ПРАВИЛА
обработки персональных данных в Администрации
Вставского сельского поселения Тарского муниципального района Омской области
- Общие положения
1.1. Настоящие правила обработки персональных данных (далее – Правила) в Администрации Вставского сельского поселения Тарского муниципального района Омской области (далее – Администрация) определяют цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также мероприятия, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в Администрации.
1.2. Настоящие Правила разработаны в соответствии: Трудовым кодексом Российской Федерации; Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»); Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Федеральным законом от 27 июля 2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»; постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
1.3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27.07.2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ).
1.4. Обработка персональных данных в Администрации осуществляется с соблюдением порядка и условий, предусмотренных настоящими Правилами и законодательством Российской Федерации в области персональных данных.
2. Цели обработки персональных данных
2.1. Целями обработки персональных данных оператором являются:
- осуществление возложенных на оператора полномочий в соответствии с законодательством Российской Федерации и Омской области, Уставом Вставского сельского поселения Тарского муниципального района Омской области;
- организация учета муниципальных служащих Администрации, работников, замещающих должности, не являющиеся должностями муниципальной службы Администрации, для обеспечения соблюдения действующего трудового законодательства, законодательства о муниципальной службе.
2.2. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
3. Категории субъектов персональных данных
3.1. Категории субъектов, персональные данные которых подлежат обработке в информационных системах персональных данных оператора, определяются целью обработки персональных данных в каждой информационной системе персональных данных.
3.2. К категориям субъектов персональных данных оператора (далее - субъект персональных данных) относятся:
- сотрудники Администрации;
- физические лица, претендующие на замещение должностей в Администрации;
- физические лица, обратившиеся в Администрацию с целью получения государственных и муниципальных услуг, и их представителей;
- индивидуальные предприниматели и физические лица – представители юридических лиц, фигурирующие в договорах, контрактах, жалобах;
- граждане, обратившиеся в Администрацию в соответствии с Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";
- иные граждане в случаях, предусмотренных действующим законодательством, муниципальными правовыми актами.
3.3. Субъект персональных данных предоставляет персональные данные самостоятельно либо через своего представителя. В случаях, предусмотренных законодательством, персональные данные также могут быть переданы оператору третьими лицами.
- Условия и порядок обработки персональных данных
4.1. Обработка персональных данных в Администрации подразумевает действия по сбору, записи, систематизации, накоплению, хранению, обновлению, изменению, извлечению, использованию, распространению, предоставлению, доступу, обезличиванию, блокированию, удалению, уничтожению персональных данных.
4.2. Перечень персональных данных обрабатываемых в Администрации утверждается распоряжением Администрации.
4.3. Обработка персональных данных осуществляется с согласия субъекта персональных данных на их обработку, составленного в письменном виде по типовой форме, утвержденной распоряжением Администрации. Согласие на обработку персональных данных подписывается субъектом персональных данных собственноручно либо его представителем. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом электронной подписью. Обработка персональных данных субъекта без письменного его согласия не допускается, за исключением случаев, установленных федеральным законом.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в порядке, предусмотренном законодательством.
4.4. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность и достоверность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
4.5. Должностные лица Администрации, ответственные за обработку персональных данных, обязаны обеспечить субъекту персональных данных возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законодательством РФ.
4.6. Доступ со стороны третьих лиц к персональным данным субъекта осуществляется с его письменного согласия, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта или других лиц, и иных случаев, установленных законодательством РФ.
4.7. Персональные данные сотрудника Администрации могут быть представлены родственникам или членам его семьи только с письменного разрешения самого сотрудника. В случае развода бывшая супруга (супруг) имеют право обратиться в Администрацию с письменным запросом о размере заработной платы сотрудника без его согласия.
4.8. Доступ к персональным данным сотрудников Администрации имеет Глава Вставского сельского поселения Тарского муниципального района, руководители структурных подразделений по направлению деятельности (доступ к личным данным только сотрудников своего подразделения), сам сотрудник, носитель персональных данных.
4.9. Персональные данные субъектов обрабатываются как с использованием средств автоматизации так и без использования таких средств.
4.10. Обработка персональных данных субъектов персональных с использованием средств автоматизации в информационных системах персональных данных Администрации:
- классификация информационных систем персональных данных осуществляется Комиссией по классификации информационных систем Администрации, с составлением соответствующего акта.
- сотрудникам Администрации, осуществляющим обработку персональных данных в информационных системах, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе.
- информация с персональными данными вносится в базы с персональными данными и в другие места хранения информации в электронном виде в ручном режиме, при получении информации на бумажном носителе.
- обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия мер организационного и технического характера по обеспечению безопасности информационных систем персональных данных, которые утверждаются распоряжением Администрации.
4.11. Защита персональных данных обеспечивается:
-ограничением и регламентацией состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;
-наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
- порядком приема, учета и контроля деятельности посетителей;
- внедрением технические средства охраны, сигнализации;
-защита паролями доступа персональных компьютеров, на которых содержатся персональные данные;
- организацией порядка уничтожения информации;
- хранением личных дел (личные дела могут выдаваться на рабочие места только Главе Вставского сельского поселения Тарского муниципального района и в исключительных случаях, по письменному разрешению Главы Вставского сельского поселения Тарского муниципального района, руководителю структурного подразделения.
- персональной ответственностью должностных лиц имеющих доступ к персональным данным.
- Порядок использования и хранения персональных данных
5.1. Общий срок использования персональных данных определяется периодом времени, в течение которого оператор осуществляет действия (операции) в отношении персональных данных, обусловленные заявленными целями их обработки.
5.2. Использование персональных данных осуществляется с момента их получения оператором и прекращается:
- по достижении целей обработки персональных данных;
- в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных.
5.3. Использование персональных данных осуществляется при соблюдении принципа раздельности их обработки. Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.
5.4. Персональные данные могут храниться на бумажных и иных материальных носителях и (или) в электронном виде централизованно или в соответствующих структурных подразделениях Администрации.
5.5. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен Федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
5.6. Сроки хранения персональных данных (материальных носителей) устанавливаются в соответствии с номенклатурой дел Администрации.
- Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований
6.1. В случае достижения целей обработки персональных данных (утраты необходимости в их достижении) оператор обязан прекратить обработку персональных данных и уничтожить либо обезличить соответствующие персональные данные в срок, не превышающий 30 календарных дней с даты достижения целей обработки персональных данных (утраты необходимости в их достижении).
6.2. Персональные данные не уничтожаются (не обезличиваются) в случаях, если:
- договором, соглашением, стороной которого, выгодоприобретателем или поручителем является субъект персональных данных, предусмотрен иной порядок обработки персональных данных;
- законодательством установлены сроки обязательного архивного хранения материальных носителей персональных данных;
- в иных случаях, прямо предусмотренных законодательством.
6.3. Вопрос об уничтожении документов, содержащих персональных данных, рассматривается на заседании комиссии, состав которой утверждается распоряжением Администрации.
6.4. По итогам заседания составляются протокол и акт о выделении к уничтожению документов, опись уничтожаемых дел; дела проверяются на их комплектность.
6.5. Уничтожение документов, содержащих персональные данные, утративших свое практическое значение и не подлежащих архивному хранению, производится на основании акта уничтожения персональных данных, путем сжигания или аппаратного измельчения.
6.6. Уничтожение персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или программным удалением необходимой информации принятыми для конкретного типа носителя методами.
6.7. По окончании процедуры уничтожения Ответственным за организацию обработки персональных данных в Администрации составляется соответствующий акт об уничтожении документов, содержащих персональные данные.
- Ответственные за организацию обработки персональных данных.
7.1. Главой Вставского сельского поселения Тарского муниципального района назначается Ответственный за организацию обработки персональных данных, который курирует вопросы защиты информации в Администрации. В полномочия Ответственного за организацию обработки персональных данных входит:
- принятие правовых, организационных и технических мер для обеспечения защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- организация внутренних проверок на предмет соблюдения сотрудниками требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
- проведение инструктажей сотрудников Администрации по информационной безопасности;
- организация контроля приема и обработки обращений и запросов от субъектов персональных данных;
- а в случае нарушения в Администрации требований к защите персональных данных, принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных;
7.2. Главой Вставского сельского поселения Тарского муниципального района назначается Ответственный за обеспечение безопасности персональных данных в информационных системах персональных данных Администрации, который:
- обеспечивает проведение работ по безопасности персональных данных в информационных системах персональных данных Администрации;
- участвует в разработке внутренних нормативных документов по защите персональных данных.
7.3. Должностные лица, ответственные за обработку персональных данных обязаны:
- знать и выполнять требования законодательства в области обеспечения защиты персональных данных, настоящих Правил;
- хранить в тайне известные им персональные данные, информировать о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним;
- соблюдать правила использования персональных данных, порядок их учета и хранения, исключить доступ к ним посторонних лиц;
- обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей.
7.4. При обработке персональных данных уполномоченным лицам запрещается:
- использовать сведения, содержащие персональные данные, в неслужебных целях, а также в служебных целях - при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;
- передавать персональные данные по незащищенным каналам связи (телетайп, факсимильная связь, электронная почта) без использования сертифицированных средств криптографической защиты информации;
- выполнять на дому работы, связанные с использованием персональных данных, выносить документы и другие носители информации, содержащие персональные данные, из места их хранения.
7.5. Должностные лица Администрации, при проведении работ, связанных с обработкой персональных данных, руководствуются законодательством Российской Федерации в области персональных данных и настоящими Правилами, а так же несут персональную ответственность за соблюдение установленного режима обработки персональных данных субъектов персональных данных.
8. Заключение
8.2. Настоящие Правила вступают в силу с момента подписания. Правила обязательны для всех сотрудников Администрации, если иные условия не предусмотрены в трудовом договоре сотрудника.
8.3. Глава Вставского сельского поселения Тарского муниципального района вправе вносить изменения и дополнения в Правила. Работники Администрации должны быть поставлены в известность о вносимых изменениях и дополнениях за 5 дней до вступления их в силу посредством издания распоряжения и ознакомления с ним всех работников.
ПРАВИЛА
рассмотрения запросов субъектов персональных данных или их представителей в Администрации Вставского сельского поселения Тарского муниципального района Омской области
- Общие положения
1.1. Настоящие правила рассмотрения запросов субъектов персональных данных или их представителей (далее – Правила) в Администрации Вставского сельского поселения Тарского муниципального района Омской области (далее – Администрация), обработка персональных данных которых необходима для предоставлении государственных и муниципальных услуг и для обеспечения кадровой и бухгалтерской деятельности в Администрации, определяют порядок учета (регистрации) и рассмотрения запросов субъектов персональных данных или их уполномоченных представителей.
1.2. Настоящие Правила разработаны на основании Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Федерального закона РФ от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», Федерального закона РФ от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» и в соответствии с частью 1 «Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утвержденных постановлением Правительства РФ от 21 марта 2012 г. № 211.
1.3. Субъектами персональных данных (далее – субъекты) являются сотрудники Администрации, обработка персональных данных которых необходима для обеспечения кадровой и бухгалтерской деятельности в соответствии с Трудовым кодексом РФ, а также заявители – физические лица и уполномоченные представители физических или юридических лиц, обратившиеся в Администрацию с запросом о предоставлении государственных или муниципальных, а также физические лица, обработка персональных данных которых необходима для предоставления государственных или муниципальных услуг заявителям или их уполномоченным представителям.
1.4. Оператором персональных данных (далее – оператор), является должностное лицо Администрации, организующее и осуществляющее обработку персональных данных субъектов для предоставления государственных и муниципальных услуг заявителям или их уполномоченным представителям, а также для обеспечения кадровой и бухгалтерской деятельности.
Права субъекта
2.1. Субъект имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных в Администрации;
правовые основания и цели обработки персональных данных;
цели и применяемые в Администрации способы обработки персональных данных;
- сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные;
- сроки обработки персональных данных, в том числе сроки их хранения;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных;
иные сведения, предусмотренные Федеральными законами РФ и другими нормативными актами.
2.3. Субъект имеет право требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2.4. Сведения должны быть предоставлены субъекту оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
2.5. Сведения, указанные в пункте 2.1 настоящих Правил, предоставляются субъекту или его уполномоченному представителю оператором при обращении, либо при получении запроса субъекта или его уполномоченного представителя.
Права и обязанности оператора
3.1. Оператор в праве ограничить доступ субъекта к его персональным данным в соответствии с федеральными законами и в случае если доступ субъекта к его персональным данным нарушает права и законные интересы третьих лиц.
3.2. Оператор обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных», субъекту или его уполномоченному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту, а также предоставить возможность ознакомления с этими персональными данными, при обращении субъекта или его уполномоченного представителя в течение тридцати дней с даты получения запроса субъекта или его уполномоченного представителя.
3.3. В случае отказа в предоставлении информации о наличии персональных о соответствующем субъекте, или отказа в предоставлении персональных данных субъекту или его уполномоченному представителю, при их обращении, либо при получении запроса, оператор обязан дать мотивированный ответ в письменной форме, содержащий ссылку на положение части 8 статьи 14 Федерального закона РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта или его уполномоченного представителя, либо с даты получения запроса субъекта или его уполномоченного представителя.
3.4. Оператор обязан предоставить безвозмездно субъекту или его уполномоченному представителю возможность ознакомления с персональными данными, относящимися к этому субъекту.
3.5. Оператор обязан в срок, не превышающий семи рабочих дней со дня предоставления субъектом или его уполномоченным представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения.
3.6. Оператор обязан в срок, не превышающий семи рабочих дней со дня представления субъектом или его уполномоченным представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные.
3.7. Оператор обязан уведомить субъекта или его уполномоченного представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
3.8. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
4. Порядок поступления и рассмотрения запросов
4.1. Рассмотрение запросов субъектов персональных данных или их представителей осуществляется уполномоченными должностными лицами оператора, в чьи обязанности входит обработка персональных данных.
4.2. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта или его уполномоченного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта или его уполномоченного представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
4.3. Оператор при рассмотрении запросов субъектов обеспечивают:
объективное, всестороннее и своевременное рассмотрения запроса;
принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов персональных данных;
подготовку и направление письменных ответов по существу запроса.
4.4. Ведение делопроизводства по запросам осуществляется организационно-кадровым отделом Администрации, должностными лицами, ответственными за ведение делопроизводства.
4.5. Все поступившие запросы регистрируются в день поступления. На запросе ставится
штамп, в котором указывается входящий номер и дата регистрации.
4.6. Запрос прочитывается, проверяется на повторность, при необходимости сверяется с предыдущей перепиской. Субъект персональных данных вправе обратиться повторно или направить повторный запрос не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса (если более короткий срок не установлен федеральным законом) в случае:
- получения сведений и (или) обрабатываемых персональных данных, и ознакомления с ними;
- если сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения.
Повторный запрос наряду с необходимыми сведениями должен содержать обоснование направления повторного запроса.
4.6. Прошедшие регистрацию запросы в тот же день докладываются уполномоченным должностным лицам Администрации, которые определяют порядок и сроки их рассмотрения, дают по каждому из них письменное указание исполнителям.
4.7. Уполномоченный должностные лица Администрации при рассмотрении и разрешении запроса обязаны:
- внимательно разобраться в их существе, в случае необходимости истребовать дополнительные материалы или направить сотрудников на места для проверки фактов, изложенных в запросах, принять другие меры для объективного разрешения поставленных заявителями вопросов, выявления и устранения причин и условий, порождающих факты нарушения законодательства о персональных данных;
- принимать по ним законные, обоснованные и мотивированные решения и обеспечивать своевременное и качественное их исполнение;
- сообщать в письменной форме заявителям о решениях, принятых по их запросам, со ссылками на законодательство Российской Федерации, а в случае отклонения запроса - разъяснять также порядок обжалования принятого решения.
4.8. Запрос считается исполненным, если рассмотрены все поставленные в нем
вопросы, приняты необходимые меры и даны исчерпывающие ответы
заявителю.
5.. Контроль за соблюдением порядка рассмотрения запросов
субъектов персональных данных или их представителей
5.1. Оператор осуществляет контроль за соблюдением установленного законодательством и настоящими Правилами порядка рассмотрения запросов.
5.2 Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных должностных лиц оператора ответственность в соответствии с законодательством Российской Федерации.
ПРАВИЛА
осуществления внутреннего контроля соответствия обработки
персональных данных требованиям к защите персональных данных
в Администрации Вставского сельского поселения Тарского муниципального района Омской области
- Общие положения
1.1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - Правила) в Администрации Вставского сельского поселения Тарского муниципального района (далее - Администрация) определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных в Администрации требованиям к защите персональных данных.
1.2. Настоящие Правила разработаны в целях осуществления внутреннего контроля соответствия обработки персональных данных (далее - проверки) в Администрации в рамках требований Федерального закона от 27 июля 2006 г. № 152 ФЗ «О персональных данных» .
1.3. В Правилах используются основные понятия, определенные в статье 3 Федерального закона "О персональных данных".
2. Порядок проведения проверок
2.1. Проверки осуществляются должностным лицом, ответственным за организацию обработки персональных данных в Администрации либо комиссией, образуемой правовым актом Администрации.
2.2. В проведении проверки не может участвовать служащий Администрации, прямо или косвенно заинтересованный в ее результатах.
2.3. Проверки проводятся на основании утвержденного Администрацией плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям к защите персональных данных (плановые проверки) или на основании поступившего в Администрацию письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки).
2.4. Проведение внеплановой проверки организуется в течение пяти рабочих дней с момента поступления в Администрацию соответствующего заявления.
2.5. При проведении проверок соответствия обработки персональных данных
установленным требованиям должны быть объективно и всесторонне
установлены:
- порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
- порядок и условия применения средств защиты информации;
- эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- состояние учета машинных носителей персональных данных;
- соблюдение правил доступа к персональным данным;
- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
- мероприятия по восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- осуществление мероприятий по обеспечению целостности персональных данных.
2.6. Ответственный за организацию обработки персональных данных Администрации или комиссия имеет право: запрашивать у сотрудников Администрации информацию, необходимую для реализации её полномочий;
- требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
- принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
- вносить руководителю предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
- вносить руководителю предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
2.7. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных в Администрации либо комиссии в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
2.8. По результатам проведения проверки оформляется акт, который подписывается ответственным за организацию обработки персональных данных или членами комиссии.
-
- Срок проведения проверки и оформления акта составляет тридцать календарных дней со дня начала проверки, указанного в правовом акте о назначении проверки.
2.10. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, ответственный за организацию обработки персональных данных либо председатель комиссии информирует Главу Вставского сельского поселения Тарского муниципального района Омской области.
ПРАВИЛА
работы с обезличенными персональными данными в Администрации
Вставского сельского поселения
Тарского муниципального района Омской области
1. Общие положения
- Настоящие Правила работы с обезличенными персональными данными (далее - Правила) в Администрации Вставского сельского поселения Тарского муниципального района Омской области (далее Администрация) разработаны с учетом Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и постановления Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
- Настоящие Правила определяют порядок работы с обезличенными персональными данными, обработка которых необходима для организации предоставления государственных и муниципальных услуг и для обеспечения кадровой и бухгалтерской деятельности в Администрации.
1.3. Основные понятия в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»:
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому субъекту персональных данных;
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
2. Условия обезличивания
2.1. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных Администрации и по достижению целей, если иное не предусмотрено федеральным законом.
2.2. Предложения по обезличиванию персональных данных, содержащие обоснование такой необходимости и способ обезличивания, вносят руководители структурных подразделений и иные должностные лица Администрации, ответственные за организацию работы с персональными данными.
2.3. Непосредственное обезличивание персональных данных производят должностные лица Администрации, осуществляющие обработку таких данных, на основании решения, принятого ответственным за организацию обработки персональных данных Администрации.
2.4. Перечень должностей Администрации, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, приведен в Приложении № 1 в настоящим Правилам.
2.5. Невозможность обезличивания может быть обоснована существующей технологией обработки персональных данных, инфраструктуры, а также характеристик информационных систем персональных данных.
2.6. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
2.7.Способами обезличивания персональных данных при условии дальнейшей обработки персональных данных являются:
- уменьшение перечня обрабатываемых сведений;
- замена части сведений идентификаторами;
- обобщение - понижение точности некоторых сведений; понижение точности некоторых сведений (например, "Место жительства" может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);
- деление сведений на части и обработка в разных информационных системах;
- другие способы.
2.8 Обезличивание персональных данных при обработке персональных данных с использованием средств автоматизации осуществляется с помощью специализированного программного обеспечения на основании нормативных правовых актов, правил, инструкций, руководств, регламентов, инструкций на такое программное обеспечение и иных документов для достижения заранее определенных и заявленных целей.
2.9. Обезличивание персональных данных при обработке персональных данных без использования средств автоматизации допускается производить способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
3. Порядок работы с обезличенными персональными данными
3.1. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
3.2. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
3.3. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
- парольной политики;
- антивирусной политики;
- правил работы со съемными носителями (если они используются);
- правил резервного копирования;
- порядка доступа сотрудников в помещения, в которых ведется обработка персональных данных.
3.4. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
- правил хранения бумажных носителей;
- правил доступа должностных лиц в помещения, где они хранятся.
ПЕРЕЧЕНЬ
персональных данных, обрабатываемых в
Администрации Вставского сельского поселения
Тарского муниципального района.
Персональные данные – это любая информация, относящаяся к определенному или определенному на основании такой информации физическому лицу (субъекту персональных данных).
В Администрации Вставского сельского поселения Тарского муниципального района Омской области (далее – Администрация) обрабатываются следующие персональные данные:
1. Фамилия, имя, отчество, дата и место рождения, гражданство.
2. Прежние фамилия, имя, отчество, дата, место и причина изменения (в случае изменения).
3. Адрес регистрации и фактического проживания.
4. Дата регистрации по месту жительства.
5. Паспорт (серия, номер, кем и когда выдан).
6. Паспорт, удостоверяющий личность гражданина Российской Федерации за пределами Российской Федерации (серия, номер, кем и когда выдан).
7. Номера телефонов (мобильного, домашнего).
8. Отношение к воинской обязанности, сведения по воинскому учету - для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу (серия, номер, кем и когда выдан военный билет, военно-учетная специальность, воинское звание, данные о принятии/снятия на (с) учет(а) и др. сведения).
9. Идентификационный номер налогоплательщика.
10. Номер страхового свидетельства обязательного пенсионного страхования.
11. Наличие (отсутствие) судимости.
12. Допуск к государственной тайне, оформленный за период работы, службы, учебы (форма, номер и дата).
13. Наличие (отсутствие) заболевания, препятствующего поступлению на государственную гражданскую службу Российской Федерации или ее прохождению, подтвержденного заключением медицинского учреждения.
14. Образование (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому).
15. Послевузовское профессиональное образование (наименование образовательного или научного учреждения, год окончания), ученая степень, ученое звание (когда присвоены, номера дипломов, аттестатов).
16. Выполняемая работа с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность и т.п.).
17. Классный чин федеральной государственной гражданской службы, гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатический ранг, воинское, специальное звание, классный чин правоохранительной службы (кем и когда присвоены).
18. Государственные награды, иные награды и знаки отличия (кем награжден и когда).
19. Результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований), а также обязательного психиатрического освидетельствования.
20. Сведения о доходах, имуществе и обязательствах имущественного характера, а также о доходах, об имуществе и обязательствах имущественного характера членов семьи.
21. Сведения о последнем месте государственной или муниципальной службы.
22. Степень родства, фамилии, имена, отчества, даты рождения близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены).
21. Места рождения, места работы и домашние адреса близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены).
22. Владение иностранными языками и языками народов Российской Федерации.
23. Пребывание за границей (когда, где, с какой целью).
24. Близкие родственники (отец, мать, братья, сестры и дети), а также муж (жена), в том числе бывшие, постоянно проживающие за границей и (или) оформляющие документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество, с какого времени проживают за границей).
25. Материалы по аттестации и оценке сотрудников Администрации.
26. Материалы по внутренним служебным расследованиям в отношении сотрудников Администрации.
27. Сведения о временной нетрудоспособности сотрудника Администрации
28. Сведения о социальных льготах и о социальном статусе.
29. Предусмотренные законодательством данные (документация) участников конкурсов, аукционов.
30. Сведения предоставляемые гражданами, обратившиеся в Администрацию в соответствии с Федеральным законом РФ от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»
31. Иные данные по направлению деятельности Администрации, предусмотренные действующим законодательством РФ.
ПОРЯДОК
доступа должностных лиц Администрации Вставского сельского поселения Тарского муниципального района Омской области в помещения, в которых ведется обработка персональных данных
- Общие положения
1.1. Настоящие порядок доступа (далее – Порядок) должностных лиц Администрации Вставского сельского поселения Тарского муниципального района Омской области (далее – Администрация) в помещения, в которых ведется обработка персональных данных в информационных системах персональных данных, устанавливает единые требования к доступу должностных лиц Администрации в служебные помещения в целях предотвращения нарушения прав субъектов персональных данных, обработка персональных данных, которых необходима для оказания муниципальных (государственных) услуг и обеспечения кадровой и бухгалтерской деятельности в Администрации, а также в целях обеспечения соблюдения требований законодательства РФ в области персональных данных.
1.2. Настоящий Порядок разработан в соответствии с частью 1 «Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152 ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утвержденных постановлением Правительства РФ от 21 марта 2012 г. № 211, и на основании «Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденных приказом ФСТЭК России от 11 февраля 2013г. № 17.
1.3. Помещения, в которых ведется обработка персональных данных – служебные помещения, в которых расположены средства автоматизации и защиты информационных систем персональных данных, в том числе автоматизированные рабочие места (далее – АРМ), на которых ведется обработка персональных данных, а так же рабочие места без использования средств автоматизации.
1.4. Перечень помещений, в которых ведется обработка персональных данных, и их границы устанавливаются Распоряжением Администрации Вставского сельского поселения Тарского муниципального района.
1.5. Настоящий Порядок обязателен для применения и исполнения всеми должностными лицами Администрации.
1.6. Ответственность за соблюдение положений настоящего Порядка несут должностные лица структурных подразделений Администрации, обрабатывающие персональные данные, а также руководители данных структурных подразделений.
1.7. Контроль соблюдения требований настоящего Порядка обеспечивает должностное лицо, ответственное за организацию обработки персональных данных в Администрации.
Требования к помещениям, в которых ведется обработка персональных данных
2.1. Бесконтрольный доступ сторонних лиц в помещения, в которых ведется обработка персональных данных, должен быть исключён.
2.2. Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц. При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
2.3. Все помещения, в которых ведется обработка персональных данных, должны находятся под круглосуточным видеонаблюдением сотрудниками обслуживающей организации.
Доступ в помещения, в которых ведется обработка персональных данных.
3.1. Нахождение в помещениях, в которых ведется обработка персональных данных лиц, не являющихся сотрудниками Администрации, получившими доступ к персональным данным, возможно только в присутствии должностных лиц Администрации, получивших доступ к персональным данным на время, ограниченное необходимостью решения вопросов, связанных с исполнением должностных функций, ввиду служебной необходимости.
3.2. На момент присутствия посторонних лиц в помещении, в которых ведется обработка персональных данных, должны быть приняты меры по недопущению ознакомления посторонних лиц с персональными данными (например: мониторы повёрнуты в сторону от посетителей, документы убраны в стол, либо находятся в непрозрачной папке или накрыты чистыми листами бумаги).
3.3. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только должностные лица Администрации, получившие доступ к персональным данным.
3.4. Допуск должностных лиц в помещения, в которых ведется обработка персональных данных, оформляется после подписания Обязательства о неразглашении информации, содержащей персональные данные, и инструктажа должностного лица, ответственного за организацию обработки персональных данных в Администрации.
3.5. Должностные лица Администрации, получившие доступ к персональным данным не должны покидать помещение, в котором ведется обработка персональных данных, оставляя в нем без присмотра посторонних лиц, включая должностных лиц Администрации, не уполномоченных на обработку персональных данных.
3.6. В нерабочее время все окна и двери в помещениях, в которых ведется обработка персональных данных, и смежных помещений должны быть надёжно закрыты, материальные носители персональных данных должны быть убраны в запираемые шкафы (сейфы), АРМ выключены или заблокированы.
3.7. Ответственными за организацию доступа в помещения Администрации, в которых ведется обработка персональных данных, являются должностные лица Администрации.
3.8. Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, проводится должностным лицом, ответственным за организацию обработки персональных данных.
Доступ в серверные помещения.
4.1. Доступ в серверные помещения разрешён только должностному лицу, ответственному за обеспечение безопасности персональных данных информационных систем Администрации и должностному лицу ответственному за организацию обработки персональных данных в Администрации.
4.2. Уборка серверных помещений происходит только при строгом контроле лиц, указанных в пункте 4.1 настоящих Правил
4.3. Доступ в серверные помещения посторонних лиц допускается строго по согласованию с должностным лицом, ответственным за организацию обработки персональных данных в Администрации.
4.4. Нахождение в серверных помещениях контролируемой зоны посторонних лиц без сопровождающего не допустимо.