Об утверждении политики в отношении обработки персональных данных



КУРГАНСКАЯ ОБЛАСТЬ

РОССИЙСКАЯ  ФЕДЕРАЦИЯ

КУРГАНСКАЯ ОБЛАСТЬ

Администрация МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ

САФАКУЛЕВСКИЙ РАЙОН

ПОСТАНОВЛЕНИЕ

             

от 30 сентября 2020 года  № 281

        с. Сафакулево

Об утверждении политики
в отношении обработки персональных данных

В целях выполнения требований законодательства в области защиты и
обработки персональных данных, с учетом Рекомендаций Роскомнадзора по
составлению документа, определяющего политику оператора в отношении
обработки персональных данных, в порядке, установленном Федеральным
законом от 27.07.2006г. №152-ФЗ "О персональных данных", Администрация Сафакулевского района,

ПОСТАНОВЛЯЕТ:

1. Утвердить Политику администрации Сафакулевского муниципального
района Курганской области в отношении обработки персональных данных
(Приложение).

2. Контроль за исполнением постановления возложить на управляющего делами - руководителя аппарата администрации Фаттахова Г.Н.

3. Опубликовать настоящее постановление в информационном бюллетене «Муниципальный Вестник» и разместить на сайте администрации в сети «Интернет».

И.о. Главы Сафакулевского района                                           Б.М. Мужагитов

Исполнил: Разуваев Ю.Н.

2-93-85 (разослано по списку)

приложение к Постановлению

Администрации Сафакулевского района

от 30.09.2020 г. № 281

Политика

администрации Сафакулевского муниципального района Курганской
области в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных
(далее - Политика) имеет своей целью закрепление механизмов обеспечения
прав субъекта на сохранение конфиденциальности информации о фактах,
событиях и обстоятельствах его жизни, определяют основные требования к
порядку сбора, систематизации, накопления, хранения, уточнения,
использования, передачи, блокирования, уничтожения (далее - обработки)
персональных данных (далее - ПДн), обрабатываемых в администрации
Сафакулевского муниципального района Курганской области (далее -
Администрация).

1.2. Для целей настоящей Политики используются следующие термины:

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту
персональных данных).

Оператор - муниципальный орган, юридическое или физическое лицо,
самостоятельно или совместно с другими лицами организующие и (или)
осуществляющие обработку персональных данных, а также определяющие
цели обработки персональных данных, состав персональных данных,
подлежащих обработке, действия (операции), совершаемые с персональными
данными.

Обработка персональных данных - любое действие (операция) или
совокупность действий (операций), совершаемых с использованием средств
автоматизации или без использования таких средств с персональными
данными, включая сбор, запись, систематизацию, накопление, хранение,
уточнение (обновление, изменение), извлечение, использование, передачу
(распространение, предоставление, доступ), обезличивание, блокирование,
удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных - обработка
персональных данных с помощью средств вычислительной техники.

Конфиденциальность информации - обязательное для выполнения
лицом, получившим доступ к определенной информации, требование не
передавать такую информацию третьим лицам без согласия ее обладателя.

Распространение персональных данных - действия, направленные на
раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных - действия, направленные на
раскрытие персональных данных определенному лицу или определенному
кругу лиц.

Блокирование персональных данных - временное прекращение
обработки персональных данных (за исключением случаев, если обработка
необходима для уточнения персональных данных).

Уничтожение персональных данных - действия, в результате которых
становится невозможным восстановить содержание персональных данных в
информационной системе персональных данных и (или) в результате
которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных - действия, в результате
которых становится невозможным без использования дополнительной
информации определить принадлежность персональных данных конкретному
субъекту персональных данных.

Информационная система персональных данных - совокупность
содержащихся в базах данных персональных данных и обеспечивающих их
обработку информационных технологий и технических средств.

Трансграничная передача персональных данных - передача
персональных данных на территорию иностранного государства органу
власти иностранного государства, иностранному физическому лицу или
иностранному юридическому лицу.

1.3. Политика разработана с учетом требований Конституции
Российской Федерации, федерального закона от 27 июля 2006 года № 152-ФЗ
"О персональных данных", постановления Правительства Российской
Федерации от 01 ноября 2012 года № 1119 "Об утверждении требований к
защите персональных данных при их обработке в информационных системах
персональных данных" и иных нормативных правовых актов Российской
Федерации в области персональных данных.

1.4. Положения Политики служат основой для разработки локальных
нормативных актов, регламентирующих в Администрации вопросы
обработки персональных данных сотрудников Администрации и других
субъектов персональных данных.

1.5. Политика размещается в открытом доступе на официальном сайте
(http://admsafakulevo.ru/) и на стендах, расположенных в помещениях,
занимаемых Администрацией.

1.6. Порядок ввода в действие и изменения Политики:

- настоящая Политика вступает в силу с момента утверждения главой
Сафакулевского района Курганской области и действует бессрочно, до замены ее новой Политикой;

- все изменения в Политику вносятся постановлением администрации
Сафакулевского района Курганской области;

- в случае внесения изменений в существующую Политику, уведомления
об изменениях помещаются в начале новой Политики и существующая
Политика, размещенная на сайте Администрации и на стендах, заменяется
новой.

2. Цели сбора персональных данных

2.1. Политика разработана в целях обеспечения реализации требований
законодательства Российской Федерации в области обработки персональных
данных, направленного на обеспечение защиты прав и свобод человека и
гражданина при обработке его персональных данных, в том числе защиты
прав на неприкосновенность частной жизни, личную и семейную тайну, в
частности в целях защиты от несанкционированного доступа и
неправомерного распространения персональных данных, обрабатываемых в
информационных системах администрации.

2.2. Обработка персональных данных осуществляется на основе
следующих принципов:

- законности и справедливости целей и способов обработки
персональных данных;

- соответствия целей обработки персональных данных целям, заранее
определенным и заявленным при сборе персональных данных, а также
полномочиям администрации;

- соответствия объема и характера обрабатываемых персональных
данных, способов обработки персональных данных целям обработки
персональных данных;

- достоверности персональных данных, их достаточности для целей
обработки, недопустимости обработки персональных данных, избыточных по
отношению к целям, заявленным при сборе персональных данных;

- недопустимости объединения, созданных для несовместимых между
собой целей баз данных, содержащих персональные данные;

- хранения персональных данных в форме, позволяющей определить
субъекта персональных данных, не дольше, чем этого требуют цели их
обработки;

- уничтожения по достижении целей обработки персональных данных
или в случае утраты необходимости в их достижении.

2.3. Обработка персональных данных ограничивается достижением
конкретных, заранее определенных и законных целей. Не допускается
обработка персональных данных, несовместимая с целями сбора
персональных данных.

2.4. Администрация осуществляет обработку персональных данных в
следующих целях:

- заключения, исполнения и прекращения гражданско -правовых
договоров с физическими, юридическим лицами, индивидуальными

предпринимателями и иными лицами, в случаях, предусмотренных
действующим законодательством;

- организации кадрового учета Администрации, обеспечения
соблюдения законов и иных нормативно-правовых актов, заключения и
исполнения обязательств по трудовым и гражданско-правовым договорам;

- ведения кадрового делопроизводства, содействия сотрудникам в
трудоустройстве, обучении и продвижении по службе, пользования
различного вида льготами, исполнения требований налогового
законодательства в связи с исчислением и уплатой налога на доходы
физических лиц, а также единого социального налога, пенсионного
законодательства при формировании и представлении персонифицированных
данных о каждом получателе доходов, учитываемых при начислении
страховых взносов на обязательное пенсионное страхование и обеспечение,
заполнения первичной статистической документации, в соответствии с
Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами;

- исполнения полномочий Администрации и функций организаций,
участвующих в предоставлении соответственно государственных и
муниципальных услуг, предусмотренных Федеральным законом от 27 июля
2010 года N 210-ФЗ "Об организации предоставления государственных и
муниципальных услуг", включая регистрацию субъекта персональных
данных на едином портале государственных и муниципальных услуг и (или)
региональных порталах государственных и муниципальных услуг;

- работой с обращениями граждан в соответствии с Федеральным
законом от 02.05.2006 №59-ФЗ "О порядке рассмотрения обращений
граждан".

3. Нормативно-правовое основание обработки персональных данных в
администрации Сафакулевского района Курганской области

3.1. Разработка политики в отношении обработки персональных данных
в Администрации осуществлена в соответствии со следующими
нормативными правовыми актами:

- Конституция Российской Федерации;

- Трудовой кодекс Российской Федерации от 30 декабря 2001 года
№197-ФЗ;

- Гражданский кодекс РФ от 30 ноября 1994 года №51 -ФЗ;

- Федеральный закон от 02.03.2007 года №25-ФЗ «О муниципальной
службе в Российской Федерации»;

- Федеральный закон от 02.05.2006 года №59-ФЗ «О порядке
рассмотрения обращений граждан Российской Федерации»;

- Федеральный закон от 06.10.2003 года №131 -ФЗ «Об общих принципах
организации местного самоуправления в РФ»;

- Указ Президента РФ от 30.05.2005 года №609 «Об утверждении
Положения о персональных данных государственного гражданского
служащего Российской Федерации и ведения его личного дела»;

- Указ Президента РФ от 06.03.1997 г. №188 «Об утверждении перечня
сведений конфиденциального характера»;

- Постановление Правительства Российской Федерации от 01.11.2012
года №1119 "Об утверждении требований к защите персональных данных
при их обработке в информационных системах персональных данных";

- Постановление Правительства Российской Федерации от 15.09.2008
года №687 «Об утверждении Положения об особенностях обработки
персональных данных, осуществляемой без использования средств
автоматизации»;

- Постановление Правительства Российской Федерации от 21.03.2012
года №211 «Об утверждении перечня мер, направленных на обеспечение
выполнения обязанностей, предусмотренных Федеральным законом «О
персональных данных» и принятыми в соответствии с ним нормативными
правовыми актами, операторами, являющимися государственными или
муниципальными органами»;

- Устав Сафакулевского района Курганской области;

- Положение об администрации Сафакулевского района
Курганской области;

- иные нормативно-правовые акты в сфере защиты персональных
данных.

3.2. Администрация зарегистрирована в реестре уполномоченного
органа по защите прав субъектов персональных данных 28.01.2009г. №09 -
0035916.

4. Объем и категории обрабатываемых персональных данных,
категории субъектов персональных данных

Содержание и объем обрабатываемых персональных данных
определяются исходя из целей обработки персональных данных.
Обрабатываемые персональные данные не должны быть избыточными по
отношению к заявленным целям их обработки.

4.1. В качестве субъектов ПДн, персональные данные которых могут
обрабатываться в Администрации с использованием средств автоматизации
или без использования таковых, понимаются нижеперечисленные категории
физических лиц:

- физические лица - муниципальные служащие Администрации;

- физические лица, замещающие в Администрации должности, не
являющиеся должностями муниципальной службы;

- физические лица - руководители подведомственных Администрации
учреждений;

- физические лица, участвующие в конкурсах на замещение вакантных
должностей муниципальной службы, состоящие в кадровом резерве
Администрации;

- физические лица, заключающие договоры гражданско-правового
характера с Администрацией;

- физические лица, представляющие интересы юридических лиц -
организаций, предприятий, учреждений;

- физические лица - заявители, обращающиеся за оказанием
муниципальных (государственных) услуг в адрес Администрации и
подведомственных Администрации учреждений;

- физические лица - заявители, направляющие свои обращения (письма)
в бумажной и электронной форме в адрес Администрации и её структурных
подразделений;

- физические лица - заявители, направляющие свои обращения (письма)
в бумажной и электронной форме в федеральные и региональные органы
власти, и обращения которых переданы для рассмотрения в Администрацию.

- иные субъекты ПДн, которые не вошли в вышеперечисленные
категории и обработка персональных данных которых не противоречит
законодательству Российской Федерации.

4.2. В Администрации в соответствии с Федеральным законом "О
персональных данных" выделяются следующие категории персональных
данных:

- обезличенные и/или общедоступные персональные данные

- персональные данные общей категории, которые не могут быть
отнесены к специальным категориям персональных данных, к
биометрическим персональным данным, к общедоступным или
обезличенным персональным данным (иные категории персональных
данных).

- Порядок и условия обработки персональных данных

- Обработка персональных данных осуществляется в соответствии с
утвержденными Администрацией локальными нормативными правовыми
актами, регламентирующими защиту и обработку персональных данных.

- Все персональные данные Администрация получает от самого
субъекта персональных данных в рамках поступления на муниципальную
службу, в рамках гражданско-правовых отношений и исполнения
Администрацией своих полномочий.

В случае получения персональных данных не от субъекта персональных
данных (третьей стороны), Администрация по запросу субъекта
персональных данных или его представителя обязано уведомить об этом
субъект персональных данных или его представителя в письменное форме.
Администрация сообщает субъекту персональных данных или его
представителю информацию о составе обрабатываемых персональных
данных, источнике их получения, целях, способах и сроках обработки

данных персональных данных, а также о возможных последствиях отказа
субъекта персональных данных от обработки его персональных данных
Администрацией.

Запрос должен содержать номер основного документа,
удостоверяющего личность субъекта персональных данных или его
представителя, сведения о дате выдачи указанного документа и выдавшем
его органе, сведения, подтверждающие участие субъекта персональных
данных в отношениях с оператором (номер договора, дата заключения
договора, условное словесное обозначение и (или) иные сведения), либо
сведения, иным образом подтверждающие факт обработки персональных
данных оператором, подпись субъекта персональных данных или его
представителя. Запрос может быть направлен в форме электронного
документа и подписан электронной подписью в соответствии с
законодательством Российской Федерации.

4.3. Обработка персональных данных в Администрации ведется с
использованием средств автоматизации (электронные носители
персональных данных) и без использования средств автоматизации
(бумажные носители персональных данных).

4.4. Администрация производит обработку персональных данных при
наличии хотя бы одного из следующих условий:

- обработка персональных данных осуществляется с согласия субъекта
персональных данных на обработку его персональных данных;

- обработка персональных данных необходима для достижения целей,
предусмотренных международным договором Российской Федерации или
законом, для осуществления и выполнения возложенных законодательством
Российской Федерации на оператора функций, полномочий и обязанностей;

- обработка персональных данных необходима для осуществления
правосудия, исполнения судебного акта, акта другого органа или
должностного лица, подлежащих исполнению в соответствии с
законодательством Российской Федерации об исполнительном производстве;

- обработка персональных данных необходима для исполнения договора,
стороной которого либо выгодоприобретателем или поручителем по
которому является субъект персональных данных, а также для заключения
договора по инициативе субъекта персональных данных или договора, по
которому субъект персональных данных будет являться
выгодоприобретателем или поручителем; обработка персональных данных
необходима для осуществления прав и законных интересов оператора или
третьих лиц либо для достижения общественно значимых целей при условии,
что при этом не нарушаются права и свободы субъекта персональных
данных;

- осуществляется обработка персональных данных, доступ
неограниченного круга лиц к которым предоставлен субъектом
персональных данных либо по его просьбе (далее общедоступные
персональные данные);

- осуществляется обработка персональных данных, подлежащих
опубликованию или обязательному раскрытию в соответствии с
федеральным законом.

4.5. Обработка персональных данных на основании договоров и иных
соглашений Оператора, поручений Оператору и поручений Оператора на
обработку персональных данных осуществляется в соответствии с условиями
этих договоров, соглашений Оператора, а также соглашений с лицами,
которым поручена обработка или которые поручили обработку на законных
основаниях. Такие соглашения могут определять, в частности:

- цели, условия, сроки обработки персональных данных;

- обязательства сторон, в том числе меры по обеспечению
конфиденциальности;

- права, обязанности и ответственность сторон, касающиеся обработки
персональных данных.

4.6. В случаях, не предусмотренных действующим законодательством
или договором, обработка осуществляется после получения согласия
субъекта персональных данных. Согласие может быть выражено в форме
совершения действий, проставления соответствующих отметок, заполнения
полей в формах, бланках, или оформлено в письменной форме в
соответствии с законодательством.

4.7. Субъект персональных данных имеет право отозвать согласие на
обработку персональных данных, направив соответствующий запрос в
Администрацию по почте или обратившись лично.

4.8. Субъект персональных данных имеет право на получение
информации, касающейся обработки его персональных данных, в том числе
содержащей:

- подтверждение факта обработки персональных данных
Администрацией;

- правовые основания и цели обработки персональных данных;

- цели и применяемые в Администрации способы обработки
персональных данных;

- наименование и место нахождения Администрации, сведения о лицах
(за исключением сотрудников/работников Администрации), которые имеют
доступ к персональным данным или которым могут быть раскрыты
персональные данные на основании договора с Администрацией или на
основании федерального закона;

- обрабатываемые персональные данные, относящиеся к
соответствующему субъекту персональных данных, источник их получения,
если иной порядок представления таких данных не предусмотрен
федеральным законом;

- сроки обработки персональных данных, в том числе сроки их
хранения;

- порядок осуществления субъектом персональных данных прав,
предусмотренных Федеральным законом "О персональных данных

- информацию об осуществленной или о предполагаемой
трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица,
осуществляющего обработку персональных данных по поручению
Оператора, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные Федеральным законом "О
персональных данных" или другими федеральными законами.

5. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

5.1. Действия с персональными данными включают сбор, запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передача (распространение, предоставление,
доступ), обезличивание, блокирование, удаление, уничтожение
персональных данных.

5.2. При обработке обеспечиваются точность персональных данных, их
достаточность и актуальность по отношению к целям обработки
персональных данных. При обнаружении неточных или неполных
персональных данных производится их уточнение и актуализация.

5.3. Для персональных данных, не являющихся общедоступными,
обеспечивается конфиденциальность.

5.4. Обработка и хранение персональных данных осуществляются не
дольше, чем этого требуют цели обработки персональных данных, если
отсутствуют законные основания для дальнейшей обработки, например, если
федеральным законом или договором с субъектом персональных данных не
установлен соответствующий срок хранения. Обрабатываемые персональные
данные подлежат уничтожению либо обезличиванию при наступлении
следующих условий:

- достижение целей обработки персональных данных или максимальных
сроков хранения — в течение 30 дней;

- утрата необходимости в достижении целей обработки персональных
данных — в течение 30 дней;

- предоставление субъектом персональных данных или его законным
представителем подтверждения того, что персональные данные являются
незаконно полученными или не являются необходимыми для заявленной
цели обработки — в течение 7 дней;

- невозможность обеспечения правомерности обработки персональных
данных — в течение 10 дней;

- отзыв субъектом персональных данных согласия на обработку
персональных данных, если сохранение персональных данных более не
требуется для целей обработки персональных данных — в течение 30 дней;

- отзыв субъектом персональных данных согласия на использование
персональных данных для контактов с потенциальными потребителями при
продвижении товаров и услуг — в течение 2 дней;

- истечение сроков исковой давности для правоотношений, в рамках
которых осуществляется либо осуществлялась обработка персональных
данных;

- ликвидация (реорганизация) Администрации.

5.5. Субъект персональных данных вправе требовать от Администрации
уточнения его персональных данных, их блокирования или уничтожения в
случае, если персональные данные являются неполными, устаревшими,
неточными, незаконно полученными или не являются необходимыми для
заявленной цели обработки, а также принимать предусмотренные законом
меры по защите своих прав.

5.6. Если субъект персональных данных считает, что Администрация
осуществляет обработку его персональных данных с нарушением требований
Федерального закона "О персональных данных" или иным образом нарушает
его права и свободы, субъект персональных данных вправе обжаловать
действия или бездействие Оператора в уполномоченный орган по защите
прав субъектов персональных данных (Федеральная служба по надзору в
сфере связи, информационных технологий и массовых коммуникаций -
Роскомнадзор) или в судебном порядке.

6. Обеспечение безопасности обработки персональных данных

6.1. Администрация предпринимает необходимые организационные и
технические меры для обеспечения безопасности персональных данных от
случайного или несанкционированного (в том числе, случайного) доступа,
уничтожения, изменения, блокирования доступа и других
несанкционированных действий.

К таким мерам, в частности, относятся:

- назначение сотрудников, ответственных за организацию обработки и
обеспечение безопасности персональных данных;

- проверка наличия в договорах и включение при необходимости в
договоры пунктов об обеспечении конфиденциальности персональных
данных;

- издание локальных актов по вопросам обработки персональных
данных, ознакомление с ними работников, обучение пользователей;

- обеспечение физической безопасности помещений и средств
обработки, пропускной режим, охрана, видеонаблюдение;

- ограничение и разграничение доступа сотрудников и иных лиц к
персональным данным и средствам обработки, мониторинг действий с
персональными данными;

- определение угроз безопасности персональных данных при их
обработке, формирование на их основе моделей угроз;

- применение средств обеспечения безопасности (антивирусных средств,
межсетевых экранов, средств защиты от несанкционированного доступа,
средств криптографической защиты информации), в том числе прошедших
процедуру оценки соответствия в установленном порядке;

- учёт и хранение носителей информации, исключающее их хищение,
подмену, несанкционированное копирование и уничтожение;

- резервное копирование информации для возможности восстановления;

- осуществление внутреннего контроля за соблюдением установленного
порядка, проверка эффективности принятых мер, реагирование на
инциденты.