Политика оператора в отношении обработки персональных данных
Документом, определяющим политику администрации Советского района в отношении обработки персональных данных, являются Правила обработки персональных данных в администрации Советского района
УТВЕРЖДЕНЫ
распоряжением администрации
Советского района
от 15.09.2020 № 97
ПРАВИЛА
обработки персональных данных в администрации Советского района
1. Общие положения
1.1. Правила обработки персональных данных в администрации Советского района определяют цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в администрации Советского района.
1.2. Настоящие Правила определяют политику администрации Советского района как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.
1.3. В настоящих Правилах используются основные понятия и термины, определенные Федеральными законами от 27.07.2006 № 152-ФЗ «О персональных данных», от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
1.4. Цели обработки персональных данных, содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, определены в Приложении № 1 к настоящим Правилам.
2. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных
2.1. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в администрации Советского района используются следующие процедуры:
2.1.1. Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
2.1.2. Оценка вреда, который может быть причинен категориям субъектов, персональные данные которых обрабатываются.
2.1.3. Ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящими Правилами.
2.1.4. Ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей.
2.1.5. Недопущение обработки персональных данных, несовместимых с целями сбора персональных данных.
2.1.6. Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.1.7. Соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
2.1.8. Обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.
2.2. Процедура оформления допуска к персональным данным включает в себя:
2.2.1. Ознакомление лица, допускаемого к обработке персональных данных, под подпись с локальными нормативными актами, регламентирующими порядок обработки и защиты персональных данных в администрации Советского района.
2.2.2. Истребование с указанного лица письменного обязательства о соблюдении правил обработки персональных данных.
2.2.3. Уведомление о факте обработки персональных данных без использования средств автоматизации (в случае такой обработки) по форме согласно Приложению № 3 к настоящим Правилам.
Оформление допуска к персональным данным осуществляет консультант по кадрам и муниципальной службе отдела юридической и кадровой работы.
Сотрудникам администрации Советского района, осуществляющим деятельность по эксплуатации информационных систем персональных данных, дополнительно оформляется допуск к обработке персональных данных в информационных системах путем истребования обязательства работника о соблюдении режима конфиденциальности персональных данных. Оформление указанного допуска осуществляет заведующий отделом документационного и информационно-технического обеспечения.
2.3. При обработке персональных данных, лица, уполномоченные на обработку персональных данных, обязаны соблюдать следующие требования:
2.3.1. Лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2.3.2. Лица, получившие доступ к персональным данным, обязаны поддерживать режим конфиденциальности персональных данных и исключить доступ к персональным данным посторонних лиц, в частности, исключить возможность ознакомления посторонних лиц с документами, содержащими персональные данные, на рабочем месте, в бумажном или электронном виде (на экране компьютера), хранить материальные носители персональных данных в установленных местах, при передаче персональных данных третьим лицам соблюдать правила представления служебной информации ограниченного распространения.
2.3.3. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, за исключением случаев, предусмотренных федеральным законом. Письменное согласие муниципального служащего, иного работника, соискателя вакансий на обработку персональных данных хранится в отделе юридической и кадровой работы. Письменное согласие субъекта персональных данных, не являющегося работником администрации Советского района, на обработку его персональных данных хранится в структурном подразделении (отраслевом органе) администрации Советского района, в котором непосредственно осуществляется обработка персональных данных указанного субъекта.
2.3.4. Персональные данные следует получать лично у работника. В случае возникновения необходимости получения персональных данных у третьей стороны субъект персональных данных должен быть уведомлен об этом заранее с указанием целей, источников, способов получения и характера персональных данных, и от него должно быть получено письменное согласие на получение персональных данных у третьей стороны. Письменное согласие работника на получение его персональных данных у третьей стороны хранится в отделе юридической и кадровой работы.
2.3.5. Запрещается получать, обрабатывать и приобщать к личному делу муниципального служащего персональные данные о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах.
2.3.6. При принятии решений, затрагивающих интересы работника, запрещается основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей.
2.3.7. Защита персональных данных от неправомерного их использования или утраты обеспечивается за счет средств администрации района в установленном порядке.
3. Сроки обработки и хранения персональных данных
3.1. Сроки хранения персональных данных на бумажных носителях информации устанавливаются в соответствии с законодательством Российской Федерации и определяются номенклатурой дел, утверждаемой в администрации Советского района в установленном порядке.
3.2. Сроки хранения персональных данных, обрабатываемых в информационных системах персональных данных, персональных данных, хранящихся на внешних электронных носителях информации, равнозначны срокам хранения соответствующих персональных данных на бумажных носителях.
3.3. Материальные носители персональных данных хранятся в отраслевых органах и структурных подразделениях администрации Советского района, к полномочиям которых относится обработка персональных данных в соответствии с настоящими Правилами, номенклатурой дел администрации Советского района и Перечнем мест хранения материальных носителей персональных данных (Приложение № 2 к настоящим Правилам).
3.4. Хранение материальных носителей персональных данных осуществляется в условиях, исключающих их случайную утрату или повреждение, а также неправомерное использование и обеспечивается установлением особого порядка доступа сотрудников и иных лиц в помещения, в которых ведётся обработка персональных данных, утверждаемым распоряжением администрации Советского района.
3.5. Персональные данные на бумажных носителях информации (документы) хранятся обособленно от документов иных видов, что обеспечивается формированием их в самостоятельные дела в соответствии с номенклатурой дел администрации Советского района.
3.6. Руководители отраслевых органов (структурных подразделений) администрации района, ответственные за обеспечение сохранности и конфиденциальности персональных данных в местах хранения их материальных носителей:
3.6.1. Определяют в каждом рабочем помещении, включённом в перечень, указанный в пункте 4.3 настоящего раздела, конкретные места расположения материальных носителей персональных данных (стеллажи, шкафы, сейфы, полки).
3.6.2. Создают необходимые условия для хранения материальных носителей персональных данных, исключающие их повреждение либо утрату, нарушение их конфиденциальности и обеспечивают соблюдение порядка доступа в помещения, в которых ведётся обработка персональных данных.
3.6.3. Обеспечивают раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящими Правилами обработки.
4. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований
4.1. Выделение к уничтожению материальных носителей персональных данных (документов), сроки хранения которых истекли, осуществляется экспертной комиссией при проведении ежегодной экспертизы ценности документов в соответствии с Инструкцией по делопроизводству в администрации Советского района.
4.2. По результатам экспертизы ценности документов составляются описи дел постоянного хранения и акты о выделении дел к уничтожению. Дела (документы) включаются в акт, если установленный для них срок хранения истёк к 1 января года, в котором составлен акт.
4.3. Уничтожение включённых в акт документов и дел производится в течение 30 календарных дней с момента утверждения описей дел постоянного хранения в установленном порядке.
4.4. Уничтожение документов (дел), содержащих персональные данные, осуществляется уполномоченными должностными лицами администрации Советского района непосредственно путём сжигания либо специализированной организацией в установленном порядке в присутствии руководителя соответствующего отраслевого органа (структурного подразделения) администрации Советского района, к полномочиям которых относится обработка персональных данных. По окончании процедуры уничтожения руководитель отраслевого органа (структурного подразделения) администрации Советского района подписывает соответствующий акт об уничтожении документов, содержащих персональные данные.
4.5. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
4.6. В случае выявления неправомерной обработки персональных данных персональные данные подлежат уничтожению в срок, не превышающий 10 рабочих дней с даты установления факта неправомерности обработки персональных данных.
4.7. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных персональные данные подлежат уничтожению в срок, не превышающий 3 рабочих дней с даты поступления указанного отзыва.
4.8. Уничтожение персональных данных в случаях, предусмотренных пунктами 5.6-5.7 настоящего раздела производится специальной комиссией, создаваемой на основании распоряжения администрации района, с составлением акта об уничтожении персональных данных.
5. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации
5.1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
5.2. В администрации Советского района без использования средств автоматизации обрабатываются следующие категории персональных данных: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, расходы, паспортные данные, данные полиса обязательного медицинского страхования, данные страхового свидетельства государственного пенсионного страхования, индивидуальный номер налогоплательщика, гражданство, номер телефона, адрес электронной почты, номера счетов, открытых в банковских учреждениях, сведения о размерах материальных выплат в пользу гражданина, место работы, стаж работы, сведения о привлечении к административной ответственности, сведения о наличии/отсутствии судимости, сведения об изменении фамилии, сведения об отношении к воинской обязанности, сведения о пребывании за границей, сведения о владении языками, пол, данные медицинского заключения установленной формы об отсутствии у гражданина заболевания, препятствующего поступлению на муниципальную службу или ее прохождению, данные свидетельства о рождении, данные свидетельства о заключении брака, фотография.
5.3. В целях обеспечения требований соблюдения конфиденциальности и безопасности при обработке персональных данных без использования средств автоматизации администрация Советского района предоставляет сотрудникам, работающим с персональными данными, необходимые условия для выполнения указанных требований:
информирует сотрудников, осуществляющих обработку персональных данных без использования средств автоматизации (в том числе сотрудников или лиц, осуществляющих такую обработку по договору с администрацией Советского района), о факте обработки ими персональных данных, обработка которых осуществляется администрацией Советского района без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, по форме согласно Приложению № 3 к настоящим Правилам. Информирование осуществляет консультант по кадрам и муниципальной службе отдела юридической и кадровой работы;
предоставляет хранилища для документов, средства для доступа к информационным ресурсам;
обучает правилам средств защиты информации;
проводит иные необходимые мероприятия.
5.5. Сотрудники администрации Советского района, работающие с персональными данными, обязаны использовать информацию о персональных данных исключительно для целей, связанных с выполнением своих трудовых обязанностей.
5.6. При прекращении выполнения трудовой функции, связанной с обработкой персональных данных, все носители информации, содержащие персональные данные (оригиналы и копии документов, машинные и бумажные носители и пр.), которые находились в распоряжении сотрудника администрации Советского района в связи с выполнением должностных обязанностей, данный работник должен передать своему непосредственному руководителю.
5.7. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).
5.8. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
5.9. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
5.10. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится администрация Советского района, или в иных аналогичных целях, должны соблюдаться следующие условия:
необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена правым актом администрации Советского района, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится администрация Советского района, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;
копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;
персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.
5.11. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
5.12. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
5.13. Правила, предусмотренные пунктами 6.11 и 6.12 настоящего раздела, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
5.14. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
5.15. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
5.16. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
5.17. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются администрацией Советского района.
Приложения к правилам обработки персональных данных в администрации Советского района