональных данных (модели угроз, модели нарушителя или совокупности предположений о возможных атаках на информационную систему) и в зависимости от уровня защищенности информационной системы, определенного в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 N 1119.
Модель угроз (совокупность предположений о возможных атаках) разрабатывается на основе "Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденной ФСТЭК России 15 февраля 2008 года.
Средства защиты персональных данных включают в себя организационные меры и технические средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки ПДн), а также используемые в информационной системе информационные технологии.
Методы и способы защиты ИСПДн определяются приказом Федеральной службы по техническому и экспортному контролю России от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
2.4. В ИСПДн используются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия, а также, при использовании программных средств, данные средства должны быть сертифицированы ФСТЭК России.
2.5. Персональные данные относятся к конфиденциальной информации, то есть порядок работы с ними регламентирован действующим законодательством РФ и осуществляется с соблюдением строго определенных правил и условий.
2.6. В целях обеспечения прав и свобод человека и гражданина сотрудники администрации Ленинского района города Пензы при обработке персональных данных должны соблюдать следующие требования:
2.6.1. Обработка персональных данных субъектов персональных данных осуществляется исключительно в целях обеспечения соблюдения законов Российской Федерации и иных нормативных правовых актов;
2.6.2. При определении объема и содержания обрабатываемых персональных данных, сотрудники, ответственные за обработку персональных данных, руководствуются федеральными законами, во исполнение которых будет осуществляться обработка персональных данных;
2.6.3. Все персональные данные следует получать лично у субъекта персональных данных. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе - признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
Ели персональные данные можно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом не менее чем за три рабочих дня и от него должно быть получено согласие (либо отказ), которое субъект персональных данных должен дать в течение пяти рабочих дней с момента получения соответствующего уведомления.
В уведомлении субъект персональных данных ставится в известность о последствиях отказа в даче им согласия на получение персональных данных.
В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных, полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
Сотрудник, осуществляющий получение персональных данных, сообщает субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, характер подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать согласие на их получение. Отказ субъекта предоставить свои персональные данные должен быть документально зафиксирован.
2.6.4. Федеральными законами могут быть установлены особенности учета персональных данных в муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.
2.6.5. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.
Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.
2.6.6. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 статьи 16 Федерального закона "О персональных данных".
2.7. При обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. В администрации Ленинского района города Пензы должны приниматься необходимые меры либо обеспечиваться их принятие по удалению или уточнению неполных или неточных данных.
2.8. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
2.9. Лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2.10. При приеме на работу в администрацию города сотрудник дает письменное обязательство о неразглашении персональных данных субъектов персональных данных, ставших известных ему в связи с исполнением должностных обязанностей, а также прекращении обработки персональных данных и неразглашении персональных данных субъектов после расторжения с ним трудового договора.
2.11. При приеме на работу в администрацию района ведущий обработку персональных данных сотрудник знакомится под роспись с положениями законодательства Российской Федерации о персональных данных и всеми действующими нормативными правовыми актами по защите персональных данных, принятыми администрацией района.
2.12. Меры обеспечения безопасности персональных данных в администрации Ленинского района города Пензы принимаются в соответствии с требованиями Федерального закона "О персональных данных".
2.13. Защита персональных данных в информационных системах персональных данных осуществляется в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 N 1119, приказом Федеральной службы по техническому и экспортному контролю России от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" и иными нормативными правовыми актами, действующими на территории Российской Федерации.
2.14. Перечень персональных данных, обрабатываемых в администрации Ленинского района города Пензы, определяющий их содержание, отдел, ведущий обработку этих персональных данных, цели обработки, категории субъектов персональных данных утверждается приказом администрации Ленинского района города Пензы и публикуется на странице Ленинского района города Пензы на официальном сайте администрации города Пензы.
2.15. Обработка персональных данных без использования специализированных программ осуществляется в соответствии с требованиями Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства Российской Федерации 15 сентября 2008 N 687.
2.16. В случае неавтоматизированной обработки ПДн при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), соблюдаются следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
б) типовая форма предусматривает поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
в) типовая форма составляется таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма исключает объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
3. Цель обеспечения безопасности персональных данных
3.1. Конечной целью проведения мероприятий по защите ИСПДн является:
- обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, обрабатываемых в информационных системах персональных данных;
- предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
- своевременное обнаружение фактов несанкционированного доступа (НСД) к ПДн;
- недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
- возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие НСД к ним;
- постоянный контроль над обеспечением уровня защищенности ПДн.
4. Организация работ по обеспечению безопасности персональных данных
4.1. Обязанности и права сотрудников, ответственных за организацию, обеспечение и выполнение мероприятий по обеспечению безопасности ПДн:
а) глава администрации района (по организации деятельности):
- несет персональную ответственность за организацию и состояние работ по защите персональных данных в администрации Ленинского района города Пензы;
- организует работу по защите персональных данных;
б) заместитель главы администрации района:
- несет персональную ответственность за непосредственное руководство и координацию работ, проводимых в администрации Ленинского района города Пензы в соответствии с нормативно-методическими документами, по защите информации от утечки по техническим каналам;
- организует разработку организационно-распорядительных документов по вопросам защиты информации в администрации Ленинского района города Пензы;
в) заместители главы администрации района несут персональную ответственность за непосредственное руководство и координацию работ, проводимых в администрации Ленинского района города Пензы в соответствии с нормативно-методическими документами по защите информации от утечки по техническим каналам;
г) начальники отделов администрации района:
- организуют выполнение мероприятий по защите конфиденциальной информации, в том числе содержащей персональные данные;
- осуществляют текущий контроль за обеспечением конфиденциальности информации и соблюдением требований по защите информации в структурном подразделении;
- предоставляют заместителю главы администрации списки сотрудников, допущенных к информационным системам персональных данных (к обработке персональных данных);
- доводят под роспись до сотрудников, допускаемых к информационным системам персональных данных (к обработке персональных данных), требования настоящих Правил;
д) Заместитель начальника отдела делопроизводства и хозяйственного обеспечения (далее - администратор безопасности ИСПДн):
- обеспечивает защиту информации, циркулирующей в классифицированных информационных системах персональных данных и автоматизированных системах администрации Ленинского района города Пензы;
- несет ответственность за выполнение комплекса мероприятий по обеспечению безопасности информации;
имеет право:
- проводить систематический контроль работы средств защиты информации, применяемых в информационных системах персональных данных;
- проводить мероприятия по внутреннему контролю, следить за состоянием защищенности информационных систем персональных данных, требовать от пользователей информационных систем персональных данных безусловного соблюдения и выполнения требований по информационной безопасности;
е) пользователи, осуществляющие обработку персональных данных:
- несут персональную ответственность за соблюдение требований по защите конфиденциальной информации, в том числе содержащей персональные данные;
- обработку конфиденциальной информации, в том числе содержащей персональные данные, производят в соответствии с принятыми правилами, инструкциями, иными нормативно-правовыми актами.
4.2. Сотрудники, ответственные за выполнение мероприятий по обеспечению безопасности ПДн в администрации района должны:
- пройти курсы дополнительного профессионального образования по организации и обеспечению безопасности персональных данных (если того требуют мероприятия по обеспечению безопасности персональных данных);
- знать законы Российской Федерации в области защиты персональных данных;
- выполнять требования настоящих Правил;
- принимать и обрабатывать обращения запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом, обработкой и регистрацией в соответствующем журнале таких обращений и запросов;
- выполнять инструкции по обеспечению безопасности персональных данных;
4.3. Организационно-распорядительные документы администрации района:
- приказ администрации района о создании комиссии по обследованию и классификации ИСПДн;
- приказ об организации и проведении работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
- перечень общедоступных персональных данных в администрации Ленинского района города Пензы;
- перечень персональных данных, обрабатываемых в администрации Ленинского района города Пензы;
- перечень ИСПДн администрации Ленинского района города Пензы.
4.4. Список сотрудников, допущенных к работе с ПДн, с указанием полномочий, утверждается приказом администрации Ленинского района города Пензы.
4.5. Организация работ по подготовке и вводу в эксплуатацию ИСПДн:
4.5.1. В целях дифференцированного подхода к защите информации производится классификация ИСПДн. Для проведения классификации информационных систем ПДн в администрации Ленинского района города Пензы создается комиссия.
Классификация ИСПДн проводится членами комиссии в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 N 1119.
4.5.2. Техническое задание на систему защиты ПДн в ИСПДн разрабатывается по результатам предпроектного обследования администратором безопасности, назначенным приказом.
Для проведения работ по обеспечению безопасности персональных данных в ИСПД может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.
4.5.3. Модель угроз и модель нарушителя, применительно к конкретной ИСПДн, разрабатывается администратором безопасности в соответствии с "Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных".
Модель угроз и модель нарушителя может быть пересмотрена администратором безопасности в связи с изменением уровня и структуры ИСПДн, а также в связи с изменениями законодательства.
4.5.4. Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых оператором угроз безопасности персональных данных (модели угроз), моделью нарушителя и, в зависимости от уровня защищенности информационной системы, определенного в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 N 1119.
Выбранные и реализованные методы и способы защиты информации в информационной системе обеспечивают нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке в информационных системах в составе создаваемой оператором системы защиты персональных данных.
4.6. Порядок обеспечения сохранности носителей ПДн:
4.6.1. Физическая охрана здания администрации Ленинского района города Пензы осуществляется круглосуточно сотрудниками специализированной охранной организации, имеющей лицензию на осуществление охранной деятельности, на основе заключенного с данной организацией договора.
4.6.2. Уборка помещения, в котором ведется обработка ПДн, либо комнаты, в которой расположен сервер ИСПДн, должна осуществляться в рабочее время под присмотром сотрудника, за которым закреплено данное помещение.
В нерабочее время помещения, в которых ведется обработка персональных данных, должны закрываться на ключ и сдаваться под охрану.
Отдел делопроизводства и хозяйственного обеспечения администрации Ленинского района города Пензы ведет журнал выдачи ключей от помещений, в которых ведется обработка ПДн. Журнал хранится на посту охраны. Для работы в выходные и праздничные дни помещения, в которых ведется обработка ПДн, вскрываются только в случае служебной необходимости, для выполнения срочной и неотложной работы. Повседневный контроль за выполнением требований по защите персональных данных в отделах администрации должны осуществлять сотрудники, назначенные ответственными за проведение мероприятий по обеспечению безопасности персональных данных в структурных подразделениях администрации, ведущих обработку персональных данных.
4.6.3. Доступ к серверному оборудованию разрешается только администратору безопасности, назначенному приказом администрации Ленинского района города Пензы, либо сотруднику, его замещающему.
4.6.4. Все носители информации на магнитной, оптической (магнитно-оптической) и иной основе, съемные накопители информации, используемые в технологическом процессе обработки ПДн, и иные съемные машинные носители информации подлежат учету.
Учет съемных носителей информации осуществляется по журналу установленной формы. При этом перед выполнением работ сотрудником, ответственным за их учет, на этих носителях информации предварительно проставляются любым доступным способом следующие учетные реквизиты: учетный номер, дата, номер экземпляра, подпись сотрудника, а также другие возможные реквизиты, идентифицирующие носитель информации. Носители информации учитываются и хранятся в отделах администрации района в порядке, установленном для конфиденциальной информации. Временно неиспользуемые носители информации должны храниться в сейфе (либо ином защищенном хранилище). Использование неучтенных машинных носителей информации запрещается.
4.7. Порядок обмена информацией со сторонними организациями:
4.7.1. Передача (получение) ПДн осуществляется с письменного разрешения субъекта персональных данных (за исключением случаев, предусмотренных частью 2 статьи 9 Федерального закона "О персональных данных" и иными федеральными законами) с условием, что все требования по обеспечению конфиденциальности информации будут соблюдены обеими сторонами.
4.7.2. При обмене информацией в случаях, предусмотренных федеральными законами, со сторонними организациями заключается соглашение об обеспечении конфиденциальности персональных данных. Если потребность в том, чтобы передаваемая информация содержала персональные данные, отсутствует, то ПДн из передаваемой информации обезличиваются (в случаях, установленных законодательством РФ). В случаях, не предусмотренных федеральными законами, передача персональных данных осуществляется с согласия субъекта персональных данных.
4.7.3. Межсетевое взаимодействие ИСПДн при передаче ПДн организуется в соответствии с приказом Федеральной службы по техническому и экспортному контролю России от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
4.8. При проведении работ с участием сторонних организаций в договоре предусматривается пункт (пункты) об обеспечении конфиденциальности ПДн, ставших известными данным организациям и их сотрудникам в процессе проведения работ.
4.9. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона "О персональных данных" от 27.07.2006.
5. Согласие субъекта на обработку персональных данных и передача персональных данных
5.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных, полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
5.2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных, администрация Ленинского района города Пензы вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона "О персональных данных".
5.3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований обработки возлагается на оператора.
5.4. В случаях, предусмотренных Федеральным законом "О персональных данных", обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе, признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
5.5. Сотрудники оператора, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
6. Права субъекта ПДн в целях защиты персональных данных
6.1. В целях обеспечения защиты персональных данных, обрабатываемых в администрации Ленинского района города Пензы, субъект ПДн имеет право:
- требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- составлять запрос об обработке своих персональных данных лично, либо через своего представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации;
- повторно обратиться к оператору или направить ему повторный запрос в целях получения сведений об обработке его персональных данных, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
- обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений об обработке своих персональных данных, а также в целях ознакомления с обрабатываемыми персональными данными до истечения 30-дневного срока, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен дополнительно содержать обоснование направления повторного запроса. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, закрепленным в п. 6 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе;
- получать информацию, касающуюся обработки его персональных данных, в том числе содержащую:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федеральных законов;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральными законами;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом "О персональных данных";
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральными законами.
6.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
7. Организация обработки и защиты персональных данных в отделах администрации Ленинского района города Пензы
7.1. Организация обработки и защиты персональных данных субъектов персональных данных в отделах администрации Ленинского района города Пензы осуществляется в соответствии с Федеральным законом от 27.07.2006 N 152 "О персональных данных", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятых в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 N 1119, постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", приказом Федеральной службы по техническому и экспортному контролю России от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", "Составом и содержание организационных и технических мер по обеспечению безопасности персональных данных с использованием средств криптографической защиты", утвержденным Приказом ФСБ от 10.07.2014 N 378.
7.2. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, но не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
8. Планирование мероприятий по обеспечению безопасности ПДн
8.1. Ежегодные планы мероприятий по обеспечению безопасности персональных данных в ИСПДн отделов администрации разрабатывают ответственные за организацию и выполнение мероприятий по защите персональных данных, назначенные в соответствии с приказом администрации Ленинского района города Пензы. Планы утверждаются главой администрации.
8.2. План мероприятий по обеспечению безопасности ИСПДн содержит:
- перечень мероприятий;
- сроки проведения мероприятий;
- ответственных за выполнение данных мероприятий;
- отметку о результатах проведенных мероприятий.
8.3. Контроль за выполнением планов осуществляют курирующий заместитель главы администрации, администратор безопасности.
9. Ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных
9.1. Сотрудники, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными Федеральными законами. А также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном Федеральными законами.
9.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации.
Заместитель главы администрации |
А.А. Максимов |
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.