Приложение. Порядок обработки персональных данных субъектов персональных данных в информационных системах, используемых в Пермской городской Думе. Распоряжение Пермской городской Думы от 15.07.2020 N 140р-2 "Об утверждении Порядка обработки персональных данных субъектов персональных данных в информационных системах, используемых в Пермской городской Думе" (с изменениями и дополнениями)

Приложение
к распоряжению
председателя
Пермской городской Думы
от 15 июля 2020 г. N 140р-2

Порядок
обработки персональных данных субъектов персональных данных в информационных системах, используемых в Пермской городской Думе

I. Общие положения

1.1. Настоящий Порядок обработки персональных данных субъектов персональных данных в информационных системах, используемых в Пермской городской Думе, (далее - Порядок) разработан в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, федеральными законами от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ), от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации", постановлениями Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (далее - Постановление N 1119), от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", иными правовыми актами о муниципальной службе.

1.2. Целью разработки настоящего Порядка является определение политики Пермской городской Думы (далее - Дума) в отношении обработки персональных данных субъектов персональных данных в информационных системах, используемых в Думе.

1.3. Понятия, используемые в настоящем Порядке: персональные данные, обработка персональных данных, автоматизированная обработка персональных данных, распространение персональных данных, предоставление персональных данных, уничтожение персональных данных, обезличивание персональных данных, информационная система персональных данных, - употребляются в значениях, установленных Федеральным законом N 152-ФЗ.

II. Организация обработки персональных данных

2.1. Обработка персональных данных в Думе осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом N 152-ФЗ.

2.2. В целях предотвращения и выявления нарушений требований законодательства Российской Федерации, касающихся персональных данных, руководитель структурного подразделения аппарата Думы:

2.2.1 утверждает перечень персональных данных, обрабатываемых в структурном подразделении аппарата Думы, с указанием информационных систем, по форме согласно приложению 1 к настоящему Порядку;

2.2.2 определяет места хранения для каждой категории обрабатываемых без использования средств автоматизации персональных данных (материальных носителей).

2.3. Функции по обработке персональных данных возлагаются на уполномоченных лиц структурных подразделений аппарата Думы в рамках, предусмотренных положением о соответствующем структурном подразделении аппарата Думы.

2.4. Председатель Думы по сформированным предложениям руководителей структурных подразделений аппарата Думы, согласованным с руководителем аппарата Думы, соответствующими правовыми актами:

2.4.1 утверждает перечень должностей уполномоченных лиц из числа муниципальных служащих структурного подразделения аппарата Думы, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

2.4.2 назначает из числа муниципальных служащих структурного подразделения аппарата Думы ответственного за организацию обработки персональных данных;

2.4.3 назначает из числа муниципальных служащих структурного подразделения аппарата Думы уполномоченных лиц, осуществляющих обработку персональных данных в информационных системах персональных данных Думы (далее - ИСПДн, пользователь ИСПДн).

2.5. На уполномоченных лиц, ответственных за организацию обработки персональных данных, возлагаются обязанности, установленные частью 4 статьи 22.1 Федерального закона N 152-ФЗ.

2.6. Председатель Думы по сформированным предложениям руководителей структурных подразделений аппарата Думы для разграничения полномочий пользователей ИСПДн по выполнению действий с персональными данными, обрабатываемыми в ИСПДн, утверждает разрешительную систему допуска пользователей ИСПДн к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам (далее - Разрешительная система).

2.7. Пользователи ИСПДн, имеющие право на выполнение в ИСПДн действий по вводу, изменению, удалению персональных данных, несут ответственность за полноту, точность и актуальность персональных данных, обрабатываемых в данной ИСПДн.

2.8. Пользователи ИСПДн при получении персональных данных от субъекта персональных данных в установленных законодательством случаях обязаны:

получать согласие субъекта персональных данных на обработку его персональных данных в письменном виде по форме согласно приложению 2 к настоящему Положению либо в любой другой форме, включающей установленные Федеральным законом N 152-ФЗ сведения и позволяющей подтвердить факт получения согласия;

разъяснять субъекту персональных данных юридические последствия отказа предоставить свои персональные данные по форме согласно приложению 3 к настоящему Положению.

2.9. Срок хранения документов (в том числе в электронном виде), содержащих персональные данные, устанавливается на основании Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденного Приказом Федерального архивного агентства от 20 декабря 2019 г. N 236.

2.10. По истечении установленного срока хранения уничтожение электронных носителей персональных данных, утративших свое практическое значение и не имеющих исторической ценности, производится по акту в порядке, установленном Инструкцией по организации делопроизводства в Пермской городской Думе, утвержденной Постановлением председателя Думы от 16.05.2019 N 3-1 (далее - Инструкция).

2.11. Документы, базы данных, содержащие персональные данные, имеющие постоянный срок хранения, передаются на архивное хранение по акту в порядке, установленном Инструкцией.

III. Организация защиты персональных данных

3.1. Руководитель аппарата Думы в пределах своих полномочий организует защиту персональных данных в соответствии с законодательством Российской Федерации о персональных данных, настоящим Положением, иными нормативными правовыми актами Думы.

3.2. Функции по координации работы по обеспечению безопасности персональных данных при их обработке, включая разработку нормативно-методических документов в этой сфере, выполняет организационное управление аппарата Думы в соответствии с настоящим Порядком и Положением об организационном управлении аппарата Пермской городской Думы, утвержденным распоряжением председателя Думы от 26.02.2020 N 47р-1.

3.3. Уполномоченные лица, ответственные за организацию обработки персональных данных, контролируют соблюдение требований законодательства и выполнение мер по безопасности персональных данных пользователями ИСПДн в структурном подразделении аппарата Думы и в случае выявления нарушения информируют об этом руководителя соответствующего структурного подразделения аппарата Думы.

3.4. Руководитель аппарата Думы организует мероприятия по устранению выявленных нарушений и исключению предпосылок для дальнейшего возникновения аналогичных нарушений.

IV. Организация защиты персональных данных при их обработке в информационных системах персональных данных

4.1. Обеспечение защиты персональных данных при их обработке в ИСПДн осуществляется согласно требованиям, установленным Постановлением N 1119, и в соответствии с Положением об обработке и защите персональных данных в Пермской городской Думе, утвержденным Постановлением председателя Думы от 05.11.2019 N 15-1 (далее - Положение N 15-1).

4.2. Для проведения мероприятий по обеспечению защиты персональных данных при их обработке в ИСПДн отдел по вопросам муниципальной службы и кадров аппарата Думы ведет перечень ИСПДн. Перечень ИСПДн утверждается председателем Думы.

В Перечень ИСПДн включаются все информационные системы, созданные в структурных подразделениях Думы, для ведения автоматизированной обработки персональных данных.

Ввод в эксплуатацию, прекращение эксплуатации ИСПДн осуществляются на основании распоряжения председателя Думы. Проект распоряжения подготавливается соответствующим структурным подразделением аппарата Думы, согласовывается организационным управлением аппарата Думы.

Изменения в Перечень ИСПДн вносятся отделом по вопросам муниципальной службы и кадров аппарата Думы на основании изданного распоряжения председателя Думы о вводе в эксплуатацию (прекращении эксплуатации) ИСПДн.

4.3. Организационное управление аппарата Думы в рамках проведения мероприятий по разработке и осуществлению работ по обеспечению безопасности персональных данных при их обработке в информационной системе:

обеспечивает размещение ИСПДн структурных подразделений аппарата Думы на серверном оборудовании, оснащенном сертифицированными средствами защиты персональных данных, в центральном серверном помещении администрации города Перми;

взаимодействует с управлением информационных технологий администрации города Перми по вопросам обеспечения надежного функционирования телекоммуникационного оборудования, каналов передачи данных;

обеспечивает надежное функционирование серверного оборудования, средств и систем защиты персональных данных, обрабатываемых в ИСПДн, установленных в центральном серверном помещении администрации города Перми;

планирует и обеспечивает закупку, установку, обслуживание и правильное функционирование средств и систем защиты персональных данных, обрабатываемых в ИСПДн, установленных на серверном оборудовании в центральном серверном помещении администрации города Перми;

планирует и обеспечивает проведение мероприятий, направленных на подтверждение эффективности комплекса используемых мер и средств защиты персональных данных при их обработке в ИСПДн.

4.4. Для проведения мероприятий по обеспечению безопасности персональных данных при их обработке в ИСПДн председатель Думы правовым актом назначает уполномоченное лицо, ответственное за обеспечение безопасности персональных данных при их обработке в ИСПДн.

4.5. Уполномоченное лицо, назначенное ответственным за обеспечение безопасности персональных данных при их обработке в ИСПДн, участвует в мероприятиях по разработке и осуществлению работ по обеспечению безопасности персональных данных при их обработке в ИСПДн, проводимых организационным управлением аппарата Думы, в том числе:

участвует в определении класса ИСПДн;

представляет в организационное управление аппарата Думы сведения об используемых технических и программных средствах, применяемых для обработки персональных данных, в том числе для защиты персональных данных;

участвует в процессе установки средств и систем защиты персональных данных;

контролирует правильность использования муниципальными служащими соответствующего структурного подразделения аппарата Думы установленных средств и систем защиты, а также функционирование этих средств и систем;

информирует руководителя аппарата Думы, руководителей структурных подразделений аппарата Думы и организационное управление аппарата Думы о несанкционированных действиях, сбоях работы средств и систем защиты информации;

прекращает обработку пользователями ИСПДн персональных данных в ИСПДн при обнаружении несанкционированных действий пользователей ИСПДн, нарушениях функционирования средств и систем защиты персональных данных до устранения выявленных нарушений.

V. Обязанности и ответственность муниципальных служащих аппарата Думы, имеющих доступ к персональным данным, обрабатываемым в ИСПДн

5.1. Муниципальные служащие аппарата Думы, имеющие доступ к персональным данным, обрабатываемым в Думе, обязаны:

соблюдать требования и меры безопасности, установленные законодательством Российской Федерации о персональных данных, настоящим Порядком, Положением N 15-1, иными нормативными правовыми актами Думы, актами структурного подразделения аппарата Думы;

знать свои права и обязанности в отношении обработки персональных данных;

не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством;

не допускать нарушение прав субъектов персональных данных, установленных федеральным законодательством;

проходить обучение по вопросам обеспечения безопасности при обработке персональных данных;

подписывать и соблюдать обязательство муниципального служащего аппарата Думы, непосредственно осуществляющего обработку (имеющего доступ) персональных данных, о соблюдении конфиденциальности и прекращении обработки персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, в случае расторжения с ним трудового договора по форме согласно приложению 4 к настоящему Положению.

5.2. Пользователи ИСПДн, назначенные в соответствии с пунктом 2.4 настоящего Порядка, при обработке персональных данных в ИСПДн обязаны:

осуществлять вход в ИСПДн только под своей учетной записью;

осуществлять действия с персональными данными (запись, корректировку, распечатку, удаление), обрабатываемыми в ИСПДн, в соответствии с присвоенными им правами согласно Разрешительной системе;

в случае отказа ИСПДн в идентификации пользователя либо не подтверждения личного пароля немедленно обратиться к уполномоченному лицу, назначенному ответственным за обеспечение безопасности персональных данных при их обработке в ИСПДн;

не разглашать информацию о присвоенном имени учетной записи и пароле для входа в ИСПДн посторонним лицам, в том числе другим муниципальным служащим аппарата Думы;

при работе со съемными носителями информации осуществлять их проверку на наличие программных вирусов и вредоносных программ с использованием штатных средств антивирусной защиты каждый раз перед началом работы с ними.

5.3. Муниципальные служащие аппарата Думы, обрабатывающие персональные данные в Думе, виновные в нарушении требований, установленных законодательством Российской Федерации о персональных данных, правовыми актами Думы, несут ответственность в соответствии с действующим законодательством.

VI. Заключительные положения

Защита персональных данных, обрабатываемых в Думе, от неправомерного использования или утраты обеспечивается за счет бюджета города Перми в установленном порядке.