1. Общие положения
1.1. Настоящая политика в отношении обработки персональных данных (далее - Политика) разработана в соответствии с требованиями ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и распространяется на администрацию Алешкинского муниципального округа (далее - администрация) и ее структурные подразделения (не являющихся юридическими лицами).
В политике используются следующие основные понятия:
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- оператор - администрация, самостоятельно или совместно с другими лицами организующая и (или) осуществляющая обработку персональных данных, а также определяющая цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.3. Политика является общедоступным документом, декларирующим основы деятельности администрации и структурных подразделений, связанной с обработкой персональных данных.
1.4. Действие Политики не распространяется на отношения, возникающие при:
- организации хранения, комплектования, учета и использования содержащих персональные данные архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
- обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
1.5. Администрация является оператором (далее - Оператор), организующим и осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2. Принципы и цели обработки персональных данных, субъекты персональных данных
2.1. Обработка персональных данных в администрации и структурных подразделениях основана на следующих принципах:
2.1.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2.1.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.1.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.1.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.1.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
2.1.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
2.1.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.2. Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
2.2.1. Целями обработки персональных данных в администрации и структурных подразделениях являются:
2.2.2. Исполнение условий трудового договора (служебного контракта) и осуществление прав и обязанностей в соответствии с трудовым законодательством, законодательством о муниципальной службе.
2.2.3. Рассмотрение обращений граждан Российской Федерации в соответствии с законодательством.
2.2.4. Выполнение обязательств по гражданско-правовым договорам (контрактам) и иным соглашениям, заключаемым администрацией и структурными подразделениями.
2.2.5. Предоставление муниципальных услуг, реализация полномочий, возложенных на администрацию и структурные подразделения.
3. Состав и субъекты персональных данных
3.1. Оператором осуществляется обработка следующих категорий персональных данных:
а) специальные категории персональных данных (сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных);
б) общедоступные персональные данные (сведения, полученные только из общедоступных источников персональных данных);
в) иные категории персональных данных, если в ней не обрабатываются персональные данные, указанные в подпунктах а), б), в) настоящего пункта;
г) персональные данные сотрудников оператора.
3.2. Субъектами обработки персональных данных являются:
3.2.1. Граждане, состоящие с администрацией и структурными подразделениями в отношениях, регулируемых трудовым законодательством, законодательством о муниципальной службе.
3.2.2. Граждане, являющиеся кандидатами на включение в кадровый резерв администрации.
3.2.3. Граждане, состоящие в гражданско-правовых отношениях с администрацией.
3.2.4. Граждане, обращающиеся в администрацию и структурные подразделения, в том числе с целью получения муниципальных услуг.
3.3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- иные сведения, предусмотренные Федеральным законом "О персональных данных".
3.4. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокировки или уничтожения в случае, если его персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3.5. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона "О персональных данных" или иным образом нарушает его права и свободы, субъект вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор) или в судебном порядке.
4. Обработка персональных данных
4.1. Обработка персональных данных осуществляется с согласия субъекта персональных данных, если иное не предусмотрено федеральными законами. Согласие субъекта персональных данных должно отвечать требованиям, определенным Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".
4.2. Обработка персональных данных осуществляется с использованием средств автоматизации, а также без использования таких средств (на бумажном носителе).
5. Работа с обезличенными данными
5.1. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
5.2. Обезличивание персональных данных может быть проведено с целью ведения статистического учета и отчетности, снижения ущерба от разглашения персональных данных, снижения уровня защищенности автоматизированных информационных систем, если иное не предусмотрено действующим законодательством Российской Федерации.
5.3. Обезличивание персональных данных осуществляется в соответствии с приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных".
5.4. Обезличенные персональные данные не подлежат разглашению.
5.5. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
6. Сроки обработки и хранения персональных данных
6.1. В соответствии с законодательством Российской Федерации:
- персональные данные, содержащиеся в распоряжениях по личному составу, в личных делах и личных карточках, подлежат хранению в Кадровой службе в установленном законодательством Российской Федерации порядке;
- персональные данные граждан, претендующих на замещение вакантных должностей муниципальной службы; должностей, не отнесенных к муниципальной службе; граждан, замещающих должности руководителей подведомственных организаций; а также граждан, претендующих на замещение должностей руководителей подведомственных организаций, подлежат хранению в установленном законодательством Российской Федерации порядке.
6.2. Сроки обработки и хранения персональных данных, предоставляемых в связи с получением муниципальной услуги и исполнением муниципальных функций, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.
6.3. Персональные данные граждан, обратившихся в администрацию лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет.
6.4. Персональные данные, предоставляемые на бумажном носителе в связи с предоставлением администрацией муниципальной услуги и исполнением муниципальных функций, хранятся на бумажных носителях в структурных подразделениях администрации, к полномочиям которых относится обработка персональных данных в связи с предоставлением муниципальной услуги или исполнением муниципальной функции, в соответствии с утвержденными положениями о соответствующих структурных подразделениях администрации.
6.5. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
6.6. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в целях, определенных Правилами.
6.7. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений администрации.
6.8. Срок хранения персональных данных, внесенных в автоматизированные информационные системы, должен соответствовать сроку хранения бумажных оригиналов.
7. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований
7.1. Администрацией осуществляется систематический контроль и выделение документов, содержащих персональные данные с истекшими сроками хранения, подлежащих уничтожению.
7.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании комиссии администрации для организации и проведения экспертизы ценности документов (далее - комиссия).
По итогам заседания комиссии составляется протокол и акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем и секретарем комиссии.
7.3. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации.
8. Рассмотрение запросов субъектов персональных данных или их представителей
8.1. Субъекты персональных данных имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных в администрации;
2) правовые основания и цели обработки персональных данных;
3) применяемые в администрации способы обработки персональных данных;
4) наименование и место нахождения администрации, сведения о гражданах (за исключением служащих Администрации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании трудового договора с администрацией или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких персональных данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения в администрации;
7) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;
8) наименование организации или фамилию, имя, отчество (последнее - при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению администрации, если обработка поручена или будет поручена такой организации или лицу;
9) иную информацию, предусмотренную законодательством Российской Федерации в области персональных данных.
8.2. Субъекты персональных данных вправе требовать от администрации уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.3. Информация, предусмотренная пунктом 8.1 Правил, должна быть предоставлена субъекту персональных данных оператором в доступной форме, и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
8.4. Информация, предусмотренная пунктом 8.1 Правил, предоставляется субъекту персональных данных или его представителю служащим администрации, осуществляющим обработку соответствующих персональных данных, при обращении либо при получении запроса субъекта персональных данных или его представителя, содержащего:
1) номер, серию документа, удостоверяющего личность субъекта персональных данных или его представителя, дату выдачи, наименование органа, выдавшего его;
2) информацию, подтверждающую участие субъекта персональных данных в правоотношениях с администрацией (документ, подтверждающий прием документов на участие в конкурсе, документов, представляемых в целях предоставления муниципальной услуги и (или) исполнения муниципальных функций), либо информацию, иным образом подтверждающую факт обработки персональных данных в администрации, заверенную подписью субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
8.5. В случае, если информация, предусмотренная пунктом 8.1 Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных, субъект персональных данных вправе повторно обратиться в администрацию лично или направить повторный запрос в целях получения указанной информации и ознакомления с персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен законодательством Российской Федерации или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
8.6. Субъект персональных данных вправе повторно обратиться в администрацию лично или направить повторный запрос в целях получения информации, предусмотренной пунктом 8.1 Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 8.5 Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 8.4 Правил, должен содержать обоснование направления повторного запроса.
8.7. Администрация (уполномоченное должностное лицо администрации) вправе мотивированно отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 8.5 и 8.6 Правил.
8.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами (пункт 8 статьи 14 Федерального закона "О персональных данных").
9. Правила осуществления внутреннего контроля
соответствия обработки персональных данных требованиям
к защите персональных данных в администрации
9.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям лица, ответственные за организацию обработки персональных данных в администрации, организуют проведение периодических проверок соблюдения служащими законодательства Российской Федерации о персональных данных и соблюдения требований к защите персональных данных не реже одного раза в год.
9.2. Проверки соответствия обработки персональных данных установленным требованиям проводятся на основании утвержденного распоряжением администрации ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям (плановые проверки), а также на основании поступившего письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки).
Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
В проведении проверки не может участвовать лицо, прямо или косвенно заинтересованное в ее результатах.
9.3. Плановые проверки осуществляются лицом (лицами), ответственным(и) за организацию обработки персональных данных в администрации.
Внеплановые проверки осуществляются комиссией по осуществлению внутреннего контроля соответствия обработки персональных данных установленным требованиям, создаваемой распоряжением администрации. Персональный состав комиссии и порядок ее работы устанавливаются распоряжением администрации.
9.4. При проведении плановой проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены порядок и условия соблюдения служащими, допущенными к работе с персональными данными, Федерального закона N 152-ФЗ, настоящих Правил, правовых актов администрации по работе с персональными данными.
9.5. При проведении внеплановой проверки соответствия обработки персональных данных установленным требованиям осуществляется полностью, объективно, всесторонне проверка сведений, указанных в заявлении о нарушениях правил обработки персональных данных.
9.6. Ответственные за организацию обработки персональных данных (комиссия) имеют право:
- запрашивать у сотрудников информацию, необходимую для реализации полномочий;
- требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
- вносить главе администрации предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
- вносить главе администрации предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
9.7. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных (членам комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
9.8. Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о ее проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, главе администрации докладывает ответственный за организацию обработки персональных данных или председатель комиссии в форме письменного заключения.
10. Порядок доступа в помещения, в которых ведется обработка персональных данных.
10.1. Нахождение в помещениях, в которых ведется обработка персональных данных, лиц, не являющихся служащими, уполномоченными на обработку персональных данных, возможно только в присутствии служащего администрации, уполномоченного на обработку персональных данных, на время, ограниченное необходимостью решения вопросов, связанных с предоставлением персональных данных, предоставлением муниципальной услуги, осуществлением муниципальных функций.
10.2. Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на служащего администрации, ответственного за организацию обработки персональных данных в администрации.
11. Ответственный за организацию обработки персональных данных
11.1. Ответственный за организацию обработки персональных данных в администрации (далее - ответственный за обработку персональных данных) назначается главой администрации из числа муниципальных служащих администрации, относящихся к высшей и (или) главной группе должностей категории "руководители".
11.2. Ответственный за обработку персональных данных в своей работе руководствуется законодательством Российской Федерации в области персональных данных и Правилами.
11.3. Ответственный за обработку персональных данных обязан:
1) организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в администрации, от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
2) осуществлять внутренний контроль за соблюдением служащими, уполномоченными на обработку персональных данных, требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
3) доводить до сведения служащих, уполномоченных на обработку персональных данных, положения законодательства Российской Федерации в области персональных данных, локальные акты по вопросам обработки персональных данных, требования к защите персональных данных;
4) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в администрации;
5) в случае нарушения в администрации требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
11.4. Ответственный за обработку персональных данных вправе:
1) иметь доступ к информации, касающейся обработки персональных данных в администрации и включающей:
цели обработки персональных данных;
категории обрабатываемых персональных данных;
категории субъектов персональных данных, персональные данные которых обрабатываются;
правовые основания обработки персональных данных;
перечень действий с персональными данными, общее описание используемых в администрации способов обработки персональных данных;
описание мер, предусмотренных статьями 18.1 и 19 Федерального закона "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
дату начала обработки персональных данных;
срок или условия прекращения обработки персональных данных;
сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации;
2) привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в администрации, иных служащих администрации с возложением на них соответствующих обязанностей и закреплением ответственности.
11.5. Ответственный за обработку персональных данных несет ответственность за надлежащее выполнение функций по организации обработки персональных данных в администрации в соответствии с законодательством Российской Федерации в области персональных данных.