Приложение к Постановлению от 23.09.2013 г № 844/2-ПА

Политика администрации города Кимры в отношении обработки и защиты персональных данных


1.Общие положения
1.1.В целях выполнения норм федерального законодательства в области обработки персональных данных субъектов персональных данных администрация города Кимры (далее - Оператор) считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
1.2.Настоящая Политика определяет принципы, порядок, правовые основания и условия обработки персональных данных работников администрации и иных лиц, чьи персональные данные обрабатываются администрацией. Цель - защита прав и свобод человека и гражданина при обработке его персональных данных, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну. Также устанавливает ответственность должностных лиц администрации, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3 Политика в отношении обработки персональных данных в администрации города Кимры разработана в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и ее действие распространяется на все персональные данные субъектов, обрабатываемые в администрации города с применением средств автоматизации и без применения таких средств.
1.4.Основные понятия, используемые в Политике:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.Информация об операторе
Наименование: администрация города Кимры.
Фактический адрес: 171510, Россия, Тверская область, город Кимры, улица Кирова, дом 18.
Тел., факс: 8 (848236) 2-16-66
Реестр операторов персональных данных:
- регистрационный номер 10-0114317.
3.Правовые основания обработки персональных данных
Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами Российской Федерации:
- Конституцией Российской Федерации;
- Трудовым кодексом Российской Федерации;
- Гражданским кодексом Российской Федерации;
- Жилищным кодексом Российской Федерации;
- Кодекса Российской Федерации об административных правонарушениях;
- Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";
- Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
- Федеральным законом от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";
- Федеральным законом от 02.03.2007 N 25-ФЗ "О муниципальной службе Российской Федерации";
- Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации",
- Федеральным законом от 06.10.2003 N 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации".
4.Цели обработки персональных данных
Оператор обрабатывает персональные данные исключительно в целях:
- обеспечение кадровой и бухгалтерской работы в отношении муниципальных служащих и иных категорий работников администрации города;
- выполнение работ по предоставлению муниципальных и государственных услуг населению, осуществление муниципальных и государственных функций и других полномочий администрации города в соответствии с законодательством Российской Федерации.
5.Категории обрабатываемых персональных данных
Перечень персональных данных, подлежащих защите в администрации города, формируется в соответствии с ФЗ от 27.06.2006 N 152-ФЗ "О персональных данных"
В ИСПДн Оператора обрабатываются персональные данные следующих категорий субъектов персональных данных:
- муниципальных служащих и иных категорий работников администрации города в связи с трудовыми отношениями и касающиеся конкретного работника;
- физических лиц, обращающихся в администрацию города с письменными предложениями, заявлениями или жалобами;
- руководителей, уполномоченных представителей юридических лиц, а также физические лица, состоящие в гражданско-правовых отношениях с администрацией города;
- граждан, а также должностных, юридических лиц и индивидуальных предпринимателей, в отношении которых ведутся дела об административных правонарушениях;
- иных физических лиц, сведения о персональных данных которых имеются у администрации города в связи с реализацией ею своих полномочий.
6.Основные принципы и условия обработки персональных данных
6.1.Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных":
- законности обработки персональных данных;
- прекращения обработки персональных данных после достижения конкретных, заранее определенных и законных целей;
- недопустимости обработки персональных данных, несовместимой с целями их сбора;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям их обработки;
- обеспечения точности, достаточности, а в необходимых случаях и актуальности персональных данных по отношению к целям их обработки;
- недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки.
6.2.Оператор обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
6.3.Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
6.4.В целях информационного обеспечения оператором могут создаваться общедоступные источники персональных данных работников, в том числе справочники и адресные книги. В общедоступные источники персональных данных с согласия работника могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты.
Сведения о работнике должны быть в любое время исключены из общедоступных источников персональных данных по требованию работника либо по решению суда или иных уполномоченных государственных органов.
6.5.Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению руководителя оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом N 152-ФЗ.
6.6.В случае отказа субъекта персональных данных предоставить администрации города свои персональные данные, ему должны быть разъяснены юридические последствия такого отказа.
6.7.Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
6.8.Оператор не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
6.9.Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
7.Передача персональных данных субъекта персональных данных третьим лицам осуществляется на основании мотивированных письменных запросов с указанием конкретных персональных данных и целой, для которых они будут использованы, с письменного согласия субъекта персональных данных, за исключением случаев, установленных законодательством Российской Федерации
7.1.Оператор обязан сообщать персональные данные субъекта персональных данных по надлежаще оформленным запросам суда, прокуратуры, правоохранительных органов.
7.2.Оператор прекращает обработку персональных данных в случае:
- изменения, признания утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
- изменения или расторжения соглашений, заключенных Оператором во исполнение нормативных правовых актов, на основании которых осуществляется обработка персональных данных;
- выявления неправомерной обработки персональных данных, осуществляемой Оператором;
- достижения цели обработки персональных данных;
- отзыва субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" обработка персональных данных допускается только с согласия субъекта персональных данных.
7.3.В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям:
- Федеральной налоговой службе;
- отделению Пенсионного фонда РФ по Тверской области;
- участникам системы межведомственного электронного взаимодействия;
- негосударственным пенсионным фондам;
- Оператор не поручает обработку персональных данных другим лицам на основании договора.
7.4.Сроки хранения персональных данных муниципальных служащих и иных категорий работников Оператора определяются в соответствии с Трудовым кодексом Российской Федерации, а также Федеральным законом от 02.03.2007 N 25-ФЗ "О муниципальной службе Российской Федерации".
7.12.Сроки хранения персональных данных граждан определяются в соответствие со сроком действия договора с субъектом персональных данных, сроком исковой давности, а также иными требованиями законодательства РФ.
8.Меры по обеспечению безопасности персональных данных при их обработке
8.1.Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них.
Для целенаправленного создания оператором неблагоприятных условий и труднопреодолимых препятствий для нарушителей, пытающихся осуществить несанкционированный доступ к персональным данным в целях овладения ими, их видоизменения, уничтожения, заражения вредоносной компьютерной программой, подмены и совершения иных несанкционированных действий, оператором применяются следующие организационно-технические меры:
- назначение ответственных за организацию обработки персональных данных;
- осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам;
- обработка персональных данных, осуществляемая без использования средств автоматизации, организована в соответствии с требованиями установленными Постановлением Правительства РФ от 15.09.2008 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учет машинных носителей персональных данных;
- выявление фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
8.2.Обязанности должностных лиц, осуществляющих обработку и защиту персональных данных, а также их ответственность определяются в должностных инструкциях вышеуказанных лиц.
Вводится:
- ограничение и регламентация состава работников, имеющих доступ к персональным данным;
- ознакомление работников с требованиями федерального законодательства и нормативных документов оператора по обработке и защите персональных данных;
- обеспечение учета и хранения материальных носителей информации и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;
- определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
- разработка на основе модели угроз системы защиты персональных данных для соответствующего класса информационных систем;
- реализация системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;
- регистрация и учет действий пользователей информационных систем персональных данных;
- парольная защита доступа пользователей к информационной системе персональных данных;
- применение в необходимых случаях средств криптографической защиты информации для обеспечения безопасности персональных данных при передаче по открытым каналам связи и хранении на машинных носителях информации;
- осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок; применение межсетевого экранирования;
- обнаружение вторжений в корпоративную сеть оператора, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
- централизованное управление системой защиты персональных данных;
- резервное копирование информации;
- обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- обучение работников, использующих средства защиты информации, применяемые в информационных системах персональных данных, правилам работы с ними;
- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;
- использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
- проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;
- размещение технических средств обработки персональных данных в пределах охраняемой территории;
- организация пропускного режима на территорию оператора;
- поддержание технических средств охраны, сигнализаций помещений в состоянии постоянной готовности.
9.Права субъектов персональных данных
9.1.Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Федеральном законе N 152-ФЗ, возлагается на оператора.
9.2.Субъект персональных данных вправе требовать от Оператора, который их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.3.Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе в следующих случаях:
- если обработка персональных данных, включая те, что получены в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, выполняется в целях укрепления обороны страны, обеспечения безопасности государства и охраны правопорядка;
- при условии, что обработка персональных данных производится органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, когда допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
- если обработка персональных данных выполняется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- когда доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
9.4.Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
9.5.Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
9.6.Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.
9.7.Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона N 152-ФЗ или иным образом нарушает его права свободы, то он вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
9.8.Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
10.Заключительные положения
10.1.Распоряжением Главы города назначается ответственный за организацию обработки персональных данных, а также ответственный за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных.
10.2.Контроль за соблюдением Политики осуществляет назначенный Главой города заместитель главы администрации.
10.3.Уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), управление по защите прав субъектов персональных данных.
10.4.Настоящая Политика является внутренним документом Оператора, общедоступной и подлежит размещению на официальном сайте администрации города Кимры.
10.5.Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
10.6.Настоящая Политика обязательна для соблюдения и подлежит доведению до всех сотрудников администрации города Кимры.
10.7.Ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации.