ПОЛИТИКА обработки персональных данных в администрации муниципального образования Лабинский муниципальный район Краснодарского края
1. Термины и определения
В настоящих Правилах обработки персональных данных в администрации муниципального образования Лабинский муниципальный район Краснодарского края используются основные понятия и термины, определенные федеральными законами от 27 июля 2006 года № 152-ФЗ «О персональных данных» и от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Используются следующие основные понятия:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
3) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
4) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
5) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
6) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
7) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
8) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
9) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
10) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
11) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
12) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2. Общие положения
2.1. Настоящие Правила обработки персональных данных в администрации муниципального образования Лабинский муниципальный район Краснодарского края (далее - Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в администрации муниципального образования Лабинский муниципальный район Краснодарского края, разработаны на основании требований Трудового кодекса Российской Федерации, федеральных законов от 2 марта 2007 года № 25-ФЗ «О муниципальной службе в Российской Федерации», от 22 октября 2004 года № 125-ФЗ «Об архивном деле в Российской Федерации», от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлений Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
2.2. Обработка персональных данных в администрации муниципального образования Лабинский муниципальный район Краснодарского края должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимая с целями сбора персональных данных.
2.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.
2.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
2.6. Обработка персональных данных в администрации муниципального образования Лабинский муниципальный район Краснодарского края осуществляется в целях реализации муниципальных функций и оказания муниципальных услуг в соответствии с приложением № 5 к настоящему постановлению администрации муниципального образования Лабинский муниципальный район Краснодарского края.
2.7. Обработка персональных данных в администрации муниципального образования Лабинский муниципальный район Краснодарского края осуществляется как с использованием средств автоматизации, так и без использования средств автоматизации.
2.8. Целью настоящих Правил является исполнение законодательства Российской Федерации в области обработки и защиты персональных данных.
2.9. Действия настоящих Правил не распространяется на отношения, возникшие при:
организации хранения, комплектования, учета и использования содержащих персональные данные документов архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;
предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».
2.10. Мероприятия по обезличиванию обрабатываемых персональных данных в администрации муниципального образования Лабинский муниципальный район Краснодарского края не проводятся.
3. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных
3.1. В администрации муниципального образования Лабинский муниципальный район Краснодарского края устанавливаются следующие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:
- направление уведомления об обработке персональных данных в контролирующий орган (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций);
- издание правовых актов главы администрации муниципального образования Лабинский муниципальный район Краснодарского края по вопросам обработки и защиты персональных данных;
- назначение ответственного за организацию обработки персональных данных в администрации муниципального образования Лабинский муниципальный район Краснодарского края;
- определение лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных в администрации муниципального образования Лабинский муниципальный район Краснодарского края и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных, подписание данными лицами обязательства о неразглашении персональных данных;
- ознакомление муниципальных служащих администрации муниципального образования Лабинский муниципальный район Краснодарского края, непосредственно осуществляющих обработку персональных данных, под роспись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, обеспечение обучения указанных муниципальных служащих;
- получение персональных данных лично у субъекта персональных данных, в случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных, в случае возникновения необходимости получения персональных данных у третьей стороны администрация муниципального образования Лабинский муниципальный район Краснодарского края извещает об этом субъекта персональных данных заранее, получает его письменное согласие и сообщает ему о целях, предполагаемых источниках и способах получения персональных данных;
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
- опубликование на официальном сайте администрации муниципального образования Лабинский муниципальный район Краснодарского края в информационно-телекоммуникационной сети «Интернет» документов, определяющих политику администрации муниципального образования Лабинский муниципальный район Краснодарского края в отношении обработки персональных данных, реализуемых требований к защите персональных данных;
- осуществление внутреннего контроля соответствия обработки персональных данных требованиям к их защите, установленным Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, а также постановлениями и распоряжениями главы администрации муниципального образования Лабинский муниципальный район Краснодарского края;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учет машинных носителей персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных.
4. Правила, определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований
4.1. Категории субъектов персональных данных и содержание персональных данных, необходимое для каждой цели обработки персональных данных, определены следующими правовыми актами:
- Федеральным законом от 2 марта 2007 года № 25-ФЗ «О муниципальной службе в Российской Федерации»;
- Трудовым кодексом Российской Федерации;
- Налоговым кодексом Российской Федерации;
- Федеральным законом от 28 марта 1998 года № 53-ФЗ «О воинской обязанности и военной службе»;
- Федеральным законом от 25 декабря 2008 года № 273-ФЗ «О противодействии коррупции»;
- Федеральным законом от 24 июля 2009 года № 212-ФЗ «О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования»;
- Федеральным законом от 29 декабря 2006 года № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
- Федеральным законом от 2 мая 2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
- постановлением Правительства Российской Федерации от 21 января 2015 года № 29 «Об утверждении правил сообщения работодателем о заключении трудового или гражданско-правового договора на выполнение работ (оказание услуг) с гражданином, замещавшим должности государственной или муниципальной службы, перечень которых устанавливается нормативными правовыми актами Российской Федерации».
4.2. Сроки обработки персональных данных в администрации муниципального образования Лабинский муниципальный район Краснодарского края должны ограничиваться достижением заявленных целей их обработки.
4.3. Сроки хранения персональных данных в администрации муниципального образования Лабинский муниципальный район Краснодарского края не должны превышать сроков хранения, установленных действующим законодательством Российской Федерации.
4.4. Хранение персональных данных в администрации муниципального образования Лабинский муниципальный район Краснодарского края осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных, если иной срок хранения не установлен федеральным законом, договором, стороной которого является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством.
4.5. В случае выявления неправомерной обработки персональных данных в срок, не превышающий 3 (трех) рабочих дней со дня этого выявления, оператор прекращает неправомерную обработку персональных данных.
4.6. В случае если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий 10 (десяти) рабочих дней со дня выявления неправомерной обработки персональных данных, уничтожает такие персональные данные и направляет уведомление об устранении допущенных нарушений или об уничтожении персональных данных в адрес субъекта персональных данных или его представителя.
4.7. По окончании срока хранения персональных данных назначается экспертиза. По итогам проведения экспертизы не имеющие никакой (юридической, материальной и иной) ценности персональные данные уничтожаются. Результаты экспертизы и уничтожения персональных данных оформляются актом.
4.8. При размещении персональных данных на бумажных носителях они подлежат уничтожению методом дробления носителя вручную или на бумагоуничтожительной машине, а при наличии возможности - методом сожжения.
4.9. При размещении персональных данных на машинных носителях персональные данные подлежат уничтожению методами стирания при помощи штатных средств операционной системы, замещения информации, стирания с использованием средств гарантированного уничтожения информации, форматирования носителя информации, уничтожения (разрушения) носителя информации.
4.10. Уничтожение черновиков, справочных материалов, испорченных экземпляров документов, содержащих персональные данные на бумажных носителях, производится работниками отраслевых (функциональных) органов администрации муниципального образования Лабинский муниципальный район Краснодарского края вышеуказанными методами самостоятельно либо по указанию руководителя данного отраслевого (функционального) органа администрации муниципального образования Лабинский муниципальный район Краснодарского края обрабатывающего такие данные.
4.11. Уничтожение информации, содержащей персональные данные, размещенной на машинных носителях, производится исполнителем по истечении надобности в такой информации, если иное не предусмотрено нормативными правовыми актами.
4.12. Уничтожение остаточной информации на жестких магнитных дисках серверов локальной вычислительной сети администрации муниципального образования Лабинский муниципальный район Краснодарского края осуществляется средствами управления базами данных и операционных систем.