№282 от 18.09.2012 года "О мерах по обеспечению безопасности персональных данных "

ВЕРЕВСКОЕ СЕЛЬСКОЕ ПОСЕЛЕНИЕ

ГАТЧИНСКОГО МУНИЦИПАЛЬНОГО РАЙОНА

ЛЕНИНГРАДСКОЙ ОБЛАСТИ

П О С Т А Н О В Л Е Н И Е

От 18.09.2012 г.                                                                                       № 282

О мерах по обеспечению безопасности персональных данных

В соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», на основании Федерального закона от 06.10.2003 №131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации», и руководствуясь уставом МО #S, администрация Веревского сельского поселения 

ПОСТАНОВЛЯЕТ:

1. Утвердить Правила обработки персональных данных в администрации муниципального образования Веревского сельское поселение Гатчинского муниципального района Ленинградской области согласно Приложению 1.

2. Настоящее постановление вступает в силу со дня подписания и  подлежит официальному опубликованию, а также размещению на официальном сайте поселения.

3. Контроль за исполнением постановления оставляю за собой.

И.о. главы администрации

Веревского сельского поселения                                                А.А. Николаенко

Приложение №1

к постановлению администрации

№ 282 от 18.09.2012 г.

Правила обработки персональных данных

в администрации муниципального образования

Веревское сельское поселение Гатчинского муниципального района Ленинградской области

                                       ГЛАВА 1. Общие положения

Статья 1. Правовая основа Правил

1. Правила обработки персональных данных (далее – Правила) в администрации муниципального образования Веревское сельское поселение Гатчинского муниципального района Ленинградской области (далее – местная администрация) разработаны на основании требований, установленных:

1) Трудовым кодексом Российской Федерации;

2) Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» (далее – №152-ФЗ);

3) постановлением Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

4) постановлением Правительства Российской Федерации от 17.11.2007 №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

5) постановлением Правительства Российской Федерации от 21.03.2012 №211 «Перечень мер направленных на обеспечение выполнения обязанностей предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствие с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

6) уставом муниципального образования Веревское сельское поселение Гатчинского муниципального района Ленинградской области (далее – устав МО).

2. Настоящие Правила устанавливает единый порядок обработки 

       персональных данных в местной администрации.

Статья 2. Основные понятия, используемые в настоящих Правилах

В настоящих Правилах используются следующие основные понятия:

1) персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2) оператор – местная администрация, организующая и (или) осуществляющая обработку персональных данных по роду своей деятельности;

3) обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых оператором с использованием средств автоматизации или без использования таких средств  с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) автоматизированная обработка персональных данных – обработка персональных данных с помощью средств автоматизации оператора;

5) распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

6) предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

7) блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

8) уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

9) обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

10) информационная система персональных данных – совокупность содержащихся в базах данных оператора персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Статья 3. Цель Правил

1. Целью настоящих Правил является обеспечение защиты персональных данных граждан от несанкционированного доступа, неправомерного их использования или их утраты.

2. Настоящие Правила устанавливают и определяют:

1) процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;

2) цели обработки персональных данных;

3) содержание обрабатываемых персональных данных для каждой цели обработки персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) сроки обработки и хранения обрабатываемых персональных данных;

6) порядок уничтожения обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований;

7) правила рассмотрения запросов субъектов персональных данных или их представителей;

8) правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных №152-ФЗ, принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;

9) правила работы с обезличенными данными;

10) перечень информационных систем персональных данных;

11) перечень должностей муниципальных служащих местной администрации, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;

12) перечень должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

13) должностную инструкцию ответственного за организацию обработки персональных данных;

14) типовое обязательство лица, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора (контракта) прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;

15) типовую форму согласия на обработку персональных данных субъектов персональных данных;

16) типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;

17) порядок доступа в помещения, в которых ведется обработка персональных данных.

Статья 4. Основные условия обработки персональных данных

1. Обработка персональных данных осуществляется после принятия необходимых мер по защите персональных данных, а именно:

1) после получения согласия субъекта персональных данных, в соответствии с Главой 16 настоящих Правил, за исключением случаев, предусмотренных частью 2 статьи 6 №152-ФЗ;

2) после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Ленинградской области, за исключением случаев, предусмотренных частью 2 статьи 22 №152-ФЗ.

2. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации, в порядке, установленном Главой 13 настоящих Правил.

ГЛАВА 2. Процедуры, направленные на выявление и предотвращение нарушений законодательства в сфере персональных данных

Статья 5. Меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации

1. К мерам, направленным на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных относятся:

1) назначение ответственного за организацию обработки персональных данных в местной администрации;

2) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с частями 1 и 2 статьи 19 №152-ФЗ;

3) осуществление внутреннего контроля соответствия обработки персональных данных №152-ФЗ и принятым в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

4) оценка вреда, который может быть причинён субъектам персональным данных в случае нарушения законодательства Российской Федерации и настоящих Правил;

5) ознакомление работников, непосредственно осуществляющих обработку персональных данных с положениями законодательства Российской Федерации о персональных данных и настоящим Положением;

6)  запрет на обработку персональных данных лицами, не допущенными к их обработке;

7)  запрет на обработку персональных данных под диктовку.

2. Документы, определяющие политику оператора в отношении обработки персональных данных, подлежат обязательному опубликованию.

Статья 6. Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации

1. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 17.11.2007 №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.

2. При эксплуатации автоматизированных систем необходимо соблюдать требования:

1) к работе допускаются только назначенные лица;

2) на ПЭВМ, дисках, папках и файлах, на которых обрабатываются и хранятся сведения о персональных данных, должны быть установлены пароли (идентификаторы);

3) на период обработки защищаемой информации в помещении могут находиться лица, допущенные в установленном порядке к обрабатываемой информации; допуск других лиц в указанный период может осуществляться с разрешения главы местной администрации.

Статья 7. Порядок обработки персональных данных без использования средств автоматизации

1. Обработка персональных данных без использования средств автоматизации (далее – неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации.

2. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.

3. При неавтоматизированной обработке персональных данных на бумажных носителях:

1) не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы;

2) персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);

3) документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;

4) дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.

4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовые формы), должны соблюдаться следующие условия:

1) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных,  источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными,  которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

2) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных, - при необходимости получения письменного согласия на обработку персональных данных;

3) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

4) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

5. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.

6. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

7. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

1) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

2) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

8. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях,  либо путем изготовления нового материального носителя с уточненными персональными данными.

9. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

10. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

                                        ГЛАВА 3. Цели обработки персональных данных

Статья 8. Цели обработки персональных данных

Целью обработки персональных данных является:

1)                                  осуществления возложенных на местную администрацию федеральным законодательством, законодательством Ленинградской области и уставом МО функций, полномочий и обязанностей по решению вопросов местного значения муниципального образования;

2)                                  организация деятельности местной администрации для обеспечения соблюдения законов и иных нормативных правовых актов, реализации права на труд, права избирать и быть избранным в органы местного самоуправления, права на пенсионное обеспечение и медицинское страхование работников.

               ГЛАВА 4. Содержание обрабатываемых персональных данных

Статья 9. Содержание обрабатываемых персональных данных для осуществления возложенных на местную администрацию функций, полномочий и обязанностей по решению вопросов местного значения

К персональным данным, обрабатываемым для достижения целей, указанных в части 1 статьи 8 настоящих Правил (осуществление полномочий по решению вопросов местного значения) относятся:

1) анкетные и биографические данные гражданина, включая адрес места жительства и проживания;

2) паспортные данные или данные иного документа, удостоверяющего личность и гражданство, включая серию, номер, дату выдачи, наименование органа, выдавшего документ);

3) сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки;

4) сведения о трудовой деятельности, опыте работы, занимаемой должности, трудовом стаже, повышения квалификации и переподготовки;

5) сведения о составе семьи и наличии иждивенцев, сведения о месте работы или учёбы членов семьи;

6) сведения о состоянии здоровья и наличии заболеваний (когда это необходимо в случаях, установленных законом);

7) сведения об отношении к воинской обязанности;

8) сведения о доходах и обязательствах имущественного характера, в том числе членов семьи;

9) сведения об идентификационном номере налогоплательщика;

10) сведения о социальных льготах и о социальном статусе.

Статья 10. Содержание обрабатываемых персональных данных для реализации права на труд, права избирать и быть избранным в органы местного самоуправления, права на пенсионное обеспечение и медицинское страхование работников

К персональным данным обрабатываемыми для достижения целей, указанных в части 2 статьи 8 настоящих Правил (организация деятельности местной администрации для обеспечения соблюдения законодательства и иных нормативных правовых актов, реализации права на труд, права избирать и быть избранным в органы местного самоуправления, права на пенсионное обеспечение и медицинское страхование работников) относятся:

1) анкетные и биографические данные гражданина, включая адрес места жительства и проживания;

2) паспортные данные или данные иного документа, удостоверяющего личность и гражданство, включая серию, номер, дату выдачи, наименование органа, выдавшего документ);

3) сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки, включая серию, номер, дату выдачи диплома, свидетельства, аттестата или другого документа об окончании образовательного учреждения, дату начала и завершения обучения);

4) сведения о трудовой деятельности, опыте работы, занимаемой должности, трудовом стаже, повышения квалификации и переподготовки, включая сведения о номере, серии, дате выдачи трудовой книжки (вкладыша в неё) и записях в ней, содержание и реквизиты трудового договора (контракта);

5) сведения о составе семьи и наличии иждивенцев, сведения о месте работы или учёбы членов семьи;

6) сведения о состоянии здоровья и наличии заболеваний (когда это необходимо в случаях, установленных законодательством);

7) сведения об отношении к воинской обязанности;

8) сведения о доходах и обязательствах имущественного характера, в том числе членов семьи;

9) сведения об идентификационном номере налогоплательщика;

10) сведения о социальных льготах и о социальном статусе;

11) сведения из страховых полисов обязательного (добровольного) медицинского страхования;

12) сведения о номере и серии страхового свидетельства государственного пенсионного страхования.

ГЛАВА 5. Категория субъектов, персональные данные которых обрабатываются

Статья 11. Категории субъектов, персональные данные которых обрабатываются

К субъектам, персональные данные которых обрабатываются, относятся:

1) глава местной администрации;

2) граждане, претендующие на замещение должности муниципальной службы и должности технического (рабочего) персонала в местной администрации;

3) граждане, замещающие (замещавшие) должности муниципальной службы и должности технического (рабочего) персонала в местной администрации;

4) граждане, обратившиеся с обращениями в местную администрацию.

ГЛАВА 6. Сроки обработки и хранения обрабатываемых персональных данных

Статья 12. Сроки обработки и хранения обрабатываемых персональных данных

Сроки обработки и хранения персональных данных определяются:

1) Приказом Минкультуры Российской Федерации от 25.08.2010 №558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»;

2) сроком исковой давности;

3) иными требованиями законодательства Российской Федерации и муниципальными нормативными правовыми актами.

Статья 13. Особенности хранения персональных данных

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

       ГЛАВА 7. Порядок уничтожения обработанных персональных данных

Статья 14. Уничтожения обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований

1.     Под уничтожением обработанных персональных данных понимаются действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

2.     Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.

Статья 15. Порядок уничтожения обработанных персональных данных

Уничтожение обработанных персональных данных производится комиссионно с составлением соответствующего акта.

ГЛАВА 8. Правила рассмотрения запросов субъектов персональных данных

Статья 16. Право субъектов персональных данных на получение сведений

1.     Субъект персональных данных, указанный в статье 11 настоящих Правил, имеет право на получение информации, касающейся обработки его персональных данных, указанной в части 7 статьи 14 №152-ФЗ.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 №152-ФЗ.

2.     Субъект персональных данных имеет право требовать от оператора уточнения его персональных данных, их блокирования или уничтожения, в случае если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Статья 17. Порядок предоставления оператором сведений по запросу субъекта персональных данных

1.     При обращении либо при получении запроса субъекта персональных данных или его представителя сведения должны быть предоставлены в доступной форме. Запрос регистрируется в день поступления по правилам делопроизводства.

2.     Запрос субъекта персональных данных должен содержать сведения позволяющие провести его идентификацию:

1)                     фамилию, имя, отчество субъекта персональных данных и его представителя;

2)                     адрес проживания субъекта персональных данных и его представителя;

3)                     номер и дату выдачи основного документа, подтверждающего личность субъекта персональных данных и его представителя;

4)                     подпись субъекта персональных данных и его представителя.

Запрос может быть направлен электронной почтой и подписан электронной подписью в соответствии с законодательством Российской Федерации.

3. Оператор при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных обязан сообщить в порядке статьи 14 №152-ФЗ субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными в течении 30 (тридцати) дней с даты получения запроса.

В случае отказа в предоставлении информации о наличии персональных данных оператор обязан дать в письменной форме мотивированный ответ с ссылкой на действующее законодательство, являющегося основанием для такого отказа. Отказ в предоставлении информации направляется в срок, не превышающий 30 (тридцати) дней со дня получения запроса субъекта персональных данных.

4. В случае предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор в срок, не превышающий 7 (семь) рабочих дней, вносит в них необходимые изменения. О внесённых изменениях уведомляется субъект персональных данных или его представитель.

5. В случае предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные в срок, не превышающий 7 (семь) рабочих дней. Об уничтоженных персональных данных уведомляется субъект персональных данных или его представитель.

6. При получении запроса из уполномоченного органа по защите прав субъектов персональных данных оператор обязан сообщить необходимую информацию в течении 30 (тридцати) дней с даты получения такого запроса.

7. Возможность ознакомления с персональными данными предоставляется на безвозмездной основе лицом ответственным за обработку персональных данных.

                   ГЛАВА 9. Правила осуществления внутреннего контроля

Статья 18. Цель внутреннего контроля

Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных осуществляется с целью проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных №152-ФЗ, принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора.

Статья 19. Виды и периодичность внутреннего контроля

1.     Внутренний контроль соответствия обработки персональных данных делится на текущий и комиссионный.

2.     Текущий внутренний контроль осуществляется на постоянной основе ответственным за обработку персональных данных в ходе мероприятий по обработке персональных данных.

3.     Комиссионный внутренний контроль осуществляется комиссией для осуществления внутреннего контроля, но носит периодический характер. Периодичность проверки – не реже одного раза в год.

Статья 20. Порядок создания комиссии для осуществления внутреннего контроля

1. Проверки осуществляются комиссией образуемой распоряжением главы местной администрации из числа муниципальных служащих местной администрации, допущенных к обработке персональных данных.

2. В проведении проверки не может участвовать лицо, прямо или косвенно заинтересованное в её результатах.