Приложение к Постановлению от 04.09.2015 г № 6942
Правила обработки персональных данных в администрации муниципального образования город Новороссийск
1.Термины и определения
1.1.В настоящих Правилах обработки персональных данных в администрации муниципального образования город Новороссийск (далее - Администрация) используются основные понятия и термины, определенные Федеральными законами от 27 июля 2006 года N 152-ФЗ "О персональных данных" и от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации".
2.Общие положения
2.1.Настоящие Правила обработки персональных данных в Администрации (далее - Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в Администрации, разработаны на основании требований Трудового кодекса Российской Федерации, Федеральных законов от 2 марта 2007 года N 25-ФЗ "О муниципальной службе в Российской Федерации", от 22 октября 2004 года N 125-ФЗ "Об архивном деле в Российской Федерации", от 27 июля 2006 года N 152-ФЗ "О персональных данных", Постановлений Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
2.2.Обработка персональных данных в Администрации должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных.
2.3.Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.
2.4.Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.5.Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
2.6.Обработка персональных данных осуществляется в целях реализации муниципальных функций и оказания муниципальных услуг в соответствии с Приложением N 5 к постановлению Администрации "Об утверждении документов по обработке и защите персональных данных в администрации муниципального образования город Новороссийск".
2.7.Обработка персональных данных в Администрации осуществляется как с использованием средств автоматизации, так и без использования средств автоматизации.
2.8.Целью настоящих Правил является исполнение законодательства Российской Федерации в области обработки и защиты персональных данных.
2.9.Действия настоящих Правил не распространяется на отношения, возникшие при:
2.9.1.Организации хранения, комплектования, учета и использования содержащих персональные данные документов архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации.
2.9.2.Обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
2.9.3.Предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".
2.10.Мероприятия по обезличиванию обрабатываемых персональных данных в Администрации не проводятся.
3.Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных
3.1.В Администрации устанавливаются следующие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:
3.1.1.Направление уведомления об обработке персональных данных в контролирующий орган (Роскомнадзор).
3.1.2.Издание правовых актов Администрации по вопросам обработки и защиты персональных данных.
3.1.3.Назначение ответственного за организацию обработки персональных данных в Администрации.
3.1.4.Определение лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в Администрации и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных, подписание данными лицами обязательства о неразглашении персональных данных.
3.1.5.Ознакомление муниципальных служащих, непосредственно осуществляющих обработку персональных данных, под роспись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, обеспечение обучения указанных муниципальных служащих.
3.1.6.Получение персональных данных лично у субъекта персональных данных, в случае недееспособности субъекта персональных данных, согласие на обработку его персональных данных дает законный представитель субъекта персональных данных, в случае возникновения необходимости получения персональных данных у третьей стороны Администрация извещает об этом субъекта персональных данных заранее, получает его письменное согласие и сообщает ему о целях, предполагаемых источниках и способах получения персональных данных.
3.1.7.Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных.
3.1.8.Опубликование на официальном сайте Администрации в информационно-телекоммуникационной сети "Интернет" документов, определяющих политику Администрации в отношении обработки персональных данных, реализуемых требований к защите персональных данных.
3.1.9.Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к их защите, установленным Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, а также локальными правовыми актами Администрации.
3.1.10.Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
3.1.11.Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных.
3.1.12.Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации.
3.1.13.Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
3.1.14.Учет машинных носителей персональных данных.
3.1.15.Обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер.
3.1.16.Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
3.1.17.Установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных.
4.Правила, определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований
4.1.Категории субъектов персональных данных и содержание персональных данных, необходимое для каждой цели обработки персональных данных, определены следующими правовыми актами:
4.1.1.Федеральным законом от 2 марта 2007 года N 25-ФЗ "О муниципальной службе в Российской Федерации".
4.1.2.Трудовым кодексом Российской Федерации.
4.1.3.Налоговым кодексом Российской Федерации.
4.1.4.Федеральным законом от 28 марта 1998 года N 53-ФЗ "О воинской обязанности и военной службе".
4.1.5.Федеральным законом от 25 декабря 2008 года N 273-ФЗ "О противодействии коррупции".
4.1.6.Федеральным законом от 24 июля 2009 года N 212-ФЗ "О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования".
4.1.7.Федеральным законом от 29 декабря 2006 года N 255-ФЗ "Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством".
4.1.8.Федеральным законом от 2 мая 2006 года N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации".
4.1.9.Постановлением Правительства Российской Федерации от 21 января 2015 года N 29 "Об утверждении правил сообщения работодателем о заключении трудового или гражданско-правового договора на выполнение работ (оказание услуг) с гражданином, замещавшим должности государственной или муниципальной службы, перечень которых устанавливается нормативными правовыми актами Российской Федерации".
4.2.Сроки обработки персональных данных в Администрации должны ограничиваться достижением заявленных целей их обработки.
4.3.Сроки хранения персональных данных в Администрации не должны превышать сроков хранения, установленных действующим законодательством Российской Федерации.
4.4.Хранение персональных данных в Администрации осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных, если иной срок хранения не установлен федеральным законом, договором, стороной которого является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством.
4.5.В случае выявления неправомерной обработки персональных данных в срок, не превышающий 3 (трех) рабочих дней со дня этого выявления, оператор прекращает неправомерную обработку персональных данных.
4.6.В случае если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий 10 (десяти) рабочих дней со дня выявления неправомерной обработки персональных данных, уничтожает такие персональные данные и направляет уведомление об устранении допущенных нарушений или об уничтожении персональных данных в адрес субъекта персональных данных или его представителя.
4.7.По окончании срока хранения персональных данных назначается экспертиза. По итогам проведения экспертизы не имеющие никакой (юридической, материальной и иной) ценности персональные данные уничтожаются. Результаты экспертизы и уничтожения персональных данных оформляются актом.
4.8.При размещении персональных данных на бумажных носителях они подлежат уничтожению методом дробления носителя вручную или на бумагоуничтожительной машине, а при наличии возможности - методом сожжения.
4.9.При размещении персональных данных на машинных носителях персональные данные подлежат уничтожению методами стирания при помощи штатных средств операционной системы, замещения информации, стирания с использованием средств гарантированного уничтожения информации, форматирования носителя информации, уничтожения (разрушения) носителя информации.
4.10.Уничтожение черновиков, справочных материалов, испорченных экземпляров документов, содержащих персональные данные на бумажных носителях, производится работниками структурных подразделений Администрации вышеуказанными методами самостоятельно либо по указанию руководителя структурного подразделения.
4.11.Уничтожение информации, содержащей персональные данные, размещенной на машинных носителях, производится исполнителем по истечении надобности в такой информации, если иное не предусмотрено нормативными правовыми актами.
4.12.Уничтожение остаточной информации на жестких магнитных дисках серверов локальной вычислительной сети Администрации осуществляется средствами управления базами данных и операционных систем.
Заместитель главы муниципального образования,
управляющий делами
А.И.ПАВЛОВ