Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Постановление Администрации Боградского сельсовета Боградского района Республики Хакасия от 10 июля 2017 г. N 94 "Об обработке персональных данных в администрации Боградского сельсовета"
- Приложение N 1. Правила обработки персональных данных в Администрации Боградского сельсовета
Приложение N 1. Правила обработки персональных данных в Администрации Боградского сельсовета
Приложение N 1
к постановлению Администрации
Боградского сельсовета
от 10 июля 2017 г. N 94
Правила
обработки персональных данных в Администрации Боградского сельсовета
1. Общие положения
1.1. Настоящие Правила обработки персональных данных в Администрации Боградского сельсовета (далее - Правила) определяют содержание обрабатываемых персональных данных, цели обработки персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки, их хранения, порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований, а также устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных в Администрации Боградского сельсовета (далее - Администрация).
1.2. Правила разработаны на основании Трудового кодекса Российской Федерации (далее - Трудовой кодекс РФ), Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федерального закона от 25.12.2008 N 273-ФЗ "О противодействии коррупции", Федерального закона от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", Федерального закона от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", Федерального закона от 06.10.2003 N 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации", Федерального закона от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации", Постановления Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановления Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Постановления Правительства Российской Федерации от 21.03.2012 N 211 "Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Устава муниципального образования Боградский сельсовет.
1.3. Целью настоящих Правил является обеспечение защиты персональных данных граждан от несанкционированного доступа, неправомерного их использования или утраты при обработке в Администрации.
1.4. Обработка персональных данных осуществляется после принятия необходимых мер по защите персональных данных, а именно:
1) после получения согласия субъекта персональных данных;
2) после направления уведомления об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных.
Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящими Правилами и подписывают обязательство о неразглашении информации.
2. Цели обработки персональных данных
2.1. Целями обработки персональных данных Администрацией являются:
1) осуществление возложенных на Администрацию Боградского сельсовета федеральным законодательством, законодательством Республики Хакасия и Уставом муниципального образования Боградский сельсовета функций, полномочий и обязанностей по решению вопросов местного значения, а также переданных в установленном порядке государственных полномочий, предоставления муниципальных услуг;
2) обеспечение кадровой работы, формирование кадрового резерва муниципальной службы, обучение и должностной рост, учет результатов исполнения работниками должностных обязанностей, обеспечение права на пенсионное обеспечение и медицинское страхование работников, а также противодействие коррупции.
3. Содержание обрабатываемых персональных данных
3.1. Содержание обрабатываемых персональных данных включает в себя:
1) анкетные и биографические данные гражданина, в том числе адрес места жительства и проживания;
2) паспортные данные или данные иного документа, удостоверяющего личность и гражданство, включая серию, номер, дату выдачи, наименование органа, выдавшего документ;
3) сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки;
4) сведения о трудовой деятельности, опыте работы, занимаемой должности, трудовом стаже, дополнительном профессиональном образовании;
5) сведения о составе семьи и наличии иждивенцев, сведения о месте работы или учебы членов семьи;
6) сведения о состоянии здоровья и наличии заболеваний (в случаях, установленных законом);
7) сведения об отношении к воинской обязанности;
8) сведения о доходах и обязательствах имущественного характера, в том числе членов семьи;
9) сведения об идентификационном номере налогоплательщика;
10) сведения о социальных льготах и социальном статусе;
11) сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
12) сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям;
13) иные сведения, необходимые для обработки оператором персональных данных.
3.2. Перечни персональных данных, включающие содержание обрабатываемых персональных данных для каждой цели их обработки, утверждаются постановлением Администрации Боградского сельсовета.
4. Категории субъектов, персональные данные которых обрабатываются
4.1. К категории субъектов, персональные данные которых обрабатываются, для достижения целей, предусмотренных подпунктом 1 пункта 2.1 настоящих Правил, относятся:
1) физические лица, обратившиеся с обращениями в Администрацию по вопросам, связанным с реализацией возложенных на Администрацию федеральным законодательством, законодательством Республики Хакасия и Уставом муниципального образования Боградский сельсовета функций, полномочий и обязанностей по решению вопросов местного значения, переданных в установленном порядке государственных полномочий;
2) физические лица, обратившиеся в Администрацию за предоставлением муниципальных услуг;
3) физические лица, являющиеся стороной по заключенному с Администрацией договору (контракту).
4.2. К категории субъектов, персональные данные которых обрабатываются, для достижения целей, предусмотренных подпунктом 2 пункта 2.1 настоящего Порядка, относятся:
1) лица, замещающие (замещавшие) должности муниципальной службы в Администрации, их супруга (супруг), несовершеннолетние дети;
2) граждане, претендующие на замещение должности муниципальной службы (муниципальной должности) в Администрации, их супруга (супруг), несовершеннолетние дети;
3) лица, занимающие должности, не отнесенные к должностям муниципальной службы в Администрации.
5. Способы обработки персональных данных
5.1. Администрацией используются следующие способы обработки персональных данных:
1) без использования средств автоматизации;
2) с использованием средств автоматизации.
5.2. Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации.
5.3. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.
5.4. При неавтоматизированной обработке персональных данных на бумажных носителях:
1) не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы;
2) персональные данные должны обособляться от иной информации, в частности, путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
3) документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
4) дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.
5.5. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия:
1) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
2) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, при необходимости получения письменного согласия на обработку персональных данных;
3) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
4) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
5.6. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
5.7. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
5.8. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
1) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
2) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
5.9. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
5.10. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
5.11. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями Постановления Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
5.12. При эксплуатации автоматизированных систем необходимо соблюдать требования:
1) к работе допускаются только лица, назначенные соответствующим распоряжением;
2) на электронных вычислительных машинах полностью, дисках, папках и файлах, на которых обрабатываются и хранятся сведения о персональных данных, должны быть установлены пароли (идентификаторы);
3) на период обработки защищаемой информации в помещении могут находиться лица, допущенные в установленном порядке к обрабатываемой информации;
4) допуск других лиц в указанный период может осуществляться с разрешения Главы Боградского сельсовета.
6. Порядок сбора и уточнения персональных данных
6.1. Сбор документов, содержащих персональные данные, осуществляется путем их приобщения к материалам личных дел субъектов персональных данных либо путем создания, в том числе копирования представленных оригиналов документов, внесения сведений в учетные формы (на бумажных и электронных носителях).
6.2. Уточнение персональных данных производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
Уточнение персональных данных производится только на основании полученной в установленном законодательством порядке информации.
6.3. Субъект персональных данных свои персональные данные предоставляет самостоятельно либо через своего представителя. В случаях, предусмотренных законодательством, персональные данные также могут быть переданы оператору третьими лицами.
6.4. Обработка персональных данных осуществляется с согласия субъекта персональных данных на их обработку, составленного в письменном виде по типовой форме. Согласие на обработку персональных данных подписывается субъектом персональных данных собственноручно либо его представителем.
6.5. При получении персональных данных от субъекта персональных данных или его представителя Администрация:
1) разъясняет права, цели и порядок обработки персональных данных;
2) предлагает представить согласие на обработку персональных данных по типовой форме;
3) разъясняет последствия отказа предоставить персональные данные, передача которых в соответствии с законодательством является обязательной.
7. Сроки обработки и хранения персональных данных
7.1. Общий срок обработки и хранения персональных данных определяется периодом времени, в течение которого Администрация осуществляет действия (операции) в отношении персональных данных, обусловленные заявленными целями их обработки, если иной срок не установлен федеральным законом или договором, стороной которого является субъект персональных данных.
7.2. Обработка персональных данных прекращается:
1) по достижении целей обработки персональных данных;
2) в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных;
3) истечением срока согласия субъекта персональных данных на обработку его персональных данных;
4) в случаях, установленных федеральным законом или договором, стороной которого является субъект персональных данных.
7.3. Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством, договором, стороной которого является субъект персональных данных.
7.4. В случае, если персональные данные содержатся в документах Администрации, для которых действующими правовыми актами, в том числе в области архивного дела, установлены конкретные сроки хранения, то срок хранения персональных данных приравнивается к установленному сроку хранения документов.
8. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований
8.1. Уничтожением персональных данных являются действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
8.2. При достижении цели обработки персональных данных или при наступлении иных законных оснований Администрация обязана прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Администрации) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Администрации) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Администрацией и субъектом персональных данных либо если Администрация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом N 152-ФЗ или другими федеральными законами.
8.3. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Администрация обязана прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Администрации) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Администрации) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Администрацией и субъектом персональных данных либо если Администрация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом N 152-ФЗ или другими федеральными законами.
8.4. При выявлении неправомерной обработки персональных данных, осуществляемой Администрацией или лицом, действующим по поручению Администрации, Администрация в срок, не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по ее поручению.
В случае если обеспечить правомерность обработки персональных данных невозможно, Администрация в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязана уничтожить такие персональные данные или обеспечить их уничтожение.
8.5. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 8.2 - 8.4 настоящего Порядка, Администрация осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
8.6. Персональные данные не уничтожаются (не обезличиваются) в случаях, если:
1) договором, соглашением, стороной которого, выгодоприобретателем или поручителем является субъект персональных данных, предусмотрен иной порядок обработки персональных данных;
2) законодательством установлены сроки обязательного архивного хранения материальных носителей персональных данных;
3) в иных случаях, прямо предусмотренных законодательством.
8.7. Решение о необходимости уничтожения персональных данных принимает лицо, непосредственно осуществляющее обработку персональных данных.
8.8. Уничтожение персональных данных производится путем физического уничтожения носителя персональных данных или путем удаления персональных данных без физического повреждения носителя персональных данных.
8.9. При необходимости уничтожения части персональных данных, содержащихся на бумажном носителе, с указанного носителя предварительно копируются сведения, не подлежащие уничтожению, затем уничтожается сам носитель.
8.10. Факт уничтожения персональных данных оформляется соответствующим актом.
9. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных
9.1. Процедурами, направленными на выявление и предотвращение нарушений, предусмотренных законодательством Российской Федерации, являются:
1) осуществление внутреннего контроля соответствия обработки персональных данных нормам Федерального закона N 152-ФЗ и принятым в соответствии с ним нормативным правовым актам;
2) ознакомление лиц, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями по защите персональных данных, определенными муниципальными правовыми актами по вопросам обработки персональных данных, а также обучение лиц, осуществляющих обработку персональных данных;
3) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
4) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
5) применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
6) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
7) учет машинных носителей персональных данных;
8) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
9) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
10) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
11) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
12) постоянный контроль над обеспечением уровня защищенности персональных данных.
9.2. При обнаружении нарушений порядка обработки персональных данных обработка персональных данных незамедлительно приостанавливается до выявления причин нарушений и устранения этих причин.