Основная информация
| Дата опубликования: | 05 августа 2020г. |
| Номер документа: | RU14035216202000002 |
| Текущая редакция: | 1 |
| Статус нормативности: | Нормативный |
| Субъект РФ: | Республика Саха (Якутия) |
| Принявший орган: | местная администрация |
| Раздел на сайте: | Нормативные правовые акты муниципальных образований |
| Тип документа: | Распоряжения |
Бесплатная консультация
У вас есть вопросы по содержанию или применению нормативно-правового акта, закона, решения суда? Наша команда юристов готова дать бесплатную консультацию. Звоните по телефонам:Федеральный номер (звонок бесплатный): 8 (800) 555-67-55 доб. 732Москва и Московская область: 8 (499) 350-55-06 доб. 192Санкт-Петербург и Ленинградская область: 8 (812) 309-06-71 доб. 749
Текущая редакция документа
РОССИЙСКАЯ ФЕДЕРАЦИЯ
РЕСПУБЛИКА САХА (ЯКУТИЯ)
ХАНГАЛАССКИЙ УЛУС
МУНИЦИПАЛЬНОЕ ОБРАЗОВАНИЕ
«ГОРОД ПОКРОВСК»
МЕСТНАЯ АДМИНИСТРАЦИЯ
РАСПОРЯЖЕНИЕ
05.08.2020 №908-р
Об утверждении Правил обработки персональных данных
в АИС «Справка о доходах»
В соответствии с Федеральным законом от 27 июля 2006 г. № 152 ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных», РАСПОРЯЖАЮСЬ:
1. Утвердить Правила обработки персональных данных в АИС «Справка о доходах» администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) согласно приложению № 1.
2. Утвердить Правила рассмотрения запросов субъектов персональных данных или их представителей в АИС «Справка о доходах» согласно приложению № 2.
3. Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных в администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) согласно приложению № 3.
4. Утвердить Правила работы с обезличенными данными в случае обезличивания персональных данных в АИС «Справка о доходах» согласно приложению № 4.
5. Настоящее распоряжение опубликовать на официальном сайте администрации МР «Хангаласский улус» (Кириллина Л.Е.).
6. Контроль за исполнением распоряжения оставляю за собой.
Руководитель аппарата администрации Е.Д. Яковлева
Приложение №1 к распоряжению администрации
МР «Хангаласский улус» РС (Я)
№ 908-р от 05.08.2020 г.
Правила
обработки персональных данных в АИС «Справка о доходах»
администрации муниципального района "Хангаласский улус"
Республики Саха (Якутия)
Настоящими Правилами обработки персональных данных в АИС «Справка о доходах» в администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) (далее – Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; содержание обрабатываемых персональных данных для каждой цели обработки персональных данных; категории субъектов, персональные данные которых обрабатываются; сроки обработки и хранения; порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
Настоящие Правила разработаны в соответствии со статьей 29 Федерального закона от 02.03.2007 № 25-ФЗ «О муниципальной службе в Российской Федерации», Федеральным законом от 27 июля 2006 г. № 152 ФЗ «О персональных данных», Трудовым кодексом Российской Федерации, Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.
В настоящих Правилах используются следующие основные понятия[¢]:
персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Принципы обработки персональных данных:
обработка персональных данных должна осуществляться на законной и справедливой основе;
обработка персональных данных должна ограничиваться достижением конкретных, определенных настоящими Правилами целей. Не допускается обработка персональных данных, несовместимых с целями сбора персональных данных;
не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
обработке подлежат только персональные данные, которые отвечают целям их обработки;
содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Должностные лица администрации муниципального образования "Хангаласский улус" Республики Саха (Якутия) должны принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
Мероприятия по обезличиванию обрабатываемых персональных данных в администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) не проводятся.
Обработка персональных данных в администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) осуществляется для следующих целей:
обработка персональных данных осуществляется в соответствии с законодательством о муниципальной службе, трудовым законодательством;
обработка персональных данных необходима для размещения сведений о доходах, расходах, об имуществе и обязательствах имущественного характера на официальном сайте.
Глава администрации Администрация муниципального района "Хангаласский улус" Республики Саха (Якутия) назначает лицо, ответственное за организацию обработки персональных данных в администрации муниципального района "Хангаласский улус" Республики Саха (Якутия), и определяет лиц, уполномоченных на обработку персональных данных, обеспечивающих обработку персональных данных в соответствии с требованиями законодательства и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.
Должностные лица администрации муниципального района "Хангаласский улус" Республики Саха (Якутия), получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Содержание обрабатываемых персональных данных муниципальных служащих администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) (далее – работники Администрации муниципального района "Хангаласский улус" Республики Саха (Якутия)) определяются нормативными правовыми актами законодательства о государственной гражданской службе, муниципальной службе и трудового законодательства Российской Федерации.
Обработка персональных данных работников администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Работник Администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе и в письменной форме. Согласие работника Администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) на обработку его персональных данных должно отвечать требованиям, определенным статьей 9 Федерального закона от 27 июля 2006 г. № 152 ФЗ «О персональных данных».
При сборе персональных данных уполномоченные должностные лица администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) обязаны предоставить работнику Администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона от 27 июля 2006 г. № 152 ФЗ «О персональных данных».
Если предоставление персональных данных является обязательным в соответствии с федеральным законом, уполномоченные должностные лица администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) обязаны разъяснить работнику администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) юридические последствия отказа предоставить его персональные данные.
При обработке персональных данных работников администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) уполномоченные должностные лица обязаны соблюдать следующие требования:
обработка персональных данных осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
персональные данные следует получать лично у работника администрации муниципального района "Хангаласский улус" Республики Саха (Якутия). В случае возникновения необходимости получения персональных данных работника у третьей стороны следует известить об этом работника заранее, получить его письменное согласие и сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных;
запрещается получать, обрабатывать и приобщать к личному делу работника администрации муниципального образования "Хангаласский улус" Республики Саха (Якутия) не установленные Федеральными законами от 02.03.2007 № 25-ФЗ «О муниципальной службе в Российской Федерации» и от 27 июля 2006 г. № 152- ФЗ «О персональных данных» персональные данные о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;
передача персональных данных работника третьей стороне не допускается без письменного согласия работника, за исключением случаев, установленных федеральными законами;
в случае выявления неполных, неточных или неактуальных персональных данных в срок, не превышающий семи рабочих дней со дня предоставления работником или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, уполномоченные должностные лица администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) обязаны внести в них необходимые изменения с уведомлением работника или его представителя;
в случае представления работником или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уполномоченные должностные лица администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) в срок, не превышающий семи рабочих дней со дня получения таких сведений, обязаны уничтожить такие персональные данные с уведомлением работника или его представителя;
в случае выявления недостоверных персональных данных работника или неправомерных действий с ними уполномоченных на обработку должностных лиц при обращении или по запросу работника, являющегося субъектом персональных данных, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных, администрация муниципального района "Хангаласский улус" Республики Саха (Якутия) обязаны осуществить блокирование персональных данных, относящихся к соответствующему работнику администрации муниципального района "Хангаласский улус" Республики Саха (Якутия), с момента такого обращения или получения такого запроса на период проверки;
в случае подтверждения факта недостоверности персональных данных работника уполномоченные должностные лица администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) на основании документов, представленных работником, являющимся субъектом персональных данных, или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование;
в случае выявления неправомерных действий с персональными данными уполномоченные должностные лица администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) в срок, не превышающий трех рабочих дней с даты такого выявления, обязаны устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений уполномоченные должностные лица администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) в срок, не превышающий десяти рабочих дней с даты выявления неправомерности действий с персональными данными, обязаны уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных уполномоченные должностные лица администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) обязаны уведомить работника, являющегося субъектом персональных данных, или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
в случае отзыва работником согласия на обработку его персональных данных уполномоченные должностные лица администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) обязаны прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва;
хранение персональных данных должно осуществляться в форме, позволяющей определить работника, являющегося субъектом персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, если:
субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о противодействии коррупции;
обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.
Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме муниципального служащего, являющегося субъектом персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации о противодействии коррупции, о муниципальной службе, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию и другими нормативными правовыми актами Российской Федерации.
Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
В соответствии со статьей 15 Федерального закона от 27 мая 2003г. № 58-ФЗ «О системе государственной службы Российской Федерации» на основе персональных данных гражданских служащих в администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) формируется и ведется, в том числе на электронных носителях, реестр муниципальных служащих Администрации муниципального района "Хангаласский улус" Республики Саха (Якутия).
Сведения о доходах, об имуществе и обязательствах имущественного характера гражданского служащего, его супруги (супруга) и несовершеннолетних детей в соответствии с законодательством о муниципальной службе в Российской Федерации размещаются на официальном сайте Администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) в сети Интернет.
Сроки обработки и хранения персональных данных работников Администрации муниципального района "Хангаласский улус" Республики Саха (Якутия), порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований определяются нормами законодательства Российской Федерации в сфере муниципальной службы, трудового законодательства, законодательства о размещении государственных заказов, законодательства об архивном деле.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральным законом.
Субъект персональных данных имеет право на получение сведений, указанных в статье 14 Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных». Субъект персональных данных вправе требовать от Администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Сведения, указанные в части 7 статье 14 Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных», должны быть предоставлены субъекту персональных данных администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Сведения, указанные в части 7 статьи 14 Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных», предоставляются субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя в тридцатидневный срок. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных», и ознакомления с такими персональными данными осуществляется не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя, администрация муниципального района "Хангаласский улус" Республики Саха (Якутия) обязана дать в письменной форме мотивированный ответ в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
Меры, принимаемые в администрации муниципального района "Хангаласский улус" Республики Саха (Якутия), для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных:
определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
учет машинных носителей персональных данных;
обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
__________________________________________________
Приложение № 2 к распоряжению администрации
МР «Хангаласский улус» РС (Я)
№908-р от 05.08.2020 г.
Правила рассмотрения запросов субъектов персональных данных или их представителей в АИС «Справка о доходах»
I. Общие положения
1.1. Настоящие Правила рассмотрения запросов субъектов персональных данных или их представителей в Администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) (далее ‒ Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и определяют права субъектов персональных данных, обязанности администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) (далее – Учреждение, Оператор) при обращении субъекта персональных данных или его представителя, а также сроки и последовательность действий должностных лиц Учреждения при рассмотрении запросов субъектов персональных данных или их представителей (далее – Запрос).
1.2. Представитель субъекта персональных данных ‒ лицо, действующее от имени субъекта персональных данных в силу полномочий, основанных на доверенности, указании закона, либо акте уполномоченного на то государственного органа или органа местного самоуправления. При обращении представителя субъекта персональных данных в Учреждение предоставляется документ, подтверждающий полномочия законного представителя.
II. Права субъектов персональных данных
2.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
– подтверждение факта обработки персональных данных Учреждением;
– правовые основания и цели обработки персональных данных;
– цели и применяемые Учреждением способы обработки персональных данных;
– наименование и место нахождения Учреждения, сведения о лицах (за исключением работников Учреждения), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Учреждением или на основании федерального закона;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законодательством в сфере защиты персональных данных;
– сроки обработки персональных данных, в том числе сроки их хранения;
– порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
– информацию об осуществленной или о предполагаемой трансграничной передаче данных;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Учреждения, если обработка поручена или будет поручена такому лицу;
– иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
2.2. Сведения, указанные в п.2.1 настоящих Правил, должны быть предоставлены субъекту персональных данных Учреждением в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
2.3. Сведения, указанные в п.2.1 настоящих Правил, предоставляются субъекту персональных данных или его представителю Учреждением при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Учреждением (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Учреждением, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
2.4. В случае, если сведения, указанные в п.2.1 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Учреждение или направить повторный запрос в целях получения сведений, указанных в п.2.1 настоящих Правил, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
2.5. Субъект персональных данных вправе обратиться повторно в Учреждение или направить повторный запрос в целях получения сведений, указанных в п.2.1 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п.2.4 настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п.2.3 настоящих Правил, должен содержать обоснование направления повторного запроса.
2.6. Учреждение вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 2.4 и 2.5 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Учреждении.
2.7. Субъект персональных данных вправе требовать от Учреждения уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
– обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
– обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
– обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
– доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
– обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
III. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя
3.1. Оператор обязан сообщить в порядке, предусмотренном настоящими Правилами, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
3.2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Оператор обязан дать в письменной форме мотивированный ответ, с указанием причин отказа со ссылкой на положение ч.8 ст.14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
3.3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
IV. Порядок рассмотрения запросов субъектов персональных данных или их представителей
4.1. В день поступления запроса субъекта персональных данных или его представителя в Учреждение указанный запрос необходимо зарегистрировать в соответствии с правилами документооборота, установленными Учреждением, а также внести соответствую запись в Журнал учета обращений субъектов персональных данных. Форма Журнала учета обращений субъектов персональных данных утверждена нормативным актом Учреждения.
4.2. Ответственный за организацию обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, в Учреждении осуществляет непосредственный контроль за соблюдением установленного законодательством Российской Федерации и настоящими Правилами порядка рассмотрения запросов субъектов персональных данных или их представителей. На контроль берутся все запросы.
4.3. Ответственный за организацию обработки защищаемой информации и (или) структурное подразделение, ответственное за исполнение указанного запроса, обеспечивает рассмотрение запроса и подготовку необходимой информации в установленный действующим законодательством срок.
4.4. Для проверки фактов, изложенных в запросах, при необходимости организуются служебные проверки в соответствии с законодательством Российской Федерации.
4.5. По результатам служебной проверки составляется мотивированное заключение, которое должно содержать объективный анализ собранных материалов. Если при проверке выявлены факты совершения сотрудником Учреждения действия (бездействия), содержащего признаки административного правонарушения или состава преступления информация передается незамедлительно в правоохранительные органы. Результаты служебной проверки докладываются руководителю Учреждения.
4.6. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы заявителю.
4.7. Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных должностных лиц ответственность в соответствии с законодательством Российской Федерации
Приложение №3 к распоряжению администрации
МР «Хангаласский улус» РС (Я)
№ 908-р от 05.08.2020 г.
Правила осуществления внутреннего контроля соответствия обработки персональных данных в администрации муниципального района "Хангаласский улус" Республики Саха (Якутия)
I. Общие положения
1.1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных в администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных» (далее ‒ Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
II. Порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) (далее – Учреждение) проводятся периодические проверки условий обработки персональных данных.
2.2. Проверка соответствия обработки персональных данных требованиям к защите персональных данных проводится ответственным за организацию обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, в Учреждении.
2.3. Плановые проверки условий обработки персональных данных проводятся на основании утвержденного руководителем Учреждения ежегодного плана внутренних проверок режима защиты персональных данных (плановые проверки), представленного в приложении к Положению по организации и проведению работ по обеспечению безопасности защищаемой информации, не содержащей сведения, составляющие государственную тайну, при ее обработке в информационных системах Учреждения.
2.4. Внеплановые проверки проводятся на основании поступившей информации о нарушениях правил обработки персональных данных. Проведение внеплановой проверки организуется в течение трех рабочих дней со дня поступления информации о нарушениях правил обработки персональных данных.
2.5. В проведении проверки условий обработки персональных данных не могут участвовать сотрудники Учреждения, прямо или косвенно заинтересованные в ее результатах.
2.6. Проверки условий обработки персональных данных осуществляются непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра служебных мест сотрудников Учреждения, участвующих в процессе обработки персональных данных.
2.7. При проведении проверки условий обработки персональных данных должны быть полностью, объективно и всесторонне установлены:
– порядок и условия применения организационных и технических мер, необходимых для выполнения требований к защите персональных данных;
– порядок и условия соблюдения парольной защиты;
– порядок и условия соблюдения антивирусной защиты;
– порядок и условия обеспечения резервного копирования;
– эффективность принимаемых мер по обеспечению безопасности персональных данных до их ввода в информационные системы персональных данных;
– условия соблюдения режима защиты при подключении к сетям общего пользования и (или) международного обмена;
– порядок и условия обновления программного обеспечения и единообразия применяемого программного обеспечения на всех элементах информационной системы персональных данных;
– порядок и условия применения средств защиты информации;
– состояние учета носителей персональных данных;
– соблюдение правил доступа к персональным данным;
– соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных;
– наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
– мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
2.8. Проверка условий обработки персональных данных должна быть завершена не позднее чем через тридцать календарных дней со дня принятия решения о ее проведении.
2.9. По результатам проведенной проверки условий обработки персональных данных ответственный за организацию обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, предоставляет руководителю Учреждения письменное заключение с указанием мер, необходимых для устранения выявленных нарушений.
__________________________________________
Приложение №4 к распоряжению администрации
МР «Хангаласский улус» РС (Я)
№ 908-р от 05.08.2020 г.
Правила работы с обезличенными данными в случае обезличивания персональных данных в АИС «Справка о доходах»
I. Общие положения
1.1. Правила работы с обезличенными данными в случае обезличивания персональных данных в администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) (далее – Правила) разработаны в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» и определяют условия обезличивания персональных данных, методы обезличивания персональных данных и порядок работы с обезличенными данными.
II. Условия обезличивания персональных данных
2.1. В соответствии с Федеральным законом «О персональных данных» обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
2.2. Обезличивание персональных данных может быть проведено в статистических целях, в целях предупреждения ущерба от разглашения персональных данных, по достижении целей или в случае утраты необходимости в достижении этих целей, а также в иных целях, предусмотренных законодательством Российской Федерации.
2.3. Обезличивание персональных данных должно обеспечивать следующие свойства информации:
– полноту (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
– структурированность (сохранение структурных связей между обезличенными персональными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
– релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
– семантическую целостность (сохранение семантики (сути и смысла) персональных данных при их обезличивании);
– применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных без предварительного деобезличивания всего объема записей о субъектах);
– анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).
2.4. Методы обезличивания персональных данных должны обладать следующими характеристиками:
– обратимостью (возможностью преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);
– вариативностью (возможностью внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);
– изменяемостью (возможностью внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);
– стойкостью (стойкостью метода к атакам на идентификацию субъекта персональных данных);
– возможностью косвенного дееобезличивания (возможностью проведения деобезличивания с использованием информации других операторов);
– совместимостью (возможностью интеграции персональных данных, обезличенных различными методами);
– параметрическим объемом (возможностью определения объема дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);
– возможностью оценки качества данных (возможностью проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).
2.5. Методы обезличивания персональных данных должны обладать следующими свойствами:
– обратимостью (возможность проведения деобезличивания);
– возможностью обеспечения заданного уровня анонимности;
– увеличением стойкости при увеличении объема обезличиваемых персональных данных.
2.6. Получаемые обезличенные данные должны обладать следующими свойствами:
– сохранением полноты (состав обезличенных данных должен полностью;
– соответствовать составу обезличиваемых персональных данных);
– сохранением структурированности обезличиваемых персональных данных;
– сохранением семантической целостности обезличиваемых персональных данных;
– анонимностью отдельных данных не ниже заданного уровня (количества возможных сопоставлений обезличенных данных между собой для деобезличивания как, например, k- anonymity).
2.7. Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки персональных данных.
2.8. В администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) (далее – Учреждение) могут быть использованы следующие методы обезличивания:
– метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);
– метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);
– метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);
– метод перемешивания (перестановка отдельных записей, а так же групп записей в массиве персональных данных).
2.9. Описание методов обезличивания, обеспечиваемых ими свойств обезличенных данных, оценка свойств методов, требования к реализации методов приведены в приложении к настоящим Правилам.
2.10. Предложения о методах обезличивания вносит ответственный за обеспечение безопасности защищаемой информации, не содержащей сведения, составляющие государственную тайну, в информационных системах Учреждения. Решение о методах обезличивания персональных данных принимает руководитель Учреждения.
2.11. Ответственность за обезличивание персональных данных несет лицо, ответственное по работе с персональными данными в администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) в АИС «Справка о доходах».
III. Порядок работы с обезличенными данными
3.1. Обезличенные персональные данные конфиденциальны и не подлежат разглашению.
3.2. Обезличенные персональные данные могут обрабатываться как с использованием, так и без использования средств автоматизации.
3.3. При обработке обезличенных персональных данных сотрудники Учреждения руководствуются настоящими Правилами.
ПРИЛОЖЕНИЕ
к Правилам работы с обезличенными данными в случае обезличивания персональных данных в администрации муниципального района "Хангаласский улус" Республики Саха (Якутия)
Описание методов обезличивания
I. Метод введения идентификаторов
1.1. Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия.
1.2. Метод обеспечивает следующие свойства обезличенных данных:
– полнота;
– структурированность;
– семантическая целостность;
– применимость.
1.3. Оценка свойств метода:
– обратимость (метод позволяет провести процедуру деобезличивания);
– вариативность (метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания);
– изменяемость (метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания);
– стойкость (метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);
– возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
– совместимость (метод позволяет интегрировать записи, соответствующие отдельным атрибутам);
– параметрический объем (объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию);
– возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
1.4. Для реализации метода требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия.
II. Метод изменения состава или семантики
2.1. Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта.
2.2. Метод обеспечивает следующие свойства обезличенных данных:
– структурированность;
– релевантность;
– применимость;
– анонимность.
2.3. Оценка свойств метода:
– обратимость (метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных);
– вариативность (метод не позволяет изменять параметры метода без проведения предварительного деобезличивания);
– изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
– стойкость (стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);
– возможность косвенного деобезличивания (метод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
– совместимость (метод не обеспечивает интеграции с данными, обезличенными другими методами);
– параметрический объем (параметры метода определяются набором правил изменения состава или семантики персональных данных);
– возможность оценки качества данных (метод не позволяет проводить анализ, использующий конкретные значения персональных данных).
2.4. Для реализации метода требуется выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта. При этом возможно использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки (средние значения, например).
III. Метод декомпозиции
3.1. Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам.
3.2. Метод обеспечивает следующие свойства обезличенных данных:
– полнота;
– структурированность;
– релевантность;
– семантическая целостность;
– применимость.
3.3. Оценка свойств метода:
– обратимость (метод позволяет провести процедуру деобезличивания);
– вариативность (метод позволяет изменить параметры декомпозиции без предварительного деобезличивания);
– изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
– стойкость (метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений);
– возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
– совместимость (метод обеспечивает интеграцию с данными, обезличенными другими методами);
– параметрический объем (определяется числом подмножеств и числом субъектов персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц связывания записей, находящихся в различных хранилищах);
– возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
3.4. Для реализации метода требуется предварительно разработать правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища.
IV. Метод перемешивания
4.1. Метод перемешивания реализуется путем перемешивания отдельных записей, а также групп записей между собой.
4.2. Метод обеспечивает следующие свойства обезличенных данных:
– полнота;
– структурированность;
– релевантность;
– семантическая целостность;
– применимость;
– анонимность.
4.3. Оценка свойств метода:
– обратимость (метод позволяет провести процедуру деобезличивания);
– вариативность (метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания);
– изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
– стойкость (длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию);
– возможность косвенного деобезличивания (метод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов);
– совместимость (метод позволяет проводить интеграцию с данными, обезличенными другими методами);
– параметрический объем (зависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию);
– возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
4.4. Для реализации метода требуется разработать правила перемешивания и их алгоритмы, правила и алгоритмы деобезличивания и внесения изменений в записи.
4.5. Метод может использоваться совместно с методами введения идентификаторов и декомпозиции.
[¢] статья 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
РОССИЙСКАЯ ФЕДЕРАЦИЯ
РЕСПУБЛИКА САХА (ЯКУТИЯ)
ХАНГАЛАССКИЙ УЛУС
МУНИЦИПАЛЬНОЕ ОБРАЗОВАНИЕ
«ГОРОД ПОКРОВСК»
МЕСТНАЯ АДМИНИСТРАЦИЯ
РАСПОРЯЖЕНИЕ
05.08.2020 №908-р
Об утверждении Правил обработки персональных данных
в АИС «Справка о доходах»
В соответствии с Федеральным законом от 27 июля 2006 г. № 152 ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных», РАСПОРЯЖАЮСЬ:
1. Утвердить Правила обработки персональных данных в АИС «Справка о доходах» администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) согласно приложению № 1.
2. Утвердить Правила рассмотрения запросов субъектов персональных данных или их представителей в АИС «Справка о доходах» согласно приложению № 2.
3. Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных в администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) согласно приложению № 3.
4. Утвердить Правила работы с обезличенными данными в случае обезличивания персональных данных в АИС «Справка о доходах» согласно приложению № 4.
5. Настоящее распоряжение опубликовать на официальном сайте администрации МР «Хангаласский улус» (Кириллина Л.Е.).
6. Контроль за исполнением распоряжения оставляю за собой.
Руководитель аппарата администрации Е.Д. Яковлева
Приложение №1 к распоряжению администрации
МР «Хангаласский улус» РС (Я)
№ 908-р от 05.08.2020 г.
Правила
обработки персональных данных в АИС «Справка о доходах»
администрации муниципального района "Хангаласский улус"
Республики Саха (Якутия)
Настоящими Правилами обработки персональных данных в АИС «Справка о доходах» в администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) (далее – Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; содержание обрабатываемых персональных данных для каждой цели обработки персональных данных; категории субъектов, персональные данные которых обрабатываются; сроки обработки и хранения; порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
Настоящие Правила разработаны в соответствии со статьей 29 Федерального закона от 02.03.2007 № 25-ФЗ «О муниципальной службе в Российской Федерации», Федеральным законом от 27 июля 2006 г. № 152 ФЗ «О персональных данных», Трудовым кодексом Российской Федерации, Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.
В настоящих Правилах используются следующие основные понятия[¢]:
персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Принципы обработки персональных данных:
обработка персональных данных должна осуществляться на законной и справедливой основе;
обработка персональных данных должна ограничиваться достижением конкретных, определенных настоящими Правилами целей. Не допускается обработка персональных данных, несовместимых с целями сбора персональных данных;
не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
обработке подлежат только персональные данные, которые отвечают целям их обработки;
содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Должностные лица администрации муниципального образования "Хангаласский улус" Республики Саха (Якутия) должны принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
Мероприятия по обезличиванию обрабатываемых персональных данных в администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) не проводятся.
Обработка персональных данных в администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) осуществляется для следующих целей:
обработка персональных данных осуществляется в соответствии с законодательством о муниципальной службе, трудовым законодательством;
обработка персональных данных необходима для размещения сведений о доходах, расходах, об имуществе и обязательствах имущественного характера на официальном сайте.
Глава администрации Администрация муниципального района "Хангаласский улус" Республики Саха (Якутия) назначает лицо, ответственное за организацию обработки персональных данных в администрации муниципального района "Хангаласский улус" Республики Саха (Якутия), и определяет лиц, уполномоченных на обработку персональных данных, обеспечивающих обработку персональных данных в соответствии с требованиями законодательства и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.
Должностные лица администрации муниципального района "Хангаласский улус" Республики Саха (Якутия), получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Содержание обрабатываемых персональных данных муниципальных служащих администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) (далее – работники Администрации муниципального района "Хангаласский улус" Республики Саха (Якутия)) определяются нормативными правовыми актами законодательства о государственной гражданской службе, муниципальной службе и трудового законодательства Российской Федерации.
Обработка персональных данных работников администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Работник Администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе и в письменной форме. Согласие работника Администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) на обработку его персональных данных должно отвечать требованиям, определенным статьей 9 Федерального закона от 27 июля 2006 г. № 152 ФЗ «О персональных данных».
При сборе персональных данных уполномоченные должностные лица администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) обязаны предоставить работнику Администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона от 27 июля 2006 г. № 152 ФЗ «О персональных данных».
Если предоставление персональных данных является обязательным в соответствии с федеральным законом, уполномоченные должностные лица администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) обязаны разъяснить работнику администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) юридические последствия отказа предоставить его персональные данные.
При обработке персональных данных работников администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) уполномоченные должностные лица обязаны соблюдать следующие требования:
обработка персональных данных осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
персональные данные следует получать лично у работника администрации муниципального района "Хангаласский улус" Республики Саха (Якутия). В случае возникновения необходимости получения персональных данных работника у третьей стороны следует известить об этом работника заранее, получить его письменное согласие и сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных;
запрещается получать, обрабатывать и приобщать к личному делу работника администрации муниципального образования "Хангаласский улус" Республики Саха (Якутия) не установленные Федеральными законами от 02.03.2007 № 25-ФЗ «О муниципальной службе в Российской Федерации» и от 27 июля 2006 г. № 152- ФЗ «О персональных данных» персональные данные о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;
передача персональных данных работника третьей стороне не допускается без письменного согласия работника, за исключением случаев, установленных федеральными законами;
в случае выявления неполных, неточных или неактуальных персональных данных в срок, не превышающий семи рабочих дней со дня предоставления работником или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, уполномоченные должностные лица администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) обязаны внести в них необходимые изменения с уведомлением работника или его представителя;
в случае представления работником или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уполномоченные должностные лица администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) в срок, не превышающий семи рабочих дней со дня получения таких сведений, обязаны уничтожить такие персональные данные с уведомлением работника или его представителя;
в случае выявления недостоверных персональных данных работника или неправомерных действий с ними уполномоченных на обработку должностных лиц при обращении или по запросу работника, являющегося субъектом персональных данных, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных, администрация муниципального района "Хангаласский улус" Республики Саха (Якутия) обязаны осуществить блокирование персональных данных, относящихся к соответствующему работнику администрации муниципального района "Хангаласский улус" Республики Саха (Якутия), с момента такого обращения или получения такого запроса на период проверки;
в случае подтверждения факта недостоверности персональных данных работника уполномоченные должностные лица администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) на основании документов, представленных работником, являющимся субъектом персональных данных, или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование;
в случае выявления неправомерных действий с персональными данными уполномоченные должностные лица администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) в срок, не превышающий трех рабочих дней с даты такого выявления, обязаны устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений уполномоченные должностные лица администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) в срок, не превышающий десяти рабочих дней с даты выявления неправомерности действий с персональными данными, обязаны уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных уполномоченные должностные лица администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) обязаны уведомить работника, являющегося субъектом персональных данных, или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
в случае отзыва работником согласия на обработку его персональных данных уполномоченные должностные лица администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) обязаны прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва;
хранение персональных данных должно осуществляться в форме, позволяющей определить работника, являющегося субъектом персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, если:
субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о противодействии коррупции;
обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.
Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме муниципального служащего, являющегося субъектом персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации о противодействии коррупции, о муниципальной службе, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию и другими нормативными правовыми актами Российской Федерации.
Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
В соответствии со статьей 15 Федерального закона от 27 мая 2003г. № 58-ФЗ «О системе государственной службы Российской Федерации» на основе персональных данных гражданских служащих в администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) формируется и ведется, в том числе на электронных носителях, реестр муниципальных служащих Администрации муниципального района "Хангаласский улус" Республики Саха (Якутия).
Сведения о доходах, об имуществе и обязательствах имущественного характера гражданского служащего, его супруги (супруга) и несовершеннолетних детей в соответствии с законодательством о муниципальной службе в Российской Федерации размещаются на официальном сайте Администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) в сети Интернет.
Сроки обработки и хранения персональных данных работников Администрации муниципального района "Хангаласский улус" Республики Саха (Якутия), порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований определяются нормами законодательства Российской Федерации в сфере муниципальной службы, трудового законодательства, законодательства о размещении государственных заказов, законодательства об архивном деле.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральным законом.
Субъект персональных данных имеет право на получение сведений, указанных в статье 14 Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных». Субъект персональных данных вправе требовать от Администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Сведения, указанные в части 7 статье 14 Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных», должны быть предоставлены субъекту персональных данных администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Сведения, указанные в части 7 статьи 14 Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных», предоставляются субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя в тридцатидневный срок. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона от 27 июля 2006 г. № 152- ФЗ «О персональных данных», и ознакомления с такими персональными данными осуществляется не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя, администрация муниципального района "Хангаласский улус" Республики Саха (Якутия) обязана дать в письменной форме мотивированный ответ в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
Меры, принимаемые в администрации муниципального района "Хангаласский улус" Республики Саха (Якутия), для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных:
определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
учет машинных носителей персональных данных;
обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
__________________________________________________
Приложение № 2 к распоряжению администрации
МР «Хангаласский улус» РС (Я)
№908-р от 05.08.2020 г.
Правила рассмотрения запросов субъектов персональных данных или их представителей в АИС «Справка о доходах»
I. Общие положения
1.1. Настоящие Правила рассмотрения запросов субъектов персональных данных или их представителей в Администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) (далее ‒ Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и определяют права субъектов персональных данных, обязанности администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) (далее – Учреждение, Оператор) при обращении субъекта персональных данных или его представителя, а также сроки и последовательность действий должностных лиц Учреждения при рассмотрении запросов субъектов персональных данных или их представителей (далее – Запрос).
1.2. Представитель субъекта персональных данных ‒ лицо, действующее от имени субъекта персональных данных в силу полномочий, основанных на доверенности, указании закона, либо акте уполномоченного на то государственного органа или органа местного самоуправления. При обращении представителя субъекта персональных данных в Учреждение предоставляется документ, подтверждающий полномочия законного представителя.
II. Права субъектов персональных данных
2.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
– подтверждение факта обработки персональных данных Учреждением;
– правовые основания и цели обработки персональных данных;
– цели и применяемые Учреждением способы обработки персональных данных;
– наименование и место нахождения Учреждения, сведения о лицах (за исключением работников Учреждения), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Учреждением или на основании федерального закона;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законодательством в сфере защиты персональных данных;
– сроки обработки персональных данных, в том числе сроки их хранения;
– порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
– информацию об осуществленной или о предполагаемой трансграничной передаче данных;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Учреждения, если обработка поручена или будет поручена такому лицу;
– иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
2.2. Сведения, указанные в п.2.1 настоящих Правил, должны быть предоставлены субъекту персональных данных Учреждением в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
2.3. Сведения, указанные в п.2.1 настоящих Правил, предоставляются субъекту персональных данных или его представителю Учреждением при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Учреждением (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Учреждением, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
2.4. В случае, если сведения, указанные в п.2.1 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Учреждение или направить повторный запрос в целях получения сведений, указанных в п.2.1 настоящих Правил, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
2.5. Субъект персональных данных вправе обратиться повторно в Учреждение или направить повторный запрос в целях получения сведений, указанных в п.2.1 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п.2.4 настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п.2.3 настоящих Правил, должен содержать обоснование направления повторного запроса.
2.6. Учреждение вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 2.4 и 2.5 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Учреждении.
2.7. Субъект персональных данных вправе требовать от Учреждения уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
– обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
– обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
– обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
– доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
– обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
III. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя
3.1. Оператор обязан сообщить в порядке, предусмотренном настоящими Правилами, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
3.2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Оператор обязан дать в письменной форме мотивированный ответ, с указанием причин отказа со ссылкой на положение ч.8 ст.14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
3.3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
IV. Порядок рассмотрения запросов субъектов персональных данных или их представителей
4.1. В день поступления запроса субъекта персональных данных или его представителя в Учреждение указанный запрос необходимо зарегистрировать в соответствии с правилами документооборота, установленными Учреждением, а также внести соответствую запись в Журнал учета обращений субъектов персональных данных. Форма Журнала учета обращений субъектов персональных данных утверждена нормативным актом Учреждения.
4.2. Ответственный за организацию обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, в Учреждении осуществляет непосредственный контроль за соблюдением установленного законодательством Российской Федерации и настоящими Правилами порядка рассмотрения запросов субъектов персональных данных или их представителей. На контроль берутся все запросы.
4.3. Ответственный за организацию обработки защищаемой информации и (или) структурное подразделение, ответственное за исполнение указанного запроса, обеспечивает рассмотрение запроса и подготовку необходимой информации в установленный действующим законодательством срок.
4.4. Для проверки фактов, изложенных в запросах, при необходимости организуются служебные проверки в соответствии с законодательством Российской Федерации.
4.5. По результатам служебной проверки составляется мотивированное заключение, которое должно содержать объективный анализ собранных материалов. Если при проверке выявлены факты совершения сотрудником Учреждения действия (бездействия), содержащего признаки административного правонарушения или состава преступления информация передается незамедлительно в правоохранительные органы. Результаты служебной проверки докладываются руководителю Учреждения.
4.6. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы заявителю.
4.7. Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных должностных лиц ответственность в соответствии с законодательством Российской Федерации
Приложение №3 к распоряжению администрации
МР «Хангаласский улус» РС (Я)
№ 908-р от 05.08.2020 г.
Правила осуществления внутреннего контроля соответствия обработки персональных данных в администрации муниципального района "Хангаласский улус" Республики Саха (Якутия)
I. Общие положения
1.1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных в администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных» (далее ‒ Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
II. Порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) (далее – Учреждение) проводятся периодические проверки условий обработки персональных данных.
2.2. Проверка соответствия обработки персональных данных требованиям к защите персональных данных проводится ответственным за организацию обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, в Учреждении.
2.3. Плановые проверки условий обработки персональных данных проводятся на основании утвержденного руководителем Учреждения ежегодного плана внутренних проверок режима защиты персональных данных (плановые проверки), представленного в приложении к Положению по организации и проведению работ по обеспечению безопасности защищаемой информации, не содержащей сведения, составляющие государственную тайну, при ее обработке в информационных системах Учреждения.
2.4. Внеплановые проверки проводятся на основании поступившей информации о нарушениях правил обработки персональных данных. Проведение внеплановой проверки организуется в течение трех рабочих дней со дня поступления информации о нарушениях правил обработки персональных данных.
2.5. В проведении проверки условий обработки персональных данных не могут участвовать сотрудники Учреждения, прямо или косвенно заинтересованные в ее результатах.
2.6. Проверки условий обработки персональных данных осуществляются непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра служебных мест сотрудников Учреждения, участвующих в процессе обработки персональных данных.
2.7. При проведении проверки условий обработки персональных данных должны быть полностью, объективно и всесторонне установлены:
– порядок и условия применения организационных и технических мер, необходимых для выполнения требований к защите персональных данных;
– порядок и условия соблюдения парольной защиты;
– порядок и условия соблюдения антивирусной защиты;
– порядок и условия обеспечения резервного копирования;
– эффективность принимаемых мер по обеспечению безопасности персональных данных до их ввода в информационные системы персональных данных;
– условия соблюдения режима защиты при подключении к сетям общего пользования и (или) международного обмена;
– порядок и условия обновления программного обеспечения и единообразия применяемого программного обеспечения на всех элементах информационной системы персональных данных;
– порядок и условия применения средств защиты информации;
– состояние учета носителей персональных данных;
– соблюдение правил доступа к персональным данным;
– соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных;
– наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
– мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
2.8. Проверка условий обработки персональных данных должна быть завершена не позднее чем через тридцать календарных дней со дня принятия решения о ее проведении.
2.9. По результатам проведенной проверки условий обработки персональных данных ответственный за организацию обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну, предоставляет руководителю Учреждения письменное заключение с указанием мер, необходимых для устранения выявленных нарушений.
__________________________________________
Приложение №4 к распоряжению администрации
МР «Хангаласский улус» РС (Я)
№ 908-р от 05.08.2020 г.
Правила работы с обезличенными данными в случае обезличивания персональных данных в АИС «Справка о доходах»
I. Общие положения
1.1. Правила работы с обезличенными данными в случае обезличивания персональных данных в администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) (далее – Правила) разработаны в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» и определяют условия обезличивания персональных данных, методы обезличивания персональных данных и порядок работы с обезличенными данными.
II. Условия обезличивания персональных данных
2.1. В соответствии с Федеральным законом «О персональных данных» обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
2.2. Обезличивание персональных данных может быть проведено в статистических целях, в целях предупреждения ущерба от разглашения персональных данных, по достижении целей или в случае утраты необходимости в достижении этих целей, а также в иных целях, предусмотренных законодательством Российской Федерации.
2.3. Обезличивание персональных данных должно обеспечивать следующие свойства информации:
– полноту (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
– структурированность (сохранение структурных связей между обезличенными персональными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
– релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
– семантическую целостность (сохранение семантики (сути и смысла) персональных данных при их обезличивании);
– применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных без предварительного деобезличивания всего объема записей о субъектах);
– анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).
2.4. Методы обезличивания персональных данных должны обладать следующими характеристиками:
– обратимостью (возможностью преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);
– вариативностью (возможностью внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);
– изменяемостью (возможностью внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);
– стойкостью (стойкостью метода к атакам на идентификацию субъекта персональных данных);
– возможностью косвенного дееобезличивания (возможностью проведения деобезличивания с использованием информации других операторов);
– совместимостью (возможностью интеграции персональных данных, обезличенных различными методами);
– параметрическим объемом (возможностью определения объема дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);
– возможностью оценки качества данных (возможностью проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).
2.5. Методы обезличивания персональных данных должны обладать следующими свойствами:
– обратимостью (возможность проведения деобезличивания);
– возможностью обеспечения заданного уровня анонимности;
– увеличением стойкости при увеличении объема обезличиваемых персональных данных.
2.6. Получаемые обезличенные данные должны обладать следующими свойствами:
– сохранением полноты (состав обезличенных данных должен полностью;
– соответствовать составу обезличиваемых персональных данных);
– сохранением структурированности обезличиваемых персональных данных;
– сохранением семантической целостности обезличиваемых персональных данных;
– анонимностью отдельных данных не ниже заданного уровня (количества возможных сопоставлений обезличенных данных между собой для деобезличивания как, например, k- anonymity).
2.7. Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки персональных данных.
2.8. В администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) (далее – Учреждение) могут быть использованы следующие методы обезличивания:
– метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);
– метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);
– метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);
– метод перемешивания (перестановка отдельных записей, а так же групп записей в массиве персональных данных).
2.9. Описание методов обезличивания, обеспечиваемых ими свойств обезличенных данных, оценка свойств методов, требования к реализации методов приведены в приложении к настоящим Правилам.
2.10. Предложения о методах обезличивания вносит ответственный за обеспечение безопасности защищаемой информации, не содержащей сведения, составляющие государственную тайну, в информационных системах Учреждения. Решение о методах обезличивания персональных данных принимает руководитель Учреждения.
2.11. Ответственность за обезличивание персональных данных несет лицо, ответственное по работе с персональными данными в администрации муниципального района "Хангаласский улус" Республики Саха (Якутия) в АИС «Справка о доходах».
III. Порядок работы с обезличенными данными
3.1. Обезличенные персональные данные конфиденциальны и не подлежат разглашению.
3.2. Обезличенные персональные данные могут обрабатываться как с использованием, так и без использования средств автоматизации.
3.3. При обработке обезличенных персональных данных сотрудники Учреждения руководствуются настоящими Правилами.
ПРИЛОЖЕНИЕ
к Правилам работы с обезличенными данными в случае обезличивания персональных данных в администрации муниципального района "Хангаласский улус" Республики Саха (Якутия)
Описание методов обезличивания
I. Метод введения идентификаторов
1.1. Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия.
1.2. Метод обеспечивает следующие свойства обезличенных данных:
– полнота;
– структурированность;
– семантическая целостность;
– применимость.
1.3. Оценка свойств метода:
– обратимость (метод позволяет провести процедуру деобезличивания);
– вариативность (метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания);
– изменяемость (метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания);
– стойкость (метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);
– возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
– совместимость (метод позволяет интегрировать записи, соответствующие отдельным атрибутам);
– параметрический объем (объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию);
– возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
1.4. Для реализации метода требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия.
II. Метод изменения состава или семантики
2.1. Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта.
2.2. Метод обеспечивает следующие свойства обезличенных данных:
– структурированность;
– релевантность;
– применимость;
– анонимность.
2.3. Оценка свойств метода:
– обратимость (метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных);
– вариативность (метод не позволяет изменять параметры метода без проведения предварительного деобезличивания);
– изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
– стойкость (стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);
– возможность косвенного деобезличивания (метод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
– совместимость (метод не обеспечивает интеграции с данными, обезличенными другими методами);
– параметрический объем (параметры метода определяются набором правил изменения состава или семантики персональных данных);
– возможность оценки качества данных (метод не позволяет проводить анализ, использующий конкретные значения персональных данных).
2.4. Для реализации метода требуется выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта. При этом возможно использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки (средние значения, например).
III. Метод декомпозиции
3.1. Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам.
3.2. Метод обеспечивает следующие свойства обезличенных данных:
– полнота;
– структурированность;
– релевантность;
– семантическая целостность;
– применимость.
3.3. Оценка свойств метода:
– обратимость (метод позволяет провести процедуру деобезличивания);
– вариативность (метод позволяет изменить параметры декомпозиции без предварительного деобезличивания);
– изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
– стойкость (метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений);
– возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
– совместимость (метод обеспечивает интеграцию с данными, обезличенными другими методами);
– параметрический объем (определяется числом подмножеств и числом субъектов персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц связывания записей, находящихся в различных хранилищах);
– возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
3.4. Для реализации метода требуется предварительно разработать правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища.
IV. Метод перемешивания
4.1. Метод перемешивания реализуется путем перемешивания отдельных записей, а также групп записей между собой.
4.2. Метод обеспечивает следующие свойства обезличенных данных:
– полнота;
– структурированность;
– релевантность;
– семантическая целостность;
– применимость;
– анонимность.
4.3. Оценка свойств метода:
– обратимость (метод позволяет провести процедуру деобезличивания);
– вариативность (метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания);
– изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
– стойкость (длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию);
– возможность косвенного деобезличивания (метод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов);
– совместимость (метод позволяет проводить интеграцию с данными, обезличенными другими методами);
– параметрический объем (зависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию);
– возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
4.4. Для реализации метода требуется разработать правила перемешивания и их алгоритмы, правила и алгоритмы деобезличивания и внесения изменений в записи.
4.5. Метод может использоваться совместно с методами введения идентификаторов и декомпозиции.
[¢] статья 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
Дополнительные сведения
| Государственные публикаторы: | на специально отведенных местах размещения официальной информации от 05.08.2020 |
| Рубрики правового классификатора: | 010.150.000 Местное самоуправление |
Вопрос юристу
Поделитесь ссылкой на эту страницу:
