Политика обработки персональных данных в Администрации Бутырского муниципального образования Лысогорского муниципального района Саратовской области

 

1. Общие положения

1.1. Настоящая Политика об обработке персональных данных (далее — Политика) в Администрации Бутырского муниципального образования Лысогорского муниципального района Саратовской области (далее — администрация):

  • является основополагающим внутренним документом, регулирующим вопросы обработки персональных данных в администрации;
  • разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных, направленного на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности в целях защиты от несанкционированного доступа и неправомерного распространения персональных данных, обрабатываемых в администрации;
  • раскрывает основные категории персональных данных, обрабатываемых администрацией, цели, способы и принципы обработки персональных данных, права и обязанности при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых администрацией в целях обеспечения безопасности персональных данных при их обработке;
  • предназначена для сотрудников администрации, осуществляющих обработку персональных данных в целях непосредственной реализации ими закрепленных в Политике принципов, а также является информационным ресурсом для субъектов персональных данных, позволяющим определить концептуальные основы деятельности администрации при обработке персональных данных.

2. Источники нормативного правового регулирования вопросов обработки персональных данных

2.1. Политика администрации в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами Российской Федерации:

  • Конституция Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера»;
  • Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Постановление Правительства Российской Федерации от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Постановление Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятых в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
  • Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
  • Приказ ФСТЭК России от 05.02.2010 № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных»;
  • Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 01.12.2009 № 630 «Об утверждении Административного регламента проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных».

2.2. Во исполнение настоящей Политики в администрации распоряжениями руководителя организации утверждаются следующие локальные нормативные правовые акты:

  • Положение об обработке персональных данных в администрации;
  • Положение об организации и обеспечении защиты персональных данных в администрации;
  • Перечень персональных данных, обрабатываемых в администрации, в связи с реализацией трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций;
  • Перечень информационных систем персональных данных администрации;
  • Перечень должностей служащих администрации, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным.
  • Перечень мест хранения материальных носителей персональных данных, обрабатываемых без использования средств автоматизации в администрации;
  • Акты классификации информационных систем персональных данных администрации;
  • План проведения периодических проверок условий обработки персональных данных в администрации;
  • Типовое обязательство служащего администрации, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
  • Типовая форма согласия на обработку персональных данных служащих администрации, иных субъектов персональных данных;
  • Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
    иные локальные документы администрации, принимаемые во исполнение требований действующих нормативных правовых актов Российской Федерации в области обработки персональных данных.

3. Основные термины и понятия, используемые в локальных документах, принимаемых по вопросу обработки персональных данных

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информация — сведения (сообщения, данные) независимо от формы их представления.

Информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных.

Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их раскрытия третьим лицам и их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Материальный носитель персональных данных — материальный объект, используемый для закрепления и хранения информации. В целях настоящего Положения под материальным носителем понимается бумажный документ, диск, дискета, флэш-карта и т.п.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Общедоступные источники персональных данных — источники персональных данных, в которые с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные — любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Работники администрации — физические лица, состоящие с администрацией в трудовых отношениях на основании трудового договора (контракта).

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Цель обработки персональных данных — конкретный конечный результат действий, совершенных с персональными данными, соответствующий требованиям законодательства Российской Федерации и направленный, в том числе на создание необходимых правовых условий для достижения оптимального согласования интересов сторон.

4. Общие условия обработки персональных данных

4.1. Обработка персональных данных осуществляется в администрации на основе следующих принципов:

  • Обработка персональных данных должна осуществляться на законной и справедливой основе.
  • Обработка персональных данных должна быть ограничена достижением конкретных, заранее определенных и законных целей.
  • Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
  • Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
  • Допускается обработка исключительно тех персональных данных, которые отвечают целям их обработки.
  • Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.
  • Не допускается обработка персональных данных, излишних по отношению к заявленным целям обработки.
  • При обработке персональных данных должна быть обеспечена точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
  • Неполные или неточные данные должны быть удалены или уточнены.
  • Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законодательством;
  • По достижении целей обработки или в случае утраты необходимости в достижении этих целей, персональные данные должны быть уничтожены или обезличены, если иное не предусмотрено федеральным законодательством.

4.2. Работник администрации при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

4.3. Обеспечение безопасности персональных данных достигается, в частности:

  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • учетом машинных носителей персональных данных;
    обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
  • восстановлением персональных данных, модифицированных или
    уничтоженных вследствие несанкционированного доступа к ним;
    установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

 

4.4. Перечень персональных данных, обрабатываемых в администрации утверждается Распоряжением Главы Бутырского муниципального образования и по мере изменения состава обрабатываемых персональных данных подлежит пересмотру и уточнению.

4.5. Субъектами персональных данных, обработка которых осуществляется администрацией, являются:

  • работники администрации;
  • физические и юридические лица.

4.6. Цели обработки персональных данных

Целями обработки персональных данных работников администрации являются: организация учета персонала администрации для обеспечения соблюдения требований действующих нормативно правовых актов; реализация администрацией обязательств, в рамках трудовых правоотношений (на основании заключенных с работниками трудовых договоров (контрактов) и действующих нормативных правовых актов), а также обязательств, связанных с трудовыми правоотношениями, предусмотренных действующим законодательством Российской Федерации.

Целью обработки персональных данных физических и юридических лиц является осуществление возложенных на администрацию функций в соответствии с

  • Федеральным Законом № 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации» от 6 октября 2003 г.,
  • Федеральным Законом № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» от 27 июля 2010 г.,
    другими нормативными правовыми актами Российской Федерации, подлежащими применению при осуществлении исполнения функции по осуществлению муниципального земельного контроля за использованием земель на территории Бутырского муниципального образования, деятельности по воинскому учету и бронированию граждан, пребывающих в запасе на территории Бутырского муниципального образования.

Целью обработки персональных данных представителей юридических лиц, заключивших с администрацией договоры является заключение и
исполнение администрацией договора с юридическим лицом и взаимодействие с представителями юридических лиц, связанное с исполнением заключенных договоров.

4.7. При определении объема и содержания обрабатываемых персональных данных субъектов администрация руководствуется вышеуказанными целями получения и обработки персональных данных.

4.8. Доступ работников администрации к персональным данным, подлежащим обработке, разрешен только уполномоченным работникам в соответствии с Перечень должностей служащих администрации, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным. При этом указанным лицам предоставляется доступ только к персональным данным, необходимым для выполнения их служебных обязанностей в пределах задач и функций их подразделений.

4.9. Порядок доступа субъекта персональных данных к его персональным данным, обрабатываемым администрацией, осуществляется в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» и определяется Положением об обработке персональных данных в администрации.

4.10. Перечень информационных систем персональных данных администрации утверждается Распоряжением Главы муниципального образования. Информационные системы персональных данных классифицируются в зависимости от категорий обрабатываемых в них персональных данных.

4.11. Организация и проведение мероприятий по обеспечению защиты персональных данных в администрации осуществляется в соответствии с Положением по организации и обеспечении защиты персональных данных в администрации.

4.12. Общее руководство организацией работ по защите персональных данных в администрации осуществляет Глава Бутырского муниципального образования.

4.13. В целях обеспечения мероприятий, предусмотренных действующим законодательством Российской Федерации в области обработки персональных данных, в администрации назначен работник, ответственный за:

  • доведение до сведения работников администрации положений законодательства Российской Федерации о персональных данных, локальных актов администрации по вопросам обработки персональных данных, требований к защите персональных данных;
  • осуществление внутреннего контроля за соблюдением работниками администрации законодательства Российской Федерации о персональных данных при обработке персональных данных в информационных системах администрации, в том числе требований к защите персональных данных, обрабатываемых в информационных системах администрации;
    осуществление внутреннего контроля за соблюдением администрации и работниками администрации законодательства Российской Федерации о персональных данных при обработке персональных данных без использования средств автоматизации (на бумажных носителях), а также за организацию приема и обработки обращений и запросов субъектов персональных данных или их представителей и осуществление контроля за приемом и обработкой таких обращений и запросов.

4.14. Деятельность администрации по обеспечению безопасности персональных данных контролируется уполномоченным органом по защите прав субъектов персональных данных.