Приложение 1. Положение о защите персональных данных, обрабатываемых в информационных системах персональных данных Администрации муниципального образования - Сараевский муниципальный район Рязанской области. Постановление Администрации муниципального образования - Сараевский муниципальный район Рязанской области от 28.01.2020 N 64 "Об утверждении положений о защите персональных данных в администрации муниципального образования - Сараевский муниципальный район Рязанской области"

Приложение 1
К постановлению
администрации
муниципального образования -
Сараевский муниципальный район
Рязанской области
N 64 от 28.01.2020 года

Положение
о защите персональных данных, обрабатываемых в информационных системах персональных данных Администрации муниципального образования - Сараевский муниципальный район Рязанской области

1. Общие положения

1.1. Настоящее Положение о защите персональных данных (далее - Положение) определяет порядок получения, хранения, комбинирования, передачи и любого другого использования персональных данных, обрабатываемых в информационных системах персональных данных (далее - ИСПДн) Администрации Сараевского муниципального района (далее - Организация) в соответствии с законодательством Российской Федерации.

1.2. Настоящее Положение разработано в соответствии с:

- Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

- Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Перечнем сведений конфиденциального характера, утвержденным Указом Президента Российской Федерации от 06 марта 1997 г. N 188 (с изменениями и дополнениями).

Для целей настоящего Положения используются следующие основные понятия:

Персональные данные - любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределённому кругу лиц.

Использование персональных данных - действия с персональными данными, совершаемые работниками Администрации Сараевского муниципального района в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Защита персональных данных - деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации о конкретном субъекте персональных данных.

2. Сбор, обработка и защита персональных данных

2.1. Персональные данные относятся к конфиденциальной информации, порядок работы с ними регламентирован Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и осуществляется с соблюдением строго определенных правил и условий.

2.2. В целях обеспечения прав и свобод человека и гражданина Организация и ее представители при обработке персональных данных обязаны соблюдать следующие требования:

2.2.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.

2.2.2. При определении объема и содержания, обрабатываемых персональных данных, Организация должна руководствоваться Конституцией Российской Федерации, Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и иными федеральными законами.

2.2.3. Все персональные данные следует получать лично у субъекта ПДн. Если персональные данные возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Организация должна сообщить субъекту ПДн о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных и последствиях отказа субъекта ПДн дать письменное согласие на их получение.

2.2.4. Организация не имеет права получать и обрабатывать персональные данные субъекта ПДн о его политических, религиозных и иных убеждениях и частной жизни.

2.2.5. Организация не имеет права получать и обрабатывать персональные данные субъекта ПДн о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.

2.2.6. При принятии решений, затрагивающих интересы субъекта ПДн, Организация не имеет права основываться на персональных данных субъекта ПДн, полученных исключительно в результате их автоматизированной обработки или электронно.

2.3. Запрещается требовать от лица, предоставляющего персональные данные, документы помимо предусмотренных федеральными законами Российской Федерации, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.

2.4. Лица, получающие персональные данные субъекта ПДн, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными субъектов в порядке, установленном федеральными законами Российской Федерации.

2.5. Защита персональных данных субъекта ПДн от неправомерного их использования или утраты должна быть обеспечена Организацией за счет ее средств в порядке, установленном федеральными законами Российской Федерации.

2.6. Субъекты ПДн не должны отказываться от прав на сохранение и защиту своих персональных данных.

2.7. Организация, субъекты ПДн и их представители должны совместно вырабатывать меры защиты персональных данных субъектов ПДн.

3. Хранение персональных данных

3.1. Конкретные обязанности по хранению сведений о субъектах ПДн, заполнению, хранению и выдаче документов, отражающих персональные данные, возлагаются на работников Администрации Сараевского муниципального района и закрепляются в должностных инструкциях.

3.2. Информация, содержащая персональные данные субъекта ПДн, может также обрабатываться с использованием автоматизированных систем обработки данных. В этом случае должны выполняться требования и рекомендации нормативно-методических документов уполномоченных регулирующих органов Российской Федерации по обеспечению защиты персональных данных в информационных системах персональных данных, обрабатываемых с использованием средств автоматизации. Съемные электронные носители, на которых хранятся персональные данные субъектов ПДн, должны быть отмаркированы и учтены в соответствующем журнале.

3.3. Организация обеспечивает ограничение доступа к персональным данным субъектов ПДн лиц, не уполномоченных законодательством Российской Федерации для получения соответствующих сведений.

3.4. Доступ к персональным данным субъектов ПДн без специального разрешения имеют работники, указанные в Списке работников, имеющих доступ к персональным данным субъектов ПДн без специального разрешения (Приложение 1).

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. В тексте настоящего постановления приложение 1 отсутствует

3.5. При получении сведений, составляющих персональные данные субъекта ПДн, указанные лица имеют право получать только те персональные данные субъекта ПДн, которые необходимы для выполнения конкретных функций, заданий.

3.6. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.

3.7. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

3.8. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки.

3.8. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

3.9. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

3.10. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

3.11. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или о