Распоряжение Администрации города Перми от 20.10.2020 N 126 "О внесении изменений в Положение об обработке и организации защиты персональных данных в администрации города Перми и Порядок организации мероприятий по защите персональных данных, осуществляемых при их обработке в информационных системах персональных данных в администрации города Перми, утвержденные распоряжением администрации города Перми от 28.11.2011 N 194-р"

В целях актуализации правовых актов администрации города Перми:

1. Утвердить прилагаемые изменения в Положение об обработке и организации защиты персональных данных в администрации города Перми, утвержденное распоряжением администрации города Перми от 28 ноября 2011 г. N 194-р "Об утверждении Положения об обработке и организации защиты персональных данных в администрации города Перми и Порядка организации мероприятий по защите персональных данных, осуществляемых при их обработке в информационных системах персональных данных в администрации города Перми" (в ред. от 29.02.2012 N 19, от 12.05.2012 N 47, от 21.11.2012 N 128, от 24.09.2013 N 146, от 08.05.2015 N 98, от 16.12.2016 N 169).

2. Внести в Порядок организации мероприятий по защите персональных данных, осуществляемых при их обработке в информационных системах персональных данных в администрации города Перми, утвержденное распоряжением администрации города Перми от 28 ноября 2011 г. N 194-р "Об утверждении Положения об обработке и организации защиты персональных данных в администрации города Перми и Порядка организации мероприятий по защите персональных данных, осуществляемых при их обработке в информационных системах персональных данных в администрации города Перми" (в ред. от 29.02.2012 N 19, от 12.05.2012 N 47, от 21.11.2012 N 128, от 24.09.2013 N 146, от 08.05.2015 N 98, от 16.12.2016 N 169), следующие изменения:

2.1. в графе 4 строки 1 слова "функциональных (территориальных)" заменить словами "функциональных, территориальных";

2.2. строку 2 изложить в следующей редакции:

2

Оформление правового основания обработки персональных данных, в том числе: издание правового акта о вводе в эксплуатацию информационной системы персональных данных, включение информационной системы персональных данных в Реестр информационных систем администрации города Перми

при создании информационной системы персональных данных

руководители функциональных, территориальных органов, начальник управления информационных технологий администрации города Перми

2.3. в графе 4 строки 3 слова "функциональных (территориальных)" заменить словами "функциональных, территориальных";

2.4. графу 4 строки 4 изложить в следующей редакции:

"руководители функциональных, территориальных органов, начальник управления информационных технологий администрации города Перми";

2.5. в графе 4 строки 5 слова "функциональных (территориальных)" заменить словами "функциональных, территориальных";

2.6. в графе 4 строки 6 слова "функциональных (территориальных)" заменить словами "функциональных, территориальных";

2.7. в графе 4 строки 7 слова "функциональных (территориальных)" заменить словами "функциональных, территориальных";

2.8. в графе 4 строки 8 слова "функциональных (территориальных)" заменить словами "функциональных, территориальных";

2.9. в графе 4 строки 9 слова "функциональных (территориальных)" заменить словами "функциональных, территориальных";

2.10. графу 4 строки 10 изложить в следующей редакции:

"руководители функциональных, территориальных органов, начальник управления информационных технологий администрации города Перми";

2.11. графу 4 строки 11 изложить в следующей редакции:

"руководители функциональных, территориальных органов, функциональных подразделений администрации города Перми";

2.12. строку 12 изложить в следующей редакции:

12

Ознакомление муниципальных служащих и работников, занимающих должности, не отнесенные к должностям муниципальной службы, функционального, территориального органа, функционального подразделения администрации города Перми, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, правовыми актами города Перми по вопросам обработки персональных данных, и (или) обучение указанных служащих и работников

при назначении на должность, замещение которой предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным; при изменении действующего законодательства, нормативных правовых актов по вопросам обработки персональных данных, требований к защите персональных данных

руководители функциональных, территориальных органов, начальник управления информационных технологий администрации города Перми

2.13. строку 13 признать утратившей силу;

2.14. графу 4 строки 14 изложить в следующей редакции:

"руководители функциональных, территориальных органов, функциональных подразделений, начальник управления информационных технологий администрации города Перми";

2.15. строку 15 изложить в следующей редакции:

15

Планирование денежных средств на проведение мероприятий по защите информации, в том числе приобретение технических и программных средств защиты информации, создание и поддержание в нормативном состоянии систем защиты информации

ежегодно в соответствии с Методикой планирования бюджетных ассигнований на очередной финансовый год и плановый период

руководители функциональных, территориальных органов, начальник управления информационных технологий администрации города Перми

3. Настоящее распоряжение вступает в силу со дня официального опубликования в печатном средстве массовой информации "Официальный бюллетень органов местного самоуправления муниципального образования город Пермь".

4. Управлению по общим вопросам администрации города Перми обеспечить опубликование настоящего распоряжения в печатном средстве массовой информации "Официальный бюллетень органов местного самоуправления муниципального образования город Пермь".

5. Информационно-аналитическому управлению администрации города Перми обеспечить опубликование (обнародование) настоящего распоряжения на официальном сайте муниципального образования город Пермь в информационно-телекоммуникационной сети Интернет.

6. Контроль за исполнением настоящего распоряжения возложить на руководителя аппарата администрации города Перми Ивашкину С.И.

Глава города Перми

Д.И. Самойлов

Изменения
в Положение об обработке и организации защиты персональных данных в администрации города Перми, утвержденное распоряжением администрации города Перми от 28 ноября 2011 г. N 194-р "Об утверждении Положения об обработке и организации защиты персональных данных в администрации города Перми и Порядка организации мероприятий по защите персональных данных, осуществляемых при их обработке в информационных системах персональных данных в администрации города Перми"
(утв. распоряжением администрации города Перми от 20 октября 2020 г. N 126)

1. Пункт 1.2 изложить в следующей редакции:

"1.2. Настоящим Положением определяется политика администрации города Перми в отношении обработки и организации защиты персональных данных в администрации города Перми.".

2. В пункте 1.3 слова "(далее - Федеральный закон N 152-ФЗ)" заменить словами "(далее - Федеральный закон "О персональных данных")".

3. Разделы 2 - 5 изложить в следующей редакции:

"II. Организация обработки персональных данных

2.1. Обработка персональных данных в администрации города Перми осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом "О персональных данных".

2.2. Обработка персональных данных в администрации города Перми осуществляется территориальными, функциональными органами, функциональными подразделениями администрации города Перми в целях обеспечения исполнения полномочий Главы города Перми - главы администрации города Перми, в рамках полномочий, установленных положением о соответствующем функциональном, территориальном органе, функциональном подразделении администрации города Перми.

2.3. Обработка персональных данных в администрации города Перми осуществляется с использованием средств автоматизации и без использования средств автоматизации.

2.4. В целях предотвращения нарушений требований законодательства Российской Федерации, касающихся персональных данных:

2.4.1. Глава города Перми - глава администрации города Перми соответствующим правовым актом города Перми утверждает:

2.4.1.1. правила рассмотрения запросов субъектов персональных данных или их представителей в администрации города Перми;

2.4.1.2. правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и правовыми актами администрации города Перми;

2.4.1.3. порядок доступа муниципальных служащих и работников, занимающих должности, не отнесенные к должностям муниципальной службы (далее - служащие) администрации города Перми в помещения, в которых ведется обработка персональных данных;

2.4.1.4. перечень должностей уполномоченных лиц из числа первого заместителя главы администрации города Перми, заместителей главы администрации города Перми, руководителя аппарата администрации города Перми, руководителей функциональных и территориальных органов, функциональных подразделений администрации города Перми, осуществляющих обработку персональных данных либо осуществляющих доступ к персональным данным служащих администрации города Перми и граждан, претендующих на замещение вакантных должностей в администрации города Перми;

2.4.2. руководитель аппарата администрации города Перми, руководители функциональных, территориальных органов администрации города Перми соответствующими правовыми актами города Перми:

2.4.2.1. утверждают перечень персональных данных, обрабатываемых в функциональных, территориальных органах, функциональных подразделениях администрации города Перми, по форме согласно приложению 1 к настоящему Положению;

2.4.2.2. устанавливают порядок обработки каждой категории персональных данных, обрабатываемых в функциональных, территориальных органах, функциональных подразделениях администрации города Перми;

2.4.2.3. определяют места хранения для каждой категории обрабатываемых без использования средств автоматизации персональных данных (материальных носителей);

2.4.2.4. утверждают перечень должностей уполномоченных лиц из числа служащих функциональных, территориальных органов, функциональных подразделений администрации города Перми, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

2.4.2.5. назначают из числа служащих функциональных, территориальных органов, функциональных подразделений администрации города Перми:

лицо, ответственное за организацию обработки персональных данных;

уполномоченных лиц, ответственных за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных (далее - администратор безопасности ИСПДн);

уполномоченных лиц, осуществляющих обработку персональных данных в информационных системах персональных данных (далее - пользователь ИСПДн);

2.4.2.6. утверждают должностной регламент (должностные обязанности) или должностную инструкцию лица, ответственного за организацию обработки персональных данных.

2.5. На лиц, ответственных за организацию обработки персональных данных, возлагаются обязанности, установленные частью 4 статьи 22.1 Федерального закона "О персональных данных".

2.6. Руководители функциональных, территориальных органов администрации города Перми обязаны направлять по системе электронного документооборота, используемой в администрации города Перми, в управление информационных технологий администрации города Перми информацию об уведомлении уполномоченного органа по защите прав субъектов персональных данных о намерении, прекращении обработки персональных данных или изменении сведений, указанных в части 3 статьи 22 Федерального закона "О персональных данных", в течение 3 рабочих дней с даты уведомления уполномоченного органа по защите прав субъектов персональных данных.

2.7. Срок хранения документов (в том числе в электронном виде), содержащих персональные данные, устанавливается на основании Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденного приказом Федерального архивного агентства от 20 декабря 2019 г. N 236.

2.8. По истечении установленного срока хранения уничтожение документов на бумажных и электронных носителях, баз данных, электронных носителей, содержащих персональные данные, не имеющих научно-исторической ценности и утративших практическое значение, производится по акту в порядке, установленном Инструкцией по делопроизводству в администрации города Перми, утвержденной в установленном порядке (далее - Инструкция).

2.9. Документы на бумажных и электронных носителях, базы данных, содержащие персональные данные, имеющие постоянный срок хранения, передаются на архивное хранение по акту в порядке, установленном Инструкцией.

2.10. Режим конфиденциальности персональных данных снимается в случае их обезличивания либо по истечении 75 лет срока их хранения. Режим конфиденциальности персональных данных может быть продлен на основании заключения экспертной комиссии по определению ценности документов администрации города Перми, функционального, территориального органа администрации города Перми, если иное не определено законодательством Российской Федерации.

III. Организация защиты персональных данных

3.1. Функции по организации работ и координации деятельности функциональных, территориальных органов, функциональных подразделений администрации города Перми по обеспечению безопасности персональных данных, обрабатываемых в администрации города Перми, осуществляет управление информационных технологий администрации города Перми в соответствии с Положением об управлении информационных технологий администрации города Перми, утвержденным постановлением администрации города Перми от 29 сентября 2008 г. N 962, и настоящим Положением.

3.2. Руководитель аппарата администрации города Перми, руководители функциональных, территориальных органов, функциональных подразделений администрации города Перми в пределах своих полномочий организуют защиту персональных данных в функциональных, территориальных органах, функциональных подразделениях администрации города Перми в соответствии с действующим законодательством Российской Федерации о персональных данных, правовыми актами Пермского края, города Перми, Положением о порядке обращения со сведениями конфиденциального характера в администрации города Перми, утвержденным постановлением администрации города Перми от 22 августа 2007 г. N 347, настоящим Положением.

3.3. Обеспечение безопасности персональных данных в администрации города Перми достигается, в частности:

3.3.1. назначением лица, ответственного за организацию обработки персональных данных;

3.3.2. принятием и реализацией организационных и технических мер, необходимых для обеспечения условий хранения материальных носителей, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;

3.3.3. ознакомлением служащих администрации города Перми, осуществляющих обработку персональных данных либо осуществляющих доступ к персональным данным, с законодательством Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящим Положением, иными правовыми актами города Перми по вопросам обработки персональных данных, и обучением указанных служащих по направлениям по обеспечению безопасности персональных данных;

3.3.4. проведением периодических проверок условий обработки персональных данных в функциональных, территориальных органах, функциональных подразделениях администрации города Перми, в том числе соблюдения принятых мер по обеспечению условий хранения материальных носителей, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.

IV. Организация защиты персональных данных при их обработке в информационных системах персональных данных

4.1. Обеспечение защиты персональных данных в администрации города Перми при их обработке в информационных системах персональных данных осуществляется согласно требованиям, установленным постановлением Правительства Российской Федерации от 01 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", и в соответствии с Порядком организации мероприятий по защите персональных данных, осуществляемых при их обработке в информационных системах персональных данных в администрации города Перми, утвержденным распоряжением администрации города Перми.

4.2. Все информационные системы администрации города Перми, в том числе информационные системы функциональных, территориальных органов администрации города Перми, предназначенные для обработки персональных данных (далее - ИСПДн), включаются в Реестр информационных систем администрации города Перми, утвержденный распоряжением администрации города Перми от 27 марта 2015 г. N 43 (далее - Реестр информационных систем).

Ведение Реестра информационных систем осуществляется в соответствии с Политикой информационной безопасности администрации города Перми, утвержденной распоряжением администрации города Перми от 30 июня 2016 г. N 79 "Об утверждении Политики информационной безопасности администрации города Перми" (далее - Политика информационной безопасности).

4.3. Ввод в эксплуатацию, прекращение эксплуатации ИСПДн осуществляются в соответствии с Политикой информационной безопасности.

4.4. Порядок обработки и защиты персональных данных, обрабатываемых в ИСПДн, определяется порядком эксплуатации ИСПДн, утвержденным в соответствии с Регламентом утверждения правовых актов города Перми о вводе в эксплуатацию, прекращении эксплуатации информационных систем и (или) определении порядка эксплуатации информационной системы, утвержденным распоряжением администрации города Перми от 30 июня 2016 г. N 79 "Об утверждении Политики информационной безопасности администрации города Перми".

4.5. Функциональные, территориальные органы, функциональные подразделения администрации города Перми, являющиеся оператором ИСПДн, в рамках своих полномочий и в соответствии с порядком эксплуатации ИСПДн для защиты персональных данных, обрабатываемых в ИСПДн, обеспечивают:

4.5.1. определение угроз безопасности персональных данных при их обработке в ИСПДн;

4.5.2. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

4.5.3. применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4.5.4. оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию ИСПДн;

4.5.5. учет машинных носителей персональных данных;

4.5.6. обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;

4.5.7. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

4.5.8. установление правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн;

4.5.9. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

V. Обязанности и ответственность служащих администрации города Перми, осуществляющих обработку персональных данных либо осуществляющих доступ к персональным данным, обрабатываемым в администрации города Перми

5.1. Служащие администрации города Перми, осуществляющие обработку персональных данных либо осуществляющие доступ к персональным данным, обрабатываемым в администрации города Перми, при получении персональных данных от субъекта персональных данных в установленных законодательством случаях обязаны:

получать согласие субъекта персональных данных на обработку его персональных данных в письменном виде по форме согласно приложению 2 к настоящему Положению либо в любой другой форме, включающей установленные Федеральным законом "О персональных данных" сведения и позволяющей подтвердить факт получения согласия;

разъяснять субъекту персональных данных юридические последствия отказа предоставить свои персональные данные и получать от него письменное подтверждение о разъяснении юридических последствий отказа предоставить свои персональные данные по форме согласно приложению 3 к настоящему Положению.

5.2. Служащие администрации города Перми, осуществляющие обработку персональных данных либо осуществляющие доступ к персональным данным, обрабатываемым в администрации города Перми, обязаны:

соблюдать требования и меры по безопасности персональных данных, установленные законодательством Российской Федерации о персональных данных, настоящим Положением, Положением о порядке обращения со сведениями конфиденциального характера в администрации города Перми, утвержденным постановлением администрации города Перми от 22 августа 2007 г. N 347, иными правовыми актами города Перми;

знать свои права и обязанности в отношении обработки персональных данных;

не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством;

не допускать нарушение прав субъектов персональных данных, установленных законодательством Российской Федерации;

проходить обучение по вопросам обеспечения безопасности при обработке персональных данных в порядке, установленном Положением об организации обучения муниципальных служащих администрации города Перми, утвержденным постановлением администрации города Перми от 18 ноября 2008 г. N 1079;

подписывать и соблюдать обязательство служащего администрации города Перми, осуществляющего обработку персональных данных, о соблюдении конфиденциальности и прекращении обработки персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, в случае расторжения с ним трудового договора по форме согласно приложению 4 к настоящему Положению.

5.3. Администратор безопасности ИСПДн функционального, территориального органа, функционального подразделения администрации города Перми:

обеспечивает выполнение мероприятий в функциональном, территориальном органе, функциональном подразделении администрации города Перми или участвует в мероприятиях, проводимых управлением информационных технологий администрации города Перми, по разработке и осуществлению работ по обеспечению безопасности персональных данных при их обработке в ИСПДн;

участвует в определении класса ИСПДн, оператором которой является соответствующий функциональный, территориальный орган, функциональное подразделение администрации города Перми;

ведет в функциональном, территориальном органе, функциональном подразделении администрации города Перми учет используемых для обработки персональных данных технических и программных средств, средств и систем защиты персональных данных;

обеспечивает установку средств и систем защиты персональных данных;

контролирует правильность использования пользователями ИСПДн соответствующего функционального, территориального органа, функционального подразделения администрации города Перми установленных средств и систем защиты, а также функционирование этих средств и систем;

информирует руководителя функционального, территориального органа, функционального подразделения администрации города Перми, управление информационных технологий администрации города Перми о несанкционированных действиях, сбоях работы средств и систем защиты информации;

прекращает обработку пользователями ИСПДн персональных данных в ИСПДн при обнаружении несанкционированных действий пользователей ИСПДн, нарушениях функционирования средств и систем защиты персональных данных до устранения выявленных нарушений.

5.4. Пользователи ИСПДн при обработке персональных данных в ИСПДн обязаны:

выполнять все требования и меры по защите информации, установленные в ИСПДн;

знать порядок эксплуатации ИСПДн, порядок обработки персональных данных в ИСПДн, свои полномочия, права и обязанности при работе в ИСПДн;

осуществлять вход в ИСПДн только под своей учетной записью;

осуществлять действия с персональными данными (запись, корректировку, распечатку, удаление), обрабатываемыми в ИСПДн, в соответствии с присвоенными им правами доступа;

в случае отказа ИСПДн в идентификации пользователя ИСПДн либо неподтверждения личного пароля немедленно обратиться к администратору безопасности ИСПДн;

не разглашать информацию о присвоенном имени учетной записи и пароле для входа в ИСПДн посторонним лицам, в том числе другим служащим администрации города Перми;

перед началом работы со съемными носителями информации осуществлять их проверку на наличие программных вирусов и вредоносных программ с использованием штатных средств антивирусной защиты;

производить запись персональных данных только на учтенные в соответствии с пунктом 2.5.4 Положения о порядке обращения со сведениями конфиденциального характера в администрации города Перми, утвержденного постановлением администрации города Перми от 22 августа 2007 г. N 347, съемные носители персональных данных.

5.5. Пользователи ИСПДн, имеющие право на выполнение в ИСПДн действий по вводу, изменению, удалению персональных данных, несут ответственность за полноту, точность и актуальность персональных данных, обрабатываемых в данной ИСПДн.

5.6. Служащие администрации города Перми, осуществляющие обработку персональных данных либо осуществляющие доступ к персональным данным, обрабатываемым в администрации города Перми, виновные в нарушении требований, установленных законодательством Российской Федерации о персональных данных, правовыми актами администрации города Перми, несут ответственность в соответствии с действующим законодательством Российской Федерации.".

4. В наименовании приложения 1 слова "функционального (территориального) органа" заменить словами "функционального, территориального органа, функционального подразделения администрации города Перми".

5. В приложении 4:

5.1. наименование изложить в следующей редакции:

                  "Типовое обязательство

         служащего администрации города Перми, осуществляющего

   обработку персональных данных, о соблюдении конфиденциальности

   и прекращении обработки персональных данных, ставших известными

     ему в связи с исполнением должностных обязанностей, в случае

              расторжения с ним трудового договора";

5.2. в абзаце первом исключить слова "(получаю доступ)".