Основная информация
| Дата опубликования: | 14 июля 2020г. |
| Номер документа: | RU94000815202000008 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Москва |
| Принявший орган: | Местная администрация города Инкерман |
| Раздел на сайте: | Нормативные правовые акты муниципальных образований |
| Тип документа: | Постановления |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
Местная администрация города Инкермана
внутригородского муниципального образования города Севастополя
П О С Т А Н О В Л Е Н И Е
«14» июля 2020 г. №22/2020
О внесении изменений в постановление местной администрации города Инкермана, внутригородского муниципального образования города Севастополя от 25.05.2017 №43/2017 «Об утверждении Положения об обработке и защите персональных данных в органах местного самоуправления города Инкермана, внутригородского муниципального образования города Севастополя»
В целях реализации Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в соответствии со статьями 86-88 Трудового кодекса Российской Федерации, Федеральным законом от 02.03.2007 № 25-ФЗ «О муниципальной службе в Российской Федерации», Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», Уставом города Инкермана, внутригородского муниципального образования города Севастополя, утвержденного решением Инкерманского городского Совета от 25.04.2015 № 04/18,
ПОСТАНОВЛЯЮ:
1. Приложение №1 к постановлению местной администрации города Инкермана, внутригородского муниципального образования города Севастополя от 25.05.2017 №43/2017 «Об утверждении Положения об обработке и защите персональных данных в органах местного самоуправления города Инкермана, внутригородского муниципального образования города Севастополя» изложить в новой редакции согласно приложению к настоящему постановлению.
2. Разместить настоящее постановление на официальном сайте города Инкермана, внутригородского муниципального образования города Севастополя и обнародовать на стенде для официальной информации города Инкермана, внутригородского муниципального образования города Севастополя.
3. Настоящее постановление вступает в силу с момента его обнародования.
4. Контроль исполнения настоящего постановления оставляю за собой.
Глава города Инкермана Р.И.Демченко
Приложение
УТВЕРЖДЕНО
постановлением местной администрации города Инкермана, внутригородского муниципального образования города Севастополя
от «14» июля 2020 г. №22/2020
Положение
об обработке и защите персональных данных в органах местного самоуправления города Инкермана, внутригородского муниципального образования города Севастополя
1. Общие положения
1.1. Настоящее Положение разработано в соответствии с законодательством Российской Федерации в области персональных данных, в том числе Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 02.03.2007 № 25-ФЗ «О муниципальной службе в Российской Федерации», Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
1.2. Настоящее Положение определяет порядок обработки персональных данных; порядок защиты персональных данных; правила рассмотрения запросов персональных данных; перечень персональных данных, обрабатываемых в органах местного самоуправления; перечень должностей, замещение которых предусматривает осуществление обработки персональных данных; правила осуществления внутреннего контроля соответствия обработки персональных данных, а также условия обработки персональных данных в органах местного самоуправления и призвано обеспечить защиту прав и свобод гражданина при обработке его персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Настоящее Положение определяет органы местного самоуправления как оператора, осуществляющего обработку и защиту персональных данных.
1.4. В настоящем Положении используются следующие основные понятия:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор – органы местного самоуправления, которые организуют и осуществляют обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
субъект персональных данных - физическое лицо, чьи персональные данные обрабатываются в органах местного самоуправления.
1.5. Обработка персональных данных основывается на следующих принципах:
- законность целей и способов обработки персональных данных и добросовестность;
-соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
-соответствие объема и характера обрабатываемых персональных данных, способов их обработки целям обработки;
-достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, избыточных по отношению к заявленным оператором целям.
1.6. Обработка персональных данных в органах местного самоуправления осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области персональных данных.
2. Меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных
2.1. К мерам, направленным на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных относятся:
назначение лица, ответственного за организацию обработки персональных данных
в органах местного самоуправления;
применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с частями 1 и 2 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.
оценка вреда, который может быть причинён субъектам персональным данных в случае нарушения законодательства Российской Федерации и настоящего Положения. ознакомление работников, непосредственно осуществляющих обработку персональных данных с положениями законодательства Российской Федерации о персональных данных и настоящим Положением,
запрет на обработку персональных данных лицами, не допущенными к их обработке;
документы, определяющие политику оператора в отношении обработки персональных данных, подлежат обязательному опубликованию (обнародованию).
3. Правила обработки персональных данных в органах местного самоуправления города Инкермана, внутригородского мунципального образования города Севастополя
3.1. Настоящие Правила определяют порядок и условия обработки персональных данных в органах местного самоуправления и призваны обеспечивать защиту прав и свобод граждан при обработке их персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну.
3.2. Обработка персональных данных:
3.2.1. В органах местного самоуправления могут обрабатываться персональные данные муниципальных служащих (далее работников) органов местного самоуправления и подведомственных учреждений, а также персональные данные граждан, обратившихся в органы местного самоуправления.
3.2.2. В состав персональных данных входят:
- фамилия, имя, отчество;
- месяц рождения, год рождения, дата рождения;
- место рождения;
- данные военного билета;
- сведения об образовании, о дополнительном профессиональном образовании, присвоении ученой степени, ученого звания, профессии;
- идентификационный номер налогоплательщика (ИНН);
- номер страхового свидетельства государственного пенсионного страхования;
-номер паспорта или документа его заменяющего, дата его выдачи, сведения об органе его выдавшем,
- адрес регистрации по месту жительства (пребывания), фактического проживания;
- сведения о трудовой деятельности;
- семейное положение, сведения о составе семьи (близких родственниках);
- сведения о наличии (отсутствии) судимости;
- сведения об отсутствии у гражданина заболевания, препятствующего поступлению на муниципальную службу или ее прохождению;
- сведения о состоянии здоровья;
- сведения о доходах, расходах, об имуществе и обязательствах имущественного характера муниципальных служащих, его супруги (супруга) и несовершеннолетних детей;
- иные сведения, обработка которых предусмотрена законодательством Российской Федерации.
3.2.3. Должностные лица органов местного самоуправления, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия гражданина, если иное не предусмотрено федеральным законодательством.
3.2.4. Обработка персональных данных в органах местного самоуправления осуществляется с согласия гражданина на обработку персональных данных, за исключением случаев, когда допускается обработка персональных данных без согласия гражданина.
3.2.5. Гражданин принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
Согласие на обработку персональных данных может быть дано гражданином или его представителем в любой, позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
В случае получения согласия на обработку персональных данных от представителя гражданина, полномочия данного представителя на дачу согласия от имени гражданина подлежат проверке.
3.2.6. Согласие на обработку персональных данных может быть отозвано гражданином или его представителем при условии наличия у него соответствующего полномочия.
В случае отзыва согласия на обработку персональных данных, орган местного самоуправления вправе продолжить обработку персональных данных без согласия гражданина при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
3.2.7. В целях обеспечения защиты своих персональных данных гражданин вправе:
1) получать информацию, касающуюся обработки его персональных данных;
2) требовать от органов местного самоуправления уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
3) принимать предусмотренные законом меры по защите своих прав.
3.2.8. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных. Эти сведения предоставляются гражданину или его представителю при обращении в органы местного самоуправления, либо при получении запроса гражданина или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность гражданина или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие факт обработки персональных данных в органах местного самоуправления, подпись гражданина или его представителя.
Запрос, поступивший в органы местного самоуправления рассматривается в течение 30-ти дней со дня его регистрации.
Состав запрашиваемой информации, основания ограничения права гражданина на доступ к его персональным данным, условия направления гражданином или его представителем повторного запроса и основания для отказа в рассмотрении повторного запроса определяются в соответствии со статьей 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
3.2.9. Персональные данные при их обработке в органах местного самоуправления должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).
3.2.10. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых, заведомо не совместимы. Для обработки различных категорий персональных данных для каждой категории персональных данных должен использоваться отдельный материальный носитель.
3.2.11. При разработке и использовании типовых форм документов, необходимых для реализации возложенных на органы местного самоуправления полномочий, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, наименование и адрес органов местного самоуправления, фамилию, имя, отчество и адрес гражданина, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
б) типовая форма должна предусматривать поле, в котором гражданин может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения письменного согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы гражданин имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных лиц;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых, заведомо не совместимы.
3.2.12. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
3.2.13. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
Под уничтожением обработанных персональных данных понимаются действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством. Уничтожение обработанных персональных данных производится комиссионо с составлением соответствующего акта.
3.2.14. Правила, предусмотренные подпунктами 3.2.4. и 3.2.5. настоящих Правил, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
3.2.15. Уточнение персональных данных производится:
-путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя;
-путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
3.2.16. Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
3.2.17. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию в установленном порядке по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.3. Меры по обеспечению безопасности персональных данных при их обработке:
3.3.1. Обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень должностных лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
3.3.2. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
3.3.3. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
3.3.4. В органах местного самоуправления определяется перечень лиц, осуществляющих обработку персональных данных, либо имеющих доступ к персональным данным.
3.3.5. Персональные данные, хранящиеся на материальных носителях должны храниться в местах, исключающих несанкционированный доступ к ним.
3.3.6. Персональные данные хранятся в специально предназначенных для этих целей местах.
3.3.7. При работе на вычислительной технике должно использоваться лицензионное программное обеспечение.
3.3.8. Персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним, подлежат восстановлению.
3.3.9. Контроль за соблюдением требований законодательства Российской Федерации по обеспечению безопасности персональных данных при их обработке осуществляется ответственным за организацию обработки персональных данных в органах местного самоуправления.
3.3.10. Лица, виновные в нарушении требований, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
4. Порядок обработки и защиты персональных данных в органах местного самоуправления города Инкермана, внутригородского муниципального образования города Севастополя
4.1. Настоящий Порядок разработан в целях защиты персональных данных в органах местного самоуправления от несанкционированного доступа, неправомерного их использования или утраты.
4.1.1. Персональные данные относятся к категории конфиденциальной информации.
4.1.2. Настоящий Порядок является обязательным для исполнения всеми должностными лицами органов местного самоуправления, имеющими доступ к персональным данным.
4.2. Понятие и состав персональных данных:
4.2.1. Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
4.2.2. В состав персональных данных работника входят:
- фамилия, имя, отчество;
- месяц рождения, год рождения, дата рождения;
- место рождения;
- социальное положение;
- сведения об образовании, о дополнительном профессиональном образовании, присвоении ученой степени, ученого звания, профессии;
- идентификационный номер налогоплательщика (ИНН);
- номер страхового свидетельства государственного пенсионного страхования;
-номер паспорта или документа его заменяющего, дата его выдачи, сведения об органе его выдавшем,
- адрес регистрации по месту жительства (пребывания), фактического проживания;
- сведения о трудовой деятельности;
- семейное положение, сведения о составе семьи (близких родственниках);
-сведения об отсутствии у гражданина заболевания, препятствующего поступлению на муниципальную службу или ее прохождению;
- сведения о доходах, расходах, об имуществе и обязательствах имущественного характера работников, а также сведения о доходах, расходах, об имуществе и обязательствах имущественного характера его супруги (супруга) и несовершеннолетних детей;
- иные сведения, предоставление которых необходимо в соответствии с законодательством Российской Федерации.
4.3. Обработка персональных данных:
4.3.1. Под обработкой персональных данных работника понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
4.3.2. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
- обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
- при определении объема и содержания, обрабатываемых персональных данных работника, работодатель должен руководствоваться законодательством Российской Федерации.
- получение персональных данных может осуществляться как путем представления их самим работником, так и путем получения их из иных источников.
- персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
4.3.3. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений), в том числе о его родственниках, могут быть получены и обработаны работодателем только с его письменного согласия.
4.3.4. К обработке, передаче и хранению персональных данных работника могут иметь доступ только специально уполномоченные лица, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.
4.3.5. Использование персональных данных возможно только в соответствии с целями, определившими их получение.
Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности, запрещено.
4.3.6. Передача персональных данных работника возможна только с согласия работника или в случаях, прямо предусмотренных законодательством.
4.3.6.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:
-не сообщать персональные данные работника, персональные данные его родственников третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
-не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
-предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
-разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
-не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
-передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
4.3.6.2. Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
4.3.6.3. При передаче персональных данных работника потребителям (в том числе и в коммерческих целях) за пределы организации работодатель не должен сообщать эти данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или в случаях, установленных федеральным законом.
4.3.7. Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
4.3.8. Не допускается отвечать на вопросы, связанные с передачей персональной информации (персональных данных) по телефону.
4.3.9. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
4.3.10. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Работодатель учитывает личные качества работника, его добросовестный и эффективный труд.
4.4. Доступ к персональным данным:
4.4.1. Внутренний доступ (доступ внутри органов местного самоуправления).
4.4.2. Право доступа к персональным данным работников имеют:
- Глава города Инкермана;
- руководители структурных подразделений по направлению деятельности;
- сам работник, носитель персональных данных;
- другие работники при выполнении ими своих служебных обязанностей.
4.4.3. Перечень лиц, имеющих доступ к персональным данным работников, определяется Главой города Инкермана.
4.4.4. Внешний доступ:
4.4.5. К числу массовых потребителей персональных данных вне органов местного самоуправления можно отнести государственные и негосударственные функциональные структуры:
- налоговые инспекции;
- правоохранительные органы;
- военкоматы;
- органы социального страхования;
- пенсионные фонды.
4.4.6. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.
4.4.7. Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.
4.4.8. Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии заявления работника. Персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника. В случае развода бывшая супруга (супруг) имеют право обратиться в организацию с письменным запросом о размере заработной платы сотрудника без его согласия.
4.5. Защита персональных данных:
4.5.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
4.5.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
4.5.3. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности.
4.5.4. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.
4.5.5. Для обеспечения внутренней защиты персональных данных работников необходимо соблюдать следующие меры:
- ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;
- строгое избирательное и обоснованное распределение документов и информации между работниками;
- рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
- знание работником требований нормативно – методических документов по защите информации и сохранении тайны;
- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
- определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;
- организация порядка уничтожения информации;
-своевременное выявление нарушения требований разрешительной системы доступа работниками подразделения;
- воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
- не допускается выдача личных дел сотрудников на рабочие места руководителей.
4.5.6. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
4.5.7. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности органов местного самоуправления, посетители, работники других организаций и учреждений.
4.5.8. Для обеспечения внешней защиты персональных данных сотрудников, необходимо соблюдать следующие меры:
- порядок приема, учета и контроля деятельности посетителей;
- учет и порядок выдачи документов;
- технические средства охраны, сигнализации;
- порядок охраны территории, зданий, помещений, транспортных средств;
- требования к защите информации при интервьюировании и собеседованиях.
4.5.9. Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных работников.
4.6. Права и обязанности работника:
4.6.1. Закрепление прав работника, регламентирующих защиту его персональных данных, обеспечивает сохранность полной и точной информации о нем.
4.6.2. Работники и их представители должны быть ознакомлены под расписку с документами, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
4.6.3. В целях защиты персональных данных, хранящихся у работодателя, работник имеет право:
- полную информацию о своих персональных данных и обработке этих данных;
- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за
исключением случаев, предусмотренных федеральным законом;
- определение своих представителей для защиты своих персональных данных;
- требовать исключить или исправить неверные или неполные персональные данные, а также данные, обработанные с нарушением требований настоящего Положения и федерального закона. При отказе работодателя исключить или исправить персональные данные работника работник имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требовать извещать работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжаловать в суд любые неправомерные действия или бездействия работодателя при обработке и защите его персональных данных.
- на сохранение и защиту своей личной и семейной тайны.
4.6.4. Работник обязан:
- передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен законодательством Российской Федерации;
- своевременно сообщать работодателю об изменении своих персональных данных.
4.7. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными:
4.7.1. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
4.7.2. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
4.7.3. Каждый сотрудник организации, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации, содержащейся в данном документе.
4.7.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
4.7.5. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять меры, предусмотренные законодательством Российской Федерации.
4.7.6. Должностные лица, в обязанность которых входит ведение персональных данных сотрудника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации – влечет наложение на должностных лиц административного штрафа в порядке и размере, определяемом Кодексом Российской Федерации об административных правонарушениях.
4.7.7. В соответствии с Гражданским кодексом Российской Федерации лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на работников.
5. Правила рассмотрения в органах местного самоуправления города Инкермана, внутригородского муниципального образования города Севастополя запросов субъектов персональных данных или их представителей
5.1. Сведения о персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
5.2. Доступ к своим персональным данным предоставляется субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
Представитель представляет оператору документ, подтверждающий его полномочия.
5.3. Субъект персональных данных имеет право на получение при обращении к оператору, следующих сведений:
- подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
- способы обработки персональных данных, применяемые оператором;
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения.
5.4. Запрос субъекта персональных данных должен быть рассмотрен в течение 30 (тридцати) дней со дня его регистрации. Ответ на запрос направляется субъекту персональных данных по адресу, указанному в запросе, при помощи заказной корреспонденции или вручается субъекту персональных данных или его представителю лично. Ответ на запрос субъекта персональных данных может быть направлен посредством электронной почты, если это прямо указано в запросе.
Также в течение указанного выше срока, оператор обязан предоставить возможность субъекту персональных данных ознакомления с его персональными данными или его представителю, если это указано в полученном оператором запросе.
5.5. Если запрос субъекта персональных данных связан с внесением изменений в персональные данные субъекта в связи с тем, что персональные данные являются неполными, устаревшими, недостоверными, то в таком запросе субъект персональных данных, должен указать какие именно персональные данные изменяются или уточняются.
5.6. Если для внесения изменений в персональные данные необходимы подтверждающие документы, субъект персональных данных прикладывает к своему запросу об изменении персональных данных доказательства, на основании которых оператор должен внести изменения или уточнить персональные данные.
5.7. В случае отсутствия доказательств, на которые ссылается субъект персональных данных, оператор оставляет персональные данные в неизменном виде. Внесение изменений или уточнение персональных данных оператором должны быть выполнены в течение 10 (десяти) рабочих дней с даты поступления надлежаще оформленного запроса.
5.8. Изменения, уничтожение или блокирование персональных данных соответствующего субъекта осуществляется на безвозмездной основе.
5.9. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его представителя.
6. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и муниципальными правовыми актами
6.1. Настоящие Правила определяют порядок осуществления в органах местного самоуправления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и муниципальными правовыми актами.
6.2. Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных в органах местного самоуправления осуществляется в целях соблюдения законодательства Российской Федерации в области персональных данных, а также реализации прав и законных интересов субъектов персональных данных.
6.3. Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных осуществляется в отношении:
- процессов сбора записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения персональных данных;
- материальных носителей персональных дынных;
- вычислительной техники;
- сроков обработки персональных данных;
-деятельности лиц, осуществляющих обработку персональных данных либо осуществление доступа к персональным данным;
- помещений, в которых осуществляется обработка и хранение персональных данных;
- осуществления контроля за принимаемыми мерами по обеспечению безопасности персональных данных.
6.4. Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных осуществляется комиссией, образуемой распоряжением Главы города Инкермана из числа работников, допущенных к обработке персональных данных.
В проведении проверки не может участвовать лицо, прямо или косвенно заинтересованное в её результатах.
6.5. Контрольные мероприятия по проверке обработки персональных данных проводятся не реже одного раза в три месяца.
6.6. При проведении внутренней проверки соответствия обработки персональных данных установленным требованиям, комиссией должны быть полностью, объективно и всесторонне установлены:
1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
2) порядок и условия применения средств защиты информации;
3) эффективность принимаемых мер по обеспечению безопасности персональных данных;
4) состояние учёта машинных носителей персональных данных;
5) соблюдение правил доступа к персональным данным;
6) наличие (отсутствие) фактов несанкционированного доступа к персональным данным;
7) мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) осуществление мероприятий по обеспечению целостности персональных данных.
6.7. В отношении персональных данных, ставших известными комиссии в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
6.8. Срок проведения проверки не может составлять более 30 (тридцати) дней со дня принятия решения о её проведении. Результаты проверки оформляются в виде письменного заключения, утверждаются председателем комиссии и докладываются Главы города Инкермана.
Глава города Инкермана Р.И.Демченко
Местная администрация города Инкермана
внутригородского муниципального образования города Севастополя
П О С Т А Н О В Л Е Н И Е
«14» июля 2020 г. №22/2020
О внесении изменений в постановление местной администрации города Инкермана, внутригородского муниципального образования города Севастополя от 25.05.2017 №43/2017 «Об утверждении Положения об обработке и защите персональных данных в органах местного самоуправления города Инкермана, внутригородского муниципального образования города Севастополя»
В целях реализации Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в соответствии со статьями 86-88 Трудового кодекса Российской Федерации, Федеральным законом от 02.03.2007 № 25-ФЗ «О муниципальной службе в Российской Федерации», Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», Уставом города Инкермана, внутригородского муниципального образования города Севастополя, утвержденного решением Инкерманского городского Совета от 25.04.2015 № 04/18,
ПОСТАНОВЛЯЮ:
1. Приложение №1 к постановлению местной администрации города Инкермана, внутригородского муниципального образования города Севастополя от 25.05.2017 №43/2017 «Об утверждении Положения об обработке и защите персональных данных в органах местного самоуправления города Инкермана, внутригородского муниципального образования города Севастополя» изложить в новой редакции согласно приложению к настоящему постановлению.
2. Разместить настоящее постановление на официальном сайте города Инкермана, внутригородского муниципального образования города Севастополя и обнародовать на стенде для официальной информации города Инкермана, внутригородского муниципального образования города Севастополя.
3. Настоящее постановление вступает в силу с момента его обнародования.
4. Контроль исполнения настоящего постановления оставляю за собой.
Глава города Инкермана Р.И.Демченко
Приложение
УТВЕРЖДЕНО
постановлением местной администрации города Инкермана, внутригородского муниципального образования города Севастополя
от «14» июля 2020 г. №22/2020
Положение
об обработке и защите персональных данных в органах местного самоуправления города Инкермана, внутригородского муниципального образования города Севастополя
1. Общие положения
1.1. Настоящее Положение разработано в соответствии с законодательством Российской Федерации в области персональных данных, в том числе Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 02.03.2007 № 25-ФЗ «О муниципальной службе в Российской Федерации», Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
1.2. Настоящее Положение определяет порядок обработки персональных данных; порядок защиты персональных данных; правила рассмотрения запросов персональных данных; перечень персональных данных, обрабатываемых в органах местного самоуправления; перечень должностей, замещение которых предусматривает осуществление обработки персональных данных; правила осуществления внутреннего контроля соответствия обработки персональных данных, а также условия обработки персональных данных в органах местного самоуправления и призвано обеспечить защиту прав и свобод гражданина при обработке его персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Настоящее Положение определяет органы местного самоуправления как оператора, осуществляющего обработку и защиту персональных данных.
1.4. В настоящем Положении используются следующие основные понятия:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор – органы местного самоуправления, которые организуют и осуществляют обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
субъект персональных данных - физическое лицо, чьи персональные данные обрабатываются в органах местного самоуправления.
1.5. Обработка персональных данных основывается на следующих принципах:
- законность целей и способов обработки персональных данных и добросовестность;
-соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
-соответствие объема и характера обрабатываемых персональных данных, способов их обработки целям обработки;
-достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, избыточных по отношению к заявленным оператором целям.
1.6. Обработка персональных данных в органах местного самоуправления осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области персональных данных.
2. Меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных
2.1. К мерам, направленным на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных относятся:
назначение лица, ответственного за организацию обработки персональных данных
в органах местного самоуправления;
применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с частями 1 и 2 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора.
оценка вреда, который может быть причинён субъектам персональным данных в случае нарушения законодательства Российской Федерации и настоящего Положения. ознакомление работников, непосредственно осуществляющих обработку персональных данных с положениями законодательства Российской Федерации о персональных данных и настоящим Положением,
запрет на обработку персональных данных лицами, не допущенными к их обработке;
документы, определяющие политику оператора в отношении обработки персональных данных, подлежат обязательному опубликованию (обнародованию).
3. Правила обработки персональных данных в органах местного самоуправления города Инкермана, внутригородского мунципального образования города Севастополя
3.1. Настоящие Правила определяют порядок и условия обработки персональных данных в органах местного самоуправления и призваны обеспечивать защиту прав и свобод граждан при обработке их персональных данных, в том числе защиту прав на неприкосновенность частной жизни, личную и семейную тайну.
3.2. Обработка персональных данных:
3.2.1. В органах местного самоуправления могут обрабатываться персональные данные муниципальных служащих (далее работников) органов местного самоуправления и подведомственных учреждений, а также персональные данные граждан, обратившихся в органы местного самоуправления.
3.2.2. В состав персональных данных входят:
- фамилия, имя, отчество;
- месяц рождения, год рождения, дата рождения;
- место рождения;
- данные военного билета;
- сведения об образовании, о дополнительном профессиональном образовании, присвоении ученой степени, ученого звания, профессии;
- идентификационный номер налогоплательщика (ИНН);
- номер страхового свидетельства государственного пенсионного страхования;
-номер паспорта или документа его заменяющего, дата его выдачи, сведения об органе его выдавшем,
- адрес регистрации по месту жительства (пребывания), фактического проживания;
- сведения о трудовой деятельности;
- семейное положение, сведения о составе семьи (близких родственниках);
- сведения о наличии (отсутствии) судимости;
- сведения об отсутствии у гражданина заболевания, препятствующего поступлению на муниципальную службу или ее прохождению;
- сведения о состоянии здоровья;
- сведения о доходах, расходах, об имуществе и обязательствах имущественного характера муниципальных служащих, его супруги (супруга) и несовершеннолетних детей;
- иные сведения, обработка которых предусмотрена законодательством Российской Федерации.
3.2.3. Должностные лица органов местного самоуправления, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия гражданина, если иное не предусмотрено федеральным законодательством.
3.2.4. Обработка персональных данных в органах местного самоуправления осуществляется с согласия гражданина на обработку персональных данных, за исключением случаев, когда допускается обработка персональных данных без согласия гражданина.
3.2.5. Гражданин принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
Согласие на обработку персональных данных может быть дано гражданином или его представителем в любой, позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
В случае получения согласия на обработку персональных данных от представителя гражданина, полномочия данного представителя на дачу согласия от имени гражданина подлежат проверке.
3.2.6. Согласие на обработку персональных данных может быть отозвано гражданином или его представителем при условии наличия у него соответствующего полномочия.
В случае отзыва согласия на обработку персональных данных, орган местного самоуправления вправе продолжить обработку персональных данных без согласия гражданина при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
3.2.7. В целях обеспечения защиты своих персональных данных гражданин вправе:
1) получать информацию, касающуюся обработки его персональных данных;
2) требовать от органов местного самоуправления уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
3) принимать предусмотренные законом меры по защите своих прав.
3.2.8. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных. Эти сведения предоставляются гражданину или его представителю при обращении в органы местного самоуправления, либо при получении запроса гражданина или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность гражданина или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие факт обработки персональных данных в органах местного самоуправления, подпись гражданина или его представителя.
Запрос, поступивший в органы местного самоуправления рассматривается в течение 30-ти дней со дня его регистрации.
Состав запрашиваемой информации, основания ограничения права гражданина на доступ к его персональным данным, условия направления гражданином или его представителем повторного запроса и основания для отказа в рассмотрении повторного запроса определяются в соответствии со статьей 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
3.2.9. Персональные данные при их обработке в органах местного самоуправления должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).
3.2.10. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых, заведомо не совместимы. Для обработки различных категорий персональных данных для каждой категории персональных данных должен использоваться отдельный материальный носитель.
3.2.11. При разработке и использовании типовых форм документов, необходимых для реализации возложенных на органы местного самоуправления полномочий, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, наименование и адрес органов местного самоуправления, фамилию, имя, отчество и адрес гражданина, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
б) типовая форма должна предусматривать поле, в котором гражданин может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения письменного согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы гражданин имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных лиц;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых, заведомо не совместимы.
3.2.12. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
3.2.13. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
Под уничтожением обработанных персональных данных понимаются действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством. Уничтожение обработанных персональных данных производится комиссионо с составлением соответствующего акта.
3.2.14. Правила, предусмотренные подпунктами 3.2.4. и 3.2.5. настоящих Правил, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
3.2.15. Уточнение персональных данных производится:
-путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя;
-путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
3.2.16. Хранение персональных данных должно осуществляться не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
3.2.17. Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию в установленном порядке по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.3. Меры по обеспечению безопасности персональных данных при их обработке:
3.3.1. Обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень должностных лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
3.3.2. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
3.3.3. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
3.3.4. В органах местного самоуправления определяется перечень лиц, осуществляющих обработку персональных данных, либо имеющих доступ к персональным данным.
3.3.5. Персональные данные, хранящиеся на материальных носителях должны храниться в местах, исключающих несанкционированный доступ к ним.
3.3.6. Персональные данные хранятся в специально предназначенных для этих целей местах.
3.3.7. При работе на вычислительной технике должно использоваться лицензионное программное обеспечение.
3.3.8. Персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним, подлежат восстановлению.
3.3.9. Контроль за соблюдением требований законодательства Российской Федерации по обеспечению безопасности персональных данных при их обработке осуществляется ответственным за организацию обработки персональных данных в органах местного самоуправления.
3.3.10. Лица, виновные в нарушении требований, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
4. Порядок обработки и защиты персональных данных в органах местного самоуправления города Инкермана, внутригородского муниципального образования города Севастополя
4.1. Настоящий Порядок разработан в целях защиты персональных данных в органах местного самоуправления от несанкционированного доступа, неправомерного их использования или утраты.
4.1.1. Персональные данные относятся к категории конфиденциальной информации.
4.1.2. Настоящий Порядок является обязательным для исполнения всеми должностными лицами органов местного самоуправления, имеющими доступ к персональным данным.
4.2. Понятие и состав персональных данных:
4.2.1. Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
4.2.2. В состав персональных данных работника входят:
- фамилия, имя, отчество;
- месяц рождения, год рождения, дата рождения;
- место рождения;
- социальное положение;
- сведения об образовании, о дополнительном профессиональном образовании, присвоении ученой степени, ученого звания, профессии;
- идентификационный номер налогоплательщика (ИНН);
- номер страхового свидетельства государственного пенсионного страхования;
-номер паспорта или документа его заменяющего, дата его выдачи, сведения об органе его выдавшем,
- адрес регистрации по месту жительства (пребывания), фактического проживания;
- сведения о трудовой деятельности;
- семейное положение, сведения о составе семьи (близких родственниках);
-сведения об отсутствии у гражданина заболевания, препятствующего поступлению на муниципальную службу или ее прохождению;
- сведения о доходах, расходах, об имуществе и обязательствах имущественного характера работников, а также сведения о доходах, расходах, об имуществе и обязательствах имущественного характера его супруги (супруга) и несовершеннолетних детей;
- иные сведения, предоставление которых необходимо в соответствии с законодательством Российской Федерации.
4.3. Обработка персональных данных:
4.3.1. Под обработкой персональных данных работника понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
4.3.2. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
- обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
- при определении объема и содержания, обрабатываемых персональных данных работника, работодатель должен руководствоваться законодательством Российской Федерации.
- получение персональных данных может осуществляться как путем представления их самим работником, так и путем получения их из иных источников.
- персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
4.3.3. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений), в том числе о его родственниках, могут быть получены и обработаны работодателем только с его письменного согласия.
4.3.4. К обработке, передаче и хранению персональных данных работника могут иметь доступ только специально уполномоченные лица, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.
4.3.5. Использование персональных данных возможно только в соответствии с целями, определившими их получение.
Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности, запрещено.
4.3.6. Передача персональных данных работника возможна только с согласия работника или в случаях, прямо предусмотренных законодательством.
4.3.6.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:
-не сообщать персональные данные работника, персональные данные его родственников третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
-не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
-предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
-разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
-не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
-передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
4.3.6.2. Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
4.3.6.3. При передаче персональных данных работника потребителям (в том числе и в коммерческих целях) за пределы организации работодатель не должен сообщать эти данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или в случаях, установленных федеральным законом.
4.3.7. Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
4.3.8. Не допускается отвечать на вопросы, связанные с передачей персональной информации (персональных данных) по телефону.
4.3.9. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
4.3.10. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Работодатель учитывает личные качества работника, его добросовестный и эффективный труд.
4.4. Доступ к персональным данным:
4.4.1. Внутренний доступ (доступ внутри органов местного самоуправления).
4.4.2. Право доступа к персональным данным работников имеют:
- Глава города Инкермана;
- руководители структурных подразделений по направлению деятельности;
- сам работник, носитель персональных данных;
- другие работники при выполнении ими своих служебных обязанностей.
4.4.3. Перечень лиц, имеющих доступ к персональным данным работников, определяется Главой города Инкермана.
4.4.4. Внешний доступ:
4.4.5. К числу массовых потребителей персональных данных вне органов местного самоуправления можно отнести государственные и негосударственные функциональные структуры:
- налоговые инспекции;
- правоохранительные органы;
- военкоматы;
- органы социального страхования;
- пенсионные фонды.
4.4.6. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.
4.4.7. Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.
4.4.8. Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии заявления работника. Персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника. В случае развода бывшая супруга (супруг) имеют право обратиться в организацию с письменным запросом о размере заработной платы сотрудника без его согласия.
4.5. Защита персональных данных:
4.5.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
4.5.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
4.5.3. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности.
4.5.4. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.
4.5.5. Для обеспечения внутренней защиты персональных данных работников необходимо соблюдать следующие меры:
- ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;
- строгое избирательное и обоснованное распределение документов и информации между работниками;
- рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
- знание работником требований нормативно – методических документов по защите информации и сохранении тайны;
- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
- определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;
- организация порядка уничтожения информации;
-своевременное выявление нарушения требований разрешительной системы доступа работниками подразделения;
- воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
- не допускается выдача личных дел сотрудников на рабочие места руководителей.
4.5.6. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
4.5.7. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности органов местного самоуправления, посетители, работники других организаций и учреждений.
4.5.8. Для обеспечения внешней защиты персональных данных сотрудников, необходимо соблюдать следующие меры:
- порядок приема, учета и контроля деятельности посетителей;
- учет и порядок выдачи документов;
- технические средства охраны, сигнализации;
- порядок охраны территории, зданий, помещений, транспортных средств;
- требования к защите информации при интервьюировании и собеседованиях.
4.5.9. Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных работников.
4.6. Права и обязанности работника:
4.6.1. Закрепление прав работника, регламентирующих защиту его персональных данных, обеспечивает сохранность полной и точной информации о нем.
4.6.2. Работники и их представители должны быть ознакомлены под расписку с документами, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
4.6.3. В целях защиты персональных данных, хранящихся у работодателя, работник имеет право:
- полную информацию о своих персональных данных и обработке этих данных;
- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за
исключением случаев, предусмотренных федеральным законом;
- определение своих представителей для защиты своих персональных данных;
- требовать исключить или исправить неверные или неполные персональные данные, а также данные, обработанные с нарушением требований настоящего Положения и федерального закона. При отказе работодателя исключить или исправить персональные данные работника работник имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требовать извещать работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжаловать в суд любые неправомерные действия или бездействия работодателя при обработке и защите его персональных данных.
- на сохранение и защиту своей личной и семейной тайны.
4.6.4. Работник обязан:
- передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен законодательством Российской Федерации;
- своевременно сообщать работодателю об изменении своих персональных данных.
4.7. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными:
4.7.1. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
4.7.2. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
4.7.3. Каждый сотрудник организации, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации, содержащейся в данном документе.
4.7.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
4.7.5. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять меры, предусмотренные законодательством Российской Федерации.
4.7.6. Должностные лица, в обязанность которых входит ведение персональных данных сотрудника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации – влечет наложение на должностных лиц административного штрафа в порядке и размере, определяемом Кодексом Российской Федерации об административных правонарушениях.
4.7.7. В соответствии с Гражданским кодексом Российской Федерации лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на работников.
5. Правила рассмотрения в органах местного самоуправления города Инкермана, внутригородского муниципального образования города Севастополя запросов субъектов персональных данных или их представителей
5.1. Сведения о персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
5.2. Доступ к своим персональным данным предоставляется субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
Представитель представляет оператору документ, подтверждающий его полномочия.
5.3. Субъект персональных данных имеет право на получение при обращении к оператору, следующих сведений:
- подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
- способы обработки персональных данных, применяемые оператором;
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения.
5.4. Запрос субъекта персональных данных должен быть рассмотрен в течение 30 (тридцати) дней со дня его регистрации. Ответ на запрос направляется субъекту персональных данных по адресу, указанному в запросе, при помощи заказной корреспонденции или вручается субъекту персональных данных или его представителю лично. Ответ на запрос субъекта персональных данных может быть направлен посредством электронной почты, если это прямо указано в запросе.
Также в течение указанного выше срока, оператор обязан предоставить возможность субъекту персональных данных ознакомления с его персональными данными или его представителю, если это указано в полученном оператором запросе.
5.5. Если запрос субъекта персональных данных связан с внесением изменений в персональные данные субъекта в связи с тем, что персональные данные являются неполными, устаревшими, недостоверными, то в таком запросе субъект персональных данных, должен указать какие именно персональные данные изменяются или уточняются.
5.6. Если для внесения изменений в персональные данные необходимы подтверждающие документы, субъект персональных данных прикладывает к своему запросу об изменении персональных данных доказательства, на основании которых оператор должен внести изменения или уточнить персональные данные.
5.7. В случае отсутствия доказательств, на которые ссылается субъект персональных данных, оператор оставляет персональные данные в неизменном виде. Внесение изменений или уточнение персональных данных оператором должны быть выполнены в течение 10 (десяти) рабочих дней с даты поступления надлежаще оформленного запроса.
5.8. Изменения, уничтожение или блокирование персональных данных соответствующего субъекта осуществляется на безвозмездной основе.
5.9. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его представителя.
6. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и муниципальными правовыми актами
6.1. Настоящие Правила определяют порядок осуществления в органах местного самоуправления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и муниципальными правовыми актами.
6.2. Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных в органах местного самоуправления осуществляется в целях соблюдения законодательства Российской Федерации в области персональных данных, а также реализации прав и законных интересов субъектов персональных данных.
6.3. Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных осуществляется в отношении:
- процессов сбора записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения персональных данных;
- материальных носителей персональных дынных;
- вычислительной техники;
- сроков обработки персональных данных;
-деятельности лиц, осуществляющих обработку персональных данных либо осуществление доступа к персональным данным;
- помещений, в которых осуществляется обработка и хранение персональных данных;
- осуществления контроля за принимаемыми мерами по обеспечению безопасности персональных данных.
6.4. Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных осуществляется комиссией, образуемой распоряжением Главы города Инкермана из числа работников, допущенных к обработке персональных данных.
В проведении проверки не может участвовать лицо, прямо или косвенно заинтересованное в её результатах.
6.5. Контрольные мероприятия по проверке обработки персональных данных проводятся не реже одного раза в три месяца.
6.6. При проведении внутренней проверки соответствия обработки персональных данных установленным требованиям, комиссией должны быть полностью, объективно и всесторонне установлены:
1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
2) порядок и условия применения средств защиты информации;
3) эффективность принимаемых мер по обеспечению безопасности персональных данных;
4) состояние учёта машинных носителей персональных данных;
5) соблюдение правил доступа к персональным данным;
6) наличие (отсутствие) фактов несанкционированного доступа к персональным данным;
7) мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) осуществление мероприятий по обеспечению целостности персональных данных.
6.7. В отношении персональных данных, ставших известными комиссии в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
6.8. Срок проведения проверки не может составлять более 30 (тридцати) дней со дня принятия решения о её проведении. Результаты проверки оформляются в виде письменного заключения, утверждаются председателем комиссии и докладываются Главы города Инкермана.
Глава города Инкермана Р.И.Демченко
Дополнительные сведения
| Государственные публикаторы: | Информационный стенд города Инкермана от 14.07.2020 |
| Рубрики правового классификатора: | 150.000.000 ИНФОРМАЦИЯ И ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ. СВЯЗЬ. |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
