Основная информация
| Дата опубликования: | 21 мая 2020г. |
| Номер документа: | RU29030515202000009 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Архангельская область |
| Принявший орган: | Администрация муниципального образования «Боброво-Лявленское» |
| Раздел на сайте: | Нормативные правовые акты муниципальных образований |
| Тип документа: | Распоряжения |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
АРХАНГЕЛЬСКАЯ ОБЛАСТЬ
ПРИМОРСКИЙ МУНИЦИПАЛЬНЫЙ РАЙОН
АДМИНИСТРАЦИЯ МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ
«БОБРОВО-ЛЯВЛЕНСКОЕ»
распоряжение
от 21 мая 2020 года № 41
Об утверждении Положения о порядке обработки и защиты персональных данных, обрабатываемых в администрации муниципального образования «Боброво-Лявленское»
В соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных»,
Утвердить Положение о порядке обработки и защиты персональных данных, обрабатываемых в администрации муниципального образования «Боброво-Лявленское».
Разместить настоящее распоряжение на официальном информационном сайте муниципального образования.
Ознакомить ответственных лиц с настоящим распоряжением.
И.о главы муниципального образования Т.И. Некрасова
Утверждено распоряжением администрации МО «Боброво-Лявленское» от 21.05.2020 № 41
I. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Сфера действия настоящего Положения
1.1.1. Настоящим Положением регулируются отношения, связанные с обработкой персональных данных, осуществляемой администрацией муниципального образования «Боброво-Лявленское» (далее по тексту — Оператор, Администрация).
1.1.2. Настоящее Положение разработано в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», Правилами внутреннего трудового распорядка Администрации.
1.1.3. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации, содержащей персональные данные, по форме согласно приложению № 1 к настоящему Положению.
1.2. Цели разработки Положения
1.2.1. Целями настоящего Положения являются:
1) Определение порядка обработки персональных данных, субъектами которых являются:
сотрудники Администрации;
гражданские лица – физические лица, обратившиеся за оказанием услуг в Администрацию (Обращения граждан).
2) Обеспечение защиты прав и свобод человека и гражданина, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
3) Установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. Порядок ввода в действие и изменения Положения
1.3.1. Настоящее Положение вступает в силу с момента его утверждения главой муниципального образования и до замены его новым Положением.
1.3.2. Все изменения в Положение вносятся распоряжением.
1.4. Принципы обработки персональных данных в Администрации
1.4.1. Обработка персональных данных осуществляется на законной и справедливой основе.
1.4.2. Обработка персональных данных в Администрации ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
1.4.3. В Администрации не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
1.4.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
1.4.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
1.4.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Должны приниматься необходимые меры либо обеспечивать их принятие по удалению или уточнению не полных или неточных данных.
1.4.7. Хранение персональных данных должно осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
II. ОСНОВНЫЕ ПОНЯТИЯ. СОСТАВ И УСЛОВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Основные понятия
Основные понятия, используемые в настоящем Положении:
1) персональные данные - любая информация, относящаяся к прямо, или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
12) конфиденциальность персональных данных - обязательное для соблюдения назначенных ответственных лиц, получивших доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания;
13) угроза безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;
14) уровень защищенности персональных данных - комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных
2.2. Состав и цели обработки персональных данных.
Состав обрабатываемых в Администрации персональных данных и цели их обработки определены в Перечне персональных данных, обрабатываемых в администрации муниципального образования «Боброво-Лявленское».
III. Сбор, обработка и защита персональных данных
3.1. Обязанность оператора при сборе персональных данных
3.1.1. При сборе персональных данных оператор предоставляет субъекту персональных данных по его просьбе информацию:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом или другими федеральными.
Данная информация предоставляется субъекту при подписании согласия на обработку персональных данных.
3.1.2. Предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные (например, отказ в предоставлении юридических услуг).
3.1.3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных п. 3.1.4., до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных;
5) источник получения персональных данных.
3.1.4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные п. 3.1.3., в случаях, если:
1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей;
5) предоставление субъекту персональных данных сведений, предусмотренных п. 3.1.3., нарушает права и законные интересы третьих лиц.
3.1.5. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, когда:
субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
персональные данные сделаны общедоступными субъектом персональных данных.
Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее по тексту — федеральный закон).
3.2. Порядок получения персональных данных.
3.2.1. Субъект персональных данных предоставляет сотруднику Администрации достоверные сведения о себе. Сотрудник Администрации проверяет достоверность предоставленных сведений, сверяя данные, с имеющимися у субъекта персональных данных документами.
3.2.2. Обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных (форма согласия субъекта персональных данных на обработку его персональных данных представлена в приложении № 2 к настоящему Положению).
3.2.2.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
3.2.2.2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований:
1) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
2) обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;
3) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
4) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
5) обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;
6) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);
7) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
3.2.2.3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований на обработку персональных данных возлагается на оператора.
3.3. Порядок обработки персональных данных.
3.3.1. В целях обеспечения прав и свобод человека при обработке персональных данных субъекта персональных данных соблюдаются следующие общие требования:
3.3.1.1. Обработка персональных данных осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия сотрудникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности сотрудников, контроля количества и качества выполняемой работы, а также для осуществления и выполнения возложенным законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
3.3.1.2. При определении объема и содержания, обрабатываемых персональных данных оператор руководствуется Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.
3.3.1.3. Защита персональных данных субъекта персональных данных от неправомерного их использования или утраты обеспечивается оператором за счет его средств в порядке, установленном федеральным законом.
3.3.1.4. Сотрудники Администрации, непосредственно осуществляющие обработку персональных данных, ознакомлены под расписку с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, локальными актами по вопросам обработки персональных данных.
3.2.1.5. Обработка персональных данных в Администрации осуществляется согласно действующему документу «Описание технологического процесса…», утвержденного главой муниципального образования.
3.4. Меры по обеспечению безопасности персональных данных.
3.4.1. Обеспечение безопасности персональных данных при их обработке в Администрации достигнуто, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) разработкой инструкций по обнаружению фактов несанкционированного доступа к персональным данным и принятием мер;
7) разработкой инструкций по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
3.5. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных
3.5.1. Оператор обязан сообщить в порядке, предусмотренном п. 3.1., субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя (форма журнала регистрации и учета обращений субъектов персональных данных представлена в приложении № 3).
3.5.2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
3.5.3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
3.5.4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
3.6. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных
3.6.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
3.6.2. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
3.6.3. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
3.6.4. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
3.6.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом или другими федеральными законами.
3.6.6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п. 3.6.3 – 3.6.5, оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
IV. ПЕРЕДАЧА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Передача персональных данных третьим лицам
4.1.1. Передача персональных данных третьим лицам и распространение персональных данных должны осуществляться только с согласия субъекта персональных данных, если иное не предусмотрено федеральными законами (форма согласия субъекта персональных данных на передачу его персональных данных третьей стороне представлена в приложении № 4).
4.1.2. Лица, получившие персональные данные, должны быть уведомлены, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и подтвердить то, что это правило соблюдено. Лица, получившие персональные данные, обязаны соблюдать режим (конфиденциальности).
4.2. Хранение персональных данных
4.2.1. Персональные данные, обрабатываемые в Администрации, хранятся на материальных носителях и в электронном виде с соблюдением условий, исключающих несанкционированный доступ к данным носителям (запирающихся шкафах; сейфах; защищенных ЭВМ, оснащенных сертифицированными по требованиям безопасности средствами защиты от несанкционированного доступа, средствами антивирусной защиты).
4.2.1.1. В помещении Администрации хранятся следующие группы документов, содержащие персональные данные в единичном или сводном виде:
документы на бумажном носителе, содержащие персональные данные сотрудников Администрации;
документы на бумажном носителе, содержащие персональные гражданских лиц;
перечень персональных данных гражданских лиц в электронном виде, обрабатываемых с использованием средств автоматизации.
4.2.1.2. На материальном носителе (бумага) создаются и хранятся следующие группы документов, содержащие персональные данные в единичном или сводном виде:
документы, содержащие персональные данные сотрудников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки сотрудников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации сотрудников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Администрации, копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения);
документы, содержащие перечень персональных данных гражданских лиц.
4.2.1.3. Персональные данные, обрабатываемые с использованием средств автоматизации, хранятся на жестком диске ЭВМ из состава автоматизированного рабочего места, выделенного для обработки персональных данных, а также отчуждаемых USB-накопителях, указанных в техническом паспорте на автоматизированные системы, выделенные для обработки защищаемой информации в составе указанной автоматизированной системы. Обработка персональных данных осуществляется с использованием программных средств СБИС, Смета, ГИС ГМП, СИР, OFFICE. АРМ ЕС ОГ, АРМ ОДПГ, ССТУ.РФ и др. Полный состав программного обеспечения указан в техническом паспорте на автоматизированную систему.
4.2.2. Сроки хранения персональных данных:
75 лет в отношении персональных данных сотрудников Администрации (в соответствии с Трудовым Кодексом) и перечнем хранения документов (по номенклатуре дел).
V. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Лица, имеющие доступ к персональным данным
Лица, имеющие доступ к персональным данным, определены в «Перечне лиц, имеющих право самостоятельного доступа к штатным средствам автоматизированной системы...», в «Перечне лиц, имеющих право самостоятельного доступа в помещения...», а также в Положении о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных администрации муниципального образования «Боброво-Лявленское».
5.2. Права субъекта персональных данных на доступ к его персональным данным
5.2.1. Субъект персональных данных имеет право на получение следующих сведений:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
9) иные сведения, предусмотренные Федеральным законом или другими федеральными законами.
5.2.2. Сведения, указанные в п. 5.2.1., предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
5.2.3. Сведения, указанные в п. 5.2.1, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
5.2.4. Субъекту персональных данных может быть отказано в получении вышеуказанных сведений в случаях, когда доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
5.2.5. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.2.6. В случае, если сведения, указанные в п. 5.2.1, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанные в п. 5.2.1, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
5.2.7. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в п 5.2.1., а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п 5.2.6, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 5.2.1., должен содержать обоснование направления повторного запроса.
5.2.8. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 5.2.6. и п. 5.2.7. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
5.3. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
5.3.1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных п. 5.3.2.
5.3.2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
5.3.2. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
5.4. Право на обжалование действий или бездействия оператора
5.4.1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
5.4.2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
VI. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
6.1. Лица, виновные в нарушении требований Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.
6.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
________________________
Приложение № 1
к Положению об обработке и защите персональных данных
ОБЯЗАТЕЛЬСТВО
о неразглашении информации, содержащей персональные данные
Я,______________________________________________________________________,
(Ф.И.О. сотрудника)
исполняющий (ая) должностные обязанности по замещаемой должности
________________________________________________________________________,
(должность, наименование структурного подразделения)
предупрежден (а) о том, что на период исполнения должностных обязанностей в соответствии с должностным регламентом мне будет предоставлен допуск к информации, содержащей персональные данные. Настоящим добровольно принимаю на себя обязательства:
1. Не передавать и не разглашать третьим лицам информацию, содержащую персональные данные, которая мне доверена (будет доверена) или станет известной в связи с исполнением должностных обязанностей.
2. В случае попытки третьих лиц получить от меня информацию, содержащую персональные данные, сообщать непосредственному начальнику.
3. Не использовать информацию, содержащую персональные данные, с целью получения выгоды.
4. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты персональных данных.
5. В течение года после прекращения права на допуск к информации, содержащей персональные данные, не разглашать и не передавать третьим лицам известную мне информацию, содержащую персональные данные.
Я предупрежден (а) о том, что в случае нарушения данного обязательства буду привлечен (а) к дисциплинарной ответственности и/или иной ответственности в соответствии с законодательством Российской Федерации.
_____________________________ ____________
(фамилия, инициалы) (подпись)
«_________»______________ 20__г.
Приложение № 2
к Положению об обработке и защите персональных данных
СОГЛАСИЕ
на обработку персональных данных
пос. Уемский «___» _________ 20__ года
Я, _____________________________________________________________________,
(Ф.И.О)
_______________________ серия __________________ № _____________
выдан ___________________________________________________________________
(вид документа, удостоверяющего личность/реквизиты доверенности или иного документа, подтверждающего полномочия представителя субъекта персональных данных)
_______________________________________________________________________,
(когда и кем)
проживающий (ая) по адресу :_____________________________________________
________________________________________________________________________, настоящим даю свое согласие на обработку администрацией муниципального образования «Уемское» моих персональных данных и подтверждаю, что, давая такое согласие, я действую своей волей и в своих интересах.
Согласие дается мною для целей ________________________________________________________________________
(цель обработки персональных данных)
и распространяется на следующую информацию:______________________________ ________________________________________________________________________
________________________________________________________________________
________________________________________________________________________
(перечень персональных данных)
Настоящее согласие предоставляется на осуществление любых действий в отношении моих персональных данных, которые необходимы или желаемы для достижения указанных выше целей, включая (без ограничения) сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, трансграничную передачу персональных данных, а также осуществление любых иных действий с моими персональными данными с учетом федерального законодательства.
В случае неправомерного использования предоставленных мною персональных данных согласие отзывается моим письменным заявлением.
Данное согласие действует с «__» ________ ____ г. по «__» ________ ____ г.
______________________________
(Ф.И.О., подпись лица, давшего согласие)
Приложение № 3
к Положению об обработке персональных данных
Согласие
субъекта на передачу его персональных данных третьей стороне.
Я, ______________________________________, паспорт серии ________, номер ____________, выданный _______________________________________________________ « ___ » ___________ _____ года, в соответствии со ст.88 Трудового Кодекса Российской Федерации согласен на передачу моих персональных данных, а именно:
________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
(указать состав персональных данных (Ф.И.О, паспортные данные, адрес …)
Для обработки в целях __________________________________________________________
________________________________________________________________________________________________________________________________________________
(указать цели обработки)
Следующим лицам ________________________________________________________________________
________________________________________________________________________________________________________________________________________________
(указать Ф.И.О. физического лица или наименование организации, которым сообщаются данные)
Я также утверждаю, что ознакомлен с возможными последствиями моего отказа дать письменное согласие на их передачу.
« ___ » __________ 200____года
____________________
(подпись)
Приложение № 4
к Положению об обработке персональных данных
Главе муниципального образования «Боброво-Лявленское»
Титарчук Г.Г
«____» _____________ 20__ года
От ________________________________,
Проживающего (ей) по адресу: _________
____________________________________
Номер основного документа, удостоверяющего личность: _______________________________
Дата выдачи указанного документа: ______________
Наименование органа, выдавшего документ:
____________________________________________________________________________________________
Заявление
Прошу Вас прекратить обработку моих персональных данных в связи с
________________________________________________________________________
(указать причину)
"__" __________ 20__ г. __________ _____________________
(подпись) (расшифровка подписи)
Список ознакомления
Должность
Ф.И.О.
Подпись/Дата ознакомления
АРХАНГЕЛЬСКАЯ ОБЛАСТЬ
ПРИМОРСКИЙ МУНИЦИПАЛЬНЫЙ РАЙОН
АДМИНИСТРАЦИЯ МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ
«БОБРОВО-ЛЯВЛЕНСКОЕ»
распоряжение
от 21 мая 2020 года № 41
Об утверждении Положения о порядке обработки и защиты персональных данных, обрабатываемых в администрации муниципального образования «Боброво-Лявленское»
В соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных»,
Утвердить Положение о порядке обработки и защиты персональных данных, обрабатываемых в администрации муниципального образования «Боброво-Лявленское».
Разместить настоящее распоряжение на официальном информационном сайте муниципального образования.
Ознакомить ответственных лиц с настоящим распоряжением.
И.о главы муниципального образования Т.И. Некрасова
Утверждено распоряжением администрации МО «Боброво-Лявленское» от 21.05.2020 № 41
I. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Сфера действия настоящего Положения
1.1.1. Настоящим Положением регулируются отношения, связанные с обработкой персональных данных, осуществляемой администрацией муниципального образования «Боброво-Лявленское» (далее по тексту — Оператор, Администрация).
1.1.2. Настоящее Положение разработано в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», Правилами внутреннего трудового распорядка Администрации.
1.1.3. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации, содержащей персональные данные, по форме согласно приложению № 1 к настоящему Положению.
1.2. Цели разработки Положения
1.2.1. Целями настоящего Положения являются:
1) Определение порядка обработки персональных данных, субъектами которых являются:
сотрудники Администрации;
гражданские лица – физические лица, обратившиеся за оказанием услуг в Администрацию (Обращения граждан).
2) Обеспечение защиты прав и свобод человека и гражданина, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
3) Установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. Порядок ввода в действие и изменения Положения
1.3.1. Настоящее Положение вступает в силу с момента его утверждения главой муниципального образования и до замены его новым Положением.
1.3.2. Все изменения в Положение вносятся распоряжением.
1.4. Принципы обработки персональных данных в Администрации
1.4.1. Обработка персональных данных осуществляется на законной и справедливой основе.
1.4.2. Обработка персональных данных в Администрации ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
1.4.3. В Администрации не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
1.4.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
1.4.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
1.4.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Должны приниматься необходимые меры либо обеспечивать их принятие по удалению или уточнению не полных или неточных данных.
1.4.7. Хранение персональных данных должно осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
II. ОСНОВНЫЕ ПОНЯТИЯ. СОСТАВ И УСЛОВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Основные понятия
Основные понятия, используемые в настоящем Положении:
1) персональные данные - любая информация, относящаяся к прямо, или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
12) конфиденциальность персональных данных - обязательное для соблюдения назначенных ответственных лиц, получивших доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания;
13) угроза безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;
14) уровень защищенности персональных данных - комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных
2.2. Состав и цели обработки персональных данных.
Состав обрабатываемых в Администрации персональных данных и цели их обработки определены в Перечне персональных данных, обрабатываемых в администрации муниципального образования «Боброво-Лявленское».
III. Сбор, обработка и защита персональных данных
3.1. Обязанность оператора при сборе персональных данных
3.1.1. При сборе персональных данных оператор предоставляет субъекту персональных данных по его просьбе информацию:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом или другими федеральными.
Данная информация предоставляется субъекту при подписании согласия на обработку персональных данных.
3.1.2. Предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные (например, отказ в предоставлении юридических услуг).
3.1.3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных п. 3.1.4., до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных;
5) источник получения персональных данных.
3.1.4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные п. 3.1.3., в случаях, если:
1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей;
5) предоставление субъекту персональных данных сведений, предусмотренных п. 3.1.3., нарушает права и законные интересы третьих лиц.
3.1.5. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, когда:
субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
персональные данные сделаны общедоступными субъектом персональных данных.
Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее по тексту — федеральный закон).
3.2. Порядок получения персональных данных.
3.2.1. Субъект персональных данных предоставляет сотруднику Администрации достоверные сведения о себе. Сотрудник Администрации проверяет достоверность предоставленных сведений, сверяя данные, с имеющимися у субъекта персональных данных документами.
3.2.2. Обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных (форма согласия субъекта персональных данных на обработку его персональных данных представлена в приложении № 2 к настоящему Положению).
3.2.2.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
3.2.2.2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований:
1) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
2) обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;
3) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
4) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
5) обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;
6) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);
7) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
3.2.2.3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований на обработку персональных данных возлагается на оператора.
3.3. Порядок обработки персональных данных.
3.3.1. В целях обеспечения прав и свобод человека при обработке персональных данных субъекта персональных данных соблюдаются следующие общие требования:
3.3.1.1. Обработка персональных данных осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия сотрудникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности сотрудников, контроля количества и качества выполняемой работы, а также для осуществления и выполнения возложенным законодательством Российской Федерации на оператора функций, полномочий и обязанностей.
3.3.1.2. При определении объема и содержания, обрабатываемых персональных данных оператор руководствуется Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.
3.3.1.3. Защита персональных данных субъекта персональных данных от неправомерного их использования или утраты обеспечивается оператором за счет его средств в порядке, установленном федеральным законом.
3.3.1.4. Сотрудники Администрации, непосредственно осуществляющие обработку персональных данных, ознакомлены под расписку с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, локальными актами по вопросам обработки персональных данных.
3.2.1.5. Обработка персональных данных в Администрации осуществляется согласно действующему документу «Описание технологического процесса…», утвержденного главой муниципального образования.
3.4. Меры по обеспечению безопасности персональных данных.
3.4.1. Обеспечение безопасности персональных данных при их обработке в Администрации достигнуто, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) разработкой инструкций по обнаружению фактов несанкционированного доступа к персональным данным и принятием мер;
7) разработкой инструкций по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
3.5. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных
3.5.1. Оператор обязан сообщить в порядке, предусмотренном п. 3.1., субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя (форма журнала регистрации и учета обращений субъектов персональных данных представлена в приложении № 3).
3.5.2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
3.5.3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
3.5.4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
3.6. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных
3.6.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
3.6.2. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
3.6.3. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
3.6.4. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
3.6.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом или другими федеральными законами.
3.6.6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п. 3.6.3 – 3.6.5, оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
IV. ПЕРЕДАЧА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Передача персональных данных третьим лицам
4.1.1. Передача персональных данных третьим лицам и распространение персональных данных должны осуществляться только с согласия субъекта персональных данных, если иное не предусмотрено федеральными законами (форма согласия субъекта персональных данных на передачу его персональных данных третьей стороне представлена в приложении № 4).
4.1.2. Лица, получившие персональные данные, должны быть уведомлены, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и подтвердить то, что это правило соблюдено. Лица, получившие персональные данные, обязаны соблюдать режим (конфиденциальности).
4.2. Хранение персональных данных
4.2.1. Персональные данные, обрабатываемые в Администрации, хранятся на материальных носителях и в электронном виде с соблюдением условий, исключающих несанкционированный доступ к данным носителям (запирающихся шкафах; сейфах; защищенных ЭВМ, оснащенных сертифицированными по требованиям безопасности средствами защиты от несанкционированного доступа, средствами антивирусной защиты).
4.2.1.1. В помещении Администрации хранятся следующие группы документов, содержащие персональные данные в единичном или сводном виде:
документы на бумажном носителе, содержащие персональные данные сотрудников Администрации;
документы на бумажном носителе, содержащие персональные гражданских лиц;
перечень персональных данных гражданских лиц в электронном виде, обрабатываемых с использованием средств автоматизации.
4.2.1.2. На материальном носителе (бумага) создаются и хранятся следующие группы документов, содержащие персональные данные в единичном или сводном виде:
документы, содержащие персональные данные сотрудников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки сотрудников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации сотрудников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Администрации, копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения);
документы, содержащие перечень персональных данных гражданских лиц.
4.2.1.3. Персональные данные, обрабатываемые с использованием средств автоматизации, хранятся на жестком диске ЭВМ из состава автоматизированного рабочего места, выделенного для обработки персональных данных, а также отчуждаемых USB-накопителях, указанных в техническом паспорте на автоматизированные системы, выделенные для обработки защищаемой информации в составе указанной автоматизированной системы. Обработка персональных данных осуществляется с использованием программных средств СБИС, Смета, ГИС ГМП, СИР, OFFICE. АРМ ЕС ОГ, АРМ ОДПГ, ССТУ.РФ и др. Полный состав программного обеспечения указан в техническом паспорте на автоматизированную систему.
4.2.2. Сроки хранения персональных данных:
75 лет в отношении персональных данных сотрудников Администрации (в соответствии с Трудовым Кодексом) и перечнем хранения документов (по номенклатуре дел).
V. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Лица, имеющие доступ к персональным данным
Лица, имеющие доступ к персональным данным, определены в «Перечне лиц, имеющих право самостоятельного доступа к штатным средствам автоматизированной системы...», в «Перечне лиц, имеющих право самостоятельного доступа в помещения...», а также в Положении о разграничении прав доступа к обрабатываемым персональным данным в информационных системах персональных данных администрации муниципального образования «Боброво-Лявленское».
5.2. Права субъекта персональных данных на доступ к его персональным данным
5.2.1. Субъект персональных данных имеет право на получение следующих сведений:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
9) иные сведения, предусмотренные Федеральным законом или другими федеральными законами.
5.2.2. Сведения, указанные в п. 5.2.1., предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
5.2.3. Сведения, указанные в п. 5.2.1, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
5.2.4. Субъекту персональных данных может быть отказано в получении вышеуказанных сведений в случаях, когда доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
5.2.5. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.2.6. В случае, если сведения, указанные в п. 5.2.1, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанные в п. 5.2.1, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
5.2.7. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в п 5.2.1., а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п 5.2.6, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 5.2.1., должен содержать обоснование направления повторного запроса.
5.2.8. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 5.2.6. и п. 5.2.7. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
5.3. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
5.3.1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных п. 5.3.2.
5.3.2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
5.3.2. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
5.4. Право на обжалование действий или бездействия оператора
5.4.1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
5.4.2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
VI. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
6.1. Лица, виновные в нарушении требований Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.
6.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
________________________
Приложение № 1
к Положению об обработке и защите персональных данных
ОБЯЗАТЕЛЬСТВО
о неразглашении информации, содержащей персональные данные
Я,______________________________________________________________________,
(Ф.И.О. сотрудника)
исполняющий (ая) должностные обязанности по замещаемой должности
________________________________________________________________________,
(должность, наименование структурного подразделения)
предупрежден (а) о том, что на период исполнения должностных обязанностей в соответствии с должностным регламентом мне будет предоставлен допуск к информации, содержащей персональные данные. Настоящим добровольно принимаю на себя обязательства:
1. Не передавать и не разглашать третьим лицам информацию, содержащую персональные данные, которая мне доверена (будет доверена) или станет известной в связи с исполнением должностных обязанностей.
2. В случае попытки третьих лиц получить от меня информацию, содержащую персональные данные, сообщать непосредственному начальнику.
3. Не использовать информацию, содержащую персональные данные, с целью получения выгоды.
4. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты персональных данных.
5. В течение года после прекращения права на допуск к информации, содержащей персональные данные, не разглашать и не передавать третьим лицам известную мне информацию, содержащую персональные данные.
Я предупрежден (а) о том, что в случае нарушения данного обязательства буду привлечен (а) к дисциплинарной ответственности и/или иной ответственности в соответствии с законодательством Российской Федерации.
_____________________________ ____________
(фамилия, инициалы) (подпись)
«_________»______________ 20__г.
Приложение № 2
к Положению об обработке и защите персональных данных
СОГЛАСИЕ
на обработку персональных данных
пос. Уемский «___» _________ 20__ года
Я, _____________________________________________________________________,
(Ф.И.О)
_______________________ серия __________________ № _____________
выдан ___________________________________________________________________
(вид документа, удостоверяющего личность/реквизиты доверенности или иного документа, подтверждающего полномочия представителя субъекта персональных данных)
_______________________________________________________________________,
(когда и кем)
проживающий (ая) по адресу :_____________________________________________
________________________________________________________________________, настоящим даю свое согласие на обработку администрацией муниципального образования «Уемское» моих персональных данных и подтверждаю, что, давая такое согласие, я действую своей волей и в своих интересах.
Согласие дается мною для целей ________________________________________________________________________
(цель обработки персональных данных)
и распространяется на следующую информацию:______________________________ ________________________________________________________________________
________________________________________________________________________
________________________________________________________________________
(перечень персональных данных)
Настоящее согласие предоставляется на осуществление любых действий в отношении моих персональных данных, которые необходимы или желаемы для достижения указанных выше целей, включая (без ограничения) сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, трансграничную передачу персональных данных, а также осуществление любых иных действий с моими персональными данными с учетом федерального законодательства.
В случае неправомерного использования предоставленных мною персональных данных согласие отзывается моим письменным заявлением.
Данное согласие действует с «__» ________ ____ г. по «__» ________ ____ г.
______________________________
(Ф.И.О., подпись лица, давшего согласие)
Приложение № 3
к Положению об обработке персональных данных
Согласие
субъекта на передачу его персональных данных третьей стороне.
Я, ______________________________________, паспорт серии ________, номер ____________, выданный _______________________________________________________ « ___ » ___________ _____ года, в соответствии со ст.88 Трудового Кодекса Российской Федерации согласен на передачу моих персональных данных, а именно:
________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
(указать состав персональных данных (Ф.И.О, паспортные данные, адрес …)
Для обработки в целях __________________________________________________________
________________________________________________________________________________________________________________________________________________
(указать цели обработки)
Следующим лицам ________________________________________________________________________
________________________________________________________________________________________________________________________________________________
(указать Ф.И.О. физического лица или наименование организации, которым сообщаются данные)
Я также утверждаю, что ознакомлен с возможными последствиями моего отказа дать письменное согласие на их передачу.
« ___ » __________ 200____года
____________________
(подпись)
Приложение № 4
к Положению об обработке персональных данных
Главе муниципального образования «Боброво-Лявленское»
Титарчук Г.Г
«____» _____________ 20__ года
От ________________________________,
Проживающего (ей) по адресу: _________
____________________________________
Номер основного документа, удостоверяющего личность: _______________________________
Дата выдачи указанного документа: ______________
Наименование органа, выдавшего документ:
____________________________________________________________________________________________
Заявление
Прошу Вас прекратить обработку моих персональных данных в связи с
________________________________________________________________________
(указать причину)
"__" __________ 20__ г. __________ _____________________
(подпись) (расшифровка подписи)
Список ознакомления
Должность
Ф.И.О.
Подпись/Дата ознакомления
Дополнительные сведения
| Рубрики правового классификатора: | 010.000.000 ПРАВОВЫЕ ОСНОВЫ УСТРОЙСТВА МУНИЦИПАЛЬНЫХ ОБРАЗОВАНИЙ |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
