Распоряжение от 06.10.2014 № 568-р

РАСПОРЯЖЕНИЕ

АДМИНИСТРАЦИИ МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ

«ХАРАБАЛИНСКОГО РАЙОНА» АСТРАХАНСКОЙ ОБЛАСТИ

 

06.10.2014                                                                                                  № 568-р

 

Об утверждении внутренних

правовых актов по защите

персональных данных

 

В целях обеспечения безопасности персональных данных при их обработке в администрации МО «Харабалинский район», в соответствии с требованиями Федерального закона от 27.07.2006 № 152 ФЗ «О персональных данных», постановления Правительства Российской Федерации от 01.11.2012  № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановления Правительства Российской Федерации от 21.03.2012 № 1119 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»,

1. Утвердить следующий перечень правовых актов:

1.1. Инструкцию системного администратора информационных систем персональных данных по обеспечению безопасности персональных данных в администрации МО «Харабалинский район» (Приложение 1);

1.2. Инструкцию о порядке резервирования и восстановления работоспособности технических средств, программного обеспечения и баз данных в администрации МО «Харабалинский район» (Приложение 2);

1.3. Инструкцию ответственного за обработку персональных данных в администрации МО «Харабалинский район» (Приложение 3);

1.4. Инструкцию по организации антивирусной защиты в администрации МО «Харабалинский район» (Приложение 4);

1.5. Инструкцию по порядку учета и хранению документов, содержащих персональные данные, в администрации МО «Харабалинский район» (Приложение 5);

1.6. Инструкцию по обеспечению безопасности эксплуатации средств криптографической защиты информации (СКЗИ) в администрации МО «Харабалинский район» (Приложение 6);

1.7. Инструкцию по порядку учета и хранению съемных носителей конфиденциальной информации (персональных данных) в администрации МО «Харабалинский район»  (Приложение 7);

1.8. Инструкцию пользователя информационных систем персональных данных по обеспечению безопасности персональных данных в администрации МО «Харабалинский район» (Приложение 8);

1.9. Положение об обработке персональных данных в администрации МО «Харабалинский район», (Приложение 9);

1.10. Порядок доступа сотрудников администрации МО «Харабалинский район» в помещения, где ведётся обработка персональных данных (Приложение 10);

1.11. Правила работы с обезличенными персональными данными в администрации МО «Харабалинский район» (Приложение 11);

1.12. Регламент порядка действий сотрудников администрации МО «Харабалинский район», при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных (Приложение 12);

1.13. Инструкцию осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации МО «Харабалинский район» (Приложение 13).

2. Руководителю аппарата администрации МО «Харабалинский район» Калиниченко Е.В. довести до сведения всех сотрудников, обрабатывающих персональные данные, положения утверждаемых правовых актов.

3. Контроль за настоящим распоряжением оставляю за собой.

 

Глава администрации

МО «Харабалинский район»                                       А.В. Штонда

 

Приложение №9

Утверждено

Распоряжением администрации

МО «Харабалинский район»

от 06.10.2014 №568-р

 

 

Положение

об обработке персональных данных

в администрации МО «Харабалинский район»

 

1.    Общие положения

 

1.1. Настоящее Положение об обработке персональных данных (далее — Положение) в администрации МО «Харабалинский район»(далее - администрация) разработано в соответствии с Конституцией Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных».

1.2. Цель разработки Положения — определение порядка обработки персональных данных в администрации, обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных, а также установление ответственности работников, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.3. Порядок ввода в действие и изменения Положения.

1.3.1. Настоящее Положение вступает в силу с момента его утверждения директором администрации и действует в течение трёх лет, после чего должно быть пересмотрено.

1.3.2. Все изменения в Положение вносятся Распоряжением.

1.4. Все работники администрации, имеющие доступ к персональным данным, должны быть ознакомлены с настоящим Положением под роспись.

1.5. Режим конфиденциальности персональных данных снимается только в случаях их обезличивания.

 

2.    Основные понятия и состав персональных данных

 

2.1. Для целей настоящего Положения используются следующие основные понятия:

- персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации субъекту, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и прочая дополнительная информация;

- обработка персональных данных — сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных

- конфиденциальность персональных данных — обязательное требование для работника, получившего доступ к персональным данным, не допускать их распространения без согласия субъекта персональных данных или иного законного основания;

- распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

-  использование персональных данных — действия (операции) с персональными данными, совершаемые работниками в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц;

- блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

- уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

- обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

- общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

- информация — сведения (сообщения, данные) независимо от формы их представления;

-  документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

2.2. В состав персональных данных входят сведения, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, состоянии здоровья и другая информация позволяющая идентифицировать субъекта персональных данных и получить о нём дополнительную информацию.

3.    Цели обработки персональных данных их состав и сроки обработки

3.1. Обработка персональных данных сотрудников осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия сотруднику в прохождении гражданской службы, обучении и должностном росте, обеспечения личной безопасности гражданского служащего и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества, учета результатов исполнения им должностных обязанностей, ведения кадрового и бухгалтерского учета, и выполнения функций возложенных законодательством Российской Федерации.

3.2. Состав обрабатываемых персональных данных определяется в соответствии с перечнем персональных данных, обрабатываемых в администрации МО «Харабалинский район» (Приложение №1к данному Положению).

3.3. Персональные данные сотрудников обрабатываются до момента увольнения после чего передаются в архив и хранятся в течении 75 лет.

3.4. С целью осуществления и выполнения возложенных законодательством Российской Федерации функция и осуществления прав и законных интересов третьих лиц либо для достижения общественно значимых целей в администрации обрабатывается следующие перечень персональных данных граждан:

1.    Фамилия, Имя, Отчество

2.    Серия, номер паспорта

3.    Дата рождения

4.    Адрес места жительства\прописки

5.    Номер телефона

6.    Семейное положение

7.    Образование

8.    Должность

9.    Сведения об имуществе

3.5. Персональные данные граждан обрабатываются и хранятся до момента достижения цели обработки персональных данных после чего уничтожаются.

4.    Сбор, обработка и защита персональных данных

4.1. Порядок получения персональных данных

4.1.1. Доступ к персональным данным разрешен сотрудникам, указанным в перечне должностей работников, допущенных к работе с персональными данными и замещение которых предусматривает осуществление обработки персональных данных либо, осуществление доступа к персональным данным, в администрации МО «Харабалинский район». (Приложение №2к данному Положению).

4.1.2. Перед допуском к работе с персональными данными, предоставлением персональных данных для выполнения служебных обязанностей с работника необходимо взять письменное обязательство о неразглашении персональных данных (Приложение №3к данному Положению).

4.1.3. Все персональные данные следует получать у субъекта персональных данных. Если персональные данные субъекта возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Сотрудник администрации должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.

4.2. Порядок обработки персональных данных.

4.2.1. Субъект персональных данных предоставляет сотруднику Администрации достоверные сведения о себе. Сотрудник Администрации проверяет достоверность сведений, сверяя данные, предоставленные субъектом, с имеющимися у субъекта документами, удостоверяющими личность и иными документами, подтверждающие достоверность сведений о субъекте персональных данных.

4.2.2. В соответствии со ст. 6 ФЗ-152 «О Персональных данных» сотрудники администрации при обработке персональных данных должны соблюдать следующие общие требования:

4.2.2.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. (Приложение №4 к данному Положению).

4.2.2.2. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей.

4.2.2.3. Обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг.

4.2.2.4. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодно приобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодно приобретателем или поручителем.

4.2.2.5. Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

4.2.2.6. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

4.2.2.7. Защита персональных данных от неправомерного их использования или утраты обеспечивается Администрацией за счет средств Администрации в порядке, установленном законодательством.

4.2.2.8. Отказ гражданина от своих прав на сохранение и защиту тайны недействителен.

4.2.3. Обработка персональных данных субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни ЗАПРЕЩАЕТСЯ.

4.2.4. Автоматизированная обработка персональных данных разрешается в информационных системах персональных данных перечисленных в перечне информационных систем персональных данных, принадлежащих администрации МО "Харабалинский район" (Приложение №5к данному Положению).

5.    Передача и хранение персональных данных

5.1. При передаче персональных данных необходимо соблюдать следующие требования:

5.1.1. Не сообщать персональные данные субъекта третьей стороне без его письменного согласия, за исключением случаев, установленных федеральным законодательством.

5.1.2. Предупредить лиц, получивших персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц письменное подтверждение того, что это правило соблюдено. Лица, получившие персональные данные, обязаны соблюдать режим конфиденциальности. Данное Положение не распространяется на обмен персональными данными субъектов в порядке, установленном федеральными законами.

5.1.3. Осуществлять передачу персональных данных субъектов в пределах Администрации в соответствии с настоящим Положением и другими внутренними нормативно – правовыми актами по защите информации.

5.1.4. Разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.

5.2. Персональные данные субъектов могут обрабатываться и храниться, как на бумажных носителях, так и в электронном виде.

6.    Уничтожение персональных данных.

6.1. Уничтожение документов, содержащих персональные данные, в том числе черновиков, бракованных листов и испорченных копий, должно производиться комиссией.

6.2. Порядок уничтожения документов, черновиков, испорченных листов, неподписанных проектов документов, содержащих персональные данные:

- документы, черновики документов, испорченные листы, варианты и неподписанные проекты документов разрываются таким образом, чтобы было невозможно дальнейшее восстановление информации. В учетных данных документа (карточке, журнале) делается отметка об уничтожении черновика с указанием количества листов и проставлением подписи сотрудника и даты;

- уничтожение документов, содержащих персональные данные, производится в строгом соответствии со сроками хранения.

6.3. Уничтожение персональных данных в электронном виде осуществляется путём удаления информации со всех носителей и резервных копий без возможности дальнейшего восстановления.

6.4. Разрешение на уничтожение персональных данных дает Глава администрации МО "Харабалинский район".

7.    Доступ к персональным данным

7.1. Доступ сотрудников к персональным данным осуществляется на основании разрешительной системы доступа.

7.2. Копировать и делать выписки персональных данных разрешается исключительно в служебных целях с письменного разрешения Главы администрации.

7.3. Передача персональных данных третьей стороне возможна только при письменном согласии субъекта персональных данных, либо на основании законодательства Российской Федерации.

8.    Правила работы с обезличенными данными

8.1. Обезличиванием персональных данных называются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных (например, статистические данные).

8.2. Обезличивание персональных данных в Администрации при обработке персональных данных с использованием средств автоматизации осуществляется с помощью специализированного программного обеспечения на основании нормативно правовых актов, правил, инструкций, руководств, регламентов, инструкций на такое  программное обеспечение и иных документов для достижения заранее определенных и заявленных целей.

8.3. Допускается обезличивание персональных данных при обработке персональных данных без использования средств автоматизации - производить способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

8.4. Работа с обезличенными данными осуществляется в порядке установленным законодательством Российской Федерации и внутренними нормативно-правовыми актами, регулирующими работу с персональными данными.

9.    Порядок внутреннего контроля за соблюдением требований по обработке и обеспечению безопасности данных

9.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в администрации организуется проведение периодических проверок условий обработки персональных данных. Проверки осуществляются ответственным за организацию обработки персональных данных в администрации либо комиссией, образуемой руководителем администрации не реже одного раза в 3 года.

9.2. знания и соблюдение сотрудниками администрации инструкций, руководств и иных эксплуатационных документов на применяемые средства автоматизации, в том числе программное обеспечение, и средства защиты информации

- при осуществлении внутреннего контроля соответствия обработки персональных данных установленным требованиям в администрации производится проверка: соответствия локальных актов в области персональных данных администрации действующему законодательству Российской Федерации;

- выполнения сотрудниками администрации требований и правил (в том числе особых) обработки персональных данных в информационных системах персональных данных администрации;

- перечней персональных данных, используемых для решения задач и функций структурными подразделениями администрации и необходимости обработки персональных данных в информационных системах персональных данных администрации;

- правильность осуществления сбора, систематизации, сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения персональных данных в каждой информационной системе персональных данных администрации;

-  актуальность перечня должностей сотрудников администрации, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

- актуальность перечня должностей сотрудников администрации, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;

- соблюдение прав субъектов персональных данных, чьи персональные данные обрабатываются в информационных системах персональных данных администрации;

- соблюдение обязанностей администрацией, предусмотренных действующим законодательством в области персональных данных;

- порядка взаимодействия с субъектами персональных данных, чьи персональные данные обрабатываются в информационных системах персональных данных администрации, в том числе соблюдения сроков предусмотренных действующим законодательством в области персональных данных, соблюдения требований по уведомлениям, порядка разъяснения субъектам персональных данных необходимой информации, порядка реагирования на обращения субъектов персональных данных, порядка действий при достижении целей обработки персональных данных и отзыве согласий субъектами персональных данных;

-  наличие необходимых согласий субъектов персональных данных, чьи персональные данные обрабатываются в информационных системах персональных данных администрации;

-   актуальность сведений, содержащихся в уведомлении администрации об обработке персональных данных;

-  актуальность перечня информационных систем персональных данных в администрации;

-  наличие и актуальность сведений, содержащихся в Правилах обработки персональных данных для каждой информационной системы персональных данных администрации;

-  знания и соблюдение сотрудниками администрации положений действующего законодательства Российской Федерации в области персональных данных;

-  знания и соблюдение сотрудниками администрации положений локальных актов администрации в области обработки и обеспечения безопасности персональных данных;

-  знания и соблюдение сотрудниками администрации инструкций, руководств и иных эксплуатационных документов на применяемые средства автоматизации, в том числе программное обеспечение, и средства защиты информации

-  соблюдение сотрудниками администрации конфиденциальности персональных данных;

-  актуальность локальных актов администрации в области обеспечения безопасности персональных данных,  в том числе в Технических паспортах информационных систем персональных данных;

- соблюдение сотрудниками администрации требований по обеспечению безопасности персональных данных;

- наличие локальных актов администрации, технической и эксплуатационной документации технических и программных средств информационных систем персональных данных администрации;

- иных вопросов.

9.3. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю Администрации докладывает ответственный за организацию обработки персональных данных, либо председатель комиссии.

10  .Права субъекта персональных данных

10.1.Субъект персональных данных имеет право получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей его персональные данные.

10.2. Субъект персональных данных имеет право требовать от сотрудников Администрации уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для работы Администрации персональных данных.

10.3 Субъект персональных данных имеет право получать информацию, которая касается обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных;

- правовые основания и цели обработки персональных данных;

- цели и применяемые способы обработки персональных данных;

- наименование и место нахождения администрации, сведения о лицах (за исключением работников администрации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

-  обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

-  сроки обработки персональных данных, в том числе сроки их хранения;

-  порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ-№152 «О персональных данных»;

-  информацию об осуществленной или о предполагаемой трансграничной передаче данных;

-  наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

-  иные сведения, предусмотренные ФЗ-№152 «О персональных данных» или другими федеральными законами

10.4.Субъект персональных данных имеет право требовать извещения сотрудниками администрации всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

11. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

Работники Администрации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

 

С настоящим Положением ознакомлен:

 

Должность

Фамилия Имя Отчество

Дата и подпись