Приложение N 1. Правила обработки персональных данных в администрации города Южно-Сахалинска. Постановление Администрации города Южно-Сахалинска от 21.02.2020 N 489-па "Об обработке персональных данных в администрации города Южно-Сахалинска" (с изменениями и дополнениями) (документ не действует)

Приложение N 1

Утверждены
постановлением администрации
города Южно-Сахалинска
от 21 февраля 2020 г. N 489-па

Правила
обработки персональных данных в администрации города Южно-Сахалинска

1. Общие положения

1.1. Администрации города Южно-Сахалинска (далее - Администрация) является оператором, самостоятельно или совместно с другими лицами осуществляющим обработку персональных данных субъектов персональных данных (далее - персональные данные), а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.2. Обработка персональных данных в Администрации осуществляется в целях осуществления муниципальных функций, предоставления государственных и муниципальных услуг и в связи с реализацией трудовых отношений.

2. Правила обработки персональных данных

2.1. Обработка персональных данных в связи с реализацией Администрацией трудовых отношений осуществляется с письменного согласия субъектов персональных данных, которое действует со дня их поступления на работу и на время ее прохождения, как с использованием средств автоматизации, так и без использования таких средств. Обеспечение защиты персональных данных, содержащихся в личных делах субъектов персональных данных, от неправомерного их использования или утраты осуществляется структурным подразделением отвечающим за кадровую политику.

2.2. Персональные данные и иные сведения, содержащиеся в личных делах субъектов персональных данных, относятся к служебной информации ограниченного распространения (за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - к сведениям, составляющим государственную тайну.

2.3. Обработка персональных данных для предоставления государственных и муниципальных услуг по запросу заявителя в соответствии с п. 4 ст. 7 Федерального закона от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" не требует получения согласия заявителя, как субъекта персональных данных в соответствии с требованиями ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ).

В случае, если запрос заявителя поступил в Администрацию в форме, не позволяющей достоверно идентифицировать личность заявителя как субъекта персональных данных (по электронной почте, путем заполнения формы на официальном сайте администрации города Южно-Сахалинска или аналогичным способом), Администрация информирует такого заявителя о времени и месте, где он может получить результаты обработки персональных данных по предъявлению документа, удостоверяющего его полномочия субъекта персональных данных.

2.4. При обработке Администрацией персональных данных в целях осуществления муниципальных функций, предоставления государственных и муниципальных услуг и в связи с реализацией трудовых отношений лица, уполномоченные на обработку персональных данных (далее - уполномоченные должностные лица), обязаны соблюдать следующие требования:

2.4.1. объем и характер обрабатываемых персональных данных, способы обработки персональных данных должны соответствовать целям обработки персональных данных;

2.4.2. защита персональных данных от неправомерного их использования или уничтожения обеспечивается в порядке, установленном нормативными правовыми актами Российской Федерации;

2.4.3. передача персональных данных не допускается без письменного согласия субъекта персональных данных, за исключением случаев, установленных федеральными законами. В случае, если лицо, обратившееся с запросом, не обладает соответствующими полномочиями на получение персональных данных либо отсутствует письменное согласие субъекта персональных данных на передачу его персональных данных, Администрация вправе отказать в предоставлении персональных данных. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации;

2.4.4. обеспечение конфиденциальности персональных данных обязательно, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных;

2.4.5. хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Указанные сведения подлежат уничтожению по достижении цели обработки или в случае утраты необходимости в их достижении, если иное не установлено законодательством Российской Федерации. Факт уничтожения персональных данных оформляется актом, составленным в произвольной форме и утверждаемым руководителем соответствующего структурного подразделения аппарата или отраслевого (функционального) органа Администрации, осуществляющего обработку персональных данных;

2.4.6. опубликование и распространение персональных данных допускается в случаях, установленных законодательством Российской Федерации.

2.5. В целях обеспечения защиты персональных данных субъекты персональных данных вправе:

2.5.1. получать полную информацию о своих персональных данных и способе обработки этих данных (в том числе автоматизированной);

2.5.2. получать свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, за исключением случаев, предусмотренных Федеральным законом N 152-ФЗ;

2.5.3. требовать внесения необходимых изменений, уничтожения или блокирования персональных данных, которые являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

2.5.4. обжаловать в порядке, установленном законодательством Российской Федерации, действия (бездействие) уполномоченных должностных лиц.

3. Правила обработки персональных данных, осуществляемой без использования средств автоматизации

3.1. Обработка персональных данных без использования средств автоматизации осуществляется как на бумажных носителях, так и в электронном виде на материальных носителях информации.

3.2. Неавтоматизированная обработка персональных данных в электронном виде должна осуществляться на съемных материальных носителях информации.

3.3. При отсутствии технологической возможности осуществления неавтоматизированной обработки персональных данных в электронном виде на съемных материальных носителях информации необходимо принимать организационные и технические меры, исключающие возможность несанкционированного доступа к персональным данным лиц, не допущенных к их обработке.

3.4. При обработке персональных данных без использования средств автоматизации уполномоченными должностными лицами не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.

3.5. Обработка персональных данных на бумажных носителях осуществляется в соответствии с требованиями, установленными постановлением Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

3.6. При разработке и использовании типовых форм документов, необходимых для реализации возложенных на Администрацию полномочий, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

3.6.1. типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, наименование и адрес Администрации, фамилию, имя, отчество и адрес субъекта персональных данных, чьи персональные данные вносятся в указанную типовую форму, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки;

3.6.2. типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения согласия на обработку персональных данных;

3.6.3. типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, чьи персональные данные содержатся в типовой форме, при ознакомлении со своими персональными данными не имел возможности доступа к персональным данным других лиц, содержащихся в указанной типовой форме;

3.6.4. типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

3.7. Уничтожение или обезличивание персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

3.8. Уточнение персональных данных при их обработке без использования средств автоматизации производится путем изготовления нового материального носителя с уточненными персональными данными.

4. Правила обработки персональных данных в информационных системах персональных данных

4.1. Информационные системы персональных данных Администрации входят в состав муниципальной информационной системы "Единая мультисервисная телекоммуникационная сеть администрации города Южно-Сахалинска" (далее - ЕМТС).

4.2. Обязанность по обеспечению защиты информации в ходе эксплуатации аттестованной ЕМТС в соответствии с проектными решениями системы защиты информации ЕМТС и эксплуатационной документации используемой в составе ЕМТС, средств защиты информации, включая управление (администрирование) системой защиты информации ЕМТС осуществляет МКУ "Управление делами администрации города Южно-Сахалинска", как оператор ЕМТС обеспечивающего эксплуатацию аппаратно-технического и программного обеспечения ЕМТС согласно распоряжения Администрации города Южно-Сахалинска от 22.07.19 N 451-р.

4.3. Обработка персональных данных в ЕМТС осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

4.4. Обработка персональных данных в информационных системах осуществляется после завершения работ по созданию системы защиты персональных данных в информационной системе, ее проверки и оценки соответствия информационной системы персональных данных требованиям безопасности информации.

4.5. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные, или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора.

4.6. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.

4.7. Безопасность персональных данных, обрабатываемых с использованием средств автоматизации, достигается путем исключения несанкционированного, в том числе случайного доступа к персональным данным.

4.8. Доступ пользователей к персональным данным в информационных системах персональных данных разрешается после обязательного прохождения процедуры идентификации и аутентификации.

4.9. Самостоятельное подключение средств вычислительной техники, применяемой для хранения, обработки или передачи персональных данных, к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к информационно-телекоммуникационной сети Интернет, не допускается.

4.10. Пользователями информационных систем, администраторами информационной безопасности, должно быть обеспечено:

- своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до первого вице-мэра, руководителя аппарата Администрации;

- недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

- возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- постоянный контроль за обеспечением уровня защищенности персональных данных;

- знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

- учет и соблюдение правил хранения, применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

- при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;

- служебные проверки и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

4.11. В случае выявления нарушений порядка обработки персональных данных уполномоченными должностными лицами принимаются меры по установлению причин таких нарушений и их устранению.

5. Правила допуска и доступа к персональным данным

5.1. Доступ к персональным данным предоставляется:

- уполномоченным должностным лицам, допущенным к обработке персональных данных, в части, касающейся их должностных обязанностей;

- уполномоченным представителям федеральных органов исполнительной власти в установленной сфере деятельности, осуществляющих контрольно-надзорные функции в порядке, установленном законодательством Российской Федерации;

- субъектам персональных данных.

5.2. Фактом ознакомления с разрешением на допуск является подпись уполномоченного должностного лица об ознакомлении со списком должностных лиц, доступ которых к персональным данным необходим для выполнения служебных обязанностей.

5.3. В соответствии с ч. 3 ст. 6 Федерального закона N 152-ФЗ Администрация вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе муниципального контракта, либо на основании нормативно-правового акта Администрации. Лицо, осуществляющее обработку персональных данных по поручению Администрации, обязано соблюдать принципы и правила обработки персональных данных, установленные Федеральным законом N 152-ФЗ.

5.4. В поручении Администрации (договоре, контракте или нормативно-правовом акте) должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Федерального закона N 152-ФЗ.

5.5. Допуск к персональным данным, в том числе содержащимся в информационных системах персональных данных сторонних организаций, деятельность которых не связана с исполнением функций Администрации, регламентируется законодательством и нормативными правовыми актами Российской Федерации, а также контрактами (договорами, соглашениями) Администрации с операторами соответствующих информационных систем персональных данных.

5.6. Доступ к техническим (программно-техническим) средствам информационных систем персональных данных Администрации предоставляется сторонним организациям, выполняющим работы на договорной основе, в порядке, установленном требованиями по защите информации.

5.7. Порядок допуска сторонних организаций и/или их представителей к информационным системам персональных данных определяется в муниципальном контракте на выполнение работ (оказание услуг). Решением о допуске является подписанный в установленном порядке муниципальный контракт на выполнение работ (оказание услуг).

5.8. Доступ к персональным данным сторонних организаций осуществляется на основании письменных запросов или письменных соглашений (договоров) сторон об обмене информацией.

5.9. В письменном запросе (соглашении, договоре) должны быть указаны следующие сведения:

- цель получения информации;

- конкретное наименование информации (состав персональных данных);

- способ доступа (предоставления), а также сведения о регистрации организации-заявителя в уполномоченном органе по защите прав субъектов персональных данных.

5.10. При наличии соглашения со сторонней организацией о допуске к персональным данным (предоставлении информации) доступ к персональным данным осуществляется в порядке, указанном в подписанном соглашении (договоре).

5.11. Доступ к персональным данным, в том числе содержащимся в информационных системах персональных данных сторонних организаций, выполняющих работы на договорной основе, осуществляется на основании подписанного договора на оказание услуг, а также настоящих Правил.

5.12. Запрещается передача электронных копий баз (банков) данных, содержащих персональные данные, любым сторонним организациям, за исключением случаев, предусмотренных законодательством Российской Федерации.