ПОЛОЖЕНИЕ об обработке персональных данных
1. Общие положения
1.1. Настоящее положение об обработке персональных данных (далее - Положение) разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных», Постановлением Правительства РФ от 01 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства РФ от 15 сентября 2008 года №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.2. Цель настоящего Положения - определение политики в отношении обработки персональных данных и единого порядка их обработки в администрации Губкинского городского округа (далее - Администрация); обеспечение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну; установление ответственности лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. Область действия настоящего Положения включает в себя:
- все процессы обработки персональных данных как с использованием средств автоматизации, так и без использования таковых;
- все структурные подразделения Администрации;
- все информационные системы Администрации, в которых происходит обработка персональных данных.
1.4 Все работники Администрации, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с настоящим Положением под роспись.
2. Термины и определения
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор — администрация Губкинского городского округа, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
3. Персональные данные сотрудников Администрации
3.1. Цели обработки персональных данных.
3.1.1. Обработка персональных данных осуществляется в целях: реализации трудовых отношений; обеспечения соблюдения законов Российской Федерации и иных нормативных правовых актов; содействия в трудоустройстве, обучении и продвижении работника по службе; осуществления расчета заработной платы и иных выплат и удержаний; осуществления платежей и переводов в интересах работника.
3.2. Состав обрабатываемых персональных данных.
3.2.1. Для достижения заявленных в подпункте 3.1.1. целей Администрация обрабатывает персональные данные граждан, состоящих в трудовых отношениях с Администрацией. Состав обрабатываемых персональных данных определен в Перечне персональных данных, обрабатываемых в администрации Губкинского городского округа.
3.3. Действия, осуществляемые с персональными данными.
3.3.1.Действия или совокупность действий (операций) с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение.
4. Персональные данные субъектов, не являющихся сотрудниками Администрации
4.1. Цели обработки персональных данных.
4.1.1. Обработка персональных данных осуществляется в целях выполнения возложенных на Администрацию функций.
4.2. Состав обрабатываемых персональных данных.
4.2.1. Для достижения заявленных в подпункте 4.1.1. целей Администрация обрабатывает персональные данные граждан, не являющихся сотрудниками Администрации. Состав обрабатываемых персональных данных определен в Перечне персональных данных, обрабатываемых в администрации Губкинского городского округа.
4.3. Действия, осуществляемые с персональными данными.
4.3.1. Действия или совокупность действий (операций) с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение.
5. Обработка персональных данных
5.1. Общие положения.
5.1.1. При обработке персональных данных должны обеспечиваться точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных.
5.1.2. При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация.
5.1.3. В Администрации на основании Перечня сведений конфиденциального характера, утвержденного распоряжением администрации Губкинского городского округа от 31 декабря 2014 года №742-ра/ДСП, определен и утвержден Перечень защищаемых информационных ресурсов в администрации Губкинского городского округа и Перечень обрабатываемых персональных данных в администрации Губкинского городского округа.
5.1.4.Специальные категории персональных данных могут обрабатываться в случаях, предусмотренных Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных».
5.1.5. Биометрические персональные данные не обрабатываются.
5.1.6. Трансграничная передача персональных данных не осуществляется.
5.1.7. Обработка персональных данных осуществляется в смешанном режиме, как с использованием средств автоматизации, так и без использования таковых.
5.1.8. При обработке персональных данных Администрация руководствуется принципами:
- обеспечение законности целей и способов обработки персональных данных;
- соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
- соответствие объема и характера обрабатываемых персональных данных, а также способов обработки персональных данных целям обработки;
- отсутствие избыточных персональных данных по отношению к заявленным целям;
- использование раздельных баз данных для несовместимых целей обработки персональных данных.
5.1.9. Обработка персональных данных осуществляется на законной основе.
5.1.10. Обработка персональных данных допускается в следующих случаях:
- с согласия субъекта персональных данных;
- для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года №210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
- для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- для осуществления прав и законных интересов Администрации или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
- для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- в случае, когда доступ неограниченного круга лиц к персональным данным субъекта предоставлен самим субъектом персональных данных либо по его просьбе;
- в случае, когда персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом;
- в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.
5.2. Сбор персональных данных.
5.2.1. Все персональные данные Администрация получает от субъекта персональных данных.
5.2.2. Обработка персональных данных осуществляется с согласия субъекта персональных данных (приложение №1).
5.2.3. Обработка персональных данных без согласия субъекта персональных данных допускается в случаях, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».
5.2.4. Персональные данные могут быть получены Администрацией от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
5.2.5. Если персональные данные были получены не от субъекта персональных данных, то Администрация уведомляет субъекта персональных данных об осуществлении обработки его персональных данных и получает от него письменное согласие. Согласия субъекта на получение его персональных данных от третьих лиц не требуется в случаях, установленных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных».
5.2.6. Если согласие на обработку персональных данных получено от представителя субъекта персональных данных, то полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Администрацией.
5.2.7. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Администрация разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные (приложение №2).
5.2.8. Администрация проверяет достоверность предоставляемых сведений, сверяя полученные данные с имеющимися у субъекта персональных данных документами.
5.3. Накопление персональных данных.
5.3.1. Накопление персональных данных происходит в результате деятельности Администрации.
5.3.2. Администрация накапливает персональные данные следующими способами;
- копирование оригиналов документов;
- внесение сведений в учетные формы (на бумажные носители и в базы данных);
- получение оригиналов документов.
5.4. Хранение персональных данных.
5.4.1. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки.
5.4.2. Персональные данные хранятся на бумажных и электронных носителях.
5.4.3. Хранение персональных данных, обработка которых осуществляется в целях, не совместимых между собой, осуществляется на разных материальных носителях и(или) в разных базах данных.
5.4.4. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
5.5. Обработка персональных данных без использования средств автоматизации.
5.5.1. Согласно пункту 1 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687, обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
5.5.2. При обработке персональных данных без использования средств автоматизации должны выполняться следующие требования:
- персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков);
- при фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы;
для каждой категории персональных данных должен использоваться отдельный материальный носитель;
- лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и о правилах осуществления такой обработки.
5.5.3. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия:
- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
- типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации;
- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
- типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
5.5.4. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
- при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или. использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
- при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
5.5.5. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
5.6. Доступ к персональным данным.
5.6.1. Доступ к персональным данным имеют сотрудники Администрации, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.
5.6.2. Доступ к персональным данным предоставляется в объеме, необходимом для выполнения сотрудниками Администрации конкретных трудовых обязанностей.
5.6.3. В случае, если на основании заключенных договоров доступ к персональным данным должны иметь юридические или физические лица, то с ними подписывается соглашение о неразглашении конфиденциальной информации.
5.6.4. В случае расторжения трудового договора с сотрудником Администрации, которому персональные данные необходимы в связи с исполнением им трудовых обязанностей, им подписывается обязательство о прекращении обработки персональных данных, ставших ему известными в связи с исполнением должностных обязанностей (приложение №5).
5.6.5. Процедура оформления доступа к персональным данным включает в себя:
- ознакомление сотрудника Администрации с настоящим Положением под роспись;
- прохождение обучения правилам обработки и обеспечения безопасности персональных данных;
- ознакомление сотрудника Администрации с локальными актами, регламентирующими обработку и защиту персональных данных, под роспись;
- подписание сотрудником Администрации обязательства о неразглашении конфиденциальной информации (приложение №4);
- включение пользователя в перечни на доступ к персональным данным.
5.7. Передача персональных данных.
5.7.1. Передача персональных данных должна осуществляться в составе и объеме, минимально необходимых для достижения целей, в которых передаются персональные данные.
5.7.2. Обработка персональных данных третьем лицом возможна с согласия субъекта персональных данных на основании заключенного с этим лицом договора.
5.7.3. Лицо, осуществляющее обработку персональных данных по поручению Администрации, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные действующим законодательством РФ в области защиты персональных данных.
5.7.4. Должны быть определены действия (операции) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также цели обработки персональных данных.
5.7.5. В договоре должна быть указана обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечить безопасность персональных данных при их обработке.
5.8. Прекращение обработки и уничтожение персональных данных.
5.8.1. Обработка персональных данных прекращается или обеспечивается её прекращение, если обработка персональных данных осуществляется другим лицом, действующим по поручению Администрации, а персональные данные уничтожаются в сроки, установленные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», в случаях, если иное не установлено законом:
- по истечении установленного срока обработки;
- по достижении заявленных целей обработки или при утрате необходимости в их достижении;
- по требованию субъекта персональных данных, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- при отзыве субъектом персональных данных согласия на обработку персональных данных.
5.8.2. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
5.9. Отзыв согласия на обработку персональных данных.
5.9.1. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных (приложение №3) Администрация прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает их в срок, не превышающий тридцати дней с даты поступления указанного отзыва.
5.9.2. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Администрация вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 Федерального закона от 27 июля 2006 года, № 152-ФЗ «О персональных данных».
5.10.Конфиденциальность персональных данных.
5.10.1. В соответствии с Перечнем сведений конфиденциального характера, утвержденным распоряжением администрации Губкинского городского округа от 31 декабря 2014 года №742-ра/ДСП, персональные данные являются конфиденциальной информацией.
5.10.2. Для персональных данных, не являющихся обезличенными или общедоступными, обеспечивается конфиденциальность.
5.11. Взаимодействие с субъектами персональных данных.
5.11.1. В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» на Администрацию, как оператора персональных данных, возлагается обязанность своевременно реагировать на обращения и запросы субъектов персональных данных.
5.11.2. При взаимодействии с субъектами персональных данных обеспечивается соблюдение их прав в соответствии с законодательством Российской Федерации.
5.11.3. Взаимодействие с субъектом персональных данных при реализации права субъекта на доступ к его персональным данным, а также ограничение таких прав осуществляется с соблюдением требований ст. 14 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», Правилами рассмотрения запросов субъектов персональных данных или их представителей в администрации Губкинского городского округа.
5.12. Обезличивание персональных данных.
5.12.1. Администрация может осуществлять обезличивание персональных данных.
5.12.2. Обезличивание персональных данных проводится в статистических или иных исследовательских целях, а также по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом.
6. Права и обязанности администрации
6.1. При работе с персональными данными лица, допущенные к обработке этих данных, в процессе выполнения служебных обязанностей должны обеспечивать:
- проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и передачи их лицам, не имеющим права доступа к такой информации;
- своевременное обнаружение фактов несанкционированного доступа к персональным данным;
- недопущение воздействия на технические средства информационной системы, в результате которого может быть нарушено их функционирование и целостность данных;
- возможность восстановления персональных данных, модифицированных или уничтоженных в результате несанкционированного доступа к ним;
- постоянный контроль за обеспечением безопасности персональных данных.
6.2. В Администрации составляется план проведения и организуется обучение персонала по вопросам работы и обеспечения защиты персональных данных в информационных системах персональных данных, определяется ответственность сотрудников Администрации за нарушения при работе с персональными данными, порядок их взаимодействия с субъектами персональных данных.
7. Меры, направленные на обеспечение безопасности персональных данных
7.3. Меры по обеспечению безопасности персональных направлены на защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
7.2. Обеспечение безопасности достигается применением необходимых и достаточных мер, а именно:
- определен перечень информационных систем персональных данных;
- определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
- применены правовые, организационные и технические меры по обеспечению безопасности персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- производится оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;
- производится учет машинных носителей персональных данных;
- производится восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- обеспечивается сохранность носителей персональных данных;
устанавливаются правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечена регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных;
- назначен ответственный за организацию обработки персональных данных;
- осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- произведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», определено соотношение вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- сотрудники Администрации, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Администрации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, а также прошли обучение.
8. Ответственность за нарушение требований законодательства
8.1. Сотрудники Администрации, и лица, которым Администрация поручает обработку персональных данных, несут гражданскую, уголовную, административную и иную, предусмотренную законодательством Российской
Федерации, ответственность за нарушение режима защиты и обработки персональных данных.
8.2. За неисполнение или ненадлежащее исполнение сотрудниками Администрации возложенных на них обязанностей по соблюдению установленного порядка обработки персональных данных Администрация вправе применять предусмотренные Трудовым кодексом Российской Федерации дисциплинарные взыскания.
8.3. Сотрудники Администрации, получающие доступ к обрабатываемым персональным данным, несут персональную ответственность за конфиденциальность полученной информации.
