Постановление от 09.04.2014 г № 233
Об утверждении Правил обработки и защиты персональных данных в местной администрации Прохладненского муниципального района
В соответствии с Федеральным законом от 6 октября 2003 года N 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации", Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", подпунктом "б" пункта 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного Постановлением Правительства Российской Федерации от 21 марта 2012 года N 211, Уставом Прохладненского муниципального района местная администрация Прохладненского муниципального района постановляет:
1.Утвердить прилагаемые Правила обработки и защиты персональных данных в местной администрации Прохладненского муниципального района КБР.
2.Признать утратившим силу Постановление администрации Прохладненского муниципального района от 7 октября 2008 года N 568 "Об утверждении Положения о персональных данных муниципальных служащих Прохладненского муниципального района, ее структурных подразделений с образованием юридического лица, и ведение его личного дела".
3.Опубликовать настоящее Постановление в газете "Прохладненские известия" и разместить на официальном сайте местной администрации Прохладненского муниципального района.
4.Настоящее Постановление вступает в силу с момента опубликования.
5.Контроль за исполнением настоящего Постановления возложить на заместителя главы - управляющего делами местной администрации Прохладненского муниципального района А.А. Матросова.
Глава местной администрации
Прохладненского муниципального района
С.А.ГОВОРОВ
ПРАВИЛА
ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В МЕСТНОЙ
АДМИНИСТРАЦИИ ПРОХЛАДНЕНСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
I.Общие положения
1.Настоящие Правила обработки и защиты персональных данных в местной администрации Прохладненского муниципального района (далее - Правила) определяют политику местной администрации Прохладненского муниципального района КБР (далее - Местная администрация) как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных (далее - ПДн), и устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере ПДн, а также определяют для каждой цели обработки ПДн содержание обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в Местной администрации.
2.Настоящие Правила разработаны в соответствии с Трудовым кодексом Российской Федерации (далее - Трудовой кодекс Российской Федерации), Федеральным законом от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (далее - Федеральный закон "О порядке рассмотрения обращений граждан Российской Федерации"), Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"), Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 2 марта 2007 г. N 25-ФЗ "О муниципальной службе в Российской Федерации" (далее - Федеральный закон "О муниципальной службе в Российской Федерации"), Федеральным законом от 25 декабря 2008 г. N 273-ФЗ "О противодействии коррупции" (далее - Федеральный закон "О противодействии коррупции"), Федеральным законом от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" (далее - Федеральный закон "Об организации предоставления государственных и муниципальных услуг"), Указом Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", Постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Распоряжением Правительства Российской Федерации от 26 мая 2005 г. N 667-р об утверждении формы анкеты, подлежащей представлению в государственный орган гражданином Российской Федерации, изъявившим желание участвовать в конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации, Приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", Решением Совета местного самоуправления Прохладненского муниципального района от 14 апреля 2008 г. N 3/2 "Об утверждении Положения о порядке и условиях проведения конкурса на замещение вакантной должности муниципальной службы в органах местного самоуправления Прохладненского муниципального района", Положением о Местной администрации.
3.Местная администрация является оператором, организующим и осуществляющим обработку ПДн, а также определяющим цели и содержание обработки ПДн.
4.Обработка ПДн в Местной администрации осуществляется с соблюдением принципов и условий, предусмотренных настоящими Правилами и законодательством Российской Федерации в области ПДн.
5.Обработка ПДн в Местной администрации осуществляется смешанным путем: с использованием вычислительной техники и без нее на бумажных носителях.
6.Местная администрация предоставляет обрабатываемые ею ПДн государственным органам и организациям, имеющим, в соответствии с федеральным законом, право на получение соответствующих ПДн.
Полученные в ходе обработки информации данные передаются:
- по внутренней сети, с доступом строго определенных работников Местной администрации;
- по сети общего пользования "Интернет" с использованием сертифицированных программных и технических средств криптографической защиты информации.
7.Если иное не предусмотрено федеральным законом, по окончании обработки ПДн в Местной администрации, в том числе при достижении целей их обработки или утрате необходимости в достижении этих целей, обрабатывавшиеся Местной администрацией ПДн уничтожаются или обезличиваются.
II.Процедуры, направленные на выявление и предотвращение нарушений законодательства
Российской Федерации в сфере персональных данных
8.Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере ПДн, в Местной администрации используются следующие процедуры:
1) осуществление внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн;
2) оценка вреда, который может быть причинен субъектам ПДн;
3) ознакомление сотрудников Местной администрации, непосредственно осуществляющих обработку ПДн, с законодательством Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, настоящими Правилами, и (или) обучение сотрудников Местной администрации;
4) ограничение обработки ПДн достижением конкретных, заранее определенных и законных целей;
5) осуществление обработки ПДн в соответствии с принципами и условиями обработки ПДн, установленными законодательством Российской Федерации в области ПДн;
6) недопущение обработки ПДн, несовместимых с целями сбора ПДн;
7) недопущение объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, не совместимых между собой;
8) соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;
9) обеспечение при обработке ПДн точности ПДн, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки ПДн;
10) запрет на обработку ПДн лицами, не допущенными к их обработке;
11) запрет на обработку ПДн под диктовку.
III.Цели обработки персональных данных, категории субъектов, персональные данные которых обрабатываются
9.В Местной администрации ПДн обрабатываются в целях:
9.1.Обеспечения кадровой работы при реализации служебных и трудовых отношений, в том числе в целях содействия муниципальным служащим Местной администрации в прохождении муниципальной службы, формирования кадрового резерва муниципальной службы, обучения и должностного роста, учета результатов исполнения муниципальными служащими Местной администрации должностных обязанностей, обеспечения личной безопасности муниципальных служащих Местной администрации, и членов их семьи, обеспечения муниципальным служащим Местной администрации установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества, а также в целях противодействия коррупции.
9.2.Заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами в случаях, предусмотренных действующим законодательством Российской Федерации и Уставом Прохладненского муниципального района КБР.
9.3.Выполнения возложенных на Местную администрацию функций, полномочий и обязанностей.
9.4.Исполнения полномочий органов местного самоуправления и функций организаций, участвующих в предоставлении муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг.
9.5.Обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, обеспечения безопасности физических лиц и представителей юридических лиц, обеспечения безопасности информации, обрабатываемой на объектах и в помещениях Местной администрации.
10.Сведениями, составляющими ПДн, в Местной администрации является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
11.Местная администрация обрабатывает ПДн следующих категорий субъектов ПДн:
11.1.Муниципальные служащие и иные работники, состоящие в отношениях, регулируемых трудовым законодательством.
11.2.Граждан, являющихся претендентами на замещение вакантных должностей.
11.3.Муниципальных служащих (граждан), включенных в кадровый резерв Местной администрации.
11.4.Лиц, замещавших должности муниципальной службы Местной администрации, и получающих пенсию за выслугу лет на муниципальной службе.
11.5.Граждан, обращающихся к должностным лицам Местной администрации в соответствии с Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации".
11.6.Граждан, являющихся стороной гражданско-правового договора.
11.7.Граждан, обращающихся для получения муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта ПДн на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг.
12.В связи с трудовыми и иными непосредственно связанными с ними отношениями, в которых Местная администрация выступает в качестве работодателя, обрабатываются ПДн лиц, претендующих на трудоустройство в Местную администрацию; муниципальных служащих (граждан), включенных в кадровый резерв Местной администрации; муниципальных служащих и иных работников Местной администрации (далее - Работники) и бывших Работников.
13.В связи с реализацией своих прав и обязанностей Местной администрацией обрабатываются ПДн граждан, письменно обращающихся в Местную администрацию по вопросам ее деятельности.
14.ПДн получаются и обрабатываются Местной администрацией на основании федеральных законов, а в необходимых случаях - при наличии письменного согласия субъекта ПДн.
15.В целях исполнения возложенных на Местную администрацию функций Местная администрация в установленном порядке вправе поручить обработку ПДн третьим лицам.
В договоры с лицами, которым Местная администрация поручает обработку ПДн, включаются условия, обязывающие таких лиц соблюдать предусмотренные законом о ПДн и правилами требования к обработке ПДн.
IV.Содержание обрабатываемых персональных данных для целей обработки персональных данных
16.Перечень ПДн, обрабатываемых в Местной администрации, формируется в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и требованиями внутренних документов Местной администрации.
Местной администрацией обрабатываются биометрические ПДн.
17.В Местной администрации для каждой цели обработки ПДн определяется содержание обрабатываемых ПДн:
1) для цели обработки ПДн, указанной в подпункте 9.1 Правил, определяются: содержание ПДн, перечисленное в Перечне ПДн, утвержденном приложением N 1 к настоящим Правилам, и соответствующие категории субъектов, ПДн которых обрабатываются в Местной администрации, указанные в подпунктах 11.1 (за исключением иных работников), 11.2, 11.3 Правил;
2) для цели обработки ПДн, указанной в подпункте 9.1 Правил, определяются: содержание ПДн, перечисленное в пунктах 1 - 16 Перечня ПДн, утвержденного приложением к настоящим Правилам, и соответствующие категории субъектов, ПДн которых обрабатываются в Местной администрации, указанные в подпункте 11.1 Правил (за исключением муниципальных служащих Местной администрации);
3) для целей обработки ПДн, указанных в подпунктах 9.2 - 9.5 Правил, определяются: содержание ПДн, регламентированное соответствующим законодательством, и соответствующие категории субъектов, ПДн которых обрабатываются в Местной администрации, указанные в подпунктах 11.4, 11.7 Правил.
18.В рамках рассмотрения обращений граждан подлежат обработке следующие ПДн заявителей:
- фамилия, имя, отчество (последнее при наличии);
- почтовый адрес;
- адрес электронной почты;
- указанный в обращении контактный телефон;
- иные персональные данные, указанные заявителем в обращении (жалобе), а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения.
V.Принципы и условия обработки персональных данных
19.Под обработкой ПДн понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
20.Принципы обработки Местной администрацией ПДн:
- обработка ПДн осуществляется на законной и справедливой основе;
- обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей, не допускается обработка ПДн, не совместимая с целями сбора ПДн;
- не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, не совместимых между собой;
- обработке подлежат только ПДн, которые отвечают целям их обработки;
- содержание и объем обрабатываемых ПДн соответствует заявленным целям обработки, избыточность обрабатываемых данных Местной администрацией не допускается;
- при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн, Местная администрация принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных или неточных данных;
- хранение ПДн осуществляется в соответствии с п. 4.2 Правил;
- Местная администрация не размещает ПДн субъекта персональных данных в общедоступных источниках без его предварительного согласия.
21.Обработка ПДн осуществляется Местной администрацией на основании условий, определенных законодательством Российской Федерации.
VI.Принципы обеспечения безопасности персональных данных
22.Основной задачей обеспечения безопасности ПДн при их обработке в Местной администрации является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПДн, разрушения (уничтожения) или искажения их в процессе обработки.
23.Для обеспечения безопасности ПДн Местная администрация руководствуется следующими принципами:
1) законность: защита ПДн основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПДн;
2) системность: обработка ПДн в Местной администрации осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн;
3) комплексность: защита ПДн строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Местной администрации (далее - ИС) и других имеющихся в Местной администрации систем и средств защиты;
4) непрерывность: защита ПДн обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки ПДн, в том числе при проведении ремонтных и регламентных работ;
5) своевременность: меры, обеспечивающие надлежащий уровень безопасности ПДн, принимаются до начала их обработки;
6) преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты ПДн осуществляется на основании результатов анализа практики обработки ПДн в Местной администрации с учетом выявления новых способов и средств реализации угроз безопасности ПДн, отечественного и зарубежного опыта в сфере защиты информации;
7) персональная ответственность: ответственность за обеспечение безопасности ПДн возлагается на Работников в пределах их обязанностей, связанных с обработкой и защитой ПДн;
8) минимизация прав доступа: доступ к ПДн предоставляется Работникам только в объеме, необходимом для выполнения их должностных обязанностей;
9) гибкость: обеспечение выполнения функций защиты ПДн при изменении характеристик функционирования информационных систем персональных данных Местной администрации (далее - ИСПДн), а также объема и состава обрабатываемых ПДн;
10) открытость алгоритмов и механизмов защиты: структура, технологии и алгоритмы функционирования системы защиты ПДн Местной администрации (далее - СЗПДн) не дают возможности преодоления имеющихся в Местной администрации систем защиты возможными нарушителями безопасности ПДн;
11) научная обоснованность и техническая реализуемость: уровень мер по защите ПДн определяется современным уровнем развития информационных технологий и средств защиты информации;
12) специализация и профессионализм: реализация мер по обеспечению безопасности ПДн и эксплуатация СЗПДн осуществляются Работниками, имеющими необходимые для этого квалификацию и опыт;
13) эффективность процедур отбора кадров: кадровая политика Местной администрации предусматривает тщательный подбор персонала и мотивацию Работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности ПДн; минимизация вероятности возникновения угрозы безопасности ПДн, источники которых связаны с человеческим фактором, обеспечивается получением наиболее полной информации о Работниках до заключения договоров;
14) наблюдаемость и прозрачность: меры по обеспечению безопасности ПДн должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;
15) непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты ПДн, а результаты контроля регулярно анализируются.
VII.Доступ к обрабатываемым персональным данным
24.Доступ к обрабатываемым в Местной администрации ПДн имеют лица, уполномоченные актом Местной администрации, а также лица, чьи ПДн подлежат обработке.
25.В целях разграничения полномочий при обработке ПДн полномочия по реализации каждой определенной законодательством муниципальной функции и предоставлению муниципальной услуги Местной администрации закрепляются за соответствующими структурными подразделениями Местной администрации.
Доступ к ПДн, обрабатываемым в ходе реализации полномочий, закрепленных за конкретным структурным подразделением Местной администрации, могут иметь только Работники этого структурного подразделения. Работники допускаются к ПДн, связанным с деятельностью другого структурного подразделения, только для чтения и подготовки обобщенных материалов в части вопросов, касающихся структурного подразделения этих Работников.
26.Доступ Работников к обрабатываемым ПДн осуществляется в соответствии с их должностными обязанностями и требованиями внутренних документов Местной администрации.
Допущенные к обработке ПДн Работники под роспись знакомятся с документами Местной администрации, устанавливающими порядок обработки ПДн, включая документы, устанавливающие права и обязанности конкретных Работников.
27.Факты получения доступа к ИСПДн, а также факты обработки ПДн регистрируются, в том числе с использованием средств обеспечения информационной безопасности. Информация о фактах обработки ПДн хранится в Местной администрации, включая ИС, в течение трех лет.
28.Порядок доступа субъекта ПДн к его ПДн, обрабатываемым Местной администрацией, осуществляется в соответствии с Законом о ПДн и определяется внутренними документами Местной администрации.
VIII.Основные мероприятия по обеспечению безопасности персональных данных
29.Мероприятия по защите ПДн реализуются в Местной администрации в следующих направлениях:
1) предотвращение утечки информации, содержащей ПДн, по техническим каналам связи и иными способами;
2) предотвращение несанкционированного доступа к содержащей ПДн информации, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней;
3) защита от вредоносных программ;
4) обеспечение безопасного межсетевого взаимодействия;
5) обеспечение безопасного доступа к сетям международного информационного обмена;
6) анализ защищенности ИСПДн;
7) обеспечение защиты информации с использованием шифровальных (криптографических) средств при передаче ПДн по каналам связи;
8) обнаружение вторжений и компьютерных атак;
9) осуществление контроля за реализацией системы защиты ПДн.
30.Мероприятия по обеспечению безопасности ПДн включают в себя:
1) реализацию разрешительной системы допуска пользователей (Работников) к информационным ресурсам ИС и связанным с их использованием работам, документам;
2) разграничение доступа пользователей ИСПДн и обслуживающих ИСПДн Работников к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
3) регистрацию действий пользователей и обслуживающих ИСПДн Работников, контроль несанкционированного доступа и действий пользователей и обслуживающих Работников, а также третьих лиц;
4) использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
5) предотвращение внедрения в ИС вредоносных программ и программных закладок, анализ принимаемой по информационно-телекоммуникационным сетям (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов;
6) ограничение доступа в помещения, где размещены технические средства, позволяющие осуществлять обработку ПДн, а также хранятся носители информации, содержащие ПДн;
7) размещение технических средств, позволяющих осуществлять обработку ПДн, в пределах охраняемой территории;
8) организацию физической защиты помещений и технических средств, позволяющих осуществлять обработку ПДн;
9) учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
10) резервирование технических средств, дублирование массивов и носителей информации;
11) реализацию требований по безопасному межсетевому взаимодействию ИС;
12) использование защищенных каналов связи, защита информации при ее передаче по каналам связи;
13) межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры ИС;
14) обнаружение вторжений в ИС, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности ПДн;
15) периодический анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на ИС;
16) активный аудит безопасности ИС на предмет обнаружения в режиме реального времени несанкционированной сетевой активности;
17) анализ защищенности ИС с применением специализированных программных средств (сканеров безопасности);
18) централизованное управление системой защиты ПДн в ИС.
31.В целях организации работ по обеспечению информационной безопасности ПДн в Местной администрации определяются структурные подразделения, на которые возлагаются задачи:
1) по классификации, паспортизации и аттестации ИСПДн;
2) организации разработки модели угроз для каждой ИСПДн;
3) организации разработки технического проекта системы защиты информации для каждой ИСПДн;
4) закупки, установки, эксплуатации и администрирования средств защиты информации;
5) организации разрешительной системы допуска к информации, содержащей ПДн, и разработке внутренних документов Местной администрации по этому вопросу;
6) организации реагирования на события безопасности;
7) по контролю состояния системы защиты информации и планирования соответствующих мероприятий.
32.С целью поддержания состояния защиты ПДн на надлежащем уровне в Местной администрации осуществляется внутренний контроль за эффективностью системы защиты ПДн и соответствием порядка и условий обработки и защиты ПДн установленным требованиям.
Внутренний контроль включает:
1) мониторинг состояния технических и программных средств, входящих в состав СЗПДн;
2) контроль соблюдения требований по обеспечению безопасности ПДн (требований нормативных правовых актов и внутренних регулятивных документов в области обработки и защиты ПДн, требований договоров).
33.В целях осуществления внутреннего контроля в Местной администрации проводятся периодические проверки условий обработки ПДн. Такие проверки осуществляются ответственным за организацию обработки ПДн в Местной администрации.
О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, докладывается руководителю Местной администрации.
IX.Условия и порядок обработки персональных данных субъектов в связи с реализацией служебных и трудовых отношений в местной администрации
34.Обработка ПДн и биометрических (специальных) ПДн муниципальных служащих и иных работников Местной администрации, граждан, претендующих на замещение должностей муниципальной службы Местной администрации, осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 9.1 Правил, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона "О персональных данных" и положениями Федерального закона "О муниципальной службе в Российской Федерации", Федерального закона "О противодействии коррупции", Трудовым кодексом Российской Федерации.
35.Обработка специальных категорий ПДн муниципальных служащих и иных работников Местной администрации, граждан, претендующих на замещение должностей муниципальной службы Местной администрации, осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 9.1 Правил, в соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 Федерального закона "О персональных данных" и положениями Трудового кодекса Российской Федерации, за исключением случаев получения ПДн работника у третьей стороны.
36.Обработка ПДн муниципальных служащих и иных работников Местной администрации, граждан, претендующих на замещение должностей муниципальной службы Местной администрации, лиц, состоящих в кадровом резерве Местной администрации, осуществляется при условии получения согласия указанных лиц в следующих случаях:
1) при передаче (распространении, предоставлении) ПДн третьим лицам в случаях, не предусмотренных действующим трудовым законодательством и законодательством Российской Федерации о муниципальной службе;
2) при трансграничной передаче персональных данных;
3) при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
37.В случаях, предусмотренных пунктом 36 Правил, согласие субъекта ПДн оформляется в письменной форме, если иное не установлено Федеральным законом "О персональных данных".
38.Обработка ПДн муниципальных служащих и иных работников Местной администрации; граждан, претендующих на замещение должностей муниципальной службы Местной администрации; муниципальных служащих (граждан), включенных в кадровый резерв Местной администрации, осуществляется отделом организационно-контрольной и кадровой работы Местной администрации (далее - кадровое подразделение Местной администрации) и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение ПДн.
39.Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПДн муниципальных служащих и иных работников Местной администрации, граждан, претендующих на замещение должностей муниципальной службы Местной администрации, осуществляется путем:
1) получения оригиналов необходимых документов (заявление, трудовая книжка, иные документы, предоставляемые в кадровое подразделение Местной администрации);
2) копирования оригиналов документов и заверения копий документов;
3) внесения сведений в учетные формы (на бумажных и электронных носителях);
4) формирования ПДн в ходе кадровой работы;
5) внесения ПДн в информационные системы Местной администрации, используемые кадровым подразделением Местной администрации.
40.Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПДн осуществляется путем получения непосредственно от муниципальных служащих и иных работников Местной администрации, граждан, претендующих на замещение должностей муниципальной службы Местной администрации, а также лиц, состоящих в кадровом резерве Местной администрации.
В целях обеспечения достоверности ПДн муниципальные служащие и иные работники обязаны представлять в кадровое подразделение достоверные сведения о себе в порядке и объеме, предусмотренном законодательством Российской Федерации.
В случае изменения ПДн муниципальных служащих и иных работников, обрабатываемых в Местной администрации в связи с реализацией трудовых отношений, а также обусловленных трудовым договором (контрактом), они в 3-дневный срок обязаны сообщать о таких изменениях в кадровое подразделение Местной администрации.
41.В случае возникновения необходимости получения ПДн муниципального служащего и иных работников Местной администрации у третьей стороны, следует известить об этом муниципального служащего и иных работников Местной администрации заранее, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения ПДн.
42.Запрещается получать, обрабатывать и приобщать к личному делу муниципального служащего Местной администрации ПДн, не предусмотренные пунктом 17 Правил, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
43.При сборе ПДн сотрудник кадрового подразделения Местной администрации, осуществляющий сбор (получение) ПДн непосредственно от муниципальных служащих Местной администрации, граждан, претендующих на замещение должностей муниципальной службы Местной администрации, лиц, состоящих в кадровом резерве Местной администрации, обязан разъяснить указанным субъектам ПДн юридические последствия отказа предоставить их ПДн.
44.Передача (распространение, предоставление) и использование ПДн муниципальных служащих и иных работников Местной администрации, граждан, претендующих на замещение должностей муниципальной службы Местной администрации, лиц, состоящих в кадровом резерве Местной администрации, осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.
45.ПДн муниципальных служащих и иных работников Местной администрации поступают в кадровое подразделение Местной администрации, хранятся на бумажных носителях, в т.ч. в личном деле, в электронном виде; в информационной системе, передаются внутри Местной администрации на бумажных носителях и в электронном виде по локальным сетям.
46.Формирование, ведение и хранение личных дел муниципальных служащих и иных документов, содержащих ПДн муниципального служащего:
1) личное дело муниципального служащего формируется согласно Указу Президента Российской Федерации от 30.05.2005 N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";
2) формирование, ведение и хранение в течение установленного срока личных дел муниципальных служащих, проходящих муниципальную службу в Местной администрации (уволенных с муниципальной службы), иных материалов, содержащих их персональные данные, ведение и хранение личных карточек муниципальных служащих и иных работников Местной администрации (унифицированная форма N Т-2ГС (МС), Т-2) осуществляется кадровой службой Местной администрации;
3) передача документов в архив осуществляется в порядке, определенном Федеральным законом от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Положением о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденным Указом Президента Российской Федерации от 30.05.2005 N 609;
4) ПДн и иные сведения, содержащиеся в личных делах муниципальных служащих, относятся к сведениям конфиденциального характера (за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - сведениям, составляющим государственную тайну;
5) сведения о доходах, расходах, об имуществе и обязательствах имущественного характера муниципальных служащих Местной администрации, их супругов и несовершеннолетних детей подлежат размещению на официальном сайте Местной администрации в соответствии с нормативным актом органа местного самоуправления;
6) при переводе или назначении муниципального служащего на должность муниципальной службы в другом муниципальном (государственном) органе его личное дело передается в муниципальный (государственный) орган по новому месту замещения должности муниципальной службы по письменному запросу соответствующего органа.
X.Условия и порядок обработки персональных данных субъектов в связи с предоставлением муниципальных услуг и исполнением муниципальных функций
47.В Местной администрации обработка ПДн физических лиц осуществляется в целях организации приема граждан, обеспечения своевременного и в полном объеме рассмотрения устных и письменных обращений граждан по вопросам, относящимся к компетенции Местной администрации, а также предоставления муниципальных услуг и исполнения муниципальных функций, определенных органом местного самоуправления Прохладненского муниципального района.
48.ПДн граждан, обратившихся в Местную администрацию лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением заявителей о результатах рассмотрения.
49.В соответствии с законодательством Российской Федерации в Местной администрации подлежат рассмотрению обращения граждан Российской Федерации, иностранных граждан и лиц без гражданства.
50.Обработка ПДн, необходимых в связи с предоставлением муниципальных услуг и исполнением муниципальных функций, указанных в пункте 47 настоящих Правил, осуществляется без согласия субъектов ПДн в соответствии с пунктом 4 части 1 статьи 6 Федерального закона "О персональных данных", Федеральными законами "Об организации предоставления государственных и муниципальных услуг", "О порядке рассмотрения обращений граждан Российской Федерации" и иными нормативными правовыми актами, определяющими предоставление муниципальных услуг и исполнение муниципальных функций в установленной сфере ведения Местной администрации.
51.Обработка ПДн, необходимых в связи с предоставлением муниципальных услуг и исполнением муниципальных функций, указанных в пункте 47 настоящих Правил, осуществляется структурными подразделениями Местной администрации, предоставляющими соответствующие муниципальные услуги и (или) исполняющими муниципальные функции, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, удаление, уничтожение ПДн.
52.Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПДн субъектов, обратившихся в Местную администрацию для получения муниципальной услуги или в целях исполнения муниципальной функции, осуществляется путем:
1) получения оригиналов необходимых документов (заявления);
2) копирования оригиналов документов;
3) заверения копий документов;
4) внесения сведений в учетные формы (на бумажных носителях).
53.Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) ПДн осуществляется путем получения ПДн непосредственно от субъектов ПДн (заявителей).
54.При предоставлении муниципальной услуги или исполнении муниципальной функции Местной администрации запрещается запрашивать у субъектов ПДн и третьих лиц, а также обрабатывать ПДн в случаях, не предусмотренных законодательством Российской Федерации.
55.При сборе ПДн уполномоченное должностное лицо структурного подразделения Местной администрации, осуществляющее получение ПДн непосредственно от субъектов ПДн, обратившихся за предоставлением муниципальной услуги или в связи с исполнением муниципальной функции, обязано разъяснить указанным субъектам ПДн юридические последствия отказа предоставить персональные данные.
56.Передача (распространение, предоставление) и использование ПДн заявителей (субъектов ПДн) Местной администрации осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.
XI.Порядок обработки персональных данных субъектов персональных данных в информационных системах и меры по обеспечению их безопасности
57.В соответствии с требованиями нормативных правовых актов в области обработки и защиты ПДн, обработки ПДн с использованием средств автоматизации в Местной администрации создаются ИСПДн.
Все ИСПДн проходят периодическую классификацию и аттестацию в соответствии с требованиями нормативных правовых актов в области обеспечения безопасности ПДн.
Для каждой ИСПДн формируется модель угроз безопасности ПДн и на ее основе проводятся мероприятия по обеспечению безопасности информации в соответствии с требованиями, предъявляемыми к установленному классу ИСПДн.
Пересмотр моделей угроз для каждой ИСПДн осуществляется:
а) в плановом порядке для существующих ИСПДн - ежегодно;
б) в случае существенных изменений в инфраструктуре или порядке обработки ПДн в ИСПДн - в течение трех месяцев с даты фиксации изменений;
в) в случае создания новой ИСПДн (выделения части из существующей ИСПДн) - в течение одного месяца с даты создания (выделения) ИСПДн.
58.Обработка ПДн в Местной администрации с использованием средств автоматизации ведется только в ИСПДн. В Местной администрации запрещается обработка ПДн с целями, не соответствующими целям создания ИСПДн, эксплуатация ИСПДн в составе, отличном от указанного при создании ИСПДн.
59.Ввод в эксплуатацию ИСПДн оформляется актом ввода в эксплуатацию.
60.В целях обеспечения управления информационной безопасностью ПДн в Местной администрации создается СЗПДн.
Объектами защиты СЗПДн являются информация, обрабатываемая Местной администрацией и содержащая ПДн, а также инфраструктура, содержащая и поддерживающая указанную информацию.
61.СЗПДн реализуется комплексом правовых, режимных, организационных и программно-технических мер, которые включают:
1) подготовку внутренних документов Местной администрации по вопросам обработки и защиты ПДн, контроль за исполнением в Местной администрации требований нормативных правовых актов и внутренних документов Местной администрации в области обработки и защиты ПДн, а также внесение соответствующих изменений в имеющиеся внутренние документы;
2) оформление письменных обязательств Работников о неразглашении ПДн;
3) доведение до сведения Работников информации об установленных законодательством Российской Федерации санкциях за нарушения, связанные с обработкой и защитой ПДн;
4) обеспечение наличия в положениях о структурных подразделениях Местной администрации и должностных обязанностях Работников требований по соблюдению установленного порядка обработки и защиты ПДн;
5) разработку и введение в действие внутренних документов Местной администрации по обеспечению информационной безопасности ИСПДн;
6) регламентацию процедур создания и осуществление документирования действующих инженерных и информационных систем, программных комплексов, порядка внесения в них изменений и своевременной актуализации эксплуатационной документации;
7) ознакомление Работников с положениями нормативных правовых актов и внутренних документов Местной администрации в области обработки и защиты ПДн, а также обучение Работников правилам обработки и защиты ПДн;
8) проведение мероприятий по регламентации, установлению, поддержанию и осуществлению контроля за состоянием:
а) физической охраны, контрольно-пропускного режима, перемещения технических средств и носителей информации;
б) защиты технологических процессов, информационных ресурсов, информации и поддерживающей их инфраструктуры от угроз техногенного характера и внешних неинформационных воздействий;
9) регламентацию обработки ПДн, в том числе хранения и передачи информации как внутри Местной администрации, так и при взаимодействии с государственными органами и организациями, обращения с документами (включая электронные документы) и носителями, порядка их учета, хранения и уничтожения;
10) установление правил доступа на объекты, в помещения, в ИС, применению в этих целях систем охраны и управления доступом;
11) организацию технического оснащения объектов и ИСПДн в соответствии с существующими требованиями к информационной безопасности;
12) формирование условий и технологических процессов обработки, хранения и передачи информации в Местной администрации (включая условия хранения документов в архивах), обеспечивающих реализацию требований нормативных правовых актов, методических документов уполномоченных государственных органов и внутренних документов Местной администрации в области обработки и защиты ПДн;
13) установление полномочий пользователей и форм представления информации пользователям ИСПДн;
14) организацию непрерывного процесса контроля (мониторинга) событий безопасности для своевременного выявления и пресечения попыток несанкционированного доступа к защищаемой информации;
15) организацию необходимых мероприятий с Работниками, а также собеседование с лицами, претендующими на работу в Местную администрацию, изучение их биографии и проверку предоставляемых сведений; обучение Работников требованиям информационной безопасности;
16) осуществление контроля эффективности организационных мер защиты;
17) разработку защитных технических решений:
а) при стратегическом планировании архитектуры ИС;
б) выборе технических средств обработки информации;
в) разработке и (или) приобретении программного обеспечения;
19) применение следующих компонентов программно-технических мер защиты:
а) защищенных средств (систем) обработки информации, содержащей ПДн;
б) системы криптографической защиты информации при ее передаче по каналам связи;
в) межсетевых экранов для логического разделения подсетей и защиты от несанкционированного доступа из внешних (открытых) информационных систем;
г) аппаратных и программных средств защиты и контроля, устройств, технических систем и средств, используемых для обеспечения информационной безопасности, в том числе для обнаружения и нейтрализации попыток несанкционированного доступа к информации.
62.Муниципальным служащим Местной администрации, имеющим право осуществлять обработку ПДн в информационных системах Местной администрации, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе Местной администрации. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными инструкциями муниципальных служащих Местной администрации.
63.Классификация информационных систем ПДн осуществляется в порядке, установленном законодательством Российской Федерации.
64.Информация может вноситься как в автоматическом режиме, при получении ПДн с Единого портала государственных услуг или официального сайта Местной администрации, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
XII.Порядок обработки персональных данных без использования средств автоматизации
65.Обработка ПДн без использования средств автоматизации (далее - неавтоматизированная обработка ПДн) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации.
66.При неавтоматизированной обработке различных категорий ПДн должен использоваться отдельный материальный носитель для каждой категории ПДн.
67.При неавтоматизированной обработке ПДн на бумажных носителях:
1) не допускается фиксация на одном бумажном носителе ПДн, цели обработки которых заведомо несовместимы;
2) ПДн должны обособляться от иной информации, в частности, путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
3) документы, содержащие ПДн, формируются в дела в зависимости от цели обработки ПДн;
4) дела с документами, содержащими ПДн, должны иметь внутренние описи документов с указанием цели обработки и категории ПДн.
68.При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее - типовые формы), должны соблюдаться следующие условия:
1) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки ПДн, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки ПДн;
2) типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на неавтоматизированную обработку ПДн, - при необходимости получения письменного согласия на обработку ПДн;
3) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;
4) типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо несовместимы.
69.Документы и внешние электронные носители информации, содержащие ПДн, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
70.Уничтожение или обезличивание части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
71.При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн, должны быть приняты меры по обеспечению раздельной обработки ПДн, в частности:
1) при необходимости использования или распространения определенных ПДн отдельно от находящихся на том же материальном носителе других ПДн осуществляется копирование ПДн, подлежащих распространению или использованию, способом, исключающим одновременное копирование ПДн, не подлежащих распространению и использованию, и используется (распространяется) копия ПДн;
2) при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
72.Уточнение ПДн при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными ПДн.
73.Обработка ПДн, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.
74.Необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.