Основные понятия, используемые в Политике администрации Кировского муниципального района Ленинградской области в отношении обработки персональных данных (далее – Политика):
Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор персональных данных (Оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых оператором с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники оператора.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или)
в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных - совокупность содержащихся в базах данных оператора персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1. Общие положения
1.1. Правовая основа.
Правовым основанием обработки персональных данных является совокупность нормативных правовых актов РФ, во исполнение которых и в соответствии с которыми Администрация Кировского муниципального района Ленинградской области (далее – Оператор, Администрация) осуществляет обработку персональных данных, в том числе:
• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ);
• Федеральный закон от 06.10.2003 №131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации», (далее – Федеральный закон № 131-ФЗ);
• Федеральный закон от 06.12.2011 №402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 15.12.2001 №167-ФЗ «Об обязательном пенсионном страховании Российской Федерации»;
• Федеральный закон от 29.11.2010 №326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
• Федеральный закон от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
• Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 28.03.1998 №53-ФЗ «О воинской обязанности и военной службе»;
• Постановление Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановление Правительства Российской Федерации от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
• Приказ Роскомнадзора от 05.09.2013 №996 «Об утверждении требований и методов по обезличиванию персональных данных»;
• Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
Правовым основанием обработки персональных данных также являются:
• Устав Кировского муниципального района Ленинградской области (далее – Устав);
• Локальные правовые акты Администрации, регулирующие вопросы обработки персональных данных;
• Договоры и иные соглашения, заключаемые между Оператором и субъектами персональных данных;
• Согласие субъектов персональных данных на обработку их персональных данных.
Настоящая Политика устанавливает единый порядок обработки персональных данных в Администрации.
1.2. Целью настоящей Политики является обеспечение безопасности персональных данных граждан от несанкционированного доступа, неправомерного их использования или утраты.
Настоящая Политика устанавливает и определяет:
- процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
- цели обработки персональных данных;
- перечень обрабатываемых персональных данных;
- категории субъектов, персональные данные которых обрабатываются;
- сроки обработки и хранения обрабатываемых персональных данных;
- порядок уничтожения обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований;
- правила рассмотрения запросов субъектов персональных данных или их представителей;
- правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к обеспечению безопасности персональных данных, установленных Федеральным законом № 152-ФЗ от 27.07.2006 «О персональных данных» (далее- Федеральный закон № 152-ФЗ), принятыми в соответствии с ним нормативными правовыми актами и локальными актами администрации Кировского муниципального района Ленинградской области;
- правила работы с обезличенными данными;
- перечень информационных систем персональных данных;
- перечень должностей работников администрации Кировского муниципального района Ленинградской области, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
- перечень должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
- ответственного за организацию обработки персональных данных;
- обязательство лица, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора (контракта) прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
- типовую форму согласия на обработку персональных данных субъектов персональных данных;
- порядок доступа в помещения, в которых ведется обработка персональных данных.
1.3. Обработка персональных данных осуществляется после принятия необходимых мер по обеспечению безопасности персональных данных, а именно:
- после получения согласия субъекта персональных данных, в соответствии с частью 2 статьи 6 Федерального закона № 152-ФЗ;
- после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона № 152-ФЗ;
Лица, допущенные к обработке персональных данных, под подпись знакомятся с настоящей Политикой и подписывают обязательство о неразглашении информации, содержащей персональные данные.
2. Процедуры, направленные на выявление и предотвращение нарушений законодательства в сфере персональных данных
2.1. Меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации.
К мерам, направленным на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных относятся:
- назначение ответственного за организацию обработки персональных данных;
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с частями 1 и 2 статьи 19 Федерального закона № 152-ФЗ;
- осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, требованиями
к обеспечению безопасности персональных данных, политике и локальным актам администрации Кировского муниципального района Ленинградской области в отношении обработки персональных данных;
- оценка вреда, который может быть причинен субъектам персональным данных в случае нарушения законодательства Российской Федерации и настоящей Политики;
- ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и настоящей Политики;
- запрет на обработку персональных данных лицами, не допущенными к их обработке.
Документы, определяющие Политику Администрации в отношении обработки персональных данных, подлежат обязательному опубликованию на официальном сайте в течение десяти дней после их утверждения.
2.2. Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации.
Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при обработке в информационных системах персональных данных», нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
При эксплуатации автоматизированных систем необходимо соблюдать требования:
- к работе допускаются только лица, назначенные постановлением администрации Кировского муниципального района Ленинградской области;
- на ПЭВМ, на которых обрабатываются и хранятся сведения о персональных данных, должны быть установлены пароли (идентификаторы);
- на период обработки защищаемой информации в помещении должны находиться только лица, допущенные в установленном порядке к обрабатываемой информации; допуск других лиц в указанный период может осуществляться с разрешения главы администрации Кировского муниципального района Ленинградской области.
2.3. Порядок обработки персональных данных без использования средств автоматизации.
Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка) может осуществляться в виде документов на бумажных носителях.
При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.
При неавтоматизированной обработке персональных данных на бумажных носителях:
- не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы;
- персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
- документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
- дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.
При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовые формы), должны соблюдаться следующие условия:
- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование), фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых администрацией Кировского муниципального района Ленинградской области способов обработки персональных данных;
- типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, - при необходимости получение письменного согласия на обработку персональных данных;
- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
- типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
- при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
- при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации, на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
3. Цели обработки персональных данных
Администрация осуществляет обработку персональных данных в следующих целях:
• Реализации полномочий, предусмотренных Федеральным законом №131-ФЗ и Уставом, а также иных предусмотренных законодательством Российской Федерации полномочий, необходимых для выполнения стоящих перед Администрацией задач;
• Заключения, исполнения и прекращения муниципальных контрактов, иных гражданско-правовых договоров с физическими, юридическими лицами, индивидуальными предпринимателями и иными лицами в случаях, предусмотренных действующим законодательством;
• Организации кадрового учета в Администрации, обеспечения соблюдения законов и иных нормативно-правовых актов при заключении и исполнении обязательств по трудовым договорам (контрактам), гражданско-правовым договорам, ведения кадрового делопроизводства, содействия гражданам в трудоустройстве, дополнительном профессиональном образовании муниципальных служащих, сотрудников Администрации, предоставлении им государственных и социальных гарантий;
• Исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
• Исполнения требований налогового законодательства в связи с исчислением и платой налога на доходы физических лиц, единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Федеральным законом от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования и обязательного социального страхования», Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», иными федеральными законами;
• Работы с обращениями граждан в соответствии с Федеральным законом от 02.05.2006 №59-ФЗ «О порядке рассмотрения обращений граждан в российской Федерации».
Оператором ведется сбор только тех персональных данных, которые являются необходимыми и достаточными для заявленной цели обработки.
4. Сроки обработки и хранения обрабатываемых персональных данных
4.1. Сроки обработки и хранения персональных данных определяются:
- Приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления
и организаций, с указанием сроков их хранения»;
- сроками исковой давности;
- иными требованиями законодательства Российской Федерации и муниципальными нормативно-правовыми актами администрации Кировского муниципального района Ленинградской области.
4.2. Особенности хранения персональных данных.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
5. Порядок уничтожения обработанных персональных данных
5.1. Уничтожение обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований.
Под уничтожением обработанных персональных данных понимаются действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
5.2. Порядок уничтожения обработанных персональных данных.
Уничтожение обработанных персональных данных производится комиссией с составлением соответствующего акта.
6. Правила рассмотрения запросов субъектов персональных данных
Правила рассмотрения запросов субъектов персональных данных оформляются отдельным документом и утверждаются постановлением администрации Кировского муниципального района Ленинградской области.
7. Ответственный за организацию обработки персональных данных
7.1. Ответственный за организацию обработки персональных данных в Администрации назначается постановлением администрации Кировского муниципального района Ленинградской области из числа работников администрации Кировского муниципального района Ленинградской области.
7.2. Должностная инструкция ответственного за организацию обработку персональных данных утверждается главой Администрации.
8. Перечень должностей сотрудников Администрации, осуществляющих обработку персональных данных
8.1. Перечень должностей сотрудников Администрации, при замещении которых служащие допускаются к обработке персональных данных и имеют доступ к персональным данным, утверждается постановлением Администрации.
8.2. Обязательство о неразглашении персональных данных.
Лица, допущенные к обработке персональных данных, в обязательном порядке под подпись знакомятся с настоящей Политикой и подписывают обязательство о неразглашении информации, содержащей персональные данные.
9. Правила работы с обезличенными данными
Правила работы с обезличенными персональными данными оформляются отдельным документом и утверждаются постановлением администрации Кировского муниципального района Ленинградской области.
10. Ответственность за проведение мероприятий по обезличиванию персональных данных
Перечень должностей сотрудников, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, оформляется отдельным документом и утверждается постановлением Администрации.
11. Порядок доступа в помещения, в которых ведётся обработка персональных данных
Порядок доступа в помещения, в которых ведётся обработка персональных данных, оформляется в виде отдельного документа и утверждается постановлением Администрации.
12. Правила осуществления внутреннего контроля
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к обеспечению безопасности персональных данных оформляются отдельным документом и утверждаются постановлением Администрации.