Приложение 1. Правила обработки персональных данных в Совете Палехского муниципального района. Решение Совета Палехского муниципального района Ивановской области от 28.11.2017 N 95 "Об обработке персональных данных в Совете Палехского муниципального района"

Приложение 1
к решению
Совета Палехского
муниципального района
от 28.11. 2017 г. N 95

Правила
обработки персональных данных в Совете Палехского муниципального района

1. Общие положения

Правила обработки персональных данных в Совете Палехского муниципального района (далее - Правила) разработаны на основании требований:

- Трудового кодекса Российской Федерации;

- Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ);

- постановления Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

- постановления Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"

- постановления Правительства Российской Федерации от 21.03.2012 N 211 "Перечень мер направленных на обеспечение выполнения обязанностей предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствие с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

2. Цель Правил

Целью настоящих Правил является обеспечение защиты персональных данных граждан от несанкционированного доступа, неправомерного их использования или утраты.

3. Основные условия обработки персональных данных

3.1. Обработка персональных данных осуществляется после принятия необходимых мер по защите персональных данных, а именно:

- после получения согласия субъекта персональных данных, в соответствии с пунктом 17 настоящих Правил, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона N 152-ФЗ;

- после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Ивановской области, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";

3.2. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации в порядке, установленном пунктом 14 настоящих Правил.

4. Меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации

К мерам, направленным на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных относятся:

- назначение ответственного за организацию обработки персональных данных в Совете Палехского муниципального района;

- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с частями 1 и 2 статьи 19 Федерального закона N 152-ФЗ;

- осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону N 152-ФЗ и принятым в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

- оценка вреда, который может быть причинён субъектам персональным данных в случае нарушения законодательства Российской Федерации и настоящих Правил;

- ознакомление работников, непосредственно осуществляющих обработку персональных данных с положениями законодательства Российской Федерации о персональных данных и настоящим Положением;

- запрет на обработку персональных данных лицами, не допущенными к их обработке;

- запрет на обработку персональных данных под диктовку.

5. Обработка персональных данных с использованием информационных систем и без использования средств автоматизации

5.1. Обработка персональных данных в Совете района осуществляется как с использованием информационных систем, так и без использования средств автоматизации

5.2. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями установленными законодательством Российской Федерации.

5.3. При обработке персональных данных осуществляемой без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных), должны соблюдаться требования Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации утвержденного Постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.

При неавтоматизированной обработке персональных данных на бумажных носителях:

- не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы;

- персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);

- документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;

- дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.

Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.

Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание)

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

- при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

- при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

6. Цели обработки персональных данных

Обработка персональных данных, указанных в пункте 8 категорий субъектов персональных данных, осуществляется Советом района для достижения целей, предусмотренных законодательством Российской Федерации, а также для выполнения возложенных на Совет района функций и осуществления Советом района своих полномочий.

7. Содержание обрабатываемых персональных данных

Содержание персональных данных:

- фамилия, имя, отчество (в том числе прежние), дата и место рождения.

- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ) и гражданство.

- адрес места жительства (место регистрации и фактический адрес) и дата регистрации по месту жительства или по месту пребывания.

- номера телефонов (мобильного и домашнего), в случае их регистрации на субъекта персональных данных или по адресу его места регистрации.

- сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки (серия, номер, дата выдачи диплома, свидетельства, аттестата или другого документа об окончании образовательного учреждения, наименование и местоположение образовательного учреждения, дата начала и завершения обучения, факультет или отделение, квалификация и специальность по окончании образовательного учреждения, ученая степень, ученое звание, владение иностранными языками и другие сведения).

- сведения о повышении квалификации и переподготовке (серия, номер, дата выдачи документа о повышении квалификации или о переподготовке, наименование и местоположение образовательного учреждения, дата начала и завершения обучения, квалификация и специальность по окончании образовательного учреждения и другие сведения).

- сведения о трудовой деятельности (данные о трудовой занятости на текущее время с полным указанием должности, подразделения, наименования, адреса и телефона организации, а также реквизитов других организаций, с полным наименованием занимаемых ранее в них должностей и времени работы в этих организациях, а также другие сведения).

- сведения о номере, серии и дате выдачи трудовой книжки (вкладыша в нее) и записях в ней.

- содержание и реквизиты служебного контракта (трудового договора) с муниципальным служащим или гражданско-правового договора с гражданином.

- сведения о заработной плате, денежном содержании и иных выплатах (номера счетов, в том числе номера индивидуальных лицевых счетов, данные о размере оклада, надбавок, другие сведения).

- сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу (серия, номер, дата выдачи, наименование органа, выдавшего военный билет, военно-учетная специальность, воинское звание, данные о принятии на учет, снятии с учета и другие сведения).

- сведения о семейном положении (состояние в браке, данные свидетельства о заключении брака, фамилия, имя, отчество супруга(и), паспортные данные супруга(и), данные брачного контракта, данные справки по форме 2-НДФЛ супруга(и), данные документов по долговым обязательствам, степень родства, фамилии, имена, отчества и даты рождения других членов семьи, иждивенцев и другие сведения).

- сведения об имуществе (имущественном положении):

- автотранспорт (государственные номера и другие данные из свидетельств о регистрации транспортных средств и из паспортов транспортных средств);

- недвижимое имущество (вид, тип, способ получения, общие характеристики, стоимость, полные адреса размещения объектов недвижимости и другие сведения);

- банковские вклады (номера счетов, вид, срок размещения, сумма, условия вклада и другие сведения);

- кредиты (займы), банковские счета (в том числе счета с использованием банковских карт), денежные средства и ценные бумаги, в том числе находящиеся в доверительном управлении и на доверительном хранении;

- сведения о номере и серии страхового свидетельства государственного пенсионного страхования.

- сведения об идентификационном номере налогоплательщика.

- сведения из страховых полисов обязательного (добровольного) медицинского страхования (в том числе данные соответствующих карточек медицинского страхования).

- сведения, указанные в оригиналах и копиях распоряжений по личному составу в Совете района и материалах к ним.

- сведения о государственных и ведомственных наградах, почетных и специальных званиях, поощрениях (в том числе наименование или название награды, звания или поощрения, дата и вид правового акта о награждении или дата поощрения).

- материалы по аттестации муниципальных служащих.

- материалы по внутренним служебным проверкам в отношении муниципальных служащих.

- материалы по расследованию и учету несчастных случаев на производстве и профессиональным заболеваниям в соответствии с Трудовым кодексом Российской Федерации, другими федеральными законами.

- сведения о временной нетрудоспособности.

- сведения о социальных льготах и о социальном статусе (серия, номер, дата выдачи, наименование органа, выдавшего документ, являющийся основанием для предоставления льгот и статуса, другие сведения).

8. Категории субъектов персональные данные, которых обрабатываются

Совет района обрабатывает персональные данные следующих категорий субъектов персональных данных:

депутаты Совета района;

муниципальные служащие Совета района и лица, претендующие на замещение должностей муниципальной службы;

работники Совета района, занимающие должности, не отнесенные к муниципальным должностям, осуществляющие техническое обеспечение деятельности в Совете района;

граждане, представляемые к награждению и поощрению наградами Совета района;

кандидаты, рассматриваемые для отбора и избрания на должность Главы Палехского муниципального района;

субъекты персональных данных, направившие обращение в Совет района;

физические лица, состоящие в договорных и иных гражданско-правовых отношениях с Советом района.

9. Сроки обработки, хранения и особенности хранения персональных данных

Сроки обработки и хранения персональных данных определяются:

- Приказом Минкультуры Российской Федерации от 25.08.2010 N 558 "Об утверждении "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения;

- сроком исковой давности;

- иными требованиями законодательства Российской Федерации и муниципальными правовыми актами Совета Палехского муниципального района.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

10. Уничтожения обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований. Порядок уничтожения персональных данных

10.1. Под уничтожением обработанных персональных данных понимаются действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.

10.2. Уничтожение обработанных персональных данных производится комиссионно с составлением соответствующего акта.

11. Условия и способ обезличивания

Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса используемых информационных систем персональных данных и по достижению сроков обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством Российской Федерации.

К способам обезличивания персональных данных при условии дальнейшей обработки персональных данных относятся:

1) уменьшение перечня обрабатываемых сведений;

2) замена части сведений идентификаторами;

3) обобщение (понижение) точности некоторых сведений;

4) деление сведений на части и обработка их в разных информационных системах;

5)замена численных значений минимальным, средним или максимальным значением.

К способам обезличивания персональных данных в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.

12. Правила работы с обезличенными данными

Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.

Обезличенные персональные данные могут обрабатываться с использования и без использования средств автоматизации.

При обработке обезличенных персональных данных с использованием средств автоматизации необходимо:

1) использование паролей;

2) использование антивирусных программ;

3) соблюдение правил доступа в помещение, в котором ведётся обработка персональных данных;

При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:

1) хранения бумажных носителей в условиях, исключающих доступ к ним посторонних лиц;

2) соблюдение правил доступа в помещение, в котором ведётся обработка персональных данных.

13. Перечень информационных систем персональных данных

Перечень информационных систем персональных данных:

- 1С: Предприятие;

- СБИС ЭО - Базовый, Бюджет.

14 Обязательства о неразглашении персональных данных

Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации, содержащей персональные данные (приложение 1 настоящих Правил).

15. Должностная инструкция ответственного за обработку персональных данных.

Ответственный за организацию обработки персональных под роспись знакомиться с должностной инструкцией ответственного за организацию обработки персональных данных (приложение 2 настоящих Правил).

16. Обязательство о прекращении обработки персональных данных

Муниципальные служащие Совета Палехского муниципального района непосредственно осуществляющие обработку персональных данных, в случае расторжения с ним служебного контракта (договора) дают письменное обязательство прекратить обработку персональных данных, ставших известными им в связи с исполнением должностных обязанностей.

Типовое обязательство о прекращении обработки персональных данных даётся в письменной форме (приложение 3 настоящих Правил).

17. Согласие на обработку персональных данных

Оператор перед обработкой персональных данных получает у субъектов обработки персональных данных, указанных в пункте 8 настоящих Правил согласие на обработку персональных данных.

Согласие на обработку персональных данных даётся субъектом обработки персональных данных в письменной форме (приложение 4 настоящих Правил)

18. Разъяснение юридических последствий отсутствия согласия на обработку персональных данных

В случае отсутствия согласия на обработку персональных данных оператор разъясняет субъекту обработки персональных данных юридические последствия отказа предоставить свои персональные данные.

Разъяснение юридических последствий осуществляется в письменной форме. (Приложение 5 настоящих Правил).

19. Порядок доступа в помещения, в которых ведётся обработка персональных данных

1. Запрещается оставлять материальные носители с персональными данными без присмотра в незапертом помещении, в котором осуществляется обработка персональных данных.

2. Все сотрудники, постоянно работающие в помещениях, в которых ведётся обработка персональных данных, должны быть допущены к работе с соответствующими видами персональных данных.

3. В служебных помещениях, занимаемых Советом Палехского муниципального района применяются административные, технические, физические и процедурные меры, направленные для защиты данных от нецелевого использования, несанкционированного доступа, раскрытия, потери, изменения и уничтожения обрабатываемых персональных данных.

К указанным мерам относятся:

1) физические меры защиты: двери, снабжённые замками, сейфы и безопасное уничтожение носителей, содержащих персональные данные;

2) технические меры защиты: применение антивирусных программ, программ защиты, установление паролей на персональных компьютерах;

3) организационные меры защиты: обучение и ознакомление с принципами безопасности и конфиденциальности, доведение до операторов обработки персональных данных важности защиты персональных данных и способов обеспечения защиты.