Основная информация
| Дата опубликования: | 07 апреля 2020г. |
| Номер документа: | RU52065314202000006 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Нижегородская область |
| Принявший орган: | Администрация рабочего поселка Арья Уренского муниципального района Нижегородской области |
| Раздел на сайте: | Нормативные правовые акты муниципальных образований |
| Тип документа: | Постановления |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
АДМИНИСТРАЦИЯ РАБОЧЕГО ПОСЕЛКА АРЬЯ
УРЕНСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
НИЖЕГОРОДСКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
07.04.2020 № 24
ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ РАБОЧЕГО ПОСЕЛКА АРЬЯ УРЕНСКОГО МУНИЦИПАЛЬНОГО РАЙОНА НИЖЕГОРОДСКОЙ ОБЛАСТИ
В соответствии со ст.27.1 Федерального закона от 06.10.2003 № 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации», Уставом рабочего поселка Арья, администрация рабочего поселка Арья Уренского муниципального района Нижегородской области постановляет:
1. Утвердить правила обработки персональных данных в администрации рабочего поселка Арья Уренского муниципального района Нижегородской области.
2. Настоящее постановление обнародовать в установленном порядке и разместить на официальном сайте администрации Уренского муниципального района в разделе «Муниципальные образования – рабочий поселок Арья».
3.Контроль за исполнением настоящего постановления оставляю за собой.
Глава администрации
В.Н.Едемский
Приложение
к постановлению администрации
рабочего поселка Арья
Уренского муниципального района
Нижегородской области
от 07.04.2020 № 24
ПРАВИЛА
обработки персональных данных в администрации рабочего поселка Арья Уренского муниципального района Нижегородской области
(далее – Правила)
Глава 1. Общие положения
1. Настоящие Правила регулируют отношения, связанные с обработкой персональных данных в связи с реализацией в администрации рабочего поселка Арья служебных и трудовых отношений, а также оказанием администрацией муниципальных услуг и осуществлением администрацией муниципальных функций, и устанавливают меры, необходимые и достаточные для обеспечения выполнения обязанностей оператора, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных») и принятыми в соответствии с ним нормативными правовыми актами, в том числе: определяют политику администрации в отношении обработки персональных данных, устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.
2. Настоящие Правила не регулируют отношения, связанные с обезличиванием персональных данных и работой с обезличенными данными в администрации.
3. Настоящие Правила разработаны в соответствии с Конституцией Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», другими федеральными законами, Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687, Перечнем мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденным постановлением Правительства Российской Федерации от 21 марта 2012 года № 211, Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119, Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21, иными нормативными правовыми актами Российской Федерации, Уставом рабочего поселка Арья и иными нормативными правовыми актами администрации рабочего поселка Арья .
4. Обработка персональных данных в администрации представляет собой действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
5. Обработка персональных данных в администрации осуществляется в соответствии с принципами и условиями обработки персональных данных, предусмотренными Федеральным законом «О персональных данных», Трудовым кодексом Российской Федерации, Федеральным законом от 2 марта 2007 года № 25-ФЗ «О муниципальной службе в Российской Федерации», иными нормативными правовыми актами, изданными на основании и во исполнение указанных законов, а также с учетом особенностей, установленных Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.
Глава 2. Цели обработки персональных данных в администрации рабочего поселка Арья, содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки обработки персональных данных
6. Целями обработки персональных данных в администрации рабочего поселка Арья являются:
1) реализация служебных и трудовых отношений в администрации;
2) оказание администрацией муниципальных услуг и осуществление администрацией муниципальных функций.
7. В целях реализации служебных и трудовых отношений в администрации осуществляется обработка персональных данных следующих категорий субъектов:
1) работников администрации, лиц, претендующих на замещение должностей работников администрации либо замещавших должности работников администрации;
2) членов семьи лиц, предусмотренных подпунктом 1 настоящего пункта, а также в случаях, предусмотренных законодательством Российской Федерации – их близких родственников (в том числе бывших) и свойственников;
3) независимых экспертов, включенных в составы аттестационных комиссий, конкурсных комиссий, образуемых администрацией;
4) кандидатов на включение в кадровый резерв для замещения вакантных должностей муниципальной службы, а также лиц, состоящих в указанном кадровом резерве и исключенных из него;
5) лиц, участвующих в конкурсе на заключение договора о целевом обучении между администрацией и гражданином Российской Федерации, а также лиц, с которыми администрацией заключен договор о целевом обучении;
6) иных лиц, в отношении которых администрация осуществляет кадровую работу.
8. В целях оказания администрацией муниципальных услуг и осуществления администрацией муниципальных функций в администрации осуществляется обработка персональных данных следующих категорий субъектов:
1) граждане, обладающие статусом индивидуального предпринимателя;
2) граждане, представляющие в отношениях с администрацией организацию, в том числе должностные лица, представляющие в отношениях с администрацией государственные органы, органы местного самоуправления, муниципальные органы;
3) иные граждане.
9. Содержание обрабатываемых в администрации персональных данных субъектов, указанных в пунктах 7 и 8 настоящих Правил, определяется в соответствии с законодательством Российской Федерации перечнями персональных данных, утверждаемыми правовым актом руководителя администрации .
Указанными перечнями также могут уточняться категории субъектов персональных данных, предусмотренные пунктами 7 и 8 настоящих Правил.
10. Срок обработки персональных данных в администрации, в том числе срок хранения персональных данных в администрации, соответствуют сроку хранения документов, содержащих соответствующие персональные данные, определяемые в соответствии с:
1) приказом Министерства культуры Российской Федерации от 25 августа 2010 года № 558 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»;
11. В случаях, когда персональные данные, обрабатываемые администрацией, содержатся в документах, срок обработки которых не может быть определен в соответствии с пунктом 10 настоящих Правил, обработка указанных персональных данных в администрации, в том числе их хранение в администрации, осуществляется в течение срока, необходимого до достижения целей обработки, или до утраты необходимости в достижении этих целей.
Глава 3. Организация обработки персональных данных
12. Должностным лицом, ответственным за организацию обработки персональных данных в администрации, является глава администрации.
13. В администрации персональные данные обрабатываются лицами, замещающими должности, включенные в перечень (перечни) должностей муниципальных служащих и (или) работников органа местного самоуправления, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утверждаемой правовым актом главы администрации (далее – уполномоченные должностные лица).
14. В случаях, когда администрацией обработка персональных данных в соответствии с частями 3 – 5 статьи 6 Федерального закона «О персональных данных» поручена другому лицу, администрация обеспечивает получение согласия субъектов персональных данных на обработку персональных данных таким лицом в соответствии с типовой формой согласия на поручение обработки персональных данных другим лицам, утверждаемой правовым актом главы администрации.
15. Уполномоченное должностное лицо знакомится с настоящими Правилами под роспись и дает письменное обязательство о неразглашении персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, в соответствии с типовым обязательством о неразглашении персональных данных, ставших известными в связи с исполнением должностных обязанностей, утверждаемым правовым актом руководителя администрации.
Уполномоченное должностное лицо дает письменное обязательство прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, в случае расторжения с ним трудового договора в соответствии с типовым обязательством прекратить обработку персональных данных, ставших известными в связи с исполнением должностных обязанностей, в случае расторжения трудового договора, утверждаемым правовым актом руководителя администрации.
16. Уполномоченное должностное лицо не допускается к обработке персональных данных в администрации, если им не даны письменные обязательства, предусмотренные пунктом 15 настоящих Правил.
17. При увольнении уполномоченного должностного лица имеющиеся у него документы, содержащие персональные данные, передаются другому уполномоченному должностному лицу.
При временном отсутствии уполномоченного должностного лица имеющиеся у него документы, содержащие персональные данные, могут передаваться только другому уполномоченному должностному лицу.
18. Уполномоченное должностное лицо при обработке персональных данных в администрации обязано принимать необходимые правовые, организационные меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в том числе:
1) незамедлительно сообщать должностному лицу, ответственному за организацию обработки персональных данных в администрации рабочего поселка Арья (далее вместе – ответственное должностное лицо)
обо всех известных ему фактах или попытках несанкционированного доступа к персональным данным, обрабатываемым в администрации;
о попытках третьих лиц получить от него персональные данные, ставшие известными ему в связи с выполнением должностных обязанностей;
о фактах утраты личного идентификатора для доступа к информационной системе персональных данных в администрации, съемного машинного носителя, содержащего персональные данные, а также иных фактах, которые могут привести к разглашению персональных данных, ставших известными ему в связи с выполнением должностных обязанностей;
2) в случае расторжения трудового договора до дня прекращения служебных (трудовых) отношений с администрацией сдать съемные машинные носители персональных данных, имеющиеся у него в связи с исполнением должностных обязанностей;
3) в случае расторжения трудового договора со дня прекращения служебных (трудовых) отношений с администрацией:
прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
не использовать известные ему идентификаторы для доступа в информационную систему персональных данных в администрации;
уничтожить все персональные данные, ставшие известными ему в результате исполнения должностных обязанностей, содержащиеся вне информационной системы персональных данных в администрации или документов, обрабатываемых в администрации без использования средств автоматизации.
19. Уполномоченному должностному лицу запрещается:
1) разглашать, передавать третьим лицам и распространять персональные данные, которые стали ему известны в связи с выполнением должностных обязанностей;
2) использовать персональные данные, ставшие известными ему в связи с выполнением должностных обязанностей, в личных целях, в том числе с целью получения выгоды;
3) обрабатывать персональные данные в присутствии посторонних лиц;
4) сообщать постороннему лицу свой индивидуальный идентификатор для доступа к информационной системе персональных данных в администрации;
5) самостоятельно устанавливать любые системные или прикладные программы при обработке персональных данных в информационной системе персональных данных в администрации;
6) отключать (блокировать) программные (аппаратно-программные) средства защиты от несанкционированного доступа к информации и антивирусные средства защиты при обработке персональных данных в информационной системе персональных данных в администрации;
7) совершать иные действия, которые могут привести к неправомерному или случайному доступу к персональным данным, обрабатываемым в администрации, а также иным неправомерным действиям с ними.
Глава 4. Обеспечение безопасности персональных данных при их обработке
20. Обеспечение безопасности персональных данных при их обработке в администрации достигается, в частности:
1) допуском к обработке персональных данных только уполномоченных должностных лиц;
2) обработкой персональных данных в помещениях, которые специально оборудованы для целей обработки персональных данных (далее – помещения);
3) ограничением доступа в помещения лиц, не являющихся уполномоченными должностными лицами, в том числе работников администрации;
4) обнаружением фактов нарушений законодательства, допущенных при обработке персональных данных в администрации, и устранением обнаруженных нарушений;
5) обнаружением фактов несанкционированного доступа к персональным данным в администрации и принятием мер;
6) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
21. Обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных в администрации помимо мер, предусмотренных пунктом 20 настоящих Правил, достигается в частности:
1) определением угроз безопасности персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных в администрации;
5) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных в администрации, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных в администрации;
6) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных в администрации.
Перечень организационно-технических мероприятий по защите персональных данных, обрабатываемых в информационных системах персональных данных в администрации, утверждается правовым актом руководителя администрации.
22. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных в информационных системах персональных данных в администрации проводится администрацией самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в три года.
Решение о проведении оценки эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных в администрации принимает ответственное должностное лицо.
23. Помещение оборудуется системами охранной и противопожарной сигнализации.
24. Рабочие места уполномоченных должностных лиц в помещениях должны располагаться таким образом, чтобы исключалась возможность просмотра информации, содержащейся в документах на бумажных носителях и (или) отображаемой на экране монитора, лицом, не допущенным к обработке соответствующих персональных данных.
25. В отсутствие уполномоченного должностного лица на его рабочем месте не должны находиться документы, содержащие персональные данные, а также на его рабочем месте работа с информационной системой персональных данных в администрации должна быть завершена и (или) блокирована.
26. Допущенные при обработке персональных данных в администрации нарушения законодательства в виде неправомерной обработки персональных данных и (или) обработки неточных персональных данных могут быть выявлены:
1) при обращении субъекта персональных данных (его представителя);
2) по запросу субъекта персональных данных (его представителя);
3) по запросу уполномоченного органа по защите прав субъектов персональных данных.
27. В случаях выявления неправомерной обработки персональных данных и (или) обработки неточных персональных данных уполномоченными должностными лицами ответственное должностное лицо принимает меры, предусмотренные пунктами 28 – 42 настоящих Правил.
В случаях выявления неправомерной обработки персональных данных и (или) обработки неточных персональных данных лицом, которому обработка персональных данных поручена администрацией, ответственное должностное лицо обеспечивает выполнение указанным лицом действий, предусмотренных статьей 21 Федерального закона «О персональных данных».
28. В случаях выявления неправомерной обработки персональных данных и (или) обработки неточных персональных данных уполномоченными должностными лицами ответственное должностное лицо принимает решение о проведении проверки фактов указанных нарушений законодательства, решение о блокировании неправомерно обрабатываемых персональных данных, а также, если это не нарушает права и законные интересы субъектов персональных данных и третьих лиц, – решение о блокировании неточных персональных данных.
Указанное решение (указанные решения) принимается (принимаются) ответственным должностным лицом не позднее рабочего дня, следующего за днем выявления неправомерной обработки персональных данных и (или) обработки неточных персональных данных в администрации.
29. При принятии решения о проведении проверки, предусмотренной пунктом 28 настоящих Правил, ответственное должностное лицо определяет уполномоченное должностное лицо, которое будет проводить проверку, а также срок проведения проверки, который не может превышать:
1) для проверки фактов неправомерной обработки персональных данных – один рабочий день после дня принятия решения о проведении проверки;
2) для проверки фактов обработки неточных персональных данных – четыре рабочих дня после дня принятия решения о проведении проверки.
30. Решения, предусмотренные пунктом 28 настоящих Правил, доводятся до сведения соответствующих должностных лиц не позднее рабочего дня, следующего за днем выявления неправомерной обработки персональных данных и (или) обработки неточных персональных данных.
31. Уполномоченные должностные лица, осуществляющие обработку персональных данных, в отношении которых принято решение о блокировании, обязаны блокировать эти персональные данные не позднее рабочего дня, следующего за днем выявления неправомерной обработки персональных данных и (или) обработки неточных персональных данных. Блокирование персональных данных осуществляется на период проведения соответствующей проверки.
32. Если при проведении проверки фактов обработки неточных персональных данных уполномоченным должностным лицом будет установлено, что сведений, представленных субъектом персональных данных (его представителем) и (или) уполномоченным органом по защите прав субъектов персональных данных, недостаточно для проверки указанных фактов, уполномоченное должностное лицо делает запрос (запросы) с целью получения информации, подтверждающей или опровергающей факт обработки неточных персональных данных. В этом случае течение срока проверки факта обработки неточных персональных данных приостанавливается со дня направления соответствующего запроса (соответствующих запросов) до рабочего дня, следующего за днем получения ответа на него (последнего ответа на них).
33. По результатам проведения проверки, предусмотренной пунктом 28 настоящих Правил, уполномоченное должностное лицо составляет акт проверки, содержащий один из следующих выводов:
1) о подтверждении факта неправомерной обработки персональных данных в администрации;
2) о не подтверждении факта неправомерной обработки персональных данных в администрации;
3) о подтверждении факта обработки неточных персональных данных в администрации;
4) о не подтверждении факта обработки неточных персональных данных в администрации.
34. В акте проверки, предусмотренном подпунктом 1 пункта 33 настоящих Правил, должны содержаться предложения по обеспечению правомерности обработки соответствующих персональных данных либо сведения об отсутствии возможности обеспечить правомерность обработки соответствующих персональных данных.
В акте проверки, предусмотренном подпунктом 3 пункта 33 настоящих Правил, должны содержаться предложения по уточнению соответствующих персональных данных.
35. В случаях установления при проведении проверки, предусмотренной пунктом 28 настоящих Правил, фактов неисполнения или ненадлежащего исполнения уполномоченным должностным лицом по его вине возложенных на него обязанностей, в результате которых персональные данные обрабатывались администрацией неправомерно и (или) администрацией обрабатывались неточные персональные данные, акт проверки, предусмотренный подпунктами 1, 3 пункта 33 настоящих Правил, должен содержать предложения по применению мер ответственности к такому уполномоченному должностному лицу.
36. Акт проверки, предусмотренный пунктом 33 настоящих Правил, должен соответствовать требованиям, предусмотренным для актов внеплановых проверок правилами внутреннего контроля обработки персональных данных в администрации, утверждаемыми правовым актом руководителя администрации.
37. Уполномоченное должностное лицо представляет ответственному должностному лицу акт проверки, предусмотренный пунктом 33 настоящих Правил, не позднее рабочего дня, следующего за днем окончания срока проверки.
38. Рассмотрев акт проверки, предусмотренный пунктом 33 настоящих Правил, ответственное должностное лицо принимает одно из следующих решений:
1) об оставлении обработки соответствующих персональных данных без изменения;
2) о прекращении обработки персональных данных, неправомерно обрабатываемых в администрации, и об обеспечении правомерности их обработки;
3) об уничтожении персональных данных, неправомерно обрабатываемых в администрации;
4) об уточнении неточных персональных данных в администрации и снятии блокирования.
39. Решение, предусмотренное пунктом 38 настоящих Правил, принимается ответственным должностным лицом не позднее рабочего дня, следующего за днем окончания срока проведения соответствующей проверки.
40. В случае принятия решения, предусмотренного подпунктом 2 пункта 38 настоящих Правил, уполномоченное должностное лицо, проводившее проверку, обеспечивает правомерность обработки соответствующих персональных данных не позднее пяти рабочих дней после дня принятия указанного решения.
41. Если в течение срока, предусмотренного пунктом 40 настоящих Правил, будет выявлено, что обеспечение правомерности обработки персональных данных невозможно, уполномоченное должностное лицо сообщает об этом ответственному должностному лицу. В этом случае ответственное должностное лицо принимает решение об уничтожении персональных данных, неправомерно обрабатываемых в администрации. Указанное решение принимается не позднее рабочего дня, следующего за днем истечения срока, предусмотренного пунктом 40 настоящих Правил.
42. В случае принятия решения, предусмотренного подпунктом 4 пункта 38 настоящих Правил, персональные данные подлежат уточнению не позднее рабочего дня, следующего за днем принятия указанного решения.
Уточнение персональных данных, обрабатываемых в администрации без использования средств автоматизации, производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными. Уточнение персональных данных, содержащихся в информационной системе персональных данных в администрации, осуществляется путем их изменения в соответствующей информационной системе.
Блокирование с уточненных персональных данных снимается с момента их уточнения.
43. Уполномоченное должностное лицо уведомляет субъекта персональных данных (его представителя), а в случаях, предусмотренных подпунктом 3 пункта 26 настоящих Правил, – также уполномоченный орган по защите прав субъектов персональных данных, о мерах, принятых им в соответствии с пунктами 40–42, 55–59 настоящих Правил. Указанное уведомление направляется уполномоченным должностным лицом не позднее трех рабочих дней со дня принятия соответствующих мер.
44. В случаях обнаружения несанкционированного доступа к персональным данным, обрабатываемым в администрации без использования средств автоматизации, или попыток такого доступа уполномоченное должностное лицо незамедлительно сообщает об этом ответственному должностному лицу.
45. Ответственное должностное лицо не позднее рабочего дня, следующего за днем обнаружения обстоятельств, предусмотренных пунктом 44 настоящих Правил, принимает решение о проведении проверки фактов несанкционированного доступа к персональным данным, обрабатываемым в администрации без использования средств автоматизации (попыток такого доступа).
46. При принятии решения, предусмотренного пунктом 45 настоящих Правил, ответственное должностное лицо определяет уполномоченное должностное лицо (уполномоченных должностных лиц), которое будет (которые будут) проводить проверку, а также срок проведения проверки, который не может превышать двадцать рабочих дней.
47. По результатам проведения проверки, предусмотренной пунктом 45 настоящих Правил, уполномоченное должностное лицо составляет (уполномоченные должностные лица составляют) акт проверки, содержащий один из следующих выводов:
1) о не подтверждении факта несанкционированного доступа к персональным данным, обрабатываемым в администрации без использования средств автоматизации (факта попытки такого доступа);
2) о подтверждении факта попытки несанкционированного доступа к персональным данным, обрабатываемым в администрации без использования средств автоматизации;
3) о подтверждении факта несанкционированного доступа к персональным данным, обрабатываемым в администрации без использования средств автоматизации.
48. Акты проверки, предусмотренный подпунктами 2, 3 пункта 47 настоящих Правил, должен содержать:
1) предложения по принятию мер, направленных на предотвращение несанкционированного доступа к персональным данным, обрабатываемым в администрации без использования средств автоматизации;
2) предложения по применению мер ответственности к уполномоченному должностному лицу – в случаях установления фактов неисполнения или ненадлежащего исполнения таким уполномоченным должностным лицом по его вине возложенных на него обязанностей, в результате которых был совершен несанкционированный доступ к персональным данным, обрабатываемым в администрации без использования средств автоматизации (попытка такого доступа).
49. Акт проверки, предусмотренный подпунктом 3 пункта 47 настоящих Правил, также должен содержать:
1) описание действий, совершенных с персональными данными в результате несанкционированного доступа к ним;
2) предложения по восстановлению персональных данных – в случаях их уничтожения или модификации в результате несанкционированного доступа;
3) оценку вреда, который может быть причинен субъектам персональных данных в результате несанкционированного доступа к их персональным данным в администрации, соотношение указанного вреда и принимаемых администрацией мер, направленных на обеспечение безопасности персональных данных при их обработке в администрации.
50. Акт проверки, предусмотренный пунктом 47 настоящих Правил, должен соответствовать требованиям, предусмотренным для актов внеплановых проверок утверждаемыми правовым актом руководителя администрации правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных Федеральным законом «О персональных данных, принятыми в соответствие с ним нормативными правовыми актами и локальными актами администрации.
51. Уполномоченное должностное лицо представляет (уполномоченные должностные лица представляют) ответственному должностному лицу акт проверки, предусмотренный пунктом 47 настоящих Правил, не позднее рабочего дня, следующего за днем окончания срока проверки.
52. Рассмотрев акт проверки, предусмотренный пунктом 47 настоящих Правил, ответственное должностное лицо не позднее рабочего дня, следующего за днем окончания срока проверки, принимает решение о принятии мер, направленных на устранение последствий несанкционированного доступа к персональным данным, обрабатываемым в администрации без использования средств автоматизации, и (или) предотвращение несанкционированного доступа к персональным данным, обрабатываемым в администрации без использования средств автоматизации (попыток такого доступа).
Глава 5. Порядок уничтожения персональных данных, обрабатываемых в администрации
53. Персональные данные, обрабатываемые в администрации, подлежат уничтожению:
1) по истечению срока их обработки в администрации, в том числе по достижению целей обработки в администрации либо в случае утраты необходимости в достижении этих целей;
2) в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если без такого согласия обработка персональных данных в администрации является неправомерной;
3) в случаях принятия решений об уничтожении персональных данных, предусмотренных подпунктом 3 пункта 38 и пунктом 41 настоящих Правил.
54. Персональные данные подлежат уничтожению в следующие сроки:
1) в случаях, предусмотренных подпунктами 1 и 2 пункта 53 настоящих Правил, – не позднее тридцати календарных дней со дня истечения срока обработки персональных данных в администрации (со дня поступления в администрацию отзыва субъектом персональных данных согласия на обработку его персональных данных);
2) в случае принятия решения, предусмотренного подпунктом 3 пункта 38 настоящих Правил, – не позднее семи рабочих дней со дня принятия указанного решения;
3) в случае принятия решения, предусмотренного пунктом 41 настоящих Правил, – не позднее рабочего дня, следующего за днем принятия указанного решения.
55. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в пункте 54 настоящих Правил, уполномоченные должностные лица осуществляют блокирование таких персональных данных и обеспечивают их уничтожение в срок не более, чем шесть месяцев, если иной срок не установлен федеральными законами.
56. Уничтожение персональных данных осуществляется уполномоченными должностными лицами, осуществляющими обработку этих персональных данных, и (или) иными уполномоченными должностными лицами, определенными ответственным должностным лицом.
57. Уничтожение персональных данных, обрабатываемых в администрации без использования средств автоматизации, производится следующими способами:
1) исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных персональных данных, зафиксированных на материальном носителе (удаление, вымарывание), – если это допускается материальным носителем;
2) уничтожением материального носителя.
58. Уничтожение персональных данных, содержащихся в информационной системе персональных данных в администрации, производится путем их удаления из соответствующей информационной системы.
В случаях, когда уничтожение персональных данных, содержащихся в информационной системе персональных данных в администрации, невозможно без ее модификации, такая модификация обеспечивается в течение срока, указанного в пункте 55 настоящих Правил.
59. Об уничтожении персональных данных составляется акт в соответствии с типовой формой акта уничтожения персональных данных (приложение к настоящим Правилам).
Приложение
к Правилам обработки персональных
данных в администрации
рабочего поселка Арья
ТИПОВАЯ ФОРМА
АКТА УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
«___» __________ 20___ г.
_____________________________________________________________
_____________________________________________________________
(фамилия, имя, отчество и должность должностного лица (должностных лиц),
уничтожающего (уничтожающих) персональные данные)
составил (составили) настоящий акт о том, что «___» _____________ 20 __ г. произведено уничтожение следующих персональных данных:
1) ___________________________________________________________;
2) ___________________________________________________________;
3) ___________________________________________________________.
(указывается перечень уничтожаемых персональных данных)
Уничтожение указанных персональных данных производится в связи с (нужное отметить):
☐ истечением срока их обработки в администрации рабочего поселка Арья
☐ отзывом субъектом персональных данных согласия на обработку его персональных данных;
☐ принятием решения об уничтожении персональных данных, неправомерно обрабатываемых в администрации рабочего поселка Арья.
Уничтожение персональных данных произведено следующим способом (нужное отметить):
☐ исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных персональных данных, зафиксированных на материальном носителе (удаление, вымарывание);
☐ уничтожение материального носителя;
☐ удаление из информационной системы персональных данных в администрации рабочего поселка Арья.
__________________________ ____________ «___» ________ 20 __ г.
(должность, Ф.И.О. должностного лица) подпись
__________________________ ____________ «___» ________ 20 __ г.
(должность, Ф.И.О. должностного лица) подпись
__________________________ ____________ «___» ________ 20 __ г.
(должность, Ф.И.О. должностного лица) подпись
АДМИНИСТРАЦИЯ РАБОЧЕГО ПОСЕЛКА АРЬЯ
УРЕНСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
НИЖЕГОРОДСКОЙ ОБЛАСТИ
ПОСТАНОВЛЕНИЕ
07.04.2020 № 24
ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ РАБОЧЕГО ПОСЕЛКА АРЬЯ УРЕНСКОГО МУНИЦИПАЛЬНОГО РАЙОНА НИЖЕГОРОДСКОЙ ОБЛАСТИ
В соответствии со ст.27.1 Федерального закона от 06.10.2003 № 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации», Уставом рабочего поселка Арья, администрация рабочего поселка Арья Уренского муниципального района Нижегородской области постановляет:
1. Утвердить правила обработки персональных данных в администрации рабочего поселка Арья Уренского муниципального района Нижегородской области.
2. Настоящее постановление обнародовать в установленном порядке и разместить на официальном сайте администрации Уренского муниципального района в разделе «Муниципальные образования – рабочий поселок Арья».
3.Контроль за исполнением настоящего постановления оставляю за собой.
Глава администрации
В.Н.Едемский
Приложение
к постановлению администрации
рабочего поселка Арья
Уренского муниципального района
Нижегородской области
от 07.04.2020 № 24
ПРАВИЛА
обработки персональных данных в администрации рабочего поселка Арья Уренского муниципального района Нижегородской области
(далее – Правила)
Глава 1. Общие положения
1. Настоящие Правила регулируют отношения, связанные с обработкой персональных данных в связи с реализацией в администрации рабочего поселка Арья служебных и трудовых отношений, а также оказанием администрацией муниципальных услуг и осуществлением администрацией муниципальных функций, и устанавливают меры, необходимые и достаточные для обеспечения выполнения обязанностей оператора, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных») и принятыми в соответствии с ним нормативными правовыми актами, в том числе: определяют политику администрации в отношении обработки персональных данных, устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.
2. Настоящие Правила не регулируют отношения, связанные с обезличиванием персональных данных и работой с обезличенными данными в администрации.
3. Настоящие Правила разработаны в соответствии с Конституцией Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных», другими федеральными законами, Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687, Перечнем мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденным постановлением Правительства Российской Федерации от 21 марта 2012 года № 211, Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119, Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21, иными нормативными правовыми актами Российской Федерации, Уставом рабочего поселка Арья и иными нормативными правовыми актами администрации рабочего поселка Арья .
4. Обработка персональных данных в администрации представляет собой действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
5. Обработка персональных данных в администрации осуществляется в соответствии с принципами и условиями обработки персональных данных, предусмотренными Федеральным законом «О персональных данных», Трудовым кодексом Российской Федерации, Федеральным законом от 2 марта 2007 года № 25-ФЗ «О муниципальной службе в Российской Федерации», иными нормативными правовыми актами, изданными на основании и во исполнение указанных законов, а также с учетом особенностей, установленных Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.
Глава 2. Цели обработки персональных данных в администрации рабочего поселка Арья, содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки обработки персональных данных
6. Целями обработки персональных данных в администрации рабочего поселка Арья являются:
1) реализация служебных и трудовых отношений в администрации;
2) оказание администрацией муниципальных услуг и осуществление администрацией муниципальных функций.
7. В целях реализации служебных и трудовых отношений в администрации осуществляется обработка персональных данных следующих категорий субъектов:
1) работников администрации, лиц, претендующих на замещение должностей работников администрации либо замещавших должности работников администрации;
2) членов семьи лиц, предусмотренных подпунктом 1 настоящего пункта, а также в случаях, предусмотренных законодательством Российской Федерации – их близких родственников (в том числе бывших) и свойственников;
3) независимых экспертов, включенных в составы аттестационных комиссий, конкурсных комиссий, образуемых администрацией;
4) кандидатов на включение в кадровый резерв для замещения вакантных должностей муниципальной службы, а также лиц, состоящих в указанном кадровом резерве и исключенных из него;
5) лиц, участвующих в конкурсе на заключение договора о целевом обучении между администрацией и гражданином Российской Федерации, а также лиц, с которыми администрацией заключен договор о целевом обучении;
6) иных лиц, в отношении которых администрация осуществляет кадровую работу.
8. В целях оказания администрацией муниципальных услуг и осуществления администрацией муниципальных функций в администрации осуществляется обработка персональных данных следующих категорий субъектов:
1) граждане, обладающие статусом индивидуального предпринимателя;
2) граждане, представляющие в отношениях с администрацией организацию, в том числе должностные лица, представляющие в отношениях с администрацией государственные органы, органы местного самоуправления, муниципальные органы;
3) иные граждане.
9. Содержание обрабатываемых в администрации персональных данных субъектов, указанных в пунктах 7 и 8 настоящих Правил, определяется в соответствии с законодательством Российской Федерации перечнями персональных данных, утверждаемыми правовым актом руководителя администрации .
Указанными перечнями также могут уточняться категории субъектов персональных данных, предусмотренные пунктами 7 и 8 настоящих Правил.
10. Срок обработки персональных данных в администрации, в том числе срок хранения персональных данных в администрации, соответствуют сроку хранения документов, содержащих соответствующие персональные данные, определяемые в соответствии с:
1) приказом Министерства культуры Российской Федерации от 25 августа 2010 года № 558 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»;
11. В случаях, когда персональные данные, обрабатываемые администрацией, содержатся в документах, срок обработки которых не может быть определен в соответствии с пунктом 10 настоящих Правил, обработка указанных персональных данных в администрации, в том числе их хранение в администрации, осуществляется в течение срока, необходимого до достижения целей обработки, или до утраты необходимости в достижении этих целей.
Глава 3. Организация обработки персональных данных
12. Должностным лицом, ответственным за организацию обработки персональных данных в администрации, является глава администрации.
13. В администрации персональные данные обрабатываются лицами, замещающими должности, включенные в перечень (перечни) должностей муниципальных служащих и (или) работников органа местного самоуправления, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утверждаемой правовым актом главы администрации (далее – уполномоченные должностные лица).
14. В случаях, когда администрацией обработка персональных данных в соответствии с частями 3 – 5 статьи 6 Федерального закона «О персональных данных» поручена другому лицу, администрация обеспечивает получение согласия субъектов персональных данных на обработку персональных данных таким лицом в соответствии с типовой формой согласия на поручение обработки персональных данных другим лицам, утверждаемой правовым актом главы администрации.
15. Уполномоченное должностное лицо знакомится с настоящими Правилами под роспись и дает письменное обязательство о неразглашении персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, в соответствии с типовым обязательством о неразглашении персональных данных, ставших известными в связи с исполнением должностных обязанностей, утверждаемым правовым актом руководителя администрации.
Уполномоченное должностное лицо дает письменное обязательство прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, в случае расторжения с ним трудового договора в соответствии с типовым обязательством прекратить обработку персональных данных, ставших известными в связи с исполнением должностных обязанностей, в случае расторжения трудового договора, утверждаемым правовым актом руководителя администрации.
16. Уполномоченное должностное лицо не допускается к обработке персональных данных в администрации, если им не даны письменные обязательства, предусмотренные пунктом 15 настоящих Правил.
17. При увольнении уполномоченного должностного лица имеющиеся у него документы, содержащие персональные данные, передаются другому уполномоченному должностному лицу.
При временном отсутствии уполномоченного должностного лица имеющиеся у него документы, содержащие персональные данные, могут передаваться только другому уполномоченному должностному лицу.
18. Уполномоченное должностное лицо при обработке персональных данных в администрации обязано принимать необходимые правовые, организационные меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в том числе:
1) незамедлительно сообщать должностному лицу, ответственному за организацию обработки персональных данных в администрации рабочего поселка Арья (далее вместе – ответственное должностное лицо)
обо всех известных ему фактах или попытках несанкционированного доступа к персональным данным, обрабатываемым в администрации;
о попытках третьих лиц получить от него персональные данные, ставшие известными ему в связи с выполнением должностных обязанностей;
о фактах утраты личного идентификатора для доступа к информационной системе персональных данных в администрации, съемного машинного носителя, содержащего персональные данные, а также иных фактах, которые могут привести к разглашению персональных данных, ставших известными ему в связи с выполнением должностных обязанностей;
2) в случае расторжения трудового договора до дня прекращения служебных (трудовых) отношений с администрацией сдать съемные машинные носители персональных данных, имеющиеся у него в связи с исполнением должностных обязанностей;
3) в случае расторжения трудового договора со дня прекращения служебных (трудовых) отношений с администрацией:
прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
не использовать известные ему идентификаторы для доступа в информационную систему персональных данных в администрации;
уничтожить все персональные данные, ставшие известными ему в результате исполнения должностных обязанностей, содержащиеся вне информационной системы персональных данных в администрации или документов, обрабатываемых в администрации без использования средств автоматизации.
19. Уполномоченному должностному лицу запрещается:
1) разглашать, передавать третьим лицам и распространять персональные данные, которые стали ему известны в связи с выполнением должностных обязанностей;
2) использовать персональные данные, ставшие известными ему в связи с выполнением должностных обязанностей, в личных целях, в том числе с целью получения выгоды;
3) обрабатывать персональные данные в присутствии посторонних лиц;
4) сообщать постороннему лицу свой индивидуальный идентификатор для доступа к информационной системе персональных данных в администрации;
5) самостоятельно устанавливать любые системные или прикладные программы при обработке персональных данных в информационной системе персональных данных в администрации;
6) отключать (блокировать) программные (аппаратно-программные) средства защиты от несанкционированного доступа к информации и антивирусные средства защиты при обработке персональных данных в информационной системе персональных данных в администрации;
7) совершать иные действия, которые могут привести к неправомерному или случайному доступу к персональным данным, обрабатываемым в администрации, а также иным неправомерным действиям с ними.
Глава 4. Обеспечение безопасности персональных данных при их обработке
20. Обеспечение безопасности персональных данных при их обработке в администрации достигается, в частности:
1) допуском к обработке персональных данных только уполномоченных должностных лиц;
2) обработкой персональных данных в помещениях, которые специально оборудованы для целей обработки персональных данных (далее – помещения);
3) ограничением доступа в помещения лиц, не являющихся уполномоченными должностными лицами, в том числе работников администрации;
4) обнаружением фактов нарушений законодательства, допущенных при обработке персональных данных в администрации, и устранением обнаруженных нарушений;
5) обнаружением фактов несанкционированного доступа к персональным данным в администрации и принятием мер;
6) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
21. Обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных в администрации помимо мер, предусмотренных пунктом 20 настоящих Правил, достигается в частности:
1) определением угроз безопасности персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных в администрации;
5) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных в администрации, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных в администрации;
6) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных в администрации.
Перечень организационно-технических мероприятий по защите персональных данных, обрабатываемых в информационных системах персональных данных в администрации, утверждается правовым актом руководителя администрации.
22. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных в информационных системах персональных данных в администрации проводится администрацией самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в три года.
Решение о проведении оценки эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных в администрации принимает ответственное должностное лицо.
23. Помещение оборудуется системами охранной и противопожарной сигнализации.
24. Рабочие места уполномоченных должностных лиц в помещениях должны располагаться таким образом, чтобы исключалась возможность просмотра информации, содержащейся в документах на бумажных носителях и (или) отображаемой на экране монитора, лицом, не допущенным к обработке соответствующих персональных данных.
25. В отсутствие уполномоченного должностного лица на его рабочем месте не должны находиться документы, содержащие персональные данные, а также на его рабочем месте работа с информационной системой персональных данных в администрации должна быть завершена и (или) блокирована.
26. Допущенные при обработке персональных данных в администрации нарушения законодательства в виде неправомерной обработки персональных данных и (или) обработки неточных персональных данных могут быть выявлены:
1) при обращении субъекта персональных данных (его представителя);
2) по запросу субъекта персональных данных (его представителя);
3) по запросу уполномоченного органа по защите прав субъектов персональных данных.
27. В случаях выявления неправомерной обработки персональных данных и (или) обработки неточных персональных данных уполномоченными должностными лицами ответственное должностное лицо принимает меры, предусмотренные пунктами 28 – 42 настоящих Правил.
В случаях выявления неправомерной обработки персональных данных и (или) обработки неточных персональных данных лицом, которому обработка персональных данных поручена администрацией, ответственное должностное лицо обеспечивает выполнение указанным лицом действий, предусмотренных статьей 21 Федерального закона «О персональных данных».
28. В случаях выявления неправомерной обработки персональных данных и (или) обработки неточных персональных данных уполномоченными должностными лицами ответственное должностное лицо принимает решение о проведении проверки фактов указанных нарушений законодательства, решение о блокировании неправомерно обрабатываемых персональных данных, а также, если это не нарушает права и законные интересы субъектов персональных данных и третьих лиц, – решение о блокировании неточных персональных данных.
Указанное решение (указанные решения) принимается (принимаются) ответственным должностным лицом не позднее рабочего дня, следующего за днем выявления неправомерной обработки персональных данных и (или) обработки неточных персональных данных в администрации.
29. При принятии решения о проведении проверки, предусмотренной пунктом 28 настоящих Правил, ответственное должностное лицо определяет уполномоченное должностное лицо, которое будет проводить проверку, а также срок проведения проверки, который не может превышать:
1) для проверки фактов неправомерной обработки персональных данных – один рабочий день после дня принятия решения о проведении проверки;
2) для проверки фактов обработки неточных персональных данных – четыре рабочих дня после дня принятия решения о проведении проверки.
30. Решения, предусмотренные пунктом 28 настоящих Правил, доводятся до сведения соответствующих должностных лиц не позднее рабочего дня, следующего за днем выявления неправомерной обработки персональных данных и (или) обработки неточных персональных данных.
31. Уполномоченные должностные лица, осуществляющие обработку персональных данных, в отношении которых принято решение о блокировании, обязаны блокировать эти персональные данные не позднее рабочего дня, следующего за днем выявления неправомерной обработки персональных данных и (или) обработки неточных персональных данных. Блокирование персональных данных осуществляется на период проведения соответствующей проверки.
32. Если при проведении проверки фактов обработки неточных персональных данных уполномоченным должностным лицом будет установлено, что сведений, представленных субъектом персональных данных (его представителем) и (или) уполномоченным органом по защите прав субъектов персональных данных, недостаточно для проверки указанных фактов, уполномоченное должностное лицо делает запрос (запросы) с целью получения информации, подтверждающей или опровергающей факт обработки неточных персональных данных. В этом случае течение срока проверки факта обработки неточных персональных данных приостанавливается со дня направления соответствующего запроса (соответствующих запросов) до рабочего дня, следующего за днем получения ответа на него (последнего ответа на них).
33. По результатам проведения проверки, предусмотренной пунктом 28 настоящих Правил, уполномоченное должностное лицо составляет акт проверки, содержащий один из следующих выводов:
1) о подтверждении факта неправомерной обработки персональных данных в администрации;
2) о не подтверждении факта неправомерной обработки персональных данных в администрации;
3) о подтверждении факта обработки неточных персональных данных в администрации;
4) о не подтверждении факта обработки неточных персональных данных в администрации.
34. В акте проверки, предусмотренном подпунктом 1 пункта 33 настоящих Правил, должны содержаться предложения по обеспечению правомерности обработки соответствующих персональных данных либо сведения об отсутствии возможности обеспечить правомерность обработки соответствующих персональных данных.
В акте проверки, предусмотренном подпунктом 3 пункта 33 настоящих Правил, должны содержаться предложения по уточнению соответствующих персональных данных.
35. В случаях установления при проведении проверки, предусмотренной пунктом 28 настоящих Правил, фактов неисполнения или ненадлежащего исполнения уполномоченным должностным лицом по его вине возложенных на него обязанностей, в результате которых персональные данные обрабатывались администрацией неправомерно и (или) администрацией обрабатывались неточные персональные данные, акт проверки, предусмотренный подпунктами 1, 3 пункта 33 настоящих Правил, должен содержать предложения по применению мер ответственности к такому уполномоченному должностному лицу.
36. Акт проверки, предусмотренный пунктом 33 настоящих Правил, должен соответствовать требованиям, предусмотренным для актов внеплановых проверок правилами внутреннего контроля обработки персональных данных в администрации, утверждаемыми правовым актом руководителя администрации.
37. Уполномоченное должностное лицо представляет ответственному должностному лицу акт проверки, предусмотренный пунктом 33 настоящих Правил, не позднее рабочего дня, следующего за днем окончания срока проверки.
38. Рассмотрев акт проверки, предусмотренный пунктом 33 настоящих Правил, ответственное должностное лицо принимает одно из следующих решений:
1) об оставлении обработки соответствующих персональных данных без изменения;
2) о прекращении обработки персональных данных, неправомерно обрабатываемых в администрации, и об обеспечении правомерности их обработки;
3) об уничтожении персональных данных, неправомерно обрабатываемых в администрации;
4) об уточнении неточных персональных данных в администрации и снятии блокирования.
39. Решение, предусмотренное пунктом 38 настоящих Правил, принимается ответственным должностным лицом не позднее рабочего дня, следующего за днем окончания срока проведения соответствующей проверки.
40. В случае принятия решения, предусмотренного подпунктом 2 пункта 38 настоящих Правил, уполномоченное должностное лицо, проводившее проверку, обеспечивает правомерность обработки соответствующих персональных данных не позднее пяти рабочих дней после дня принятия указанного решения.
41. Если в течение срока, предусмотренного пунктом 40 настоящих Правил, будет выявлено, что обеспечение правомерности обработки персональных данных невозможно, уполномоченное должностное лицо сообщает об этом ответственному должностному лицу. В этом случае ответственное должностное лицо принимает решение об уничтожении персональных данных, неправомерно обрабатываемых в администрации. Указанное решение принимается не позднее рабочего дня, следующего за днем истечения срока, предусмотренного пунктом 40 настоящих Правил.
42. В случае принятия решения, предусмотренного подпунктом 4 пункта 38 настоящих Правил, персональные данные подлежат уточнению не позднее рабочего дня, следующего за днем принятия указанного решения.
Уточнение персональных данных, обрабатываемых в администрации без использования средств автоматизации, производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными. Уточнение персональных данных, содержащихся в информационной системе персональных данных в администрации, осуществляется путем их изменения в соответствующей информационной системе.
Блокирование с уточненных персональных данных снимается с момента их уточнения.
43. Уполномоченное должностное лицо уведомляет субъекта персональных данных (его представителя), а в случаях, предусмотренных подпунктом 3 пункта 26 настоящих Правил, – также уполномоченный орган по защите прав субъектов персональных данных, о мерах, принятых им в соответствии с пунктами 40–42, 55–59 настоящих Правил. Указанное уведомление направляется уполномоченным должностным лицом не позднее трех рабочих дней со дня принятия соответствующих мер.
44. В случаях обнаружения несанкционированного доступа к персональным данным, обрабатываемым в администрации без использования средств автоматизации, или попыток такого доступа уполномоченное должностное лицо незамедлительно сообщает об этом ответственному должностному лицу.
45. Ответственное должностное лицо не позднее рабочего дня, следующего за днем обнаружения обстоятельств, предусмотренных пунктом 44 настоящих Правил, принимает решение о проведении проверки фактов несанкционированного доступа к персональным данным, обрабатываемым в администрации без использования средств автоматизации (попыток такого доступа).
46. При принятии решения, предусмотренного пунктом 45 настоящих Правил, ответственное должностное лицо определяет уполномоченное должностное лицо (уполномоченных должностных лиц), которое будет (которые будут) проводить проверку, а также срок проведения проверки, который не может превышать двадцать рабочих дней.
47. По результатам проведения проверки, предусмотренной пунктом 45 настоящих Правил, уполномоченное должностное лицо составляет (уполномоченные должностные лица составляют) акт проверки, содержащий один из следующих выводов:
1) о не подтверждении факта несанкционированного доступа к персональным данным, обрабатываемым в администрации без использования средств автоматизации (факта попытки такого доступа);
2) о подтверждении факта попытки несанкционированного доступа к персональным данным, обрабатываемым в администрации без использования средств автоматизации;
3) о подтверждении факта несанкционированного доступа к персональным данным, обрабатываемым в администрации без использования средств автоматизации.
48. Акты проверки, предусмотренный подпунктами 2, 3 пункта 47 настоящих Правил, должен содержать:
1) предложения по принятию мер, направленных на предотвращение несанкционированного доступа к персональным данным, обрабатываемым в администрации без использования средств автоматизации;
2) предложения по применению мер ответственности к уполномоченному должностному лицу – в случаях установления фактов неисполнения или ненадлежащего исполнения таким уполномоченным должностным лицом по его вине возложенных на него обязанностей, в результате которых был совершен несанкционированный доступ к персональным данным, обрабатываемым в администрации без использования средств автоматизации (попытка такого доступа).
49. Акт проверки, предусмотренный подпунктом 3 пункта 47 настоящих Правил, также должен содержать:
1) описание действий, совершенных с персональными данными в результате несанкционированного доступа к ним;
2) предложения по восстановлению персональных данных – в случаях их уничтожения или модификации в результате несанкционированного доступа;
3) оценку вреда, который может быть причинен субъектам персональных данных в результате несанкционированного доступа к их персональным данным в администрации, соотношение указанного вреда и принимаемых администрацией мер, направленных на обеспечение безопасности персональных данных при их обработке в администрации.
50. Акт проверки, предусмотренный пунктом 47 настоящих Правил, должен соответствовать требованиям, предусмотренным для актов внеплановых проверок утверждаемыми правовым актом руководителя администрации правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных Федеральным законом «О персональных данных, принятыми в соответствие с ним нормативными правовыми актами и локальными актами администрации.
51. Уполномоченное должностное лицо представляет (уполномоченные должностные лица представляют) ответственному должностному лицу акт проверки, предусмотренный пунктом 47 настоящих Правил, не позднее рабочего дня, следующего за днем окончания срока проверки.
52. Рассмотрев акт проверки, предусмотренный пунктом 47 настоящих Правил, ответственное должностное лицо не позднее рабочего дня, следующего за днем окончания срока проверки, принимает решение о принятии мер, направленных на устранение последствий несанкционированного доступа к персональным данным, обрабатываемым в администрации без использования средств автоматизации, и (или) предотвращение несанкционированного доступа к персональным данным, обрабатываемым в администрации без использования средств автоматизации (попыток такого доступа).
Глава 5. Порядок уничтожения персональных данных, обрабатываемых в администрации
53. Персональные данные, обрабатываемые в администрации, подлежат уничтожению:
1) по истечению срока их обработки в администрации, в том числе по достижению целей обработки в администрации либо в случае утраты необходимости в достижении этих целей;
2) в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если без такого согласия обработка персональных данных в администрации является неправомерной;
3) в случаях принятия решений об уничтожении персональных данных, предусмотренных подпунктом 3 пункта 38 и пунктом 41 настоящих Правил.
54. Персональные данные подлежат уничтожению в следующие сроки:
1) в случаях, предусмотренных подпунктами 1 и 2 пункта 53 настоящих Правил, – не позднее тридцати календарных дней со дня истечения срока обработки персональных данных в администрации (со дня поступления в администрацию отзыва субъектом персональных данных согласия на обработку его персональных данных);
2) в случае принятия решения, предусмотренного подпунктом 3 пункта 38 настоящих Правил, – не позднее семи рабочих дней со дня принятия указанного решения;
3) в случае принятия решения, предусмотренного пунктом 41 настоящих Правил, – не позднее рабочего дня, следующего за днем принятия указанного решения.
55. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в пункте 54 настоящих Правил, уполномоченные должностные лица осуществляют блокирование таких персональных данных и обеспечивают их уничтожение в срок не более, чем шесть месяцев, если иной срок не установлен федеральными законами.
56. Уничтожение персональных данных осуществляется уполномоченными должностными лицами, осуществляющими обработку этих персональных данных, и (или) иными уполномоченными должностными лицами, определенными ответственным должностным лицом.
57. Уничтожение персональных данных, обрабатываемых в администрации без использования средств автоматизации, производится следующими способами:
1) исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных персональных данных, зафиксированных на материальном носителе (удаление, вымарывание), – если это допускается материальным носителем;
2) уничтожением материального носителя.
58. Уничтожение персональных данных, содержащихся в информационной системе персональных данных в администрации, производится путем их удаления из соответствующей информационной системы.
В случаях, когда уничтожение персональных данных, содержащихся в информационной системе персональных данных в администрации, невозможно без ее модификации, такая модификация обеспечивается в течение срока, указанного в пункте 55 настоящих Правил.
59. Об уничтожении персональных данных составляется акт в соответствии с типовой формой акта уничтожения персональных данных (приложение к настоящим Правилам).
Приложение
к Правилам обработки персональных
данных в администрации
рабочего поселка Арья
ТИПОВАЯ ФОРМА
АКТА УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
«___» __________ 20___ г.
_____________________________________________________________
_____________________________________________________________
(фамилия, имя, отчество и должность должностного лица (должностных лиц),
уничтожающего (уничтожающих) персональные данные)
составил (составили) настоящий акт о том, что «___» _____________ 20 __ г. произведено уничтожение следующих персональных данных:
1) ___________________________________________________________;
2) ___________________________________________________________;
3) ___________________________________________________________.
(указывается перечень уничтожаемых персональных данных)
Уничтожение указанных персональных данных производится в связи с (нужное отметить):
☐ истечением срока их обработки в администрации рабочего поселка Арья
☐ отзывом субъектом персональных данных согласия на обработку его персональных данных;
☐ принятием решения об уничтожении персональных данных, неправомерно обрабатываемых в администрации рабочего поселка Арья.
Уничтожение персональных данных произведено следующим способом (нужное отметить):
☐ исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных персональных данных, зафиксированных на материальном носителе (удаление, вымарывание);
☐ уничтожение материального носителя;
☐ удаление из информационной системы персональных данных в администрации рабочего поселка Арья.
__________________________ ____________ «___» ________ 20 __ г.
(должность, Ф.И.О. должностного лица) подпись
__________________________ ____________ «___» ________ 20 __ г.
(должность, Ф.И.О. должностного лица) подпись
__________________________ ____________ «___» ________ 20 __ г.
(должность, Ф.И.О. должностного лица) подпись
Дополнительные сведения
| Государственные публикаторы: | Акт (справка, протокол) об обнародовании от 17.04.2020 |
| Рубрики правового классификатора: | 010.150.000 Местное самоуправление, 010.150.040 Глава муниципального образования. Местная администрация, 150.000.000 ИНФОРМАЦИЯ И ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ. СВЯЗЬ., 150.020.000 Муниципальные информационные системы. |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
