Распоряжение №90-р от 27.08.18 Об утверждении положения об организации обработки персональных данных

Во исполнение требований Федерального закона №152-ФЗ от 27.07.2006 г. «О персональных данных», а также прочих нормативных документов по защите информации

 

Утвердить и ввести в действие Положение об организации обработки персональных данных, обрабатываемых в Чистопольском городском Исполнительном комитете (далее – Положение) (Приложение к настоящему распоряжению).

Ответственному за организацию обработки персональных данных в Чистопольском городском Исполнительном комитете ознакомить работников, осуществляющих обработку персональных данных с Положением.

Контроль за исполнением настоящего распоряжения  оставляю за собой.

 

 

 

Руководитель  городского

Исполнительного комитета       

           А.Г.Заиконников

 

 

Приложение

к  распоряжению Чистопольского городского Исполнительного комитета

от «___» __________ 2018 г. № ______

 

ПОЛОЖЕНИЕ

об организации обработки персональных данных, обрабатываемых

в Чистопольском городском Исполнительном комитете

 

  1. Основные термины и определения

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их раскрытие третьим лицам или их распространение без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Общие положения

Настоящее Положение об организации обработки персональных данных в Чистопольском городском Исполнительном комитете (далее – Положение), разработано в соответствии Федеральным законом Российской Федерации от 27 июля 2006 №152-ФЗ «О персональных данных» и нормативными правовыми актами (методическими документами) федеральных органов исполнительной власти по вопросам безопасности персональных данных (далее – ПДн) при их обработке в информационных системах персональных данных (далее – ИСПДн).

Настоящее Положение определяет порядок обработки ПДн, а также ответственность работников Чистопольского городского Исполнительного комитета (далее – Комитет), участвующих в обработке ПДн.

Положение обязательно для исполнения всеми работниками Комитета, непосредственно участвующими в обработке ПДн в ИСПДн.

Настоящее Положение не распространяется на следующие случаи:

осуществляется хранение, комплектование, учет и использование архивных документов, содержащих ПДн, в соответствии с законодательством об архивном деле в Российской Федерации;

осуществляется обработка ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Состав обрабатываемых персональных данных

Состав персональных данных, обрабатываемых в Комитете, установлен в «Перечне персональных данных, обрабатываемых в Чистопольском городском Исполнительном комитете», утвержденном приказом Руководителя Комитета.

Цель обработки персональных данных

Персональные данные обрабатываются в целях :

исполнения требований Трудового кодекса Российской Федерации;

исполнения требований налогового законодательства Российской Федерации, в том числе в связи с исчислением и уплатой налога на доходы физических лиц, иных налогов, сборов, страховых взносов, а также в связи с предоставлением налоговых вычетов;

исполнения требований законодательства Российской Федерации об обязательном пенсионном страховании, о социальном страховании, о формировании и представлении данных индивидуального (персонифицированного) учета о каждом застрахованном лице;

обеспечение деятельности в соответствии с Уставом Чистопольского городского Исполнительного комитета;

исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн;

заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

исполнения требований иных нормативных правовых актов.

Получение персональных данных от субъекта персональных данных

Обработка ПДн осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных».

В установленных случаях обработка ПДн осуществляется только после получения письменного «Согласия на обработку персональных данных», бланк которого, установлен в Приложении 1 к настоящему Положению.

Согласие на обработку ПДн должно быть конкретным, информированным, сознательным, в любой позволяющей подтвердить факт его получения форме.

В случае недееспособности субъекта ПДн согласие на обработку его ПДн берется у законного представителя субъекта ПДн.

В случае смерти субъекта ПДн согласие на обработку его ПДн берется у наследников субъекта ПДн, если такое согласие не было дано субъектом ПДн при его жизни.

В случае получения согласия на обработку ПДн от представителя субъекта ПДн проверяются полномочия данного представителя на дачу согласия от имени субъекта ПДн.

Допускается включение согласия субъекта ПДн в письменном виде непосредственно в документ, заполняемый субъектом ПДн или подготавливаемый для субъекта ПДн (анкета, опросный лист, соглашение, договор и т.д.).

Сбор ПДн осуществляется работниками Комитета в соответствии с их должностными обязанностями.

В ИСПДн Комитета ПДн заносятся работниками Комитета на основании документов, предъявляемых субъектом ПДн, либо на основании заполняемых субъектом ПДн документов (анкеты, опросные листы).

В случаях, когда предоставление ПДн является обязательным в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», субъекту ПДн разъясняются юридические последствия отказа предоставить его ПДн. Форма «Разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные» представлена в Приложении 2 к данному Положению.

Порядок обработки персональных данных

Организацию и контроль за состоянием процесса обработки ПДн в Комитете осуществляет Ответственный за организацию обработки ПДн.

Все работники, которым в связи со служебными (должностными) обязанностями необходим доступ к ПДн, заполняют и подписывают «Обязательство о неразглашении информации ограниченного доступа», форма которого установлена в Приложении 3 к настоящему Положению. Ответственный за организацию обработки ПДн осуществляет учет указанных в настоящем пункте лиц в «Журнале учета лиц, имеющих доступ к обработке персональных данных», форма которого установлена в Приложении 4 к настоящему Положению.

Доступ работников к ПДн осуществляется на основании «Перечня должностей работников, допущенных к обработке персональных данных в Чистопольском городском Исполнительном комитете», утвержденного приказом Руководителя Комитета. Доступ к ПДн работников, должность которых не указана в перечне, запрещен.

При прекращении доступа к ПДн, работник (в связи с увольнением или иным причинам отсутствия необходимости обработки ПДн) должен поставить свою подпись в «Журнале учета лиц, имеющих доступ к обработке персональных данных», указав дату прекращения доступа.

Ответственный за организацию обработки ПДн не реже одного раза в квартал осуществляет проверку/актуализацию «Журнала учета лиц, имеющих доступ к обработке персональных данных».

Доступ работников в помещения, в которых ведется обработка ПДн, осуществляется в соответствии с «Правилами доступа работников в помещения, в которых ведется обработка персональных данных в Чистопольском городском Исполнительном комитете», утвержденными приказом Руководителя Комитета.

Работники осуществляют обработку ПДн в ИСПДн в соответствии с «Инструкцией пользователя информационных систем персональных данных Чистопольского городского Исполнительного комитета», утвержденной приказом Руководителя Комитета.

В целях обеспечения единого порядка рассмотрения запросов субъектов ПДн или их представителей на доступ к обрабатываемым ПДн субъекта ПДн в ИСПДн, Ответственный за организацию обработки ПДн руководствуется «Правилами рассмотрения запросов субъектов персональных данных, чьи персональные данные обрабатываются в Чистопольском городском Исполнительном комитете», форма которого установлена в Приложении 5 к настоящему Положению и осуществляет ведение «Журнала регистрации обращений субъектов персональных данных, чьи персональные данные обрабатываются в Чистопольском городском Исполнительном комитете», форма которого установлена в Приложении 6 к настоящему Положению.

Работа со съемными машинными носителями ПДн в ИСПДн осуществляется в соответствии с «Инструкцией по обращению со съемными машинными носителями персональных данных в Чистопольском городском Исполнительном комитете», утвержденной распоряжением Руководителя Комитета.

Хранение ПДн осуществляется не дольше, чем это необходимо для их обработки в целях, для которых они были собраны. По достижении целей обработки, ПДн передаются на архивное хранение в порядке, установленном законодательством РФ, либо уничтожаются, если их архивное хранение не требуется.

Поручение обработки персональных данных

Обработка ПДн другому лицу поручается только с согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

Обработка ПДн другому лицу поручается только на основании заключаемого с этим лицом договора, государственного или муниципального контракта, принятого государственным или муниципальным органом акта (далее – «Поручение оператора»).

В Поручении оператора должны быть определены:

перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн;

цели обработки ПДн;

обязанность указанного лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке;

требования к защите обрабатываемых ПДн в соответствии со статьей 19 Федерального закона №152-ФЗ от 27.07.2006 г. «О персональных данных»;

ответственность указанного лица перед Комитетом.

Лицо, осуществляющее обработку ПДн по поручению Комитета, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом №152-ФЗ от 27 июля 2006г. «О персональных данных». При этом данное лицо не обязано получать согласие субъекта ПДн на обработку его ПДн.

В случае, если Комитет поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Комитет. Лицо, осуществляющее обработку ПДн по поручению Комитета, несет ответственность перед Комитетом.

Предоставление персональных данных третьим лицам

ПДн предоставляются третьим лицам, а также раскрываются только с согласия субъекта ПДн или в случаях, предусмотренных федеральным законом.

По требованию третьего лица, получающего ПДн, данному лицу передается подтверждение наличия основания для предоставления ПДн.

Включение персональных данных в общедоступные источники

В целях информационного обеспечения деятельности Комитета могут создаваться общедоступные источники ПДн (в том числе справочники, электронные базы данных, страницы сайта Комитета в информационно-телекоммуникационной сети «Интернет» и др.).

Основанием на включение в общедоступные источники ПДн может являться согласие субъекта ПДн на включение его ПДн в общедоступные источники ПДн.

Сведения о субъекте ПДн исключаются в любое время из общедоступных источников по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.

Прекращение обработки персональных данных и их уничтожение

В случае достижения целей обработки ПДн или утраты необходимости в достижении целей обработки ПДн указанные ПДн уничтожаются или обезличиваются, или обеспечивается их уничтожение или обезличивание (если обработка ПДн осуществляется другим лицом, действующим по поручению Комитета) в срок, не превышающий тридцати дней с даты достижения целей обработки ПДн (утраты необходимости в достижении целей обработки ПДн).

В случае отзыва субъектом ПДн согласия на обработку его ПДн указанные ПДн уничтожаются или обеспечивается их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Комитета) в срок, не превышающий тридцати дней с даты поступления указанного отзыва.

В случае окончания срока обработки ПДн, указанного в письменном согласии субъекта ПДн, указанные ПДн уничтожаются или обезличиваются, или обеспечивается их уничтожение или обезличивание (если обработка ПДн осуществляется другим лицом, действующим по поручению Комитета).

Уничтожение ПДн производится способом, исключающим возможность их восстановления:

перезаписью уничтожаемых (стираемых) файлов случайной битовой последовательностью;

удалением записи о файлах;

обнулением журнала файловой системы;

полной перезаписью всего адресного пространства съемного машинного носителя ПДн случайной битовой последовательностью с последующим форматированием.

Уничтожение или обезличивание ПДн осуществляется работниками Комитета, входящими в состав комиссии по уничтожению.

При невозможности уничтожения ПДн в сроки, определенные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» для случаев, когда невозможно обеспечить правомерность обработки ПДн или при достижении целей обработки ПДн, если сохранение ПДн более не требуется для целей обработки ПДн, осуществляется блокирование ПДн и их последующие уничтожение в течение 6 месяцев, если иной срок не установлен федеральным законодательством.

Допускается не уничтожать или не обезличивать ПДн в следующих случаях:

если иное предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;

если иное предусмотрено соглашением с субъектом ПДн и Комитетом;

если в соответствии с федеральными законами есть основания осуществлять дальнейшую обработку ПДн без согласия субъекта ПДн.

Правила обезличивания персональных данных и работы с обезличенными персональными данными

Обезличивание ПДн, содержащихся на машинных носителях, производится путем замены ПДн, позволяющих определить принадлежность ПДн конкретному субъекту ПДн, на уникальный внутренний идентификатор субъекта ПДн, присвоенный ему в Комитете.

Обезличивание ПДн, содержащихся на бумажных носителях, производится путем стирания (вымарывания) ПДн, позволяющих определить принадлежность ПДн конкретному субъекту ПДн.

Работники Комитета не должны нарушать целостность, доступность обезличенных данных.

Обработка обезличенных ПДн может осуществляться с использованием средств автоматизации или без использования таких средств.

При обработке обезличенных ПДн без использования средств автоматизации необходимо соблюдение правил хранения бумажных носителей и порядка доступа в помещения, где они хранятся, в целях исключения несанкционированного доступа к обезличенным ПДн, а также исключения возможности их несанкционированного уничтожения, изменения, блокирования, копирования, распространения, а также от неправомерных действий в отношении обезличенных ПДн.

При обработке обезличенных ПДн с использованием средств автоматизации необходимо дополнительно соблюдать правила по парольной защите, идентификации пользователей ИСПДн, правил работы со съемными носителями (в случае их использования), правил резервного копирования.

Меры обеспечения безопасности персональных данных

Выполнение мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн осуществляется в соответствии с «Положением об обеспечении безопасности персональных данных в информационных системах персональных данных Чистопольский городской Исполнительный комитет», утвержденным приказом Руководителя Комитета.

Ответственность

Все работники, допущенные в установленном порядке к работе с ПДн, несут административную, материальную, уголовную ответственность в соответствии с действующим законодательством за обеспечение сохранности и соблюдение правил работы с ПДн.

Ответственность за доведение требований настоящего Положения до работников и обеспечение мероприятий по их реализации несет ответственный за организацию обработки ПДн.

Предоставление ПДн посторонним лицам, в том числе, работникам, не имеющим права их обрабатывать, распространение ПДн, утрата съемных машинных носителей ПДн, а также иные нарушения обязанностей по обработке ПДн, установленных настоящим Положением и иными локальными нормативными актами, влечет наложение на совершившего нарушение работника, имеющего доступ к ПДн, дисциплинарного взыскания: замечания, выговора или увольнения.

Работник, имеющий доступ к ПДн субъектов и совершивший указанный в пункте 13.3 дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба (п. 7 ст. 243 Трудового кодекса РФ).

Работники, имеющие доступ к ПДн субъектов, виновные в незаконном сборе или передаче ПДн, а также осуществившие неправомерный доступ к охраняемой законом компьютерной информации, несут уголовную ответственность в соответствии со ст. 137 и ст. 272 Уголовного кодекса РФ.

Срок действия и порядок внесения изменений

Настоящее Положение вступает в силу с момента его утверждения и действует бессрочно до замены его новым Положением.

Настоящее Положение подлежит пересмотру не реже одного раза в три года.

Изменения и дополнения в настоящее Положение вносятся распоряжением Руководителя Комитета.

 Прошу скорректировать при необходимости

pdf
Скачать текст
PDF, 1.07 МБ

Все материалы сайта доступны по лицензии:
Creative Commons Attribution 4.0 International
Яндекс цитирования