20 февраля 2021

ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ ТУМАНОВСКОГО СЕЛЬСКОГО ПОСЕЛЕНИЯ ВЯЗЕМСКОГО РАЙОНА СМОЛЕНСКОЙ ОБЛАСТИ

1. Общие положения

1.1. Правила обработки персональных данных в Администрации Туманоского сельского поселения Вяземского района Смоленской области(далее – Правила) разработаны в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Федеральный закон), Постановлениями Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и регламентируют организацию защиты персональных данных в Администрации Тумановского сельского поселения Вяземского района Смоленской области.

1.2. В настоящих Правилах используются следующие термины и понятия:

- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

- деобезличивание - действия, в результате которых обезличенные данные принимают вид, позволяющий определить их принадлежность конкретному субъекту персональных данных, то есть становятся персональными данными;

- обработка обезличенных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации с обезличенными данными без применения их предварительного деобезличивания;

- информационная система персональных данных (далее - ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

- обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных, содержащихся в ИСПДн либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;

- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

- общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

1.3. Настоящие Правила не распространяются на ИСПДн, обрабатывающие персональные данные, отнесенные в установленном порядке к сведениям, составляющим государственную тайну, к организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации, а также информационные системы, обрабатывающие информацию с ограниченным доступом (конфиденциальную), не содержащую персональные данные.

1.4. В Администрации Тумановского сельского поселения Вяземского района Смоленской области:

-систему защиты персональных данных возглавляет Глава муниципального образования Тумановского сельского поселения Вяземского района Смоленской области;

-по каждой ИСПДн распоряжением назначается сотрудник, ответственный за защиту персональных данных, и определяется перечень лиц, допущенных к обработке персональных данных;

-ответственный сотрудник отвечает за установку и настройку технических средств защиты (ТСЗ) персональных данных при их обработке с использованием средств вычислительной техники.

2. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных

2.1. К процедурам, направленным на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных в Администрации Тумановского сельского поселения Вяземского района Смоленской области, относятся:

-назначение ответственных лиц за организацию и состояние защиты персональных данных по каждой ИСПДн в Администрации Тумановского сельского поселения Вяземского района Смоленской области;

-назначение ответственных лиц за обеспечение защиты персональных данных по каждой ИСПДн в Администрации Тумановского сельского поселения Вяземского района Смоленской области;

-применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона;

-осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону, принятым нормативным правовым актам, требованиям к защите персональных данных, политике Администрации Тумановского сельского поселения Вяземского района Смоленской области в отношении обработки персональных данных, локальным правовым актам Администрации Тумановского сельского поселения Вяземского района Смоленской области;

-ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и (или) обучение указанных сотрудников;

-недопущение обработки персональных данных, несовместимых с целями сбора персональных данных;

-недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

-соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

-обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных;

-оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом.

2.2.Правовые акты Администрации Тумановского сельского поселения Вяземского района Смоленской области, определяющие политику в отношении обработки персональных данных, подлежат обязательному опубликованию на официальном сайте Администрации Тумановского сельского поселения Вяземского района Смоленской области в течение 10 дней после их утверждения.

3. Основные условия обработки персональных данных

3.1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законом. Обработка персональных данных допускается в следующих случаях:

- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Администрацию Тумановского сельского поселения Вяземского района Смоленской области функций, полномочий и обязанностей;

- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

- обработка персональных данных необходима для исполнения полномочий органов местного самоуправления, участвующих в предоставлении государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";

- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

-обработка персональных данных необходима для осуществления прав и законных интересов Администрации Тумановского сельского поселения Вяземского района Смоленской области или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

-обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона, при условии обязательного обезличивания персональных данных;

-осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

-осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с Федеральным законом.

3.2.Лица, ответственные за организацию и состояние защиты персональных данных, обязаны:

-осуществлять внутренний контроль за соблюдением сотрудниками Администрации Тумановского сельского поселения Вяземского района Смоленской области законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

-доводить до сведения сотрудников положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

-организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов;

-определить действующие в рамках их компетенции ИСПДн;

-по каждой ИСПДн назначить лицо, ответственное за защиту персональных данных, и определить перечень лиц, допущенных к обработке персональных данных;

-разработать мероприятия по обеспечению защиты персональных данных и организовать их выполнение в структурных подразделениях лицами, допущенными к обработке персональных данных;

-принять локальные правовые акты по обеспечению защиты персональных данных и организовать их соблюдение лицами, допущенными к обработке персональных данных;

-обеспечить организацию приобретения технических средств защиты персональных данных и их внедрение.

3.3.Лица, ответственные за защиту персональных данных в ИСПДн, обязаны:

-выполнять мероприятия по защите персональных данных и контролировать их выполнение всеми сотрудниками, допущенными к обработке персональных данных в этих ИСПДн;

-соблюдать требования действующего законодательства Российской Федерации и локальных правовых актов по защите персональных данных, контролировать их соблюдение всеми сотрудниками, допущенными к обработке персональных данных в этих ИСПДн;

-докладывать лицам, ответственным за организацию и состояние защиты персональных данных, обо всех нарушениях при их обработке.

3.4.Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись должны быть ознакомлены с настоящими Правилами и подписать обязательство о неразглашении информации, содержащей персональные данные, и обязательство муниципального служащего Администрации Тумановского сельского поселения Вяземского района Смоленской области, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей.

3.5. Запрещается:

- обрабатывать персональные данные в присутствии лиц, не допущенных к их обработке;

- осуществлять ввод персональных данных под диктовку.

4. Порядок обработки персональных данных в ИСПДн

4.1.Обработка персональных данных в ИСПДн с использованием средств автоматизации осуществляется в соответствии с требованиями Постановления Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.

4.2.При эксплуатации автоматизированных систем персональных данных необходимо соблюдать следующие требования:

-к работе допускаются только лица, назначенные соответствующим приказом;

- на период обработки защищаемой информации в помещении могут находиться лица, допущенные в установленном порядке к обрабатываемой информации;

-Инструкции по использованию средств криптографической защиты информации в Администрации Тумановского сельского поселения Вяземского района Смоленской области;

-Положения об организации антивирусной защиты информации в Администрации сельского поселения Вяземского района Смоленской области;

-Положения о защите конфиденциальной информации от несанкционированного использования и распространения.

4.3.Не допускается обработка персональных данных в ИСПДн с использованием средств автоматизации:

-при отсутствии установленных и настроенных сертифицированных средств защиты информации;

-при отсутствии утвержденных организационных документов о порядке эксплуатации ИСПДн.

5. Особенности обработки персональных данныхбез использования средств автоматизации

5.1. Обработка персональных данных в ИСПДн без использования средств автоматизации осуществляется с учетом требований Постановления Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

5.2. Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации.

5.3. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.

5.4. При неавтоматизированной обработке персональных данных на бумажных носителях:

- не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы;

- персональные данные должны обособляться от иной информации, в частности, путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);

- документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;

- дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.

5.5. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

5.6. Неавтоматизированная обработка персональных данных в электронном виде осуществляется на внешних электронных носителях информации.

5.7. При отсутствии технологической возможности осуществления неавтоматизированной обработки персональных данных в электронном виде на внешних электронных носителях информации необходимо принимать организационные (охрана помещений) и технические (установка сертифицированных средств защиты информации) меры, исключающие возможность несанкционированного доступа к персональным данным лиц, не допущенных к их обработке.

5.8. Электронные носители информации, содержащие персональные данные, учитываются в журнале учета электронных носителей персональных данных.

К каждому электронному носителю оформляется опись содержащих персональные данные файлов (каталогов), хранящихся на нем, с указанием цели обработки и категории персональных данных.

5.9. При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном электронном носителе информации, если электронный носитель информации не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

5.10. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.

5.11. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).

6. Цели обработки персональных данных, категории субъектов,персональные данные которых обрабатываются

В Администрации Тумановского сельского поселения Вяземского района Смоленской области персональные данные обрабатываются в целях:

-осуществления функций, полномочий и обязанностей, возложенных на Администрации Тумановского сельского поселения Вяземского района Смоленской области действующим законодательством;

-предоставления муниципальных услуг.

Категории субъектов, персональные данные которых обрабатываются в Администрации Тумановского сельского поселения Вяземского района Смоленской области:

-граждане;

-сотрудники Администрации Тумановского сельского поселения Вяземского района Смоленской области;

-сотрудники и руководители подведомственных предприятий и учреждений.

7. Сроки обработки и хранения персональных данных. Порядокуничтожения персональных данных при достижении целейобработки или при наступлении иных законных оснований

7.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

7.2. Персональные данные подлежат уничтожению в течение 30 дней по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством Российской Федерации.

7.3. В случае отсутствия возможности уничтожения персональных данных в течение вышеуказанного срока осуществляется блокирование таких персональных данных и обеспечивается уничтожение персональных данных в срок не более чем 6 месяцев.

7.4. Уничтожение бумажных носителей должно осуществляться сотрудниками, допущенными к обработке персональных данных, путем, не допускающим дальнейшую возможность ознакомления с данными документами. Уничтожение информации на автоматизированных рабочих местах должно осуществляться способами, не позволяющими восстановить персональные данные.

7.5. При уничтожении данных составляется акт с указанием, какие документы и файлы были уничтожены.

8. Ответственность за разглашение персональных данных

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных граждан, несут дисциплинарную, административную, гражданско-правовую, уголовную ответственность в соответствии с действующим законодательством Российской Федерации.