Приложение. Положение об обработке и защите персональных данных работников мэрии города Магадана и руководителей муниципальных подведомственных учреждений мэрии города Магадана. Постановление Мэрии города Магадана от 19.12.2019 N 4234 "Об утверждении Положения об обработке и защите персональных данных работников мэрии города Магадана и руководителей муниципальных подведомственных учреждений мэрии города Магадана" (с изменениями и дополнениями)

Приложение
Утверждено
постановлением мэрии
города Магадана
от 19.12.2019 N 4234

Положение
об обработке и защите персональных данных работников мэрии города Магадана и руководителей муниципальных подведомственных учреждений мэрии города Магадана

1. Общие положения

1.1. Положение об обработке и защите персональных данных работников мэрии города Магадана и руководителей муниципальных подведомственных учреждений мэрии города Магадана (далее - Положение) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных в мэрии города Магадана (далее - Мэрия).

1.2. Субъектами персональных данных (далее - Работники) Мэрии являются:

- муниципальные служащие;

- младший технический персонал;

- работники, исполняющие обязанности по техническому обеспечению деятельности Мэрии;

- руководители муниципальных подведомственных учреждений Мэрии;

- физические лица, с которыми заключены договоры гражданско-правового характера.

1.3. В настоящем Положении используются основные понятия и термины, определенные Федеральными законами от 27.07.2006 N 152-ФЗ "О персональных данных" и от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации".

1.4. Настоящее Положение разработано в соответствии с:

- Трудовым кодексом Российской Федерации;

- Налоговым кодексом Российской Федерации;

- Кодексом Российской Федерации об административных правонарушениях;

- Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";

- Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федеральным законом от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации";

- Федеральным законом от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";

- Федеральным законом от 02.09.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

- Указом Президента Российской Федерации от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";

- постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

- постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

- иными нормативными правовыми актами, регулирующими вопросы обработки и обеспечения безопасности персональных данных, а также руководящими документами ФСТЭК России и ФСБ России.

1.5. Настоящее Положение является обязательным для исполнения всеми работниками Мэрии, производящими обработку персональных данных.

1.6. Общее руководство обработкой персональных данных в Мэрии осуществляет заместитель мэра города Магадана.

1.7. Обработка персональных данных в Мэрии осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных и Положением.

2. Цели и порядок обработки персональных данных работников Мэрии

2.1. Персональные данные работников Мэрии, обрабатываются в целях выполнения требований трудового законодательства Российской Федерации и законодательства о муниципальной службе в Российской Федерации, ведения бухгалтерского и кадрового учета, исполнения требований договоров гражданско-правового характера.

2.2. В целях, указанных в п. 2.1 настоящего Положения, обрабатываются следующие категории персональных данных работников Мэрии:

- фамилия, имя, отчество (в том числе прежние фамилии, имена и (или) отчества, в случае их изменения, сведения о том, когда, где и по какой причине они изменялись);

- число, месяц, год рождения;

- место рождения;

- информация о гражданстве;

- реквизиты документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

- адрес места жительства и места пребывания;

- номера контактных телефонов или сведения о других способах связи;

- данные страхового свидетельства государственного пенсионного страхования;

- идентификационный номер налогоплательщика;

- данные страхового медицинского полиса обязательного медицинского страхования;

- данные о государственной регистрации актов гражданского состояния;

- сведения о семейном положении, членах семьи, близких родственниках;

- сведения о трудовой деятельности;

- сведения о воинском учете и реквизиты документов воинского учета;

- сведения об образовании (когда и какие учебные заведения окончили, номера дипломов), направление подготовки или специальность, квалификация по диплому;

- сведения о дополнительном профессиональном образовании;

- сведения об ученой степени, ученое звание (когда присвоены, номера дипломов, аттестатов);

- информация о владении иностранными языками, степень владения;

- сведения о наличии (отсутствии) у гражданина заболевания, препятствующего поступлению на муниципальную службу или ее прохождению;

- фотографии;

- сведения о прохождении муниципальной службы, а также сведения о прежнем месте работы;

- сведения о пребывании за границей (когда, где, с какой целью);

- информация о классном чине муниципальной службы (дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине государственной гражданской службы Российской Федерации, субъектов Российской Федерации), квалификационном разряде муниципальной службы (квалификационном разряде или классном чине государственной службы (кем и когда присвоены);

- информация о наличии (отсутствии) судимости;

- информация об оформленных допусках к государственной тайне;

- сведения о государственных наградах, иных наградах и знаках отличия;

- сведения об аттестации муниципальных служащих;

- информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения заработной платы;

- сведения о доходах, расходах, об имуществе и обязательствах имущественного характера муниципального служащего, его супруга (супруги) и несовершеннолетних детей;

- номер расчетного счета;

- номер банковской карты;

- иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 2.1 настоящего Положения и о которых субъект персональных данных пожелал сообщить о себе.

2.3. Обработка персональных данных в Мэрии выполняется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных работников, персональные данные которых обрабатываются в Мэрии.

2.4. Обработка персональных данных субъекта персональных данных осуществляется при условии получения письменного согласия, за исключением случаев, когда в соответствии с Федеральным законом "О персональных данных" такое согласие не требуется. Согласие субъекта персональных данных оформляется в письменной форме.

2.5. Обработка персональных данных работников Мэрии осуществляется Управлением кадровой политики и муниципальной службы Мэрии и Управлением финансово-хозяйственного обеспечения Мэрии.

2.6. Обработка персональных данных осуществляется работниками Мэрии, включенными в перечень лиц, имеющих доступ к персональным данным работников Мэрии, утверждаемый распоряжением Мэрии.

2.7. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных работников Мэрии осуществляется путем:

- непосредственного получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, анкета, иные документы, предоставляемые в управление кадровой политики и муниципальной службы Мэрии и управление финансово-хозяйственного обеспечения Мэрии);

- копирования оригиналов документов;

- внесения сведений в учетные формы (на бумажных и электронных носителях);

- формирования персональных данных в ходе кадровой работы;

- формирования и обработки персональных данных в ходе реализации полномочий в сфере противодействия коррупции;

- внесения персональных данных в информационную систему персональных данных "Кадры" (далее - ИСПДн "Кадры" и информационную систему персональных данных "Финансово-экономический отдел" (далее - ИСПДн "Финансово-экономический отдел").

2.8. В случае возникновения необходимости получения персональных данных работников Мэрии у третьей стороны, следует известить об этом работника Мэрии заранее, получить его письменное согласие и сообщить ему о целях, предполагаемых источниках и способах получения персональных данных (за исключением случаев, установленных частью 4 статьи 18 Федерального закона "О персональных данных").

2.9. Запрещается получать, обрабатывать и приобщать к личному делу работника Мэрии персональные данные, не предусмотренные пунктом 2.2 настоящего Положения, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, частной жизни.

2.10. При сборе персональных данных работник Управления кадровой политики и муниципальной службы Мэрии и управления финансово-хозяйственного обеспечения Мэрии, осуществляющий сбор (получение) персональных данных непосредственно от работников Мэрии, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.

2.11. Передача (распространение, предоставление) и использование персональных данных работников Мэрии осуществляется лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации.

3. Порядок обработки персональных данных работников Мэрии в информационных системах персональных данных Мэрии

3.1. Обработка персональных данных в Мэрии осуществляется:

- в ИСПДн "Кадры";

- в ИСПДн "Финансово-экономический отдел".

3.2. ИСПДн "Кадры" содержит персональные данные работников Мэрии, субъектов (заявителей), обратившихся в Мэрию в связи с исполнением муниципальных функций и включает:

- фамилию, имя, отчество (в том числе прежние фамилии, имена и (или) отчества, в случае их изменения);

- число, месяц, год рождения;

- место рождения;

- реквизиты документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

- адрес места жительства и места пребывания;

- номера контактных телефонов или сведения о других способах связи;

- данные страхового свидетельства государственного пенсионного страхования;

- идентификационный номер налогоплательщика;

- данные страхового медицинского полиса обязательного медицинского страхования;

- сведения о семейном положении, составе семьи, близких родственниках;

- сведения о трудовой деятельности;

- сведения об образовании (когда и какие учебные заведения окончили, номера дипломов), направление подготовки или специальность, квалификация по диплому;

- сведения о дополнительном профессиональном образовании;

- сведения об ученой степени, ученое звание (когда присвоены, номера дипломов, аттестатов);

- сведения о прохождении муниципальной службы, а также сведения о прежнем месте работы;

- информацию о классном чине муниципальной службы (дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине государственной гражданской службы Российской Федерации, субъектов Российской Федерации), квалификационном разряде муниципальной службы (квалификационном разряде или классном чине государственной службы (кем и когда присвоены);

- информацию об оформленных допусках к государственной тайне;

- сведения об аттестации муниципальных служащих;

- информацию о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения заработной платы;

- сведения о доходах, расходах, об имуществе и обязательствах имущественного характера муниципального служащего, его супруга (супруги) и несовершеннолетних детей.

3.3. ИСПДн "Финансово-экономический отдел" содержит персональные данные работников Мэрии и физических лиц, являющихся стороной гражданско-правовых договоров, заключаемых Мэрией, и включает:

- фамилию, имя, отчество (в том числе прежние фамилии, имена и (или) отчества, в случае их изменения);

- число, месяц, год рождения;

- место рождения;

- информацию о гражданстве;

- реквизиты документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

- адрес места жительства и места пребывания;

- данные страхового свидетельства государственного пенсионного страхования;

- идентификационный номер налогоплательщика;

- сведения о семейном положении, членах семьи, близких родственниках;

- информацию о классном чине муниципальной службы (дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине государственной гражданской службы Российской Федерации, субъектов Российской Федерации), квалификационном разряде муниципальной службы (квалификационном разряде или классном чине государственной службы (кем и когда присвоены);

- информацию об оформленных допусках к государственной тайне;

- информацию о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения заработной платы;

- номер расчетного счета.

3.4. Уровень защищенности персональных данных в ИСПДн Мэрии, указанных в пунктах 3.2 и 3.3 настоящего Положения, осуществляется в порядке, установленном законодательством Российской Федерации.

3.5. Работникам Мэрии, имеющим право осуществлять обработку персональных данных в ИСПДн Мэрии, предоставляется уникальный логин и пароль для доступа к соответствующей ИСПДн.

Информация может вноситься как в автоматическом режиме, при получении персональных данных из государственных информационных систем, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

3.6. Обеспечение безопасности персональных данных, обрабатываемых в ИСПДн Мэрии, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

- определение угроз безопасности персональных данных при их обработке в ИСПДн Мэрии;

- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн Мэрии, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

- учет машинных носителей персональных данных;

- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

- восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

- установление правил доступа к персональным данным, обрабатываемым в ИСПДн Мэрии, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн Мэрии;

- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности ИСПДн.

3.7. Отдел защиты информации и специальной документации Мэрии (далее - ОЗИСД Мэрии), ответственный за защиту информации в Мэрии, организует и контролирует ведение учета материальных носителей персональных данных.

3.8. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений Мэрии.

3.8. ОЗИСД Мэрии и ответственный за организацию обработки персональных данных в ИСПДн Мэрии обеспечивают:

- своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных в Мэрии;

- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

- возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- постоянный контроль за обеспечением уровня защищенности персональных данных;

- знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

- учет применяемых средств защиты, эксплуатационной и технической документации к ним, носителей персональных данных;

- при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям ИСПДн до выявления причин нарушений и устранения этих причин;

- проверку и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных последствий подобных нарушений.

3.9. Обмен персональными данными при их обработке в ИСПДн Мэрии осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.

3.10. Доступ работников Мэрии к персональным данным, находящимся в ИСПДн Мэрии предусматривает обязательное прохождение процедуры идентификации и аутентификации.

3.11. В случае выявления нарушений порядка обработки персональных данных в ИСПДн Мэрии уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

4. Процедуры, направленные на выявление и предотвращение нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных

4.1. К процедурам, направленным на выявление и предотвращение нарушений, предусмотренных законодательством в области персональных данных, и устранение таких последствий, относятся:

- осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;

- оценка вреда, который может быть причинен субъектам персональных данных;

- ознакомление работников, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации в сфере персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение по соответствующим дополнительным профессиональным программам;

- осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленными законодательством Российской Федерации в сфере персональных данных.

4.2. Обеспечение безопасности персональных данных в Мэрии достигается с помощью мер, определенных статьей 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

5. Сроки обработки и хранения персональных данных

5.1. Сроки обработки и хранения персональных данных субъектов персональных данных определяются в соответствии с Федеральным законом от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", приказом Министерства культуры Российской Федерации от 25.08.2010 N 558 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения", иными нормативными правовыми актами Российской Федерации, Магаданской области, локальными актами Мэрии.

5.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5.3. Персональные данные, полученные Мэрией на бумажном и (или) электронном носителях в связи с осуществлением своих полномочий, хранятся в структурных подразделениях Мэрии, в которых сотрудники осуществляют обработку персональных данных.

5.4. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

5.5. Необходимо обеспечить раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в целях, определенных настоящим Положением.

5.6. Сроки хранения персональных данных, внесенных в информационные системы персональных данных Мэрии, должен соответствовать сроку хранения бумажных оригиналов.

6. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

6.1. Ответственными за организацию обработки персональных данных в структурных подразделениях Мэрии осуществляется систематический контроль и выделение документов, содержащих персональные данные с истекшими сроками хранения, подлежащих уничтожению.

6.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании Центральной экспертной комиссии Мэрии, состав которой утверждается локальным актом Мэрии.

По итогам заседания Центральной экспертной комиссии составляются протокол и акт о выделении к уничтожению документов, опись уничтожаемых документов, проверяется их комплектность, акт подписывается председателем и членами Центральной экспертной комиссии Мэрии и утверждается главой муниципального образования, мэром города Магадана.

6.3. Структурное подразделение Мэрии, ответственное за ведение архивного делопроизводства, организует работу по уничтожению документов, содержащих персональные данные, на бумажных носителях.

6.4. Уничтожения по окончании срока обработки персональных данных на электронных носителях производится структурным подразделением Мэрии, ответственным за защиту информации, путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удаление с электронных носителей методами и средствами гарантированного удаления остаточной информации.

6.5. По итогам уничтожения дел (на бумажном и (или) электронном носителях) в акт о выделении к уничтожению документов вносится соответствующая запись.

7. Лицо, ответственное за организацию обработки персональных данных в Мэрии

7.1. Ответственный за организацию обработки персональных данных в Мэрии назначается распоряжением мэрии города Магадана.

7.2. Ответственный за организацию обработки персональных данных в Мэрии в своей работе руководствуется законодательством Российской Федерации в области персональных данных, настоящим Положением и Инструкцией ответственного за организацию обработки персональных данных, утверждаемой распоряжением мэрии города Магадана.

7.3. Ответственный за организацию обработки персональных данных Мэрии обязан:

- организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в Мэрии от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

- осуществлять внутренний контроль за соблюдением работниками Мэрии требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;

- доводить до сведения работников Мэрии положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений в Мэрии;

- в случае нарушения в Мэрии требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

7.4. Ответственный за организацию обработки персональных данных Мэрии вправе:

7.4.1. Иметь доступ к информации, касающейся обработки персональных данных в Мэрии и включающей:

- цели обработки персональных данных;

- категории обрабатываемых персональных данных;

- категории субъектов, персональные данные которых обрабатываются;

- правовые основания обработки персональных данных;

- перечень действия с персональными данными, общее описание используемых в Мэрии способов обработки персональных данных;

- описание мер, предусмотренных статьями 18.1 и 19 Федерального закона "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

- дату начала обработки персональных данных;

- срок или условия прекращения обработки персональных данных;

- сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

- сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

7.4.2. Привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в Мэрии, иных работников Мэрии с возложением на них соответствующих обязанностей и закреплением ответственности.

7.5. Ответственный за организацию обработки персональных данных в Мэрии несет ответственность за ненадлежащее выполнение возложенных функций по организации обработки персональных данных в Мэрии в соответствии с положениями законодательства Российской Федерации в области персональных данных.