Типы документов
Реклама
Партнеры
Распоряжение Администрации Алнашского района от 31.03.2014 N 55-р <О нормативных правовых актах по работе с персональными данными в Администрации Алнашского района>
АДМИНИСТРАЦИЯ АЛНАШСКОГО РАЙОНА
РАСПОРЯЖЕНИЕ
от 31 марта 2014 г. № 55-р
В целях исполнения требований Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" (с последующими изменениями) и постановления Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" утвердить прилагаемые:
1. Положение о защите персональных данных в Администрации Алнашского района.
2. Правила рассмотрения запросов субъектов персональных данных или их представителей.
3. Правила проведения внутреннего контроля и проверок соответствия обработки персональных данных требованиям к защите персональных данных в Администрации Алнашского района.
4. Порядок доступа работников Администрации Алнашского района в помещения, в которых ведется обработка персональных данных.
5. Правила работы с обезличенными данными в Администрации Алнашского района.
6. Инструкцию по проведению антивирусного контроля в информационной системе персональных данных.
7. Типовую форму согласия на обработку персональных данных.
8. Типовое обязательство служащего Администрации Алнашского района, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших ему известными в связи с исполнением должностных обязанностей.
9. Перечень персональных данных, обрабатываемых в Администрации Алнашского района в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием муниципальных услуг и осуществлением муниципальных функций.
Глава Администрации
Алнашского района
В.П.БОБРОВ
Утверждено
распоряжением
Администрации
Алнашского района
от 31 марта 2014 г. № 55-р
ПОЛОЖЕНИЕ
О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ
АЛНАШСКОГО РАЙОНА
1. Общие положения
1.1. Настоящее Положение о защите персональных данных в Администрации Алнашского района (далее - Администрация) (далее - Положение) разработано на основании Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" и других нормативно-правовых актов Российской Федерации.
1.2. Настоящее Положение устанавливает порядок приема, получения, поиска, сбора, систематизации, накопления, хранения, уточнения, обновления, изменения, использования, распространения (в том числе передачи), обезличивания, блокирования, уничтожения, учета документов, содержащих сведения, отнесенные к персональным данным субъектов персональных данных с использованием средств автоматизации или без использования таких средств.
1.3. Целью настоящего Положения является защита персональных данных субъектов персональных данных от несанкционированного доступа и разглашения, неправомерного их использования или утраты. Персональные данные являются конфиденциальной, строго охраняемой информацией.
1.4. Основные термины и определения, применяемые в настоящем Положении:
1.4.1. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации.
1.4.2. Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
1.4.3. Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
1.4.4. Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
1.4.5. Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
1.4.6. Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
1.4.7. Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
1.4.8. Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
1.4.9. Конфиденциальность персональных данных - обязательное для соблюдения оператором по обработке персональных данных или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Обеспечения конфиденциальности персональных данных не требуется:
- в случае обезличивания персональных данных;
- в отношении общедоступных персональных данных.
1.4.10. Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные данным субъектом.
Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта или по решению главы Администрации, либо по решению суда или иных уполномоченных государственных органов.
1.4.11. Трансграничная передача персональных данных - передача персональных данных через государственную границу Российской Федерации органу власти иностранного государства, физическому лицу или юридическому лицу иностранного государства.
1.4.12. Работники - лица, имеющие трудовые отношения с Администрацией, либо кандидаты на вакантную должность, вступившие с Администрацией в отношения по поводу приема на работу.
1.4.13. Оператор - лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.
1.5. К субъектам персональных данных в Администрации (далее - субъекты) относятся лица - носители персональных данных, передавшие свои персональные данные Администрации (как на добровольной основе, так и в рамках выполнения требований нормативно-правовых актов) для приема, получения, поиска, сбора, систематизации, накопления, хранения, уточнения, обновления, изменения, использования, распространения (в том числе передачи), обезличивания, в том числе:
- работники Администрации, включая совместителей, а также лица, выполняющие работы по договорам гражданско-правового характера;
- иные лица, предоставляющие персональные данные Администрации.
1.6. Персональные данные защищаются от несанкционированного доступа в соответствии с нормативно-правовыми актами Российской Федерации, нормативно-распорядительными актами и рекомендациями регулирующих органов в области защиты информации, а также утвержденными регламентами и инструкциями Администрации.
1.7. Сбор, хранение, использование и распространение персональных данных лица без письменного его согласия не допускаются. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75-летнего срока хранения, если иное не определено законом.
1.8. Должностные лица Администрации, в обязанности которых входит обработка персональных данных субъектов персональных данных, обязаны обеспечить каждому субъекту возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
1.8. Персональные данные не могут быть использованы в целях:
- причинения имущественного и морального вреда гражданам;
- затруднения реализации прав и свобод граждан Российской Федерации.
1.9. Настоящее Положение и изменения к нему утверждаются распоряжением Администрации и являются обязательным для исполнения всеми работниками, имеющими доступ к персональным данным субъектов персональных данных Администрации. Все работники Администрации должны быть ознакомлены под роспись с настоящим Положением в редакции, действующей на момент указанного ознакомления.
2. Принципы обработки персональных данных
2.1. Обработка персональных данных в Администрации осуществляется на основе следующих принципов:
- законности целей и способов обработки персональных данных и добросовестности;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Администрации;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
2.3. Субъект персональных данных является собственником своих персональных данных и самостоятельно решает вопрос передачи Администрации своих персональных данных.
2.4. Держателем персональных данных является Администрация, которой субъект персональных данных добровольно передает во владение свои персональные данные. Администрация выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.
2.5. Потребителями (пользователями) персональных данных являются юридические и физические лица, обращающиеся к собственнику и (или) держателю персональных данных за получением необходимых сведений и пользующиеся ими без права передачи, разглашения.
2.6. Получение, хранение, комбинирование, передача или любое другое использование персональных данных субъекта персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников и обучающихся, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3. Понятие и состав персональных данных
3.1. Под персональными данными субъектов персональных данных понимается информация, необходимая Администрации в связи с реализацией трудовых отношений, а также в связи с оказанием муниципальных услуг и осуществлением муниципальных функций, и касающаяся конкретного субъекта персональных данных (фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное и имущественное положение, образование, профессия, доходы), а также сведения о фактах, событиях и обстоятельствах жизни субъекта, позволяющие идентифицировать его личность.
Персональные данные являются конфиденциальной информацией.
3.2. Документы, содержащие персональные данные, являются конфиденциальными, однако, учитывая их массовость и единое место обработки и хранения, соответствующий гриф ограничения на них не ставится.
Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено законом.
4. Получение, обработка и хранение персональных данных
4.1. Все персональные данные, необходимые в связи с реализацией трудовых отношений, а также в связи с оказанием муниципальных услуг и осуществлением муниципальных функций Администрация получает непосредственно у субъекта персональных данных. Администрация имеет право проверять достоверность указанных сведений в порядке, не противоречащим законодательству Российской Федерации.
4.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
4.3. При определении объема и содержания обрабатываемых персональных данных субъектов персональных данных Администрация руководствуется Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.
4.4. Все персональные данные субъекта персональных данных Администрация получает непосредственно у указанных субъектов. Сотрудники, осуществляющие обработку персональных данных, принимают от субъекта документы, проверяет их полноту и правильность указываемых сведений.
4.5. Если персональные данные субъекта персональных данных возможно получить исключительно у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Администрация должна сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта представить письменное согласие на их получение.
4.6. Условием обработки персональных данных субъекта персональных данных является его письменное согласие. Письменное согласие субъекта на обработку его персональных данных должно включать в себя:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование и адрес оператора персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых в Администрации способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
4.7. Согласия субъекта на обработку его персональных данных не требуется в следующих случаях:
- обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
- обработка персональных данных осуществляется в целях исполнения трудового или иного договора или соглашения между работником и Администрацией;
- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия при данных обстоятельствах невозможно;
- обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
- осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами.
4.8. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.
4.9. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных в письменной форме дает его законный представитель. В случае смерти субъекта согласие на обработку его персональных данных при необходимости дает в письменной форме один из его наследников, если такое согласие не было дано субъектом персональных данных при его жизни.
4.10. В случае если Администрация на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
4.11. Администрация не имеет права получать и обрабатывать персональные данные субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной, частной жизни, а также о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением, если:
- субъект дал согласие в письменной форме на обработку своих соответствующих персональных данных;
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья субъекта и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта в данный момент невозможно;
- обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
- обработка персональных данных необходима в связи с осуществлением правосудия;
- обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-разыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ работодатель вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.
Обработка персональных данных, перечисленных в п. 4.11 настоящего Положения, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
4.12. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия субъекта персональных данных в письменной форме.
4.13. Обработка биометрических персональных данных может осуществляться без согласия субъекта в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, об оперативно-разыскной деятельности, о государственной и муниципальной службе, о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, уголовно-исполнительным законодательством Российской Федерации.
4.14. Защита персональных данных субъекта от неправомерного их использования или утраты должна быть обеспечена оператором за счет его средств в порядке, установленном федеральным законодательством РФ.
4.15. Документы, содержащие персональные данные работника, составляют его личное дело. Документы, содержащие персональные данных соискателя, составляют его анкету.
Письменные доказательства получения оператором согласия субъекта персональных данных на их обработку хранятся в личном деле.
4.16. При обработке персональных данных Администрация вправе определять способы обработки, документирования, хранения и защиты персональных данных на базе современных информационных технологий.
4.17. Круг лиц, допущенных к работе с документами, содержащими персональные данные субъектов, определяется распоряжением Администрации.
4.18. Помещения, в которых хранятся персональные данные субъектов, оборудуются надежными замками и сигнализацией на вскрытие помещений.
Для хранения персональных данных используются специально оборудованные шкафы или сейфы, которые запираются на ключ.
Помещения, в которых хранятся персональные данные субъектов, в рабочее время при отсутствии в них работников должны быть закрыты.
Проведение уборки помещений, в которых хранятся персональные данные, должно производиться в присутствии соответствующих работников.
5. Права и обязанности сторон в области защиты
персональных данных
5.1. Субъект персональных данных обязан:
- передавать Администрации или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен федеральным законодательством, нормативными правовыми актами Российской Федерации, законодательством Удмуртской Республики, нормативными правовыми актами Удмуртской Республики, нормативно-правовыми актами органов местного самоуправления Алнашского района;
- своевременно в срок, не превышающий одного месяца, сообщать об изменении своих персональных данных.
5.2. Субъект персональных данных имеет право:
5.2.1. На полную информацию о своих персональных данных и об их обработке.
5.2.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральными законами.
Доступ к своим персональным данным предоставляется субъекту или его законному представителю при личном обращении либо при получении запроса. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
Право субъекта на доступ к своим персональным данным ограничивается в следующих случаях:
- обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
- обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
- предоставление персональных данных нарушает конституционные права и свободы других лиц.
5.2.3. На доступ к относящихся к субъекту медицинских данных с помощью (с участием) медицинского специалиста по их выбору.
5.2.4. Требовать от Администрации исключения, исправления или уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации, Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных".
Указанное требование должно быть оформлено письменным заявлением субъекта персональных данных на имя главы Администрации. При отказе исключить или исправить персональные данные субъекта последний имеет право заявить в письменном виде оператору о своем несогласии с соответствующим обоснованием такого несогласия.
Персональные данные оценочного характера субъекта имеет право дополнить заявлением, выражающим его собственную точку зрения.
5.2.5. Требовать об извещении Администрации всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях.
5.2.6. При отказе оператора исключить или исправить персональные данные субъекта он имеет право заявить в письменной форме оператору о своем несогласии с соответствующим обоснованием такого несогласия. При отклонении оператором указанного обращения (несогласия) субъект персональных данных имеет право обжаловать действия оператора в порядке, предусмотренном законодательством Российской Федерации.
5.2.7. Получать сведения о наличии у Администрации персональных данных, относящихся к соответствующему субъекту персональных данных.
5.2.8. Получать информацию, касающуюся обработки его персональных данных, в том числе содержащую:
- подтверждение факта обработки персональных данных в Администрации, а также цель такой обработки;
- способы обработки персональных данных, применяемые оператором;
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для него может повлечь за собой обработка его персональных данных.
5.2.9. Обжаловать в судебном порядке любые неправомерные действия или бездействие Администрации при обработке и защите персональных данных.
5.3. Субъект персональных данных не должен отказываться от своих прав на сохранение и защиту охраняемой законом тайны.
5.4. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных п. 5.5 настоящего Положения.
5.5. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия субъекта в письменной форме или в случаях, предусмотренных федеральными законами.
5.6. Администрация обязана разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты своих прав и законных интересов.
5.7. Администрация обязана рассмотреть возражение субъекта персональных данных в течение семи рабочих дней со дня его получения и уведомить его о результатах рассмотрения такого возражения.
5.8. Если обязанность предоставления персональных данных субъектом установлена федеральным законом, Администрация обязана разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.
5.9. Если персональные данные были получены не от субъекта (за исключением случаев, когда персональные данные были предоставлены в Администрацию на основании федерального закона или если персональные данные являются общедоступными), Администрация до начала обработки таких персональных данных обязана предоставить субъекту персональных данных следующую информацию:
1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) права субъекта в области защиты персональных данных.
5.10. Администрация обязана безвозмездно предоставить субъекту персональных данных возможность ознакомления с персональными данными, относящимися к соответствующему субъекту, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом сведений, подтверждающих, что персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить соответствующего субъекта персональных данных и третьих лиц, которым персональные данные этого субъекта были переданы.
Администрация обязана сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа в установленные нормативно-правовыми актами Российской Федерации сроки.
5.11. В случае выявления недостоверных персональных данных или неправомерных действий с ними Администрация обязана осуществить блокирование персональных данных, относящихся к соответствующему субъекту, с момента получения такой информации на период проверки. В случае подтверждения факта недостоверности персональных данных Администрация на основании соответствующих документов обязана уточнить персональные данные и снять их блокирование.
5.12. В случае выявления неправомерных действий с персональными данными Администрация в срок, не превышающий трех рабочих дней с даты такого выявления, обязана устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Администрация в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязана уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Администрация обязана уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.
5.13. В случае достижения цели обработки персональных данных Администрация обязана незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных.
5.14. В случае отзыва субъектом согласия на обработку своих персональных данных Администрация обязана прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением сторон и (или) федеральным законом. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.
5.15. До начала обработки персональных данных Администрация обязана уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев персональных данных:
- относящихся к субъектам персональных данных, которых связывают с Администрацией трудовые отношения;
- полученных Администрацией в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются Администрацией исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
- относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующим общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
- являющихся общедоступными персональными данными;
- включающих в себя только фамилии, имена и отчества субъектов персональных данных;
- включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
- обрабатываемых без использования средств автоматизации в соответствии с федеральными законами и иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных.
5.16. Уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:
- адрес Администрации;
- цель обработки персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- правовое основание обработки персональных данных;
- перечень действий с персональными данными, общее описание используемых Администрацией способов обработки персональных данных;
- описание мер, которые Администрация обязуется осуществлять при обработке персональных данных по обеспечению безопасности персональных данных при их обработке;
- дату начала обработки персональных данных;
- срок и условия прекращения обработки персональных данных.
6. Доступ к персональным данным субъекта и их передача
6.1. Внутренний доступ (доступ внутри Администрации) к персональным данным субъектов имеют сотрудники структурных подразделений Администрации, которым эти данные необходимы для выполнения должностных обязанностей.
6.1.1. Право доступа к персональным данным работника Администрации имеют:
- глава Администрации и его заместители;
- руководитель аппарата Администрации;
- руководители структурных подразделений по направлению деятельности (доступ к личным данным исключительно работников данного подразделения);
- непосредственно субъект;
- работники Администрации, в должностные обязанности которых входит ведение вопросов кадров и муниципальной службы, бухгалтерского учета и отчетности, осуществление защиты государственной тайны.
6.1.2. Право доступа к персональным данным субъекта персональных данных в связи с оказанием муниципальных услуг и осуществлением муниципальных функций имеют:
- глава Администрации и его заместители;
- руководитель Аппарата Администрации;
- другие работники Администрации, в чьи должностные обязанности входят полномочия по оказанию конкретных муниципальных услуг или осуществление определенных муниципальных функций, которые имеют доступ к персональным данным субъекта.
6.2. Внешний доступ.
6.2.1. К числу массовых потребителей персональных данных вне Администрации относятся следующие государственные и негосударственные структуры:
- налоговые органы;
- правоохранительные органы;
- органы лицензирования и сертификации;
- органы прокуратуры и ФСБ;
- органы статистики;
- страховые агентства;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- подразделения государственных и муниципальных органов.
6.2.2. Надзорно-контрольные органы имеют доступ к информации исключительно в сфере своей компетенции.
6.3. Внешний доступ со стороны третьих лиц к персональным данным субъекта осуществляется с его письменного согласия, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта или других лиц и иных случаев, установленных законодательством.
6.4. Оператор обязан сообщать персональные данные субъекта надлежащим образом оформленным запросам суда, прокуратуры, иных правоохранительных органов.
6.5. Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии заявления работника.
6.6. Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта персональных данных.
6.7. В случае развода бывшая супруга (супруг) имеют право обратиться в Администрацию с письменным запросом о размере заработной платы работника без его согласия в соответствии с нормами трудового и семейного законодательства РФ.
6.8. При передаче персональных данных Администрация должна соблюдать следующие требования:
6.8.1. Не сообщать персональные данные субъекта третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральными законами.
6.8.2. Не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия.
6.8.3. Предупреждать лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными в порядке, установленном федеральными законами.
6.8.4. Не запрашивать информацию о состоянии здоровья субъекта, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции и возможности обучения.
6.8.5. Передавать персональные данные субъекта представителям работников и иных категорий субъектов персональных данных в порядке, установленном Трудовым кодексом Российской Федерации и Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
6.8.6. Разрешать доступ к персональным данным исключительно уполномоченным лицам (при этом указанные лица должны иметь право получать лишь те персональные данные, которые необходимы для выполнения конкретных функций).
Лица, допущенные к обработке персональных данных, должны подписать обязательство о неразглашении персональных данных.
6.9. Передача персональных данных от держателя или его представителей внешним операторам может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
6.10. Ответы на правомерные письменные запросы других предприятий, учреждений и организаций даются с разрешения главы Администрации в письменной форме в том объеме, который позволяет не разглашать излишних персональных сведений.
6.11. Не допускается отвечать по телефону на вопросы, связанные с персональной информацией.
6.12. Сведения передаются в письменной форме и должны иметь гриф конфиденциальности.
6.13. Трансграничная передача персональных данных.
6.13.1. До начала осуществления трансграничной передачи персональных данных Администрация обязана убедиться, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъекта персональных данных.
6.13.2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту персональных данных, осуществляется в соответствии с ФЗ "О персональных данных" и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
6.13.3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты персональных данных субъектов персональных данных, может осуществляться в случаях:
- наличия согласия субъекта персональных данных в письменной форме;
- предусмотренных международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;
- предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
- исполнения договора, стороной которого является субъект персональных данных;
- защиты жизни, здоровья, иных жизненно важных интересов субъекта или других лиц при невозможности получения согласия в письменной форме.
7. Защита персональных данных
7.1. Комплекс мер по защите персональных данных направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивает безопасность информации в процессе управленческой и производственной деятельности Администрации.
7.2. Администрация при обработке персональных данных принимает необходимые организационные и технические меры, в том числе использует шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в соответствии с требованиями к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требованиями к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, установленными Правительством Российской Федерации.
7.3. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением таких технологий хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
7.4. Мероприятия по защите персональных данных подразумевают внутреннюю и внешнюю защиту.
7.4.1. "Внутренняя защита" включает следующие организационно-технические мероприятия:
7.4.1.1. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководством и специалистами Администрации.
7.4.1.2. Для защиты персональных данных в Администрации применяются следующие принципы и правила:
- ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;
- строгое избирательное и обоснованное распределение документов и информации между сотрудниками;
- рациональное размещение рабочих мест сотрудников, при котором исключается бесконтрольное использование защищаемой информации;
- знание сотрудниками требований нормативно-методических документов по защите персональных данных;
- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
- определение и регламентация состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится соответствующая вычислительная техника;
- организация порядка уничтожения информации;
- своевременное выявление нарушений требований разрешительной системы доступа сотрудниками подразделения;
- воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
- защита паролями доступа персональных компьютеров, на которых содержатся персональные данные.
7.4.2. "Внешняя защита" включает следующие организационно-технические мероприятия:
7.4.2.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией.
7.4.2.2. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности Администрации, посетители, сотрудники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в структурных подразделениях Администрации, использующих персональные данных.
7.4.2.3. Для защиты персональных данных соблюдается ряд мер организационно-технического характера:
- порядок приема, учета и контроля деятельности посетителей;
- технические средства охраны, сигнализации;
- порядок охраны территории, зданий, помещений, транспортных средств;
- требования к защите информации при интервьюировании и собеседованиях.
7.5. Порядок конкретных мероприятий по защите персональных данных с использованием или без использования ЭВМ определяется нормативными правовыми актами Администрации.
8. Ответственность за разглашение конфиденциальной
информации, связанной с персональными данными
8.1. Персональная ответственность является одним из главных требований к организации функционирования системы защиты персональных данных и обязательным условием обеспечения эффективности функционирования данной системы.
8.2. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
8.3. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за принятое решение.
8.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
8.5. Каждый сотрудник Администрации, получающий для работы конфиденциальный документ, несет персональную ответственность за сохранность носителя и конфиденциальность полученной информации.
8.6. Должностные лица, в обязанность которых входит обработка персональных данных, обязаны обеспечить каждому субъекту персональных данных возможность ознакомления с документами и материалами, если иное не предусмотрено законом.
Неправомерный отказ в предоставлении собранных в установленном порядке персональных данных, либо несвоевременное их предоставление в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации влечет наложение на должностных лиц административного наказания в порядке, установленном Кодексом Российской Федерации об административных правонарушениях.
8.7. В соответствии с Гражданским кодексом РФ лица, незаконными методами получившие информацию, составляющую персональные данные, обязаны возместить причиненные убытки; такая же обязанность возлагается и на работников, не обладающих правом доступа к персональным данным.
8.8. Уголовная ответственность наступает за нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти действия причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения.
Утверждены
распоряжением
Администрации
Алнашского района
от 31 марта 2014 г. № 55-р
ПРАВИЛА
РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ
1. При поступлении письменного запроса субъекта персональных данных или их представителей ответственное лицо Администрации должно зарегистрировать данный запрос в "Журнале учета обращений субъектов персональных данных по вопросам обработки персональных данных".
2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе, содержащей:
- подтверждение факта обработки персональных данных оператором;
- правовые основания и цели обработки персональных данных;
- цели и способы обработки персональных данных, применяемые в Администрации;
- место нахождения Администрации, сведения о лицах (за исключением сотрудников), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании федеральных законов;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Администрации, если обработка поручена такому лицу;
- иные сведения, предусмотренные действующим законодательством.
3. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных в Администрации, подпись субъекта персональных данных или его представителя (приложение 1). Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
4. Сведения по запросу должны быть предоставлены субъекту персональных данных Администрации в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
5. В случае если сведения, указанные в ответе (приложение 2), были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе повторно обратиться или направить повторный запрос в целях получения сведений и ознакомления с персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральными законами, принятыми в соответствии с ними нормативными правовыми актами или договорами, стороной которых являются либо выгодоприобретатели, либо поручители.
6. Субъект персональных данных вправе повторно обратиться или направить повторный запрос в целях получения сведений, касающихся обработки его персональных данных, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 5 настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 5 настоящих Правил, должен содержать обоснование направления повторного запроса.
7. Администрация вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 5 и п. 6 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Администрации.
8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том случае, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
Приложение 1
к Правилам
рассмотрения запросов
субъектов персональных
данных или их представителей
Главе Администрации
Алнашского района
от _____________________________
(ФИО субъекта ПДн)
________________________________
(адрес регистрации субъекта ПДн)
________________________________
(паспортные данные субъекта ПДн)
________________________________
________________________________
ЗАПРОС
(о предоставлении/изменении/исключении
персональных данных субъекта)
Мною, ________________________________________, "__" ______________ ____ г.
(ФИО) (дата предоставления ПДн)
в связи с осуществлением __________________________________________________
___________________________________________________________________________
В Администрации Алнашского района были предоставлены следующие персональные
данные ____________________________________________________________________
___________________________________________________________________________
(указать, какие сведения были предоставлены, например: ФИО, паспортные
данные, сведения о дате и месте рождения и т.п.)
Указанные данные были предоставлены мною для ______________________________
___________________________________________________________________________
(указать, для проведения какой операции были предоставлены данные)
В настоящее время сообщаю об изменении/исключении следующих моих
персональных данных в связи с _____________________________________________
___________________________________________________________________________
(указать, какие данные, каким образом поменялись, например: ФИО
изменение Иванова И.И., на Петрова И.И.)
В срок не позднее 7 (семи) рабочих дней с даты получения
документального подтверждения об изменении персональных данных прошу внести
изменение/исключить персональные данные в связи с _________________________
___________________________________________________________________________
(прекращением отношений с Администрацией, утратой сведениями достоверности
и т.д).
Уведомить о факте изменения прошу по телефону, номер _________________.
приложение:
- _________________________________________________________________________
- _________________________________________________________________________
__________________ ______________________ _____________________
(ФИО) (подпись) (дата)
Приложение 2
к Правилам
рассмотрения запросов
субъектов персональных
данных или их представителей
ОТВЕТ НА ЗАПРОС
(о предоставлении/изменении/исключении
персональных данных субъекта)
гр. __________________
______________________
______________________
Уважаемый ____________________________!
В ответ на Ваш запрос № ________ от _____________ Администрация Алнашского
района (далее - оператор) сообщает: "__" _________ ____ г. оператор получил
от ________________________________________________________________________
сведения, содержащие персональные данные:
1. ФИО: _____________________________________________________________,
2. Паспортные данные: _____________________________________________________
___________________________________________________________________________
3. Дата и место рождения: _________________________________________________
4. ________________________________________________________________________
5. ________________________________________________________________________
6. ________________________________________________________________________
7._________________________________________________________________________
8. ________________________________________________________________________
9. ________________________________________________________________________
Указанные данные были получены в целях_____________________________________
___________________________________________________________________________
на что предварительно было получено Ваше письменное согласие (копия
прилагается).
В настоящее время материальные носители, содержащие Ваши персональные
данные - _________________________________________________________________,
хранятся в ________________________________________________________________
по адресу ________________________________________________________________.
Непосредственный доступ к ним имеют следующие лица: _______________________
___________________________________________________________________________
__________________________________________________________________________,
обязанность работы с персональными данными субъектов на них предусмотрена
характером выполняемых трудовых обязанностей, а также распоряжением
№ ___________ Администрации.
Необходимость хранения Ваших персональных данных связана с текущим
исполнением условий договора и/или недостижением целей обработки
персональных данных.
Вы можете безвозмездно ознакомиться с указанными персональными данными
в срок не позднее 30 дней с даты подачи заявления на ознакомление с
персональными данными по адресу ___________________________________________
Глава Администрации ___________
Утверждены
распоряжением
Администрации
Алнашского района
от 31 марта 2014 г. № 55-р
ПРАВИЛА
ПРОВЕДЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ И ПРОВЕРОК СООТВЕТСТВИЯ
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ АЛНАШСКОГО РАЙОНА
1. Настоящими Правилами осуществления внутреннего контроля и проверок соответствия обработки персональных данных требованиям к защите персональных данных (далее - Правила) в Администрации Алнашского района определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
2. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами.
3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных".
4. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Администрации Алнашского района организовывается проведение периодических проверок условий обработки персональных данных.
5. Проверки осуществляются ответственным за обеспечение безопасности персональных данных в информационных системах персональных данных Администрации Алнашского района либо комиссией, образуемой распоряжением главы Администрации.
6. Проверки соответствия обработки персональных данных установленным требованиям в Администрации Алнашского района проводятся на основании утвержденного главой Администрации ежегодного плана мероприятий по организации защиты персональных данных или на основании поступившего письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
7. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
- порядок и условия применения средств защиты информации;
- эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- состояние учета машинных носителей персональных данных;
- соблюдение правил доступа к персональным данным;
- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
- мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- осуществление мероприятий по обеспечению целостности персональных данных.
8. Ответственный за обеспечение безопасности персональных данных в Администрации (комиссия) имеет право:
3. Запрашивать у сотрудников Администрации информацию, необходимую для реализации полномочий;
4. Требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
5. Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
6. Вносить предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
7. Вносить предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
9. Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о ее проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, главе Администрации докладывает ответственный за эксплуатацию информационных систем персональных данных либо председатель комиссии в форме письменного заключения.
10. Глава Администрации, назначивший внеплановую проверку, обязан контролировать своевременность и правильность ее проведения.
Утвержден
распоряжением
Администрации
Алнашского района
от 31 марта 2014 г. № 55-р
ПОРЯДОК
ДОСТУПА РАБОТНИКОВ АДМИНИСТРАЦИИ МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ
"АЛНАШСКИЙ РАЙОН" В ПОМЕЩЕНИЯ, В КОТОРЫХ ВЕДЕТСЯ ОБРАБОТКА
ПЕРСОНАЛЬНЫХ ДАННЫХ
Настоящий Порядок доступа работников Администрации Алнашского района в помещения, в которых ведется обработка персональных данных (далее - Порядок) разработан в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
1. Персональные данные относятся к конфиденциальной информации. Работники Администрации Алнашского района, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2. Обеспечение безопасности персональных данных от уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных достигается, в том числе, установлением правил доступа в помещения, где обрабатываются персональные данные в информационной системе персональных данных и без использования средств автоматизации.
3. Размещение информационных систем, в которых обрабатываются персональные данные, осуществляется в охраняемых помещениях. Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц. При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
5. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только работники Администрации, уполномоченные на обработку персональных данных.
6. Ответственными за организацию доступа в помещения Администрации, в которых ведется обработка персональных данных, являются начальники структурных подразделений Администрации.
7. Нахождение лиц в помещениях Администрации, не являющихся уполномоченными лицами на обработку персональных данных, возможно только в сопровождении уполномоченного специалиста Администрации, ограниченное необходимостью решение вопросов, связанных с исполнением муниципальных функций и (или) осуществлением полномочий структурного подразделения.
8. Внутренний контроль за соблюдением порядка доступа в помещения Администрации, в которых ведется обработка персональных данных, проводится лицом, ответственным за организацию обработки персональных данных.
Утверждены
распоряжением
Администрации
Алнашского района
от 31 марта 2014 г. № 55-р
ПРАВИЛА
РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ДАННЫМИ В АДМИНИСТРАЦИИ
АЛНАШСКОГО РАЙОНА
1. Общие положения
1.1. Настоящие Правила работы с обезличенными персональными данными Администрации (далее - Администрация) разработаны с учетом Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" и постановления Правительства РФ от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
1.2. Настоящие Правила определяют порядок работы с обезличенными данными Администрации.
2. Термины и определения
2.1. В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных":
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
3. Условия обезличивания
3.1. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных Администрации и по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.2. Способы обезличивания при условии дальнейшей обработки персональных данных:
- уменьшение перечня обрабатываемых сведений;
- замена части сведений идентификаторами;
- обобщение - понижение точности некоторых сведений;
- понижение точности некоторых сведений (например "Место жительства" может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);
- деление сведений на части и обработка в разных информационных системах;
- другие способы.
3.3. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
3.4. Для обезличивания персональных данных применяются способы, не противоречащие действующему законодательству.
3.5. Перечень должностей муниципальных служащих Администрации, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, утверждается распоряжением Администрации.
4. Порядок обезличивания персональных данных
4.1. Глава Администрации принимает решение о необходимости обезличивания персональных данных.
4.2. Заместители главы Администрации, руководитель аппарата Администрации готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания.
4.3. Муниципальные служащие Администрации, обслуживающие базы данных с персональными данными, совместно с администратором безопасности персональных данных осуществляют непосредственное обезличивание выбранным способом.
5. Порядок работы с обезличенными персональными данными
5.1. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
5.2. Обезличенные персональные данные могут обрабатываться с использования и без использования средств автоматизации.
5.3. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
- парольной политики;
- антивирусной политики;
- правил работы со съемными носителями (если они используется);
- правил резервного копирования;
- правил доступа в помещения, где расположены элементы информационных систем.
5.4. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
- правил хранения бумажных носителей;
- правил доступа к ним и в помещения, где они хранятся.
Утверждена
распоряжением
Администрации
Алнашского района
от 31 марта 2014 г. № 55-р
ИНСТРУКЦИЯ
ПО ПРОВЕДЕНИЮ АНТИВИРУСНОГО КОНТРОЛЯ В ИНФОРМАЦИОННОЙ
СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Настоящая Инструкция предназначена для пользователей информационных систем персональных данных (ИСПДн) Администрации Алнашского района.
2. В целях обеспечения антивирусной защиты в ИСПДн производится антивирусный контроль.
3. Ответственность за поддержание установленного в настоящей Инструкции порядка проведения антивирусного контроля возлагается на администратора безопасности информации.
4. К применению в ИСПДн допускаются лицензионные антивирусные средства.
5. В ИСПДн запрещается установка программного обеспечения, не связанного с выполнением функций, предусмотренных технологическим процессом обработки информации.
6. Пользователи ИСПДн при работе со съемными носителями информации (компакт-дисками (CD-дисками), USB флеш-накопителями, гибкими магнитными дисками (ГМД)) обязаны перед началом работы осуществить их проверку на предмет отсутствия компьютерных вирусов.
7. Ярлык для запуска антивирусной программы должен быть вынесен на "Рабочий стол" операционной системы.
8. Администратор безопасности информации осуществляет периодическое обновление антивирусных пакетов и контроль их работоспособности.
9. Администратор безопасности информации проводит периодическое тестирование всего установленного программного обеспечения на предмет отсутствия компьютерных вирусов.
10. При обнаружении компьютерного вируса пользователь ИСПДн обязан немедленно поставить в известность администратора безопасности информации и прекратить какие-либо действия в ИСПДн.
11. Администратор безопасности информации проводит, в случае необходимости, лечение зараженных файлов путем выбора соответствующего пункта меню антивирусной программы и после этого вновь проводит антивирусный контроль.
12. В случае обнаружения на съемных носителях информации нового вируса, не поддающегося лечению, администратор безопасности информации обязан запретить использование данного съемного носителя информации.
13. В случае обнаружения вируса, не поддающегося лечению, администратор безопасности информации обязан поставить в известность ответственного за эксплуатацию ИСПДн, запретить работу в ИСПДн и в возможно короткие сроки обновить пакет антивирусных программ.
Утверждена
распоряжением
Администрации
Алнашского района
от 31 марта 2014 г. № 55-р
Типовая форма
Администрация Алнашского района ул. Комсомольская, д. 8, с. Алнаши,
Удмуртская Республика, 427880
СОГЛАСИЕ на обработку персональных данных
Я, ___________________________________________________________________,
(фамилия, имя, отчество субъекта персональных данных полностью)
основной документ, удостоверяющий личность ________________________________
__________________________________________________________________________,
(вид, номер, сведения о дате выдачи указанного документа и выдавшем его
органе)
проживающий по адресу ____________________________________________________,
настоящим даю свое согласие Администрации Алнашского района (далее -
Оператор), в лице ответственного за обработку персональных данных _________
___________________________________________________________________________
(фамилия, имя, отчество и должность ответственного за обработку
персональных данных)
на обработку персональных данных на следующих условиях:
1. Согласие дается мною в целях _______________________________________
__________________________________________________________________________,
(цель обработки персональных данных)
передачи персональных данных в организации, указанные в п. 4, соблюдения
федеральных законов и иных нормативных актов Российской Федерации.
2. Настоящее согласие дается на осуществление следующих действий в
отношении моих персональных данных, которые необходимы для достижения
указанных выше целей, включая: ____________________________________________
___________________________________________________________________________
__________________________________________________________________________.
(сбор, запись, систематизация, накопление, хранение, обезличивание,
уничтожение и т.д.)
- Перечень персональных данных, передаваемых Оператору на обработку:
___________________________________________________________________________
__________________________________________________________________________.
- Оператор имеет право передать персональные данные субъекта в ________
__________________________________________________________________________.
(наименование организаций)
- Субъект персональных данных по письменному запросу имеет право на
получение информации, касающейся обработки (в соответствии с п. 7 ст. 14
Федерального закона от 27 июня 2006 года № 152-ФЗ "О персональных данных").
- Настоящее согласие дается до истечения сроков хранения
соответствующей информации или документов, содержащих вышеуказанную
информацию, определяемых в соответствии с Федеральным законом от 22
октября 2004 года № 125-ФЗ "Об архивном деле в Российской Федерации" и
"Перечнем типовых управленческих архивных документов, образующихся в
процессе деятельности государственных органов, органов местного
самоуправления и организаций, с указанием сроков хранения", утвержденным
приказом Министерства культуры Российской Федерации от 25 августа 2010 года
№ 558 "Об утверждении Перечня типовых управленческих архивных документов,
образующихся в процессе деятельности государственных органов, органов
местного самоуправления и организации, с указанием сроков хранения", после
чего персональные данные уничтожаются или обезличиваются.
- Согласие может быть отозвано путем направления соответствующего
письменного уведомления в адрес Оператора по почте заказным письмом, с
уведомлением о вручении, либо вручен лично под расписку представителю
Оператора, после чего Оператор обязуется в течение 3 (трех) месяцев
уничтожить либо обезличить персональные данные Субъекта.
_______________ 20__ г. ___________/________________________
(дата) (подпись) (И.О. Фамилия)
Юридические последствия отказа предоставить свои персональные мне
разъяснены
_______________ 20__ г. ___________/________________________
(дата) (подпись) (И.О. Фамилия)
Утверждено
распоряжением
Администрации
Алнашского района
от 31 марта 2014 г. № 55-р
Администрация Алнашского района, ул. Комсомольская, д. 8,
с. Алнаши, Удмуртская Республика, 427880
ТИПОВОЕ ОБЯЗАТЕЛЬСТВО
служащего Администрации Алнашского района, непосредственно осуществляющего
обработку персональных данных, в случае расторжения с ним трудового
договора прекратить обработку персональных данных, ставших ему известными в
связи с исполнением должностных обязанностей
Я,____________________________________________________________________,
(фамилия, имя, отчество сотрудника)
в качестве сотрудника Администрации Алнашского района в период трудовых
отношений и в течение 3 (трех) лет после их окончания обязуюсь:
1. Не разглашать сведения конфиденциального характера Администрации
Алнашского района, которые мне будут доверены или станут известны в
результате исполнения своих должностных обязанностей.
2. Не передавать третьим лицам конфиденциальную информацию
Администрации за исключением случаев, предусмотренных законодательством
Российской Федерации.
3. Выполнять требования приказов, инструкций и положений по
обеспечению сохранности конфиденциальной информации.
4. В случае попытки посторонних лиц получить от меня сведения
конфиденциального характера, сообщить об этом факте своему
непосредственному руководителю.
5. Не использовать знание конфиденциальной информации для
деятельности, которая может нанести ущерб Администрации, за исключением
случаев, установленных законодательством Российской Федерации.
6. В случае моего увольнения все носители конфиденциальной информации
(рукописи, черновики, машинные носители, распечатки на принтерах, изделия и
пр.), которые находились в моем распоряжении в связи с выполнением мною
служебных обязанностей в Администрации, передать непосредственному
руководителю.
7. Об утрате или недостаче носителей конфиденциальной информации,
ключей, специальных пропусков, удостоверений, хранилищ, личных печатей,
которые могут привести к разглашению информации ограниченного доступа, а
также о причинах и условиях возможной утечки сведений немедленно сообщить
непосредственному руководителю.
Я предупрежден(а), что лица, виновные в нарушении норм, регулирующих
получение, обработку и защиту конфиденциальной информации, привлекаются к
дисциплинарной ответственности в порядке, установленном Трудовым кодексом
Российской Федерации и иными федеральными законами, а также привлекаются к
гражданско-правовой, административной и уголовной ответственности в
порядке, установленном федеральными законами.
"__" ___________ 20__ г.
_____________________________________________________________
(Фамилия, имя, отчество, подпись лица, давшего обязательство)
Утвержден
распоряжением
Администрации
Алнашского района
от 31 марта 2014 г. № 55-р
ПЕРЕЧЕНЬ
ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В АДМИНИСТРАЦИИ
АЛНАШСКОГО РАЙОНА В СВЯЗИ С РЕАЛИЗАЦИЕЙ СЛУЖЕБНЫХ
ИЛИ ТРУДОВЫХ ОТНОШЕНИЙ, А ТАКЖЕ В СВЯЗИ С ОКАЗАНИЕМ
МУНИЦИПАЛЬНЫХ УСЛУГ И ОСУЩЕСТВЛЕНИЕМ МУНИЦИПАЛЬНЫХ ФУНКЦИЙ
1. Перечень персональных данных, обрабатываемых в Администрации Алнашского района в связи с реализацией служебных или трудовых отношений:
фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества в случае их изменения);
число, месяц, год рождения;
место рождения;
информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
адрес места жительства (адрес регистрации, фактического проживания);
номер контактного телефона или сведения о других способах связи;
реквизиты страхового свидетельства государственного пенсионного страхования;
идентификационный номер налогоплательщика;
реквизиты страхового медицинского полиса обязательного медицинского страхования;
реквизиты свидетельства государственной регистрации актов гражданского состояния;
семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
сведения о трудовой деятельности;
сведения о воинском учете и реквизиты документов воинского учета;
сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
сведения об ученой степени;
информация о владении иностранными языками, степень владения;
медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на муниципальную службу или ее прохождению;
фотография;
сведения о прохождении муниципальной службы, в том числе: дата, основания поступления на муниципальную службу и назначения на должность муниципальной службы, дата, основания назначения, перевода, перемещения на иную должность муниципальной службы, наименование замещаемых должностей муниципальной службы с указанием структурных подразделений, размера денежного содержания, результатов аттестации на соответствие замещаемой должности муниципальной службы, а также сведения о прежнем месте работы;
информация, содержащаяся в трудовом договоре, дополнительных соглашениях к трудовому договору;
сведения о пребывании за границей;
информация о классном чине муниципальной службы Российской Федерации (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде муниципальной службы (квалификационном разряде или классном чине государственной гражданской службы);
информация о наличии или отсутствии судимости;
информация об оформленных допусках к государственной тайне;
государственные награды, иные награды и знаки отличия;
сведения о профессиональной переподготовке и (или) повышении квалификации;
информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
сведения о доходах, об имуществе и обязательствах имущественного характера.
2. Перечень персональных данных, обрабатываемых в Администрации Алнашского района в связи с оказанием муниципальных услуг и осуществлением муниципальных функций:
фамилия, имя, отчество субъекта персональных данных;
вид документа, удостоверяющего личность субъекта персональных данных;
серия и номер документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе;
адрес места жительства субъекта персональных данных;
почтовый адрес субъекта персональных данных;
контактный телефон, факс (при наличии) субъекта персональных данных;
адрес электронной почты субъекта персональных данных;
ИНН субъекта персональных данных;
дата рождения субъекта персональных данных;
место рождения субъекта персональных данных;
табельный номер субъекта персональных данных;
должность субъекта персональных данных;
информация о собственности на земельные участки и характеристика участков;
семейное положение;
национальность;
информация из свидетельства о смерти, свидетельства о рождении, свидетельства о браке и его расторжении;
информация об имущественных правах на жилое помещение;
сведения о трудовой деятельности;
сведения об образовании;
иные сведения, указанные заявителем.
------------------------------------------------------------------
По датам
Введите даты для поиска:
Информация
Ключевые слова