Типы документов
Реклама
Партнеры
Постановление администрации города Бердска от 12.03.2013 N 1000 "Об утверждении Правил обработки персональных данных в администрации города Бердска"
АДМИНИСТРАЦИЯ ГОРОДА БЕРДСКА
ПОСТАНОВЛЕНИЕ
от 12 марта 2013 г. № 1000
ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ
ДАННЫХ В АДМИНИСТРАЦИИ ГОРОДА БЕРДСКА
Руководствуясь Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", постановлениями Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", постановляю:
1. Утвердить Правила обработки персональных данных в администрации города Бердска (приложение).
2. Опубликовать постановление в газете "Бердские новости" и разместить на официальном сайте администрации города Бердска.
3. Постановление вступает в силу со дня его официального опубликования.
4. Контроль за исполнением постановления оставляю за собой.
Глава муниципального образования
И.Н.ПОТАПОВ
Приложение
к постановлению
администрации города Бердска
от 12.03.2013 № 1000
ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ ГОРОДА БЕРДСКА
I. ОБЩИЕ ПОЛОЖЕНИЯ
1. Правила обработки персональных данных в администрации города Бердска (далее - Правила) разработаны на основании:
1) Конституции Российской Федерации;
2) Трудового кодекса Российской Федерации;
3) Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ);
4) Федерального закона от 02.03.2007 № 25-ФЗ "О муниципальной службе в Российской Федерации";
5) постановления Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
6) постановления Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
7) постановления Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
8) Устава города Бердска.
2. Целью настоящих Правил является обеспечение защиты персональных данных граждан от несанкционированного доступа, неправомерного их использования или утраты.
3. Настоящие Правила устанавливают единый порядок обработки персональных данных в администрации города Бердска и определяют:
1) цели обработки персональных данных;
2) процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
3) содержание обрабатываемых персональных данных для каждой цели обработки персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) сроки обработки и хранения обрабатываемых персональных данных;
6) порядок уничтожения обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований;
7) правила рассмотрения запросов субъектов персональных данных или их представителей;
8) правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом № 152-ФЗ, принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;
9) правила работы с обезличенными данными;
10) перечень информационных систем персональных данных;
11) перечень лиц, осуществляющих обработку персональных данных;
12) ответственного за организацию работы по обработке персональных данных, а также его должностную инструкцию;
13) типовое обязательство лица, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора (контракта) прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
14) типовую форму согласия на обработку персональных данных субъектов персональных данных;
15) типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
16) порядок доступа в помещения, в которых ведется обработка персональных данных;
17) ответственность за нарушение требований настоящих Правил.
4. Настоящие Правила не распространяются на отношения, возникающие при:
1) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
2) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
II. ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ
В НАСТОЯЩИХ ПРАВИЛАХ
1. В настоящих Правилах используются следующие основные понятия:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) оператор - администрация города Бердска, организующая и (или) осуществляющая обработку персональных данных по роду своей деятельности;
3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых оператором с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники оператора;
5) неавтоматизированная обработка персональных данных - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, осуществляемая при непосредственном участии человека;
6) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
7) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
8) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
9) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
10) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
11) информационная система персональных данных - совокупность содержащихся в базах данных оператора персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
III. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Целью обработки персональных данных является:
1) осуществление возложенных на администрацию города Бердска федеральным законодательством, законодательством Новосибирской области и Уставом города Бердска функций, полномочий и обязанностей по решению вопросов местного значения муниципального образования города Бердска;
2) организация деятельности администрации города Бердска для обеспечения соблюдения законов и иных нормативных правовых актов, реализации права на труд, права избирать и быть избранным в органы местного самоуправления, права на пенсионное обеспечение и медицинское страхование работников.
IV. ПРОЦЕДУРЫ, НАПРАВЛЕННЫЕ НА ВЫЯВЛЕНИЕ И ПРЕДОТВРАЩЕНИЕ
НАРУШЕНИЙ ЗАКОНОДАТЕЛЬСТВА В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Обработка персональных данных осуществляется после принятия необходимых мер по защите персональных данных, а именно:
1) после получения согласия субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона № 152-ФЗ;
2) после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Новосибирской области, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ.
2. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящими Правилами и подписывают обязательство о неразглашении информации, содержащей персональные данные.
3. К мерам, направленным на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных, относятся:
1) назначение ответственного за организацию обработки персональных данных в администрации города Бердска;
2) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с частями 1 и 2 статьи 19 Федерального закона № 152-ФЗ;
3) осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
4) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации и настоящих Правил;
5) ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и настоящими Правилами;
6) запрет на обработку персональных данных лицами, не допущенными к их обработке;
7) запрет на обработку персональных данных под диктовку.
4. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и иных нормативных документов в области защиты персональных данных.
5. При эксплуатации автоматизированных систем необходимо соблюдать следующие требования:
1) к работе допускаются только лица, назначенные соответствующим правовым актом;
2) на ПЭВМ, дисках, папках и файлах, на которых обрабатываются и хранятся сведения о персональных данных, должны быть установлены пароли (идентификаторы);
3) на период обработки защищаемой информации в помещении могут находиться лица, допущенные в установленном порядке к обрабатываемой информации.
Допуск других лиц в указанный период может осуществляться с разрешения Главы муниципального образования города Бердска.
6. Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.
7. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.
8. При неавтоматизированной обработке персональных данных на бумажных носителях:
1) не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы;
2) персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
3) документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
4) дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.
9. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия:
1) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
2) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных;
3) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
4) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
10. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
11. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
12. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
1) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
2) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
13. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
14. Неавтоматизированная обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
15. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
16. Документы, определяющие политику оператора в отношении обработки персональных данных, подлежат обязательному опубликованию.
V. СОДЕРЖАНИЕ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. К персональным данным, обрабатываемым для осуществления возложенных на администрацию города Бердска функций, полномочий и обязанностей по решению вопросов местного значения, а также в связи с оказанием муниципальных услуг, относятся:
1) анкетные и биографические данные гражданина, включая адрес места жительства и проживания, адрес электронной почты и номер телефона;
2) паспортные данные или данные иного документа, удостоверяющего личность и гражданство, включая серию, номер, дату выдачи, наименование органа, выдавшего документ;
3) данные пенсионного удостоверения, удостоверения ветерана, включая серию, номер, дату выдачи, наименование органа, выдавшего документ;
4) сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки;
5) сведения о трудовой деятельности, опыте работы, занимаемой должности, трудовом стаже, повышении квалификации и переподготовке;
6) сведения о составе семьи и наличии иждивенцев, сведения о месте работы или учебы членов семьи;
7) сведения о состоянии здоровья и наличии заболеваний (когда это необходимо в случаях, установленных законом);
8) сведения о судимости (когда это необходимо в случаях, установленных законом);
9) сведения о доходах и обязательствах имущественного характера, в том числе членов семьи;
10) сведения об идентификационном номере налогоплательщика;
11) сведения об основном государственном регистрационном номере;
12) сведения о государственной регистрации права собственности;
13) сведения о внесении записи в Единый государственный реестр индивидуальных предпринимателей;
14) сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
15) сведения, содержащиеся в выписках из ЕГРЮЛ, ЕГРИП;
16) сведения о социальных льготах и о социальном статусе;
17) сведения об административном наказании;
18) сведения о нотариально заверенных доверенностях;
19) банковские реквизиты.
2. К персональным данным, обрабатываемым для реализации права на труд, права избирать и быть избранным в органы местного самоуправления, права на пенсионное обеспечение и медицинское страхование работников, относятся:
1) анкетные и биографические данные гражданина, включая сведения об изменении фамилии, имени или отчества, адрес места жительства (регистрации и фактический), сведения о знании иностранных языков, адрес электронной почты и номер телефона, сведения о пребывании за границей;
2) паспортные данные или данные иного документа, удостоверяющего личность и гражданство, включая серию, номер, дату выдачи, наименование органа, выдавшего документ;
3) сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки, о повышении квалификации и профессиональной переподготовке, об ученой степени, включая название учебного заведения, серию, номер, дату выдачи документа об окончании образовательного учреждения, дату начала и завершения обучения;
4) сведения о трудовой деятельности, опыте работы, занимаемой должности, трудовом стаже, включая сведения о номере, серии, дате выдачи трудовой книжки (вкладыша в нее) и записях в ней, содержание и реквизиты трудового договора (контракта);
5) сведения о прохождении аттестации, квалификационных экзаменов, сведения о классных чинах, специальных званиях, кем и когда присвоены;
6) сведения о государственных и иных наградах, знаках отличия;
7) сведения о состоянии в браке, составе семьи, сведения о близких родственниках и близких родственниках супруга, включая степень родства, дату и место рождения, место работы или учебы, адрес регистрации и фактического проживания;
8) сведения о состоянии здоровья и наличии заболеваний (когда это необходимо в случаях, установленных законом);
9) сведения об отношении к воинской обязанности, включая категорию запаса, воинское звание, состав, ВУС, категорию годности, наименование военного комиссариата по месту жительства, периоды службы;
10) сведения о допуске к государственной тайне, включая его форму, номер и дату;
11) сведения о доходах и обязательствах имущественного характера, в том числе членов семьи;
12) сведения об идентификационном номере налогоплательщика;
13) сведения о социальных льготах и о социальном статусе;
14) сведения о страховом полисе обязательного медицинского страхования;
15) сведения о номере и серии страхового свидетельства государственного пенсионного страхования.
VI. КАТЕГОРИИ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ
ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ
К субъектам, персональные данные которых обрабатываются, относятся:
1) Глава муниципального образования города Бердска;
2) граждане, претендующие на замещение должности муниципальной службы и должности работников по техническому обеспечению деятельности в администрации города Бердска;
3) граждане, замещающие (замещавшие) должности муниципальной службы и должности работников по техническому обеспечению деятельности в администрации города Бердска и рабочих;
4) граждане, занимающие должность руководителей муниципальных учреждений и организаций;
5) граждане, претендующие на занесение на Доску почета города Бердска, на награждение Почетной грамотой администрации города Бердска и Благодарностью Главы города Бердска;
6) физические лица, индивидуальные предприниматели, обратившиеся с обращениями в администрацию города Бердска;
7) физические лица и индивидуальные предприниматели, с которыми заключены договорные отношения.
VII. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ
ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Сроки обработки и хранения персональных данных определяются:
1) приказом Министерства культуры Российской Федерации от 25.08.2010 № 558 "Об утверждении "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения";
2) сроком исковой давности;
3) иными требованиями законодательства Российской Федерации и муниципальными правовыми актами города Бердска.
2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
VIII. УНИЧТОЖЕНИЕ ОБРАБОТАННЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Под уничтожением обработанных персональных данных понимаются действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
2. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
3. Обработанные персональные данные подлежат уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
4. Уничтожение обработанных персональных данных производится комиссионно с составлением соответствующего акта.
IX. РАССМОТРЕНИЕ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, указанной в части 7 статьи 14 Федерального закона № 152-ФЗ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона № 152-ФЗ.
2. Субъект персональных данных имеет право требовать от оператора уточнения его персональных данных, их блокирования или уничтожения, в случае если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3. При обращении либо при получении запроса субъекта персональных данных или его представителя сведения должны быть предоставлены в доступной форме. Запрос регистрируется в день поступления по правилам делопроизводства.
4. Запрос субъекта персональных данных должен содержать сведения, позволяющие провести его идентификацию:
1) фамилию, имя, отчество субъекта персональных данных и (или) его представителя;
2) адрес проживания субъекта персональных данных и (или) его представителя;
3) номер и дату выдачи основного документа, подтверждающего личность субъекта персональных данных и (или) его представителя;
4) подпись субъекта персональных данных и (или) его представителя.
Запрос может быть направлен электронной почтой и подписан электронной подписью в соответствии с законодательством Российской Федерации.
5. Оператор при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных обязан сообщить в порядке статьи 14 Федерального закона № 152-ФЗ субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными в течение 30 (тридцати) дней с даты получения запроса.
В случае отказа в предоставлении информации о наличии персональных данных оператор обязан дать в письменной форме мотивированный ответ со ссылкой на действующее законодательство, являющееся основанием для такого отказа. Отказ в предоставлении информации направляется в срок, не превышающий 30 (тридцати) дней со дня получения запроса субъекта персональных данных.
6. В случае предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор в срок, не превышающий 7 (семь) рабочих дней, вносит в них необходимые изменения. О внесенных изменениях уведомляется субъект персональных данных или его представитель.
7. В случае предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные в срок, не превышающий 7 (семь) рабочих дней. Об уничтоженных персональных данных уведомляется субъект персональных данных или его представитель.
8. При получении запроса из уполномоченного органа по защите прав субъектов персональных данных оператор обязан сообщить необходимую информацию в течение 30 (тридцати) дней с даты получения такого запроса.
9. Возможность ознакомления с персональными данными предоставляется на безвозмездной основе лицом, ответственным за обработку персональных данных.
X. ОСУЩЕСТВЛЕНИЕ ВНУТРЕННЕГО КОНТРОЛЯ
1. Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных осуществляется с целью проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами.
2. Внутренний контроль соответствия обработки персональных данных делится на текущий и комиссионный.
Текущий внутренний контроль осуществляется на постоянной основе ответственным за обработку персональных данных в ходе мероприятий по обработке персональных данных.
Комиссионный внутренний контроль осуществляется комиссией для осуществления внутреннего контроля, но носит периодический характер.
Периодичность проверки - не реже одного раза в год.
3. Проверки осуществляются комиссией, образуемой правовым актом администрации города Бердска из числа муниципальных служащих администрации, допущенных к обработке персональных данных.
В проведении проверки не может участвовать лицо, прямо или косвенно заинтересованное в ее результатах.
4. При проведении внутренней проверки соответствия обработки персональных данных установленным требованиям комиссией должны быть полностью, объективно и всесторонне установлены:
1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
2) порядок и условия применения средств защиты информации;
3) эффективность принимаемых мер по обеспечению безопасности персональных данных;
4) состояние учета машинных носителей персональных данных;
5) соблюдение правил доступа к персональным данным;
6) наличие (отсутствие) фактов несанкционированного доступа к персональным данным;
7) мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) осуществление мероприятий по обеспечению целостности персональных данных.
5. В отношении персональных данных, ставших известными комиссии в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
6. Срок проведения проверки не может составлять более 30 (тридцати) дней со дня принятия решения о ее проведении. Результаты проверки оформляются в виде письменного заключения, утверждаются председателем комиссии и докладываются Главе муниципального образования города Бердска.
XI. РАБОТА С ОБЕЗЛИЧЕННЫМИ ДАННЫМИ
1. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса используемых информационных систем персональных данных и по достижении сроков обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством Российской Федерации.
2. К способам обезличивания персональных данных при условии дальнейшей обработки персональных данных относятся:
1) уменьшение перечня обрабатываемых сведений;
2) замена части сведений идентификаторами;
3) обобщение (понижение) точности некоторых сведений;
4) деление сведений на части и обработка их в разных информационных системах;
5) другие способы.
3. К способам обезличивания персональных данных в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
4. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
5. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
При обработке обезличенных персональных данных с использованием средств автоматизации необходимо:
- использование паролей;
- использование антивирусных программ;
- соблюдение правил доступа в помещение, в котором ведется обработка персональных данных.
При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
- хранения бумажных носителей в условиях, исключающих доступ к ним посторонних лиц;
- соблюдение правил доступа в помещение, в котором ведется обработка персональных данных.
6. Перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, утверждается правовым актом администрации города Бердска.
XII. ИНФОРМАЦИОННЫЕ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Перечень информационных систем персональных данных, используемых для обработки персональных данных администрацией города Бердска, утверждается правовым актом администрации города Бердска.
XIII. ПЕРЕЧЕНЬ ЛИЦ, ОСУЩЕСТВЛЯЮЩИХ
ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Перечень лиц, осуществляющих обработку персональных данных, утверждается правовым актом администрации города Бердска.
2. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящими Правилами и подписывают обязательство о неразглашении информации, содержащей персональные данные (приложение № 1).
XIV. ОТВЕТСТВЕННЫЙ ЗА ОРГАНИЗАЦИЮ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Ответственный за организацию обработки персональных данных в администрации города Бердска назначается правовым актом администрации города Бердска из числа муниципальных служащих администрации города Бердска.
2. Ответственный за организацию обработки персональных под роспись знакомится с должностной инструкцией ответственного за организацию обработки персональных данных в администрации города Бердска (приложение № 2).
XV. ОБЯЗАТЕЛЬСТВО О ПРЕКРАЩЕНИИ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Лица, замещающие должности, указанные в главе XIII настоящих Правил, в случае расторжения с ним контракта (договора), дают письменное обязательство прекратить обработку персональных данных, ставших известными им в связи с исполнением должностных обязанностей.
2. Обязательство о прекращении обработки персональных данных дается в письменной форме (приложение № 3).
XVI. СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Оператор перед обработкой персональных данных получает у субъектов обработки персональных данных, указанных в главе VI настоящих Правил, согласие на обработку персональных данных.
2. Согласие на обработку персональных данных дается субъектом обработки персональных данных в письменной форме.
3. Типовая форма согласия на обработку персональных данных в целях, предусмотренных подпунктом 1 пункта 1 главы III настоящих Правил, является приложением № 4.
4. Типовая форма согласия на обработку персональных данных в целях, предусмотренных подпунктом 2 пункта 1 главы III настоящих Правил, является приложением № 5.
XVII. ЮРИДИЧЕСКИЕ ПОСЛЕДСТВИЯ ОТСУТСТВИЯ
СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. В случае отсутствия согласия на обработку персональных данных оператор разъясняет субъекту обработки персональных данных юридические последствия отказа предоставить свои персональные данные.
2. Разъяснение юридических последствий осуществляется в письменной форме (приложение № 6).
XVIII. ПОРЯДОК ДОСТУПА В ПОМЕЩЕНИЯ, В КОТОРЫХ
ВЕДЕТСЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Запрещается оставлять материальные носители с персональными данными без присмотра в незапертом помещении, в котором осуществляется обработка персональных данных.
2. Все сотрудники, постоянно работающие в помещениях, в которых ведется обработка персональных данных, должны быть допущены к работе с соответствующими видами персональных данных.
3. В служебных помещениях, занимаемых администрацией города Бердска, применяются физические, технические и организационные меры, направленные для защиты данных от нецелевого использования, несанкционированного доступа, раскрытия, потери, изменения и уничтожения обрабатываемых персональных данных.
К указанным мерам относятся:
1) физические меры защиты: двери, снабженные замками, сейфы и безопасное уничтожение носителей, содержащих персональные данные;
2) технические меры защиты: применение антивирусных программ, программ защиты, установление паролей на персональных компьютерах;
3) организационные меры защиты: обучение и ознакомление с принципами безопасности и конфиденциальности, доведение до операторов обработки персональных данных важности защиты персональных данных и способов обеспечения защиты.
XIX. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ
ТРЕБОВАНИЙ НАСТОЯЩИХ ПРАВИЛ
Лица, допущенные к обработке персональных данных, несут персональную ответственность за неразглашение обрабатываемых персональных данных.
Лица, виновные в нарушении требований настоящих Правил, несут ответственность, предусмотренную законодательством Российской Федерации.
Приложение № 1
к Правилам
обработки персональных данных
в администрации города Бердска
ОБЯЗАТЕЛЬСТВО
о неразглашении информации, содержащей персональные данные
Я, _______________________________________________________________________,
(фамилия, имя, отчество лица, допущенного
к обработке персональных данных)
исполняющий(ая) должностные обязанности по замещаемой должности
___________________________________________________________________________
___________________________________________________________________________
предупрежден(а) о том, что на период исполнения должностных обязанностей
мне будет предоставлен допуск к информации, содержащей персональные данные.
Настоящим добровольно принимаю на себя обязательства:
1. Не передавать и не разглашать третьим лицам информацию, содержащую персональные данные, которая мне доверена (будет доверена) или станет известной в связи с исполнением должностных обязанностей.
2. В случае попытки третьих лиц получить от меня информацию, содержащую персональные данные, сообщать непосредственному руководителю.
3. Не использовать информацию, содержащую персональные данные, с целью получения выгоды.
4. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты персональных данных.
5. В случае расторжения договора (контракта) и (или) прекращения права на допуск к информации, содержащей персональные данные, не разглашать и не передавать третьим лицам известную мне информацию, содержащую персональные данные.
Я предупрежден(а) о том, что нарушение данного обязательства является основанием привлечения к дисциплинарной ответственности и (или) иной ответственности в соответствии с законодательством Российской Федерации.
Ознакомлен(а):
_____________ _______________ _____________________________
(дата) (подпись) (расшифровка подписи)
Приложение № 2
к Правилам
обработки персональных данных
в администрации города Бердска
ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ
ответственного за организацию обработки персональных
данных в администрации города Бердска
Ответственный за организацию обработки персональных данных в администрации города Бердска назначается правовым актом администрации города Бердска.
Ответственный за организацию обработки персональных данных в своей деятельности руководствуется Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", Уставом города Бердска, Правилами обработки персональных данных в администрации города Бердска, нормативными правовыми актами администрации города Бердска, настоящей должностной инструкцией.
Ответственный за организацию обработки персональных данных обязан организовать работу по:
1. Представлению субъекту персональных данных либо его представителю по запросу информацию об обработке его персональных данных.
2. Осуществлению внутреннего текущего контроля за соблюдением требований законодательства Российской Федерации и Правил обработки персональных данных в администрации города Бердска при обработке персональных данных, в том числе требований к защите персональных данных.
3. Доведению до сведения лиц, допущенных к обработке персональных данных, положения федерального законодательства Российской Федерации о персональных данных, нормативных правовых актов администрации города Бердска по вопросам обработки персональных данных, требований к защите персональных данных.
4. Приему и обработке обращений и запросов субъектов персональных данных или их представителей и (или) осуществлению контроля за приемом и обработкой таких обращений и запросов.
5. Получению обязательства о прекращении обработки персональных данных у лиц, непосредственно осуществляющих обработку персональных данных, в случае расторжения с ним договора (контракта).
6. Получению согласия на обработку персональных данных у субъектов персональных данных.
7. Разъяснению субъекту персональных данных юридических последствий отказа предоставления его персональных данных.
Ознакомлен:
_____________ _______________ _____________________________
(дата) (подпись) (расшифровка подписи)
Приложение № 3
к Правилам
обработки персональных данных
в администрации города Бердска
ТИПОВОЕ ОБЯЗАТЕЛЬСТВО
о прекращении обработки персональных данных лица,
непосредственно осуществляющего обработку персональных
данных, в случае расторжения с ним контракта
Я _________________________________________________________________________
(фамилия, имя, отчество)
___________________________________________________________________________
(должность)
___________________________________________________________________________
обязуюсь прекратить обработку персональных данных, ставших известными мне в
связи с исполнением должностных обязанностей, в случае расторжения со мной
контракта (договора), освобождения меня от замещаемой должности и
увольнения.
В соответствии со статьей 7 Федерального закона от 27 июля 2006 г.
№ 152-ФЗ "О персональных данных" я уведомлен(а) о том, что персональные
данные являются конфиденциальной информацией и я обязан(а) не раскрывать
третьим лицам и не распространять персональные данные без согласия субъекта
персональных данных, ставшие известными мне в связи с исполнением
должностных обязанностей.
Ответственность, предусмотренная Федеральным законом от 27 июля
2006 г. № 152-ФЗ "О персональных данных" и другими федеральными законами,
мне разъяснена.
_____________ _______________ _____________________________
(дата) (подпись) (расшифровка подписи)
Приложение № 4
к Правилам
обработки персональных данных
в администрации города Бердска
ТИПОВАЯ ФОРМА
согласия на обработку персональных данных с целью
осуществления возложенных на администрацию города Бердска
федеральным законодательством, законодательством
Новосибирской области и Уставом города Бердска функций,
полномочий и обязанностей по решению вопросов местного
значения, а также в связи с оказанием муниципальных услуг
Я, _______________________________________________________________________,
(фамилия, имя, отчество)
зарегистрированный по адресу: ____________________________________________,
паспорт: серия ______ номер_________ выдан "_____" ______________ ______ г.
(дата выдачи)
__________________________________________________________________________,
(наименование органа, выдавшего документ)
в соответствии со статьей 9 Федерального закона от 27.07.2006 № 152-ФЗ "О
персональных данных" своей волей и в своем интересе с целью решения
вопросов местного значения муниципального образования города Бердска даю
согласие оператору ________________________________________________________
(администрации города Бердска)
на автоматизированную, а также без использования средств автоматизации
обработку моих персональных данных, включая сбор, запись, систематизацию,
накопление, хранение, уточнение (обновление, изменение), извлечение,
использование, передачу (распространение, предоставление, доступ),
обезличивание, блокирование, удаление, уничтожение персональных данных.
А именно (далее нужное подчеркнуть):
1) анкетные и биографические данные гражданина, включая адрес места жительства и проживания, адрес электронной почты и номер телефона;
2) паспортные данные или данные иного документа, удостоверяющего личность и гражданство, включая серию, номер, дату выдачи, наименование органа, выдавшего документ;
3) данные пенсионного удостоверения, удостоверения ветерана, включая серию, номер, дату выдачи, наименование органа, выдавшего документ;
4) сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки;
5) сведения о трудовой деятельности, опыте работы, занимаемой должности, трудовом стаже, повышении квалификации и переподготовке;
6) сведения о составе семьи и наличии иждивенцев, сведения о месте работы или учебы членов семьи;
7) сведения о состоянии здоровья и наличии заболеваний (когда это необходимо в случаях, установленных законом);
8) сведения о судимости (когда это необходимо в случаях, установленных законом);
9) сведения о доходах и обязательствах имущественного характера, в том числе членов семьи;
10) сведения об идентификационном номере налогоплательщика;
11) сведения об основном государственном регистрационном номере;
12) сведения о государственной регистрации права собственности;
13) сведения о внесении записи в Единый государственный реестр индивидуальных предпринимателей;
14) сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
15) сведения, содержащиеся в выписках из ЕГРЮЛ, ЕГРИП;
16) сведения о социальных льготах и о социальном статусе;
17) сведения об административном наказании;
18) сведения о нотариально заверенных доверенностях;
19) банковские реквизиты.
Если мои персональные данные можно получить только у третьей стороны, то я должен быть уведомлен об этом заранее с указанием целей, предполагаемых источников и способов получения персональных данных, также должно быть получено на это согласие.
Мне разъяснены мои права и обязанности, связанные с обработкой персональных данных, в том числе моя обязанность проинформировать оператора в случае изменения моих персональных данных; мое право в любое время отозвать свое согласие путем направления соответствующего письменного заявления оператору.
Согласие вступает в силу со дня его подписания и действует в течение неопределенного срока до достижения цели обработки персональных данных или его отзыва в письменной форме.
_____________ _______________ _____________________________
(дата) (подпись) (расшифровка подписи)
Приложение № 5
к Правилам
обработки персональных данных
в администрации города Бердска
ТИПОВАЯ ФОРМА
согласия на обработку персональных данных с целью
реализации права на труд, права избирать и быть избранным
в органы местного самоуправления, права на пенсионное
обеспечение и медицинское страхование работников
Я, _______________________________________________________________________,
(фамилия, имя, отчество)
зарегистрированный по адресу: ____________________________________________,
паспорт: серия ______ номер ________ выдан "_____" ______________ ______ г.
(дата выдачи)
__________________________________________________________________________,
(наименование органа, выдавшего документ)
в соответствии со статьей 9 Федерального закона от 27.07.2006 № 152-ФЗ "О
персональных данных" своей волей и в своем интересе с целью
___________________________________________________________________________
(реализации права на труд, права избирать и быть
избранным в органы местного
___________________________________________________________________________
самоуправления, права на пенсионное обеспечение
и медицинское страхование работников)
даю согласие оператору ____________________________________________________
(администрации города Бердска)
на автоматизированную, а также без использования средств автоматизации
обработку моих персональных данных, включая сбор, запись, систематизацию,
накопление, хранение, уточнение (обновление, изменение), извлечение,
использование, передачу (распространение, предоставление, доступ),
обезличивание, блокирование, удаление, уничтожение персональных данных.
А именно (далее нужное подчеркнуть):
1) анкетные и биографические данные гражданина, включая сведения об изменении фамилии, имени или отчества, адрес места жительства (регистрации и фактический), сведения о знании иностранных языков, адрес электронной почты и номер телефона, сведения о пребывании за границей;
2) паспортные данные или данные иного документа, удостоверяющего личность и гражданство, включая серию, номер, дату выдачи, наименование органа, выдавшего документ;
3) сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки, о повышении квалификации и профессиональной переподготовке, об ученой степени, включая название учебного заведения, серию, номер, дату выдачи документа об окончании образовательного учреждения, дату начала и завершения обучения;
4) сведения о трудовой деятельности, опыте работы, занимаемой должности, трудовом стаже, включая сведения о номере, серии, дате выдачи трудовой книжки (вкладыша в нее) и записях в ней, содержание и реквизиты трудового договора (контракта);
5) сведения о прохождении аттестации, квалификационных экзаменов, сведения о классных чинах, специальных званиях, кем и когда присвоены;
6) сведения о государственных и иных наградах, знаках отличия;
7) сведения о состоянии в браке, составе семьи, сведения о близких родственниках и близких родственниках супруга, включая степень родства, дату и место рождения, место работы или учебы, адрес регистрации и фактического проживания;
8) сведения о состоянии здоровья и наличии заболеваний (когда это необходимо в случаях, установленных законом);
9) сведения об отношении к воинской обязанности, включая категорию запаса, воинское звание, состав, ВУС, категорию годности, наименование военного комиссариата по месту жительства, периоды службы;
10) сведения о допуске к государственной тайне, включая его форму, номер и дату;
11) сведения о доходах и обязательствах имущественного характера, в том числе членов семьи;
12) сведения об идентификационном номере налогоплательщика;
13) сведения о социальных льготах и о социальном статусе;
14) сведения о страховом полисе обязательного медицинского страхования;
15) сведения о номере и серии страхового свидетельства государственного пенсионного страхования.
Если мои персональные данные можно получить только у третьей стороны, то я должен быть уведомлен об этом заранее с указанием целей, предполагаемых источников и способов получения персональных данных, также должно быть получено на это согласие.
Мне разъяснены мои права и обязанности, связанные с обработкой персональных данных, в том числе моя обязанность проинформировать оператора в случае изменения моих персональных данных; мое право в любое время отозвать свое согласие путем направления соответствующего письменного заявления оператору.
Согласие вступает в силу со дня его подписания и действует в течение неопределенного срока до достижения цели обработки персональных данных или его отзыва в письменной форме.
_____________ _______________ _____________________________
(дата) (подпись) (расшифровка подписи)
Приложение № 6
к Правилам
обработки персональных данных
в администрации города Бердска
ТИПОВАЯ ФОРМА
разъяснения субъекту персональных данных юридических
последствий отказа предоставить свои персональные данные
Мне ______________________________________________________________________,
(фамилия, имя, отчество)
разъяснены юридические последствия отказа предоставить свои персональные
данные оператору __________________________________________________________
(администрации города Бердска)
В соответствии с Постановлением Правительства Российской Федерации
от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на
обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О
персональных данных" и принятыми в соответствии с ним нормативными актами,
операторами, являющимися государственными или муниципальными служащими" и
___________________________________________________________________________
(наименование правового акта администрации, утверждающего
содержание обрабатываемых персональных данных)
определен перечень персональных данных, которые субъект персональных данных
обязан предоставить в связи с
___________________________________________________________________________
(решением вопросов местного значения, с оказанием
муниципальной услуги, реализацией права на труд,
___________________________________________________________________________
права избирать и быть избранным в органы местного
самоуправления, права на пенсионное обеспечение,
___________________________________________________________________________
медицинское страхование работников)
Я предупрежден, что в случае несогласия на обработку моих персональных
данных (далее нужное подчеркнуть):
1. Органами местного самоуправления города Бердска при решении
вопросов местного значения мои права могут быть реализованы не в полном
объеме.
2. Право на труд, право избирать и быть избранным в органы местного
самоуправления города Бердска, право на пенсионное обеспечение и
медицинское страхование работников не может быть реализовано в полном
объеме, а трудовой договор (контракт) подлежит расторжению.
_____________ _______________ _____________________________
(дата) (подпись) (расшифровка подписи)
------------------------------------------------------------------
По датам
Информация
Ключевые слова