Основная информация
| Дата опубликования: | 09 октября 2020г. |
| Номер документа: | RU90012218202000073 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Москва |
| Принявший орган: | Администрация городского округа "Город Кизел" |
| Раздел на сайте: | Нормативные правовые акты муниципальных образований |
| Тип документа: | Постановления |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
АДМИНИСТРАЦИЯ ГОРОДСКОГО ОКРУГА «ГОРОД КИЗЕЛ»
АДМИНИСТРАЦИЯ КИЗЕЛОВСКОГО ГОРОДСКОГО ОКРУГА
ПОСТАНОВЛЕНИЕ
09.10.2020 №379
Об утверждении перечня документов,
направленных на обеспечение выполнения
обязанностей, предусмотренных Федеральным
законом «О персональных данных»
В соответствии с требованиями постановления Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», руководствуясь Трудовым кодексом Российской Федерации, федеральными законами от 27.07.2006 № 152-ФЗ «О персональных данных», от 02.03.2007 № 25-ФЗ «О муниципальной службе в Российской Федерации», Законом Пермского края от 04.05.2008 № 228-ПК «О муниципальной службе в Пермском крае», руководствуясь решением Кизеловской городской Думы от 26.09.2018 № 10 «О вопросах правопреемства», п.11 ч.2 ст.44 Устава городского округа «Город Кизел», администрация города Кизела
ПОСТАНОВЛЯЕТ:
1. Утвердить:
1.1. Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в администрации города Кизела, согласно приложению 1;
1.2. Правила рассмотрения запросов субъектов персональных данных или их представителей в администрации города Кизела, согласно приложению 2;
1.3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами администрации города Кизела, согласно приложению 3;
1.4. Правила работы с обезличенными персональными данными в администрации города Кизела, согласно приложению 4;
1.5. перечень должностей муниципальных служащих администрации города Кизела, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, согласно приложению 5;
1.6. порядок доступа муниципальных служащих администрации города Кизела в помещения, в которых ведется обработка персональных данных, согласно приложению 6;
1.7. перечень мест хранения материальных носителей персональных данных и лиц, ответственных за их хранение, согласно приложению 7;
1.8. перечень должностей уполномоченных лиц, имеющих доступ к персональным данным муниципальных служащих администрации города Кизела и граждан, претендующих на замещение вакантных должностей в администрации, согласно приложению 8.
2. Считать утратившими силу:
постановление администрации Шахтинского сельского поселения от 16.05.2013 № 23 «Об утверждении Положения об организации работы с персональными данными работников администрации Шахтинского сельского поселения»;
постановление администрации Кизеловского городского поселения от 05.02.2018 № 24 «Об утверждении Правил работы с обезличенными данными в случае обезличивания персональных данных в администрации Кизеловского городского поселения»;
постановление администрации Кизеловского городского поселения от 05.02.2018 № 25 «Об утверждении Правил внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных»;
постановление администрации Центрально-Коспашского сельского поселения от 14.03.2018 № 14 «Об утверждении Правил работы с обезличенными данными в случае обезличивания персональных данных в администрации Центрально-Коспашского сельского поселения»;
постановление администрации Центрально-Коспашского сельского поселения от 14.03.2018 № 15 «Об утверждении Порядка доступа работников администрации Центрально-Коспашского сельского поселения в помещения, в которых ведется обработка персональных данных».
постановление администрации Центрально-Коспашского сельского поселения от 14.03.2018 № 16 «Об утверждении Правил внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных»;
постановление администрации Центрально-Коспашского сельского поселения от 20.03.2018 № 20 «Об утверждении Правил обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в администрации Центрально-Коспашского сельского поселения»;
постановление администрации Южно-Коспашского сельского поселения от 16.04.2018 № 32 «Об утверждении Правил обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в администрации Южно-Коспашского сельского поселения»;
постановление администрации Южно-Коспашского сельского поселения от 16.04.2018 № 27 «Об утверждении Перечня должностей муниципальных служащих, замещение которых предусматривает осуществление обработки персональных данных, либо осуществление доступа к персональным данным»;
постановление администрации Южно-Коспашского сельского поселения от 16.04.2018 № 28 «Об утверждении Правил работы с обезличенными данными в случае обезличивания персональных данных в администрации Южно-Коспашского сельского поселения»;
постановление администрации Южно-Коспашского сельского поселения от 16.04.2018 № 29 «Об утверждении Правил внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных»;
постановление администрации Южно-Коспашского сельского поселения от 16.04.2018 № 31 «Об утверждении Правил рассмотрения запросов субъектов персональных данных или их представителей»;
постановление администрации Южно-Коспашского сельского поселения от 16.04.2018 № 32 «Об утверждении Правил обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в администрации Южно-Коспашского сельского поселения».
И.о.главы города Кизела С.Е.Гинтер
Приложение 1
УТВЕРЖДЕНЫ
постановлением администрации городского округа «Город Кизел»
от 09.10.2020 № 379
ПРАВИЛА
обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных,
а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки
и хранения, порядок уничтожения при достижении целей обработки
или при наступлении иных законных оснований
в администрации города Кизела
I. Общие положения
1.1. Настоящие Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в администрации города Кизела разработаны на основании требований Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных», в целях выполнения норм федерального законодательства в области обработки персональных данных субъектов персональных данных администрации города Кизела (далее – Оператор).
1.2. Цели обработки персональных данных, а также категории обрабатываемых персональных данных, источники их получения определяются Политикой администрации города Кизела в отношении обработки и защиты персональных данных.
II. Сроки обработки и хранения персональных данных
2.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), удаление, уничтожение персональных данных.
2.2. Обработка персональных данных Оператором ведется с использованием средств автоматизации (электронные носители персональных данных) и без использования средств автоматизации (бумажные носители персональных данных).
2.3. Хранение персональных данных Оператором осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, за исключением случаев, когда срок хранения персональных данных установлен федеральными законами или договором, стороной которого является субъект персональных данных.
2.4. Персональные данные, полученные Оператором от субъекта персональных данных, хранятся как на бумажных носителях, так и в электронном виде.
2.5. Персональные данные на бумажных носителях хранятся в шкафах и сейфах.
2.6. Персональные данные в электронном виде хранятся на жестких дисках компьютеров сотрудников Оператора.
2.7. Оператором запрещено размещать электронные документы, содержащие персональные данные, в открытых электронных каталогах (файловых хостингах).
2.8. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.9. В случае выявления неправомерной обработки персональных данных, осуществляемой администрацией города Кизела или лицом, действующим по поручению, оператор в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных администрация города Кизела обязана уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также в указанный орган.
В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
2.10. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных, либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
2.11. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.
2.12. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных выше, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.
2.13. Срок хранения документов (в том числе в электронном виде), содержащих персональные данные, устанавливается на основании Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденного Приказом Росархива от 20.12.2019 № 236.
2.14. По истечении установленного срока хранения уничтожение бумажных и электронных носителей персональных данных, утративших свое практическое значение и не имеющих исторической ценности, производится по акту в порядке, установленном Инструкцией по организации делопроизводства и ведению архива в администрации, утвержденной в установленном порядке (далее - Инструкция).
2.15. Документы, базы данных, содержащие персональные данные, имеющие постоянный срок хранения, передаются на архивное хранение по акту в порядке, установленном Инструкцией.
III. Основные принципы обработки, передачи персональных данных
3.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
3.2. Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
3.3. Оператор не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
3.4. Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
3.5. Оператор производит передачу персональных данных третьим лицам на основании соответствующего соглашения и только с согласия субъектов персональных данных.
3.6. Оператором созданы общедоступные источники персональных данных (справочники, адресные книги). Персональные данные, сообщаемые субъектом (фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и др.), включаются в такие источники только с письменного согласия субъекта персональных данных.
IV. Сведения о третьих лицах, участвующих в обработке
персональных данных
4.1. В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям:
- третьим лицам в целях предупреждения угрозы жизни и здоровью работника;
- в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации в объеме, предусмотренном законом;
- в налоговые органы;
- в военные комиссариаты;
- по запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем;
- по мотивированному запросу органов прокуратуры;
- по мотивированному требованию правоохранительных органов и органов безопасности;
- по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности;
- по запросу суда;
- в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом;
- в случаях, связанных с исполнением работником должностных обязанностей, в том числе при направлении в командировку;
- для предоставления сведений в кредитную организацию, обслуживающую платежные карты работников.
4.2. Оператор не поручает обработку персональных данных другим лицам на основании договора.
V. Правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке
5.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
5.1.1. назначением ответственных за организацию обработки персональных данных;
5.1.2. осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам;
5.1.3. ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучением указанных сотрудников;
5.1.4. определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
5.1.5. применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
5.1.6. оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5.1.7. учетом машинных носителей персональных данных;
5.1.8. выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
5.1.9. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
5.1.10. установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
5.1.11. контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
5.2. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено в соответствии с законодательством.
Приложение 2
УТВЕРЖДЕНЫ
постановлением администрации городского округа «Город Кизел»
от 09.10.2020 № 379
ПРАВИЛА
рассмотрения запросов субъектов персональных данных
или их представителей в администрации города Кизела
1. Правила рассмотрения запросов субъектов персональных данных или их представителей в администрации города Кизела (далее - Правила) определяют порядок учета (регистрации), рассмотрения запросов субъектов персональных данных или их представителей (далее - запросы).
2. Настоящие Правила разработаны в соответствии с Трудовым кодексом Российской Федерации, федеральными законами от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон), от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», от 2 марта 2007 г. № 25-ФЗ «О муниципальной службе в Российской Федерации», постановлениями Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.
3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных в администрации города Кизела (далее - Администрация);
- правовые основания и цели обработки персональных данных;
- цели и применяемые в Администрации способы обработки персональных данных;
- наименование и место нахождения Администрации, сведения о лицах (за исключением работников Администрации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Администрацией или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Администрации, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом или другими федеральными законами.
4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона.
5. Субъект персональных данных вправе требовать от Администрации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6. Сведения, указанные в части 7 статьи 14 Федерального закона, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
7. Сведения, указанные в части 7 статьи 14 Федерального закона, предоставляются субъекту персональных данных или его представителю Администрацией при обращении либо при получении запроса субъекта персональных данных или его представителя.
8. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Администрацией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Администрацией, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
9. Рассмотрение запросов является служебной обязанностью должностных лиц, в чьи обязанности входит обработка персональных данных (далее - должностные лица Администрации).
10. Должностные лица Администрации обеспечивают:
- объективное, всестороннее и своевременное рассмотрение запроса;
- принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов персональных данных;
- направление письменных ответов по существу запроса.
11. Ведение делопроизводства по запросам осуществляется отделом по организационным вопросам внутренней политике.
12. Все поступившие запросы регистрируются в день их поступления. На запросе проставляется входящий номер и дата регистрации.
13. Запрос прочитывается, проверяется на повторность, при необходимости сверяется с находящейся в архиве предыдущей перепиской. В случае, если сведения, указанные в части 7 статьи 14 Федерального закона, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Администрацию или направить повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона, и ознакомления с такими персональными данными не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Субъект персональных данных вправе обратиться повторно в Администрацию или направить повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в настоящем пункте, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с необходимыми сведениями должен содержать обоснование направления повторного запроса.
14. Администрация вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона. Такой отказ должен быть мотивированным.
15. Прошедшие регистрацию запросы представляются главе города Кизела либо лицу, его замещающему, который определяет порядок и сроки их рассмотрения, дает по каждому из них письменное указание исполнителям.
16. Должностные лица Администрации при рассмотрении и разрешении запроса обязаны:
- внимательно разобраться в их существе, в случае необходимости истребовать дополнительные материалы или направить сотрудников на места для проверки фактов, изложенных в запросах, принять другие меры для объективного разрешения поставленных заявителями вопросов, выявления и устранения причин и условий, порождающих факты нарушения законодательства о персональных данных;
- принимать по ним законные, обоснованные и мотивированные решения и обеспечивать своевременное и качественное их исполнение;
- сообщать в письменной форме субъекту персональных данных о решениях, принятых по их запросам, со ссылками на законодательство Российской Федерации, а в случае отклонения запроса - разъяснять также порядок обжалования принятого решения.
17. Администрация обязана сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение 30 дней с даты получения запроса субъекта персональных данных или его представителя, если иное не предусмотрено другими нормативными актами.
18. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя должностные лица Администрации обязаны дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя, если иное не предусмотрено другими нормативными актами.
19. Администрация обязана предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, если иное не предусмотрено другими нормативными актами.
20. В срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, должностные лица Администрации обязаны внести в них необходимые изменения.
21. В срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, должностные лица Администрации обязаны уничтожить такие персональные данные.
22. Администрация обязана уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
23. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных должностные лица Администрации обязаны осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки.
24. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных должностные лица Администрации обязаны осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
25. В случае подтверждения факта неточности персональных данных должностные лица Администрации на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязаны уточнить персональные данные в течение 7 рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
26. В случае выявления неправомерной обработки персональных данных должностные лица Администрации в срок, не превышающий 3 рабочих дней с даты этого выявления, обязаны прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, должностные лица Администрации в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, обязаны уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Администрация обязана уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.
27. Для проверки фактов, изложенных в запросах, при необходимости организуются служебные проверки в соответствии с законодательством Российской Федерации.
28. По результатам служебной проверки составляется мотивированное заключение, которое должно содержать объективный анализ собранных материалов. Результаты служебной проверки представляются главе города Кизела.
29. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы субъекту персональных данных или его представителю.
30. Ответы на запросы оформляются на бланке Администрации установленной формы.
31. Должностные лица, виновные в нарушении установленного порядка рассмотрения запросов, подлежат привлечению к ответственности в соответствии с законодательством Российской Федерации.
Приложение 3
УТВЕРЖДЕНЫ
постановлением администрации городского округа «Город Кизел»
от 09.10.2020 № 379
ПРАВИЛА
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных.
2. С целью поддержания состояния защиты персональных данных на надлежащем уровне Оператором осуществляется внутренний контроль за эффективностью системы защиты персональных данных и соответствием порядка и условий обработки и защиты персональных данных установленным требованиям.
3. Внутренний контроль включает:
3.1. мониторинг состояния технических и программных средств;
3.2. контроль соблюдения требований по обеспечению безопасности персональных данных (требований нормативных правовых актов и внутренних регулятивных документов в области обработки и защиты персональных данных, требований договоров).
4. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Администрации организовывается проведение плановых и внеплановых проверок условий обработки персональных данных на предмет соответствия Федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»), принятым в соответствии с ним нормативным правовым актом Администрации (далее – проверки).
5.Проверки проводятся в Администрации на основании ежегодного плана или на основании поступившего в Администрацию письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки).
Ежегодный план проверок разрабатывается и утверждается комиссией по организации обработки и защиты персональных данных Администрации для осуществления внутреннего контроля соответствия обработки персональных данных требованиям, предусмотренным Федеральным законом «О персональных данных» (далее – Комиссия).
6. В плане по каждой проверке устанавливается объект внутреннего контроля, проверяемый период, срок проведения проверки, ответственные исполнители.
7. Проверки проводятся Комиссией, создаваемой распоряжением Администрации. В проведении проверки не может участвовать муниципальный служащий, прямо или косвенно заинтересованный в ее результатах.
8. Основанием для проведения внеплановой проверки является поступившее в Администрацию письменное обращение субъекта персональных данных или его представителя о нарушении правил обработки персональных данных.
9. Проведение внеплановой проверки организуется в течение 5 рабочих дней с момента поступления обращения.
10. Срок проведения проверки не может превышать месяц со дня принятия решения о ее проведении.
11. Члены Комиссии, получившие доступ к персональным данным субъектов персональных данных в ходе проведения проверки, обеспечивают конфиденциальность персональных данных субъектов персональных данных, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных.
12. По результатам каждой проверки Комиссией проводится заседание. Решения, принятые на заседаниях Комиссии, оформляются протоколом.
13. По существу поставленных в обращении (жалобе) вопросов Комиссия в течение 5 рабочих дней со дня окончания проверки дает письменный ответ заявителю.
Приложение 4
УТВЕРЖДЕНЫ
постановлением администрации городского округа «Город Кизел»
от 09.10.2020 № 379
ПРАВИЛА
работы с обезличенными данными в случае обезличивания персональных данных в администрации города Кизела
I. Основные положения
1.1. Правила работы с обезличенными персональными данными (далее –Правила), обрабатываемыми в администрации города Кизела (далее - Администрация) разработаны с учетом Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон) и Приказа Роскомнадзора от 05 сентября 2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
1.2. Настоящие Правила определяют порядок работы с обезличенными персональными данными, обрабатываемыми в Администрации.
II. Термины и определения
2.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
2.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.3. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
III. Условия обезличивания
3.1. Обезличивание персональных данных может быть произведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения требований, необходимых для обеспечения уровней защищенности информационных систем персональных данных в администрации и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством.
3.2. Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки, для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.
3.3. Для обезличенных данных и применяемых методов обезличивания обязательно выполнение следующих требований:
3.3.1. требования к свойствам обезличенных данных, получаемых при применении метода обезличивания:
- сохранение полноты (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
- сохранение структурированности обезличиваемых персональных данных (сохранение структурных связей между обезличиваемыми данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
- сохранение семантической целостности обезличиваемых персональных данных (сохранение семантики персональных данных при обезличивании);
- анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации) отдельных данных не ниже заданного уровня (количества возможных сопоставлений обезличенных данных между собой для деобезличивания);
3.3.2. требования к свойствам, которыми должен обладать метод обезличивания:
- обратимость (возможность преобразования, обратного обезличиванию (деобезличиванию), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);
- возможность обеспечения заданного уровня анонимности;
- увеличение стойкости при увеличении объема обезличиваемых персональных данных (стойкость метода к атакам на идентификацию субъекта персональных данных).
3.4. Муниципальные служащие, уполномоченные на обработку персональных данных, несут ответственность за проведение мероприятий по обезличиванию обрабатываемых персональных данных.
IV. Методы обезличивания персональных данных
К наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания.
4.1. Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия.
Метод обеспечивает следующие свойства обезличенных данных:
- полнота;
- структурированность;
- семантическая целостность;
- применимость.
Оценка свойств метода:
обратимость (метод позволяет провести процедуру деобезличивания);
вариативность (метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания);
изменяемость (метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания);
стойкость (метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);
возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
совместимость (метод позволяет интегрировать записи, соответствующие отдельным атрибутам);
параметрический объем (объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию);
возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
Для реализации метода требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия.
4.2. Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта.
Метод обеспечивает следующие свойства обезличенных данных:
- структурированность;
- релевантность;
- применимость;
- анонимность.
Оценка свойств метода:
обратимость (метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных);
вариативность (метод не позволяет изменять параметры метода без проведения предварительного деобезличивания);
изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
стойкость (стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);
возможность косвенного деобезличивания (метод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
совместимость (метод не обеспечивает интеграции с данными, обезличенными другими методами);
параметрический объем (параметры метода определяются набором правил изменения состава или семантики персональных данных);
возможность оценки качества данных (метод не позволяет проводить анализ, использующий конкретные значения персональных данных.
Для реализации метода требуется выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта.
При этом возможно использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки (средние значение, например).
4.3. Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножеством, с последующим раздельным хранением записей, соответствующих этим подмножествам.
Метод обеспечивает следующие свойства обезличенных данных:
- полнота;
- структурированность;
- релевантность;
- семантическая целостность;
- применимость.
Оценка свойств метода:
- обратимость (метод позволяет провести процедуру деобезличивания);
- вариативность (метод позволяет изменить параметры декомпозиции без предварительного деобезличивания);
- изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
- стойкость (метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений);
- возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
- совместимость (метод обеспечивает интеграцию с данными, обезличенными другими методами);
- параметрический объем (определяется числом подмножеств и числом субъектом персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц);
- связывания записей, находящихся в различных хранилищах;
- возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
Для реализации метода требуется предварительно разработать правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища.
4.4. Метод перемешивания реализуется путем перемешивания отдельных записей, а также групп записей между собой.
Метод обеспечивает следующие свойства обезличенных данных:
- полнота;
- структурированность;
- релевантность;
- семантическая целостность;
- применимость;
- анонимность.
Оценка свойств метода:
- обратимость (метод позволяет провести процедуру деобезличивания);
- вариативность (метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания);
- изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
- стойкость (длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию);
- возможность косвенного деобезличивания (метод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов);
- совместимость (метод позволяет проводить интеграцию с данными, обезличенными другими методами);
- параметрический объем (зависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию);
- возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
Для реализации метода требуется разработать правила перемешивания и их алгоритмы, правила и алгоритмы деобезличивания и внесения изменений в записи. Метод может использоваться совместно с методами введения идентификаторов и декомпозиции.
Также Администрация может применять любые другие не запрещенные законодательством методы.
V. Порядок работы с обезличенными персональными данными
5.1. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности без согласия субъекта персональных данных, за исключением их обработки для статистической или иной исследовательской деятельности, иных действий, не противоречащих действующему законодательству.
5.2. Обезличенные персональные данные могут обрабатываться с использованием средств автоматизации и без использования таковых.
5.3. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
- парольной политики;
- антивирусной политики;
- правил работы с отчуждаемыми носителями (в случае их применения);
- правил резервного копирования;
- правил доступа в помещения, где расположены элементы ИСПДн.
5.4. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
- правил хранения бумажных носителей;
- правил доступа к бумажным носителям и в помещениях, где они хранятся.
VI. Ответственность
Лица, виновные в нарушении требований законодательства в области обработки персональных данных, несут ответственность в соответствии с действующим законодательством Российской Федерации.
Приложение 5
УТВЕРЖДЕН
постановлением администрации городского округа «Город Кизел»
от 09.10.2020 № 379
ПЕРЕЧЕНЬ
должностей муниципальных служащих администрации города Кизела, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных в случае обезличивания персональных данных
Начальник отдела по организационным вопросам и внутренней политике;
ведущий специалист по организационным вопросам и внутренней политике;
начальник Территориального отдела поселка Северный – Коспашский;
начальник Территориального отдела поселка Центральный – Коспашский;
начальник Территориального отдела поселка Южный – Коспашский;
начальник Территориального отдела поселка Шахта;
начальник отдела ЖКХ, природопользования и дорожной деятельности.
ведущий специалист отдела ЖКХ, природопользования и дорожной деятельности.
ОК-постановление № 379 от 09.10.2020,ою
Приложение 6
УТВЕРЖДЕН
постановлением администрации городского округа «Город Кизел»
от 09.10.2020 № 379
ПОРЯДОК
доступа муниципальных служащих администрации города Кизела
в помещения, в которых ведется обработка персональных данных
1. Основные положения
1.1. Настоящий Порядок доступа муниципальных служащих администрации города Кизела в помещения, в которых ведется обработка персональных данных (далее - Порядок) разработан в целях обеспечения безопасности персональных данных при их обработке (в том числе хранении) путем создания условий, затрудняющих несанкционированный доступ к техническим средствам, участвующим в обработке персональных данных, и материальным носителям персональных данных.
1.2. В терминах настоящего Порядка под правом доступа в помещение понимается возможность посещения помещения без нарушения принятых норм и регламентов, не зависящая от воли других лиц.
1.3. Ознакомлению с настоящим Порядком подлежат все сотрудники, имеющие право доступа в помещения, в которых установлены технические средства, участвующие в обработке персональных данных, или хранятся материальные носители персональных данных (далее по тексту – помещения, в которых осуществляется обработка персональных данных), а также сотрудники, осуществляющие обработку персональных данных.
2. Организация доступа в помещения, в которых осуществляется
обработка персональных данных
2.1. Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.
При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. Данные условия должны обеспечиваться в том числе:
запиранием помещения на ключ, в том числе при выходе из него в рабочее время;
закрытием металлических шкафов и сейфов, где хранятся носители информации, содержащие персональные данные, во время отсутствия в помещении муниципальных служащих, имеющих доступ к персональным данным.
2.2. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только работники Администрации, уполномоченные на обработку персональных данных.
2.3. Нахождения лиц в помещениях Администрации, не являющихся уполномоченными лицами на обработку персональных данных, возможно только в сопровождении уполномоченного на обработку персональных данных сотрудника Администрации.
2.4. Доступ в помещения, в которых осуществляется обработка персональных данных, разрешается только в рабочее время.
2.5. Доступ в помещения, в которых осуществляется обработка персональных данных, в нерабочее время возможен только по письменной заявке работника, согласованной с управляющим делами администрации.
2.6. Вскрытие и закрытие помещений, в которых ведется обработка персональных данных, производится работниками, имеющими право доступа в данные помещения.
2.7. Перед закрытием помещений, в которых ведется обработка персональных данных, по окончании рабочего времени, работники, имеющие право доступа в помещения, обязаны:
убрать бумажные и электронные носители персональных данных в шкафы (сейфы), закрыть их;
отключить технические средства (кроме постоянно действующей техники) и электроприборы от сети, выключить освещение;
закрыть окна.
2.8. Перед открытием помещений, в которых ведется обработка персональных данных, работники, имеющие право доступа в помещения, обязаны:
провести внешний осмотр с целью установления целостности входной двери, замка на двери;
открыть дверь и осмотреть помещение, проверить наличие и целостность печатей на шкафах (сейфах).
2.9. При обнаружении неисправности входной двери и запирающих устройств работники обязаны:
не вскрывая помещение доложить непосредственному руководителю;
в присутствии не менее двух работников, включая непосредственного руководителя, вскрыть помещение и осмотреть его;
составить акт о выявленных нарушениях и передать его главе города Кизела для принятия решения об организации служебного расследования.
2.10. При работе с информацией, содержащей персональные данные, двери помещений должны быть всегда закрыты. Присутствие иных лиц, не имеющих права доступа к персональным данным, должно быть исключено.
2.11. Техническое обслуживание компьютерной и организационной техники, сопровождение программных средств, уборка помещения, в котором ведется обработка персональных данных, а также проведение других работ осуществляются в присутствии работника, работающего в данном помещении.
2.12. В случае необходимости принятия в нерабочее время экстренных мер при срабатывании пожарной или охранной сигнализации, авариях в системах энерго-, водо- и теплоснабжения, помещение, в котором ведется обработка персональных данных, вскрывается комиссией, в составе не менее двух человек.
2.13. Лица, имеющие право доступа в помещение, в котором осуществляется обработка персональных данных, несут ответственность за недопущение пребывания в помещении работников Администрации, не имеющих права доступа в данное помещение, и сторонних лиц в отсутствие лиц, имеющих право доступа в данное помещение.
3. Контроль соблюдения порядка доступа в помещения,
в которых осуществляется обработка персональных данных
3.1. Контроль соблюдения настоящего Порядка осуществляется лицом, ответственным за организацию обработки персональных данных в Администрации.
3.2. Лицо, ответственное за организацию обработки персональных данных, в случае установления факта нарушения работником Администрации настоящего Порядка проводит с работником разъяснительную работу, а в случае неоднократного нарушения – уведомляет главу города Кизела.
Приложение 7
УТВЕРЖДЕН
постановлением администрации городского округа «Город Кизел»
от 09.10.2020 № 379
ПЕРЕЧЕНЬ
мест хранения материальных носителей персональных данных
и ответственных лиц
№ п/п
Категория персональных данных
Место хранения
Ответственное лицо
(должность, фамилия и инициалы)
1
2
3
4
Бумажные носители персональных данных
1
Трудовая книжка, журнал учета выдачи трудовых книжек, личные дела, личная карточка Т-2, распоряжения по личному составу, Реестр муниципальных служащих, личные карточки призывников и граждан, пребывающих в запасе, работающих в администрации
Железный сейф в отделе по организационным вопросам и внутренней политике, каб.301
Ахмадуллина К.И.- ведущий специалист отдела
2
Книги регистрации жильцов, документы по нотариальным действиям, реестры регистрации нотариальных действий
Запираемый шкаф в Территориальном отделе пос.Центральный Коспашский по адресу:
пос. Центральный Коспашский, ул.Парижской Коммуны, 39
Баранова И.А.- начальник Территориального отдела пос.Центральный Коспашский
3
Книги регистрации жильцов, документы по нотариальным действиям, реестры регистрации нотариальных действий
Запираемый шкаф в Территориальном отделе пос.Северный Коспашский по адресу:
пос.Северный Коспашский, ул.Фурманова, 13
Хидиятуллина Н.Ю.- и.о. начальника Территориального отдела пос.Северный Коспашский
1
2
3
4
4
Книги регистрации жильцов, документы по нотариальным действиям, реестры регистрации нотариальных действий
Запираемый шкаф в Территориальном отделе пос. Центральный Коспашский по адресу:
пос.Южный Коспашский,
ул.Матросова, 47а
Архаангельская Н.Г.- начальник Территориального отдела пос.Южный Коспашский
5
Книга учета граждан, нуждающихся в жилой площади, предоставляемой по договорам социального найма; Учетные дела граждан, нуждающихся в жилой площади, предоставляемой по договорам социального найма;
Учетные дела льготных категорий граждан, нуждающихся в жилой площади, предоставляемой по договорам социального найма
Железный сейф в отделе ЖКХ, природопользования и дорожной деятельности, каб.518
Булахтин А.В.- начальник отдела ЖКХ, природопользования и дорожной деятельности
6
Книги записей актов о рождении; документы предоставленные в связи с регистрацией найденного ребенка, отказных детей; Книги записей актов о смерти; документы по опознанию неизвестно умерших; Книги записей актов о заключении брака; Книги записей актов о расторжении брака; Книги записей актов об усыновлении (удочерении); Книги записей актов об установлении отцовства, документы; Книги записей актов о перемене имени, документы.
Отдельное хранилище в отделе ЗАГС по адресу:
г.Кизел, ул.Ленина, 17
Сорогина Н.Г.- заведующий отделом ЗАГС
7
Журнал учета заявлений о внесении изменений и (или) исправлений в актовые записи
Железный сейф в отделе ЗАГС
по адресу:
г.Кизел, ул.Ленина, 17
Сорогина Н.Г.- заведующий отделом ЗАГС
1
2
3
4
8
Журнал регистрации изменений учетных данных граждан пребывающих в запасе; Журнал учета воинских документов принятых от граждан; списки призывников, состоящих на учете в военно- учетном столе; Журнал учета проведения сверок данных о призывниках с предприятиями; списки изменений ГПЗ; журнал проверок осуществления первичного воинского учета; журнал учета ГПЗ, уволенных с действительной военной службы, выполнявших задачи в условиях положения при военных конфликтах, а также выполнявших интернациональный долг в странах ведущих боевые действия, а также принимавших участие в ликвидации последствий аварии на Чернобыльской АЭС.
Железный сейф в помещении военно - учетного стола,
каб.106
Клычкова Э.М.- начальник военно – учетного стола
9
Письменные обращения граждан, сведения по их рассмотрению, журнал регистрации обращений граждан
Отдельное хранилище
каб. 101
Сабирова Э.М.- ведущий специалист отдела по организационным вопросам и внутренней политике
Приложение 8
УТВЕРЖДЕН
постановлением администрации городского округа «Город Кизел»
от 09.10.2020 № 379
ПЕРЕЧЕНЬ
должностей уполномоченных лиц, имеющих доступ к персональным данным муниципальных служащих администрации города Кизела
и граждан, претендующих на замещение вакантных должностей
в администрации
Глава города Кизела;
первый заместитель главы администрации города Кизела;
заместитель главы администрации города Кизела по социальной политике;
заместитель главы администрации города Кизела по развитию инфраструктуры и ЖКХ;
управляющий делами администрации города Кизела;
начальник отдела по организационным вопросам и внутренней политике;
ведущий специалист отдела по организационным вопросам и внутренней политике.
ОК-постановление № 379 от 09.10.2020,ою
АДМИНИСТРАЦИЯ ГОРОДСКОГО ОКРУГА «ГОРОД КИЗЕЛ»
АДМИНИСТРАЦИЯ КИЗЕЛОВСКОГО ГОРОДСКОГО ОКРУГА
ПОСТАНОВЛЕНИЕ
09.10.2020 №379
Об утверждении перечня документов,
направленных на обеспечение выполнения
обязанностей, предусмотренных Федеральным
законом «О персональных данных»
В соответствии с требованиями постановления Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», руководствуясь Трудовым кодексом Российской Федерации, федеральными законами от 27.07.2006 № 152-ФЗ «О персональных данных», от 02.03.2007 № 25-ФЗ «О муниципальной службе в Российской Федерации», Законом Пермского края от 04.05.2008 № 228-ПК «О муниципальной службе в Пермском крае», руководствуясь решением Кизеловской городской Думы от 26.09.2018 № 10 «О вопросах правопреемства», п.11 ч.2 ст.44 Устава городского округа «Город Кизел», администрация города Кизела
ПОСТАНОВЛЯЕТ:
1. Утвердить:
1.1. Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в администрации города Кизела, согласно приложению 1;
1.2. Правила рассмотрения запросов субъектов персональных данных или их представителей в администрации города Кизела, согласно приложению 2;
1.3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами администрации города Кизела, согласно приложению 3;
1.4. Правила работы с обезличенными персональными данными в администрации города Кизела, согласно приложению 4;
1.5. перечень должностей муниципальных служащих администрации города Кизела, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, согласно приложению 5;
1.6. порядок доступа муниципальных служащих администрации города Кизела в помещения, в которых ведется обработка персональных данных, согласно приложению 6;
1.7. перечень мест хранения материальных носителей персональных данных и лиц, ответственных за их хранение, согласно приложению 7;
1.8. перечень должностей уполномоченных лиц, имеющих доступ к персональным данным муниципальных служащих администрации города Кизела и граждан, претендующих на замещение вакантных должностей в администрации, согласно приложению 8.
2. Считать утратившими силу:
постановление администрации Шахтинского сельского поселения от 16.05.2013 № 23 «Об утверждении Положения об организации работы с персональными данными работников администрации Шахтинского сельского поселения»;
постановление администрации Кизеловского городского поселения от 05.02.2018 № 24 «Об утверждении Правил работы с обезличенными данными в случае обезличивания персональных данных в администрации Кизеловского городского поселения»;
постановление администрации Кизеловского городского поселения от 05.02.2018 № 25 «Об утверждении Правил внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных»;
постановление администрации Центрально-Коспашского сельского поселения от 14.03.2018 № 14 «Об утверждении Правил работы с обезличенными данными в случае обезличивания персональных данных в администрации Центрально-Коспашского сельского поселения»;
постановление администрации Центрально-Коспашского сельского поселения от 14.03.2018 № 15 «Об утверждении Порядка доступа работников администрации Центрально-Коспашского сельского поселения в помещения, в которых ведется обработка персональных данных».
постановление администрации Центрально-Коспашского сельского поселения от 14.03.2018 № 16 «Об утверждении Правил внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных»;
постановление администрации Центрально-Коспашского сельского поселения от 20.03.2018 № 20 «Об утверждении Правил обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в администрации Центрально-Коспашского сельского поселения»;
постановление администрации Южно-Коспашского сельского поселения от 16.04.2018 № 32 «Об утверждении Правил обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в администрации Южно-Коспашского сельского поселения»;
постановление администрации Южно-Коспашского сельского поселения от 16.04.2018 № 27 «Об утверждении Перечня должностей муниципальных служащих, замещение которых предусматривает осуществление обработки персональных данных, либо осуществление доступа к персональным данным»;
постановление администрации Южно-Коспашского сельского поселения от 16.04.2018 № 28 «Об утверждении Правил работы с обезличенными данными в случае обезличивания персональных данных в администрации Южно-Коспашского сельского поселения»;
постановление администрации Южно-Коспашского сельского поселения от 16.04.2018 № 29 «Об утверждении Правил внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных»;
постановление администрации Южно-Коспашского сельского поселения от 16.04.2018 № 31 «Об утверждении Правил рассмотрения запросов субъектов персональных данных или их представителей»;
постановление администрации Южно-Коспашского сельского поселения от 16.04.2018 № 32 «Об утверждении Правил обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в администрации Южно-Коспашского сельского поселения».
И.о.главы города Кизела С.Е.Гинтер
Приложение 1
УТВЕРЖДЕНЫ
постановлением администрации городского округа «Город Кизел»
от 09.10.2020 № 379
ПРАВИЛА
обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных,
а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки
и хранения, порядок уничтожения при достижении целей обработки
или при наступлении иных законных оснований
в администрации города Кизела
I. Общие положения
1.1. Настоящие Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в администрации города Кизела разработаны на основании требований Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных», в целях выполнения норм федерального законодательства в области обработки персональных данных субъектов персональных данных администрации города Кизела (далее – Оператор).
1.2. Цели обработки персональных данных, а также категории обрабатываемых персональных данных, источники их получения определяются Политикой администрации города Кизела в отношении обработки и защиты персональных данных.
II. Сроки обработки и хранения персональных данных
2.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), удаление, уничтожение персональных данных.
2.2. Обработка персональных данных Оператором ведется с использованием средств автоматизации (электронные носители персональных данных) и без использования средств автоматизации (бумажные носители персональных данных).
2.3. Хранение персональных данных Оператором осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, за исключением случаев, когда срок хранения персональных данных установлен федеральными законами или договором, стороной которого является субъект персональных данных.
2.4. Персональные данные, полученные Оператором от субъекта персональных данных, хранятся как на бумажных носителях, так и в электронном виде.
2.5. Персональные данные на бумажных носителях хранятся в шкафах и сейфах.
2.6. Персональные данные в электронном виде хранятся на жестких дисках компьютеров сотрудников Оператора.
2.7. Оператором запрещено размещать электронные документы, содержащие персональные данные, в открытых электронных каталогах (файловых хостингах).
2.8. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.9. В случае выявления неправомерной обработки персональных данных, осуществляемой администрацией города Кизела или лицом, действующим по поручению, оператор в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных администрация города Кизела обязана уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также в указанный орган.
В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
2.10. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных, либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
2.11. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.
2.12. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных выше, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.
2.13. Срок хранения документов (в том числе в электронном виде), содержащих персональные данные, устанавливается на основании Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденного Приказом Росархива от 20.12.2019 № 236.
2.14. По истечении установленного срока хранения уничтожение бумажных и электронных носителей персональных данных, утративших свое практическое значение и не имеющих исторической ценности, производится по акту в порядке, установленном Инструкцией по организации делопроизводства и ведению архива в администрации, утвержденной в установленном порядке (далее - Инструкция).
2.15. Документы, базы данных, содержащие персональные данные, имеющие постоянный срок хранения, передаются на архивное хранение по акту в порядке, установленном Инструкцией.
III. Основные принципы обработки, передачи персональных данных
3.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
3.2. Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
3.3. Оператор не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
3.4. Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
3.5. Оператор производит передачу персональных данных третьим лицам на основании соответствующего соглашения и только с согласия субъектов персональных данных.
3.6. Оператором созданы общедоступные источники персональных данных (справочники, адресные книги). Персональные данные, сообщаемые субъектом (фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и др.), включаются в такие источники только с письменного согласия субъекта персональных данных.
IV. Сведения о третьих лицах, участвующих в обработке
персональных данных
4.1. В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям:
- третьим лицам в целях предупреждения угрозы жизни и здоровью работника;
- в Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации в объеме, предусмотренном законом;
- в налоговые органы;
- в военные комиссариаты;
- по запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем;
- по мотивированному запросу органов прокуратуры;
- по мотивированному требованию правоохранительных органов и органов безопасности;
- по запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности;
- по запросу суда;
- в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом;
- в случаях, связанных с исполнением работником должностных обязанностей, в том числе при направлении в командировку;
- для предоставления сведений в кредитную организацию, обслуживающую платежные карты работников.
4.2. Оператор не поручает обработку персональных данных другим лицам на основании договора.
V. Правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке
5.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
5.1.1. назначением ответственных за организацию обработки персональных данных;
5.1.2. осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам;
5.1.3. ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучением указанных сотрудников;
5.1.4. определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
5.1.5. применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
5.1.6. оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5.1.7. учетом машинных носителей персональных данных;
5.1.8. выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
5.1.9. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
5.1.10. установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
5.1.11. контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
5.2. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено в соответствии с законодательством.
Приложение 2
УТВЕРЖДЕНЫ
постановлением администрации городского округа «Город Кизел»
от 09.10.2020 № 379
ПРАВИЛА
рассмотрения запросов субъектов персональных данных
или их представителей в администрации города Кизела
1. Правила рассмотрения запросов субъектов персональных данных или их представителей в администрации города Кизела (далее - Правила) определяют порядок учета (регистрации), рассмотрения запросов субъектов персональных данных или их представителей (далее - запросы).
2. Настоящие Правила разработаны в соответствии с Трудовым кодексом Российской Федерации, федеральными законами от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон), от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», от 2 марта 2007 г. № 25-ФЗ «О муниципальной службе в Российской Федерации», постановлениями Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.
3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных в администрации города Кизела (далее - Администрация);
- правовые основания и цели обработки персональных данных;
- цели и применяемые в Администрации способы обработки персональных данных;
- наименование и место нахождения Администрации, сведения о лицах (за исключением работников Администрации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Администрацией или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Администрации, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом или другими федеральными законами.
4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона.
5. Субъект персональных данных вправе требовать от Администрации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6. Сведения, указанные в части 7 статьи 14 Федерального закона, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
7. Сведения, указанные в части 7 статьи 14 Федерального закона, предоставляются субъекту персональных данных или его представителю Администрацией при обращении либо при получении запроса субъекта персональных данных или его представителя.
8. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Администрацией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Администрацией, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
9. Рассмотрение запросов является служебной обязанностью должностных лиц, в чьи обязанности входит обработка персональных данных (далее - должностные лица Администрации).
10. Должностные лица Администрации обеспечивают:
- объективное, всестороннее и своевременное рассмотрение запроса;
- принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов персональных данных;
- направление письменных ответов по существу запроса.
11. Ведение делопроизводства по запросам осуществляется отделом по организационным вопросам внутренней политике.
12. Все поступившие запросы регистрируются в день их поступления. На запросе проставляется входящий номер и дата регистрации.
13. Запрос прочитывается, проверяется на повторность, при необходимости сверяется с находящейся в архиве предыдущей перепиской. В случае, если сведения, указанные в части 7 статьи 14 Федерального закона, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Администрацию или направить повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона, и ознакомления с такими персональными данными не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Субъект персональных данных вправе обратиться повторно в Администрацию или направить повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в настоящем пункте, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с необходимыми сведениями должен содержать обоснование направления повторного запроса.
14. Администрация вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона. Такой отказ должен быть мотивированным.
15. Прошедшие регистрацию запросы представляются главе города Кизела либо лицу, его замещающему, который определяет порядок и сроки их рассмотрения, дает по каждому из них письменное указание исполнителям.
16. Должностные лица Администрации при рассмотрении и разрешении запроса обязаны:
- внимательно разобраться в их существе, в случае необходимости истребовать дополнительные материалы или направить сотрудников на места для проверки фактов, изложенных в запросах, принять другие меры для объективного разрешения поставленных заявителями вопросов, выявления и устранения причин и условий, порождающих факты нарушения законодательства о персональных данных;
- принимать по ним законные, обоснованные и мотивированные решения и обеспечивать своевременное и качественное их исполнение;
- сообщать в письменной форме субъекту персональных данных о решениях, принятых по их запросам, со ссылками на законодательство Российской Федерации, а в случае отклонения запроса - разъяснять также порядок обжалования принятого решения.
17. Администрация обязана сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение 30 дней с даты получения запроса субъекта персональных данных или его представителя, если иное не предусмотрено другими нормативными актами.
18. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя должностные лица Администрации обязаны дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя, если иное не предусмотрено другими нормативными актами.
19. Администрация обязана предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, если иное не предусмотрено другими нормативными актами.
20. В срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, должностные лица Администрации обязаны внести в них необходимые изменения.
21. В срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, должностные лица Администрации обязаны уничтожить такие персональные данные.
22. Администрация обязана уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
23. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных должностные лица Администрации обязаны осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки.
24. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных должностные лица Администрации обязаны осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
25. В случае подтверждения факта неточности персональных данных должностные лица Администрации на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязаны уточнить персональные данные в течение 7 рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
26. В случае выявления неправомерной обработки персональных данных должностные лица Администрации в срок, не превышающий 3 рабочих дней с даты этого выявления, обязаны прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, должностные лица Администрации в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, обязаны уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Администрация обязана уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.
27. Для проверки фактов, изложенных в запросах, при необходимости организуются служебные проверки в соответствии с законодательством Российской Федерации.
28. По результатам служебной проверки составляется мотивированное заключение, которое должно содержать объективный анализ собранных материалов. Результаты служебной проверки представляются главе города Кизела.
29. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы субъекту персональных данных или его представителю.
30. Ответы на запросы оформляются на бланке Администрации установленной формы.
31. Должностные лица, виновные в нарушении установленного порядка рассмотрения запросов, подлежат привлечению к ответственности в соответствии с законодательством Российской Федерации.
Приложение 3
УТВЕРЖДЕНЫ
постановлением администрации городского округа «Город Кизел»
от 09.10.2020 № 379
ПРАВИЛА
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных.
2. С целью поддержания состояния защиты персональных данных на надлежащем уровне Оператором осуществляется внутренний контроль за эффективностью системы защиты персональных данных и соответствием порядка и условий обработки и защиты персональных данных установленным требованиям.
3. Внутренний контроль включает:
3.1. мониторинг состояния технических и программных средств;
3.2. контроль соблюдения требований по обеспечению безопасности персональных данных (требований нормативных правовых актов и внутренних регулятивных документов в области обработки и защиты персональных данных, требований договоров).
4. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Администрации организовывается проведение плановых и внеплановых проверок условий обработки персональных данных на предмет соответствия Федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»), принятым в соответствии с ним нормативным правовым актом Администрации (далее – проверки).
5.Проверки проводятся в Администрации на основании ежегодного плана или на основании поступившего в Администрацию письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки).
Ежегодный план проверок разрабатывается и утверждается комиссией по организации обработки и защиты персональных данных Администрации для осуществления внутреннего контроля соответствия обработки персональных данных требованиям, предусмотренным Федеральным законом «О персональных данных» (далее – Комиссия).
6. В плане по каждой проверке устанавливается объект внутреннего контроля, проверяемый период, срок проведения проверки, ответственные исполнители.
7. Проверки проводятся Комиссией, создаваемой распоряжением Администрации. В проведении проверки не может участвовать муниципальный служащий, прямо или косвенно заинтересованный в ее результатах.
8. Основанием для проведения внеплановой проверки является поступившее в Администрацию письменное обращение субъекта персональных данных или его представителя о нарушении правил обработки персональных данных.
9. Проведение внеплановой проверки организуется в течение 5 рабочих дней с момента поступления обращения.
10. Срок проведения проверки не может превышать месяц со дня принятия решения о ее проведении.
11. Члены Комиссии, получившие доступ к персональным данным субъектов персональных данных в ходе проведения проверки, обеспечивают конфиденциальность персональных данных субъектов персональных данных, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных.
12. По результатам каждой проверки Комиссией проводится заседание. Решения, принятые на заседаниях Комиссии, оформляются протоколом.
13. По существу поставленных в обращении (жалобе) вопросов Комиссия в течение 5 рабочих дней со дня окончания проверки дает письменный ответ заявителю.
Приложение 4
УТВЕРЖДЕНЫ
постановлением администрации городского округа «Город Кизел»
от 09.10.2020 № 379
ПРАВИЛА
работы с обезличенными данными в случае обезличивания персональных данных в администрации города Кизела
I. Основные положения
1.1. Правила работы с обезличенными персональными данными (далее –Правила), обрабатываемыми в администрации города Кизела (далее - Администрация) разработаны с учетом Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон) и Приказа Роскомнадзора от 05 сентября 2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
1.2. Настоящие Правила определяют порядок работы с обезличенными персональными данными, обрабатываемыми в Администрации.
II. Термины и определения
2.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
2.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.3. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
III. Условия обезличивания
3.1. Обезличивание персональных данных может быть произведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения требований, необходимых для обеспечения уровней защищенности информационных систем персональных данных в администрации и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством.
3.2. Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки, для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.
3.3. Для обезличенных данных и применяемых методов обезличивания обязательно выполнение следующих требований:
3.3.1. требования к свойствам обезличенных данных, получаемых при применении метода обезличивания:
- сохранение полноты (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
- сохранение структурированности обезличиваемых персональных данных (сохранение структурных связей между обезличиваемыми данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
- сохранение семантической целостности обезличиваемых персональных данных (сохранение семантики персональных данных при обезличивании);
- анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации) отдельных данных не ниже заданного уровня (количества возможных сопоставлений обезличенных данных между собой для деобезличивания);
3.3.2. требования к свойствам, которыми должен обладать метод обезличивания:
- обратимость (возможность преобразования, обратного обезличиванию (деобезличиванию), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);
- возможность обеспечения заданного уровня анонимности;
- увеличение стойкости при увеличении объема обезличиваемых персональных данных (стойкость метода к атакам на идентификацию субъекта персональных данных).
3.4. Муниципальные служащие, уполномоченные на обработку персональных данных, несут ответственность за проведение мероприятий по обезличиванию обрабатываемых персональных данных.
IV. Методы обезличивания персональных данных
К наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания.
4.1. Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия.
Метод обеспечивает следующие свойства обезличенных данных:
- полнота;
- структурированность;
- семантическая целостность;
- применимость.
Оценка свойств метода:
обратимость (метод позволяет провести процедуру деобезличивания);
вариативность (метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания);
изменяемость (метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания);
стойкость (метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);
возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
совместимость (метод позволяет интегрировать записи, соответствующие отдельным атрибутам);
параметрический объем (объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию);
возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
Для реализации метода требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия.
4.2. Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта.
Метод обеспечивает следующие свойства обезличенных данных:
- структурированность;
- релевантность;
- применимость;
- анонимность.
Оценка свойств метода:
обратимость (метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных);
вариативность (метод не позволяет изменять параметры метода без проведения предварительного деобезличивания);
изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
стойкость (стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);
возможность косвенного деобезличивания (метод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
совместимость (метод не обеспечивает интеграции с данными, обезличенными другими методами);
параметрический объем (параметры метода определяются набором правил изменения состава или семантики персональных данных);
возможность оценки качества данных (метод не позволяет проводить анализ, использующий конкретные значения персональных данных.
Для реализации метода требуется выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта.
При этом возможно использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки (средние значение, например).
4.3. Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножеством, с последующим раздельным хранением записей, соответствующих этим подмножествам.
Метод обеспечивает следующие свойства обезличенных данных:
- полнота;
- структурированность;
- релевантность;
- семантическая целостность;
- применимость.
Оценка свойств метода:
- обратимость (метод позволяет провести процедуру деобезличивания);
- вариативность (метод позволяет изменить параметры декомпозиции без предварительного деобезличивания);
- изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
- стойкость (метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений);
- возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
- совместимость (метод обеспечивает интеграцию с данными, обезличенными другими методами);
- параметрический объем (определяется числом подмножеств и числом субъектом персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц);
- связывания записей, находящихся в различных хранилищах;
- возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
Для реализации метода требуется предварительно разработать правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища.
4.4. Метод перемешивания реализуется путем перемешивания отдельных записей, а также групп записей между собой.
Метод обеспечивает следующие свойства обезличенных данных:
- полнота;
- структурированность;
- релевантность;
- семантическая целостность;
- применимость;
- анонимность.
Оценка свойств метода:
- обратимость (метод позволяет провести процедуру деобезличивания);
- вариативность (метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания);
- изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
- стойкость (длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию);
- возможность косвенного деобезличивания (метод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов);
- совместимость (метод позволяет проводить интеграцию с данными, обезличенными другими методами);
- параметрический объем (зависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию);
- возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
Для реализации метода требуется разработать правила перемешивания и их алгоритмы, правила и алгоритмы деобезличивания и внесения изменений в записи. Метод может использоваться совместно с методами введения идентификаторов и декомпозиции.
Также Администрация может применять любые другие не запрещенные законодательством методы.
V. Порядок работы с обезличенными персональными данными
5.1. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности без согласия субъекта персональных данных, за исключением их обработки для статистической или иной исследовательской деятельности, иных действий, не противоречащих действующему законодательству.
5.2. Обезличенные персональные данные могут обрабатываться с использованием средств автоматизации и без использования таковых.
5.3. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:
- парольной политики;
- антивирусной политики;
- правил работы с отчуждаемыми носителями (в случае их применения);
- правил резервного копирования;
- правил доступа в помещения, где расположены элементы ИСПДн.
5.4. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
- правил хранения бумажных носителей;
- правил доступа к бумажным носителям и в помещениях, где они хранятся.
VI. Ответственность
Лица, виновные в нарушении требований законодательства в области обработки персональных данных, несут ответственность в соответствии с действующим законодательством Российской Федерации.
Приложение 5
УТВЕРЖДЕН
постановлением администрации городского округа «Город Кизел»
от 09.10.2020 № 379
ПЕРЕЧЕНЬ
должностей муниципальных служащих администрации города Кизела, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных в случае обезличивания персональных данных
Начальник отдела по организационным вопросам и внутренней политике;
ведущий специалист по организационным вопросам и внутренней политике;
начальник Территориального отдела поселка Северный – Коспашский;
начальник Территориального отдела поселка Центральный – Коспашский;
начальник Территориального отдела поселка Южный – Коспашский;
начальник Территориального отдела поселка Шахта;
начальник отдела ЖКХ, природопользования и дорожной деятельности.
ведущий специалист отдела ЖКХ, природопользования и дорожной деятельности.
ОК-постановление № 379 от 09.10.2020,ою
Приложение 6
УТВЕРЖДЕН
постановлением администрации городского округа «Город Кизел»
от 09.10.2020 № 379
ПОРЯДОК
доступа муниципальных служащих администрации города Кизела
в помещения, в которых ведется обработка персональных данных
1. Основные положения
1.1. Настоящий Порядок доступа муниципальных служащих администрации города Кизела в помещения, в которых ведется обработка персональных данных (далее - Порядок) разработан в целях обеспечения безопасности персональных данных при их обработке (в том числе хранении) путем создания условий, затрудняющих несанкционированный доступ к техническим средствам, участвующим в обработке персональных данных, и материальным носителям персональных данных.
1.2. В терминах настоящего Порядка под правом доступа в помещение понимается возможность посещения помещения без нарушения принятых норм и регламентов, не зависящая от воли других лиц.
1.3. Ознакомлению с настоящим Порядком подлежат все сотрудники, имеющие право доступа в помещения, в которых установлены технические средства, участвующие в обработке персональных данных, или хранятся материальные носители персональных данных (далее по тексту – помещения, в которых осуществляется обработка персональных данных), а также сотрудники, осуществляющие обработку персональных данных.
2. Организация доступа в помещения, в которых осуществляется
обработка персональных данных
2.1. Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.
При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. Данные условия должны обеспечиваться в том числе:
запиранием помещения на ключ, в том числе при выходе из него в рабочее время;
закрытием металлических шкафов и сейфов, где хранятся носители информации, содержащие персональные данные, во время отсутствия в помещении муниципальных служащих, имеющих доступ к персональным данным.
2.2. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, допускаются только работники Администрации, уполномоченные на обработку персональных данных.
2.3. Нахождения лиц в помещениях Администрации, не являющихся уполномоченными лицами на обработку персональных данных, возможно только в сопровождении уполномоченного на обработку персональных данных сотрудника Администрации.
2.4. Доступ в помещения, в которых осуществляется обработка персональных данных, разрешается только в рабочее время.
2.5. Доступ в помещения, в которых осуществляется обработка персональных данных, в нерабочее время возможен только по письменной заявке работника, согласованной с управляющим делами администрации.
2.6. Вскрытие и закрытие помещений, в которых ведется обработка персональных данных, производится работниками, имеющими право доступа в данные помещения.
2.7. Перед закрытием помещений, в которых ведется обработка персональных данных, по окончании рабочего времени, работники, имеющие право доступа в помещения, обязаны:
убрать бумажные и электронные носители персональных данных в шкафы (сейфы), закрыть их;
отключить технические средства (кроме постоянно действующей техники) и электроприборы от сети, выключить освещение;
закрыть окна.
2.8. Перед открытием помещений, в которых ведется обработка персональных данных, работники, имеющие право доступа в помещения, обязаны:
провести внешний осмотр с целью установления целостности входной двери, замка на двери;
открыть дверь и осмотреть помещение, проверить наличие и целостность печатей на шкафах (сейфах).
2.9. При обнаружении неисправности входной двери и запирающих устройств работники обязаны:
не вскрывая помещение доложить непосредственному руководителю;
в присутствии не менее двух работников, включая непосредственного руководителя, вскрыть помещение и осмотреть его;
составить акт о выявленных нарушениях и передать его главе города Кизела для принятия решения об организации служебного расследования.
2.10. При работе с информацией, содержащей персональные данные, двери помещений должны быть всегда закрыты. Присутствие иных лиц, не имеющих права доступа к персональным данным, должно быть исключено.
2.11. Техническое обслуживание компьютерной и организационной техники, сопровождение программных средств, уборка помещения, в котором ведется обработка персональных данных, а также проведение других работ осуществляются в присутствии работника, работающего в данном помещении.
2.12. В случае необходимости принятия в нерабочее время экстренных мер при срабатывании пожарной или охранной сигнализации, авариях в системах энерго-, водо- и теплоснабжения, помещение, в котором ведется обработка персональных данных, вскрывается комиссией, в составе не менее двух человек.
2.13. Лица, имеющие право доступа в помещение, в котором осуществляется обработка персональных данных, несут ответственность за недопущение пребывания в помещении работников Администрации, не имеющих права доступа в данное помещение, и сторонних лиц в отсутствие лиц, имеющих право доступа в данное помещение.
3. Контроль соблюдения порядка доступа в помещения,
в которых осуществляется обработка персональных данных
3.1. Контроль соблюдения настоящего Порядка осуществляется лицом, ответственным за организацию обработки персональных данных в Администрации.
3.2. Лицо, ответственное за организацию обработки персональных данных, в случае установления факта нарушения работником Администрации настоящего Порядка проводит с работником разъяснительную работу, а в случае неоднократного нарушения – уведомляет главу города Кизела.
Приложение 7
УТВЕРЖДЕН
постановлением администрации городского округа «Город Кизел»
от 09.10.2020 № 379
ПЕРЕЧЕНЬ
мест хранения материальных носителей персональных данных
и ответственных лиц
№ п/п
Категория персональных данных
Место хранения
Ответственное лицо
(должность, фамилия и инициалы)
1
2
3
4
Бумажные носители персональных данных
1
Трудовая книжка, журнал учета выдачи трудовых книжек, личные дела, личная карточка Т-2, распоряжения по личному составу, Реестр муниципальных служащих, личные карточки призывников и граждан, пребывающих в запасе, работающих в администрации
Железный сейф в отделе по организационным вопросам и внутренней политике, каб.301
Ахмадуллина К.И.- ведущий специалист отдела
2
Книги регистрации жильцов, документы по нотариальным действиям, реестры регистрации нотариальных действий
Запираемый шкаф в Территориальном отделе пос.Центральный Коспашский по адресу:
пос. Центральный Коспашский, ул.Парижской Коммуны, 39
Баранова И.А.- начальник Территориального отдела пос.Центральный Коспашский
3
Книги регистрации жильцов, документы по нотариальным действиям, реестры регистрации нотариальных действий
Запираемый шкаф в Территориальном отделе пос.Северный Коспашский по адресу:
пос.Северный Коспашский, ул.Фурманова, 13
Хидиятуллина Н.Ю.- и.о. начальника Территориального отдела пос.Северный Коспашский
1
2
3
4
4
Книги регистрации жильцов, документы по нотариальным действиям, реестры регистрации нотариальных действий
Запираемый шкаф в Территориальном отделе пос. Центральный Коспашский по адресу:
пос.Южный Коспашский,
ул.Матросова, 47а
Архаангельская Н.Г.- начальник Территориального отдела пос.Южный Коспашский
5
Книга учета граждан, нуждающихся в жилой площади, предоставляемой по договорам социального найма; Учетные дела граждан, нуждающихся в жилой площади, предоставляемой по договорам социального найма;
Учетные дела льготных категорий граждан, нуждающихся в жилой площади, предоставляемой по договорам социального найма
Железный сейф в отделе ЖКХ, природопользования и дорожной деятельности, каб.518
Булахтин А.В.- начальник отдела ЖКХ, природопользования и дорожной деятельности
6
Книги записей актов о рождении; документы предоставленные в связи с регистрацией найденного ребенка, отказных детей; Книги записей актов о смерти; документы по опознанию неизвестно умерших; Книги записей актов о заключении брака; Книги записей актов о расторжении брака; Книги записей актов об усыновлении (удочерении); Книги записей актов об установлении отцовства, документы; Книги записей актов о перемене имени, документы.
Отдельное хранилище в отделе ЗАГС по адресу:
г.Кизел, ул.Ленина, 17
Сорогина Н.Г.- заведующий отделом ЗАГС
7
Журнал учета заявлений о внесении изменений и (или) исправлений в актовые записи
Железный сейф в отделе ЗАГС
по адресу:
г.Кизел, ул.Ленина, 17
Сорогина Н.Г.- заведующий отделом ЗАГС
1
2
3
4
8
Журнал регистрации изменений учетных данных граждан пребывающих в запасе; Журнал учета воинских документов принятых от граждан; списки призывников, состоящих на учете в военно- учетном столе; Журнал учета проведения сверок данных о призывниках с предприятиями; списки изменений ГПЗ; журнал проверок осуществления первичного воинского учета; журнал учета ГПЗ, уволенных с действительной военной службы, выполнявших задачи в условиях положения при военных конфликтах, а также выполнявших интернациональный долг в странах ведущих боевые действия, а также принимавших участие в ликвидации последствий аварии на Чернобыльской АЭС.
Железный сейф в помещении военно - учетного стола,
каб.106
Клычкова Э.М.- начальник военно – учетного стола
9
Письменные обращения граждан, сведения по их рассмотрению, журнал регистрации обращений граждан
Отдельное хранилище
каб. 101
Сабирова Э.М.- ведущий специалист отдела по организационным вопросам и внутренней политике
Приложение 8
УТВЕРЖДЕН
постановлением администрации городского округа «Город Кизел»
от 09.10.2020 № 379
ПЕРЕЧЕНЬ
должностей уполномоченных лиц, имеющих доступ к персональным данным муниципальных служащих администрации города Кизела
и граждан, претендующих на замещение вакантных должностей
в администрации
Глава города Кизела;
первый заместитель главы администрации города Кизела;
заместитель главы администрации города Кизела по социальной политике;
заместитель главы администрации города Кизела по развитию инфраструктуры и ЖКХ;
управляющий делами администрации города Кизела;
начальник отдела по организационным вопросам и внутренней политике;
ведущий специалист отдела по организационным вопросам и внутренней политике.
ОК-постановление № 379 от 09.10.2020,ою
Дополнительные сведения
| Государственные публикаторы: | Обнародовано от 09.10.2020 МБУ «Кизеловская библиотека» 09.10.2020 |
| Рубрики правового классификатора: | 010.000.000 ПРАВОВЫЕ ОСНОВЫ УСТРОЙСТВА МУНИЦИПАЛЬНЫХ ОБРАЗОВАНИЙ |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
