Приложение. Политика в области обработки и обеспечения безопасности персональных данных в информационных системах персональных данных администрации Викуловского муниципального района. Распоряжение Администрации Викуловского муниципального района Тюменской области от 20.07.2020 N 484-р "Об утверждении Политики в области обработки и обеспечения безопасности персональных данных в информационных системах персональных данных администрации Викуловского муниципального района"

Приложение
к распоряжению администрации района
от 20 июля 2020 N 483-р

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду "от 20 июля 2020 N 484-р"

Политика
в области обработки и обеспечения безопасности персональных данных в информационных системах персональных данных администрации Викуловского муниципального района

Настоящий документ (далее - Политика) определяет высокоуровневую политику в отношении обработки персональных данных субъектов и содержит сведения о реализуемых требованиях к защите персональных данных в администрации Викуловского муниципального района (далее - Администрация).

Настоящая Политика разработана на основе действующих правовых и нормативных документов по защите конфиденциальной информации и персональных данных.

1. Под персональными данными в настоящем документе понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

2. Настоящая Политика утверждается руководителем Администрации и подлежит пересмотру по мере необходимости.

1. Общие положения

Согласно пункту 2 статьи 18.1 Федерального закона от 25.07.2006 N 152-ФЗ "О персональных данных" администрация Викуловского муниципального района, как оператор персональных данных, обязана опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду "от 27.07.2006 N 152-ФЗ"

Администрация в рамках выполнения своей деятельности осуществляет обработку персональных данных и, в соответствии с действующим законодательством Российской Федерации, является оператором персональных данных с соответствующими правами и обязанностями, определенными Федеральным законом от 27.07.2006 N 152 "О персональных данных" и иными нормативными правовыми актами Российской Федерации (далее - РФ). Состав обрабатываемых данных, категории субъектов, чьи персональные данные обрабатываются Администрацией, цели и правовые основания их обработки определены для каждой информационной системы администрации Викуловского муниципального района.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду "от 27.07.2006 N 152-ФЗ"

2. Принципы, правила и цели обработки персональных данных

2.1. Обработка персональных данных осуществляется Администрацией с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных":

1) обработка персональных данных осуществляется на законной и справедливой основе;

2) обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;

3) не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

4) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

5) обработке подлежат только персональные данные, которые отвечают целям их обработки;

6) содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;

7) обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки;

8) Администрация принимает все необходимые меры:

а) по предотвращению разглашения и нарушения конфиденциальности персональных данных;

б) по уничтожению или уточнению неполных или неточных данных;

9) хранение персональных данных в Администрации осуществляется в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом;

10) обрабатываемые персональные данные уничтожаются или обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.

2.2. Обработка персональных данных осуществляется Администрацией только в случаях:

1) наличия:

а) согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством РФ;

б) Соглашения, по которому Администрация обязуется осуществлять обработку персональных данных субъектов по поручению оператора;

2) необходимости:

а) достижения целей, предусмотренных нормативно-правовыми актами Российской Федерации и трудовым законодательством, для осуществления и выполнения возложенных законодательством РФ на Администрацию функций, полномочий и обязанностей;

б) осуществления прав и законных интересов Администрации или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

3) в случае, если персональные данные являются общедоступными;

4) обязательного раскрытия и подлежащих к опубликованию персональных данных в соответствии с законодательством РФ;

5) организации пропускного режима на территории Администрации.

2.3. Согласно требованиям Федерального закона от 27.07.2006 N 152 "О персональных данных" Администрация в установленном порядке должна пройти процедуру регистрации как оператор персональных данных. В открытом и общедоступном реестре операторов персональных данных, размещенном на официальном сайте Роскомнадзора как уполномоченного органа по защите прав и свобод субъектов персональных данных, содержится следующая актуальная информация:

а) адрес Администрации;

б) цели обработки персональных данных;

в) категории персональных данных;

г) категории субъектов, персональные данные которых обрабатываются;

д) правовое основание обработки персональных данных;

е) перечень действий с персональными данными, общее описание используемых Администрацией способов обработки персональных данных;

ж) фамилия, имя, отчество физического лица, ответственного в Администрации за организацию обработки персональных данных, номера его контактных телефонов, почтовые адреса и адреса электронной почты;

з) описание мер, которые администрация Викуловского муниципального района обязуется осуществлять при обработке персональных данных по обеспечению безопасности персональных данных;

и) дата начала обработки персональных данных;

к) срок или условие прекращения обработки персональных данных;

л) сведения о наличии трансграничной передачи персональных данных в процессе их обработки.

Администрация обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ или договором с субъектом.

3. Меры, направленные на обеспечение выполнения Администрацией обязанностей, предусмотренных законодательством РФ

Администрация осуществляет следующие организационно-технические меры для защиты персональных данных:

1) назначение лица, ответственного за организацию обработки персональных данных;

2) утверждение документов, определяющих политику Администрации в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона N 152 "О персональных данных", включая:

а) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Администрации;

б) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Администрации, необходимых для выполнения требований к защите персональных данных;

в) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных Администрации;

5) учет машинных носителей персональных данных;

6) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

7) установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных администрации Викуловского муниципального района, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных Администрации;

8) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных Администрации;

9) осуществление внутреннего контроля соответствия обработки персональных данных законодательству РФ и принятыми в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политики Администрации в отношении обработки персональных данных, локальным актам Администрации;

10) ознакомление сотрудников Администрации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Администрации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;

11) доступ к содержанию электронного журнала сообщений возможен исключительно для администратора информационной безопасности или структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационных системах Администрации.

4. Право субъекта персональных данных на доступ к его персональным данным

4.1. Субъект персональных данных имеет право на получение сведений, указанных в пункте 4.5 настоящего раздела, за исключением случаев, предусмотренных законодательством РФ. Субъект персональных данных вправе запрашивать у представителей Администрации уточнения его персональных данных, информацию о их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

4.2. Сведения, указанные в пункте 4.5 настоящего раздела, предоставляются:

а) представителями Администрации.

б) субъекту персональных данных или его представителю представителями Администрации при получении запроса субъекта персональных данных или его представителя в письменной форме.

4.3. В случае, если сведения, указанные в пункте 4.5 настоящего раздела, уже были предоставлены для ознакомления субъекту персональных данных по его запросу, то субъект персональных данных вправе обратиться повторно к представителям Администрации в целях получения сведений, указанных в пункте 4.5 настоящего раздела, не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса.

4.4. Субъект персональных данных вправе обратиться повторно к представителю Администрации в целях получения сведений, указанных в пункте 4.5 настоящего раздела, до истечения срока, указанного в пункте 4.3 настоящего раздела, в случае, если такие сведения не были предоставлены в полном объеме по результатам первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.

4.5. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных Администрации;

2) правовое основание и цели обработки персональных данных;

3) применяемые Администрацией способы обработки персональных данных;

4) наименование и место нахождения Администрации, сведения о лицах (за исключением сотрудников Администрации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Администрацией или на основании законодательства РФ;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством РФ;

8) информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;

9) Фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Администрации.