Приложение к Постановлению от 05.04.2017 г № 464
Политика в отношении обработки и защиты персональных данных в администрации муниципального образования «Балезинский район»
Персональные данные (ПД) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.
Автоматизированная обработка персональных данных - обработка ПД с помощью средств вычислительной техники.
Информационная система персональных данных (ИСПД) - совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств.
Блокирование персональных данных - временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание ПД и (или) в результате которых уничтожаются материальные носители ПД.
1.Общие положения
1.1.Настоящая Политика (далее - Политика) разработана в соответствии с ч. 2 ст. 18.1 Федерального закона РФ "О персональных данных" N 152-ФЗ от 27.07.2006 и действует в отношении всех персональных данных (далее - ПД), которые Администрация МО "Балезинский район" (далее - Администрация) получает в ходе своей деятельности от субъектов персональных данных (далее - субъект ПД).
1.2.Администрация обеспечивает защиту обрабатываемых ПД от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями следующих нормативных документов:
- Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ;
- Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ;
- постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении Положения об обеспечении безопасности ПД при их обработке в ИСПД";
- постановление Правительства РФ от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки ПД, осуществляемой без использования средств автоматизации";
- приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";
- "Специальные требования и рекомендации по технической защите конфиденциальной информации". Утверждены приказом Гостехкомиссии России от 30.08.2002 N 282;
- положения об обработке и защите ПД, утвержденные распоряжением Администрации от 23 июня 2009 года N 56.
1.3.Изменение настоящей Политики.
1.3.1.Администрация имеет право вносить изменения в Политику, указывая в заголовке о внесенных изменениях и дате последнего обновления редакции.
1.3.2.Новая редакция Политики вступает в силу с момента ее размещения на официальном сайте муниципального образования "Балезинский район" в сети Интернет по адресу: http://balezino.udmurt.ru/ (далее - Официальном сайте).
1.3.3.Оригинал действующей редакции настоящей политики хранится по адресу нахождения оператора: 427550, Удмуртская Республика, п. Балезино, ул. Кирова, д. 2, электронная копия доступна на Официальном сайте.
2.Обработка персональных данных
2.1.Обработка ПД Администрацией осуществляется в соответствии с утвержденными положениями об обработке и защите ПД.
2.2.Получение ПД Администрацией от субъекта ПД.
2.2.1.Все ПД Оператор получает от самого субъекта ПД в рамках трудовых или гражданско-правовых отношений. В случае получения ПД не от субъекта ПД Администрация обязуется уведомить об этом субъекта ПД в письменной форме.
2.2.2.Администрация сообщает субъекту ПД о составе обрабатываемых ПД, источнике их получения, целях, способах и сроках обработки данных ПД, а также о возможных последствиях отказа субъекта ПД от обработки его ПД Администрацией.
2.2.3.Администрация получает ПД в ходе следующих процедур обработки ПД:
- передача субъектом ПД необходимых документов (трудовая книжка, справка о доходах и др.) в рамках трудовых отношений или для оказания заявителю услуг, в рамках уставной деятельности муниципального образования;
- копирование оригиналов документов, предоставленных субъектом ПД (паспорт, свидетельство ИНН, документ об образовании и др.) в рамках гражданско-правовых отношений, в случаях исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем.
2.2.4.Цели обработки ПД Администрацией:
- осуществление трудовых отношений;
- осуществление гражданско-правовых отношений;
- решение вопросов местного значения в рамках уставной деятельности.
2.2.5.Категории субъектов ПД, обрабатываемых Администрацией:
- физические лица, состоящие с Администрацией в трудовых отношениях;
- физические лица, являющиеся близкими родственниками сотрудников Администрации;
- физические лица - заявители на оказание услуг, предусмотренных Уставом Администрации;
- физические лица, освободившие муниципальную должность;
- физические лица, являющиеся кандидатами на вакантную должность;
- физические лица, состоящие с Администрацией в гражданско-правовых отношениях.
2.2.6.Состав ПД обрабатываемых Администрацией, состав документов, содержащих ПД, цели и правовые основания обработки по категориям субъектов ПД, а также сроки хранения документов, представлены в утвержденном Администрацией перечне ПД, в том числе:
- сведения, полученные при осуществлении трудовых отношений с субъектом ПД (Ф.И.О., паспортные данные, место жительства, ИНН, сведения о воинском учете, образовании, сведения о близких родственниках и др.);
- сведения, передаваемые заявителями для оказания муниципальных услуг (Ф.И.О., паспортные данные, местожительства, справки и др.);
- сведения, полученные при осуществлении гражданско-правовых отношений (Ф.И.О., паспортные данные, местожительства, свидетельство ОГРН и др.).
2.2.7.Обработка ПД Администрацией ведется с использованием средств автоматизации и без использования средств автоматизации.
2.3.Хранение ПД Администрацией осуществляется в форме, позволяющей определить субъекта ПД, не дольше чем того требуют цели обработки ПД, за исключением случаев, когда срок хранения ПД установлен Федеральными законами или договором, стороной которого является субъект ПД.
2.3.1.ПД, полученные Администрацией от субъекта, хранятся как на бумажных носителях, так и в электронном виде.
2.3.2.ПД на бумажных носителях хранятся в запираемых шкафах и сейфах в пределах контролируемой зоны.
2.3.3.ПД в электронном виде хранятся на жестких дисках персональных компьютеров сотрудников Администрации.
2.3.4.Администрации запрещено размещать электронные документы, содержащие ПД, в открытых электронных каталогах (файлообменниках).
2.4.Уничтожение ПД осуществляется Администрацией в случае достижения целей обработки ПД в срок, не превышающий 30 (тридцати) дней с даты достижения целей обработки ПД и производится в соответствии с утвержденной инструкцией о порядке уничтожения носителей ПД.
2.4.1.Уничтожение носителей ПД на бумажных носителях производится Администрацией путем дробления (измельчения), сожжения с составлением соответствующего акта об уничтожении носителей ПД.
2.4.2.ПД на электронных носителях уничтожаются путем форматирования носителя без возможности последующего восстановления информации.
2.5.Передача ПД осуществляется Администрацией в следующих случаях если:
- субъект ПД выразил свое согласие передачу своих ПД;
- передача ПД предусмотрена законодательством Российской Федерации.
2.5.1.Перечень организаций, которым передаются ПД Администрацией:
- Пенсионный фонд Российской Федерации для учета (на законных основаниях);
- Федеральная налоговая служба Российской Федерации (на законных основаниях);
- банки для начисления заработной платы (на основании договора);
- иные государственные и муниципальные органы и организации на законном основании или с согласия субъекта ПД или уведомления субъекта ПД о передаче его ПД, если это не нарушает права и законные интересы субъекта ПД.
3.Защита персональных данных
3.1.В соответствии с требованиями нормативных документов Администрацией создана система защиты ПД, состоящая из подсистем правовой, организационной и технической защиты:
- подсистема правовой защиты представляет собой комплекс организационно-распорядительных и нормативных документов, обеспечивающих создание и функционирование системы защиты ПД;
- подсистема организационной защиты включает в себя организацию структуры системы защиты ПД, контрольно-пропускного и внутриобъектового режимов, разрешительной системы, защиты информации при работе с работниками, партнерами и сторонними лицами, аналитической работы;
- подсистема технической защиты включает в себя комплекс программных и программно-аппаратных средств, обеспечивающих защиту ПД при их обработке.
3.2.Основные организационные и технические меры по защите ПД, используемые Администрацией:
3.2.1.Контрольно-пропускной режим.
Контрольно-пропускной режим предусматривает наличие системы контроля доступа при входной группе, дополнительно оборудованный системой связи, система контроля осуществляет функции препятствия допуску посторонних лиц.
3.2.2.Внутриобъектовый режим.
Внутриобъектовый режим предусматривает допуск сотрудников в помещения Администрации на основании правил внутреннего трудового распорядка, наличие помещений ограниченного доступа и допуск посетителей под контролем сотрудников на местах. Доступ в хранилище, серверную комнату ограничен.
3.2.3.Разрешительная система.
Разрешительная (разграничительная) система представляет собой совокупность организационно-правовых норм и требований, устанавливаемых Администрацией с целью обеспечения правомерного ознакомления и использования сотрудниками ПД, необходимых для исполнения своих должностных обязанностей.
Администрацией установлена двухступенчатая разрешительная система, включающая в себя допуск работника к обработке ПД и разрешение на доступ работника к конкретным носителям ПД и выполнение определенных действий с данными носителями. Разграничен доступ в помещения, где ведется обработка ПД.
3.2.4.Организационные мероприятия:
- назначен ответственный за организацию обработки ПД;
- утвержден перечень работников Администрации, допущенных к обработке ПД, права их доступа к конкретным носителям ПД и перечень разрешенных действий;
- сотрудники Администрации, участвующие в обработке ПД, проходят инструктаж о порядке и принципах обработки и защиты ПД, в соответствии с требованиями утвержденных нормативных документов;
- Администрацией проводится периодический внутренний контроль и аудит безопасности ПД, осуществляются плановые проверки наличия носителей и соблюдения сотрудниками требований по обработке и защите ПД;
- организован прием и обработка обращений и запросов физических и юридических лиц;
- материалы, предназначенные для открытого опубликования, содержащие ПД, проходят экспертизу на наличие в таких материалах только общедоступных ПД;
- субъекты, обращающиеся в Администрацию, дают согласие на обработку ПД.
3.2.5.Программно-технические меры защиты:
- для хранения бумажных носителей ПД предусмотрены сейфы и запираемые ящики;
- установлены индивидуальные пароли доступа сотрудников в информационную систему ПД;
- для защиты от внедрения вредоносных программ используется лицензионное антивирусное средство защиты с регулярно обновляемыми антивирусными базами;
- передача ПД в государственные органы (на законном основании) и банк осуществляется в защищенном виде, с применением средств криптографической защиты;
- предусмотрена возможность восстановления ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним или неумышленных действий (резервное копирование).
4.Основные права и обязанности субъекта ПД и оператора
4.1.Права субъекта ПД при обработке его ПД.
4.1.1.Субъект ПД имеет право неограниченного доступа к своим ПД.
4.1.2.Субъект ПД имеет право получить от Оператора следующие сведения:
- подтверждение факта обработки ПД Администрацией;
- правовые основания и цели обработки ПД;
- цели и применяемые Администрацией способы обработки ПД;
- наименование и место нахождения Администрации, сведения о лицах (за исключением сотрудников Администрации), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Администрацией или на основании положений Федерального закона;
- сроки обработки и хранения ПД;
- порядок осуществления субъектом ПД прав, предусмотренных Федеральным законом;
- порядок обращения к Администрации и направление ей запросов;
- порядок обжалования действий или бездействия Администрации по вопросам обработки ПД.
4.2.Обязанности субъекта ПД при обработке его ПД.
4.2.1.Субъект ПД обязан предоставить Администрации необходимые для обработки полные и достоверные сведения.
4.3.Права Администрации при обработке ПД:
- проверка достоверности обрабатываемых ПД субъектов ПД законными способами;
- привлечение сотрудников к соблюдению требований нормативных документов по обработке и защите ПД;
- осуществление контроля выполнения требований по обработке ПД;
- привлечение к ответственности сотрудников, нарушающих требования законодательства по обработке ПД.
4.4.Обязанности Администрации при обработке ПД:
- предоставление субъекту ПД информации о целях, способах, сроках и перечне действий по обработке его ПД;
- уведомление субъекта ПД в случае, если его ПД были получены не от субъекта ПД;
- принятие необходимых правовых, организационных и технических мер по защите ПД от несанкционированного или случайного доступа к ним;
- предоставление письменных ответов на запросы и обращения субъектов ПД, их законных представителей и уполномоченного органа по защите прав субъектов ПД.
5.Ответственность
5.1.Ответственность за обработку и защиту ПД субъектов несет Администрация.
5.2.За разглашение ПД и нарушение порядка обработки ПД вне зависимости от формы их представления сотрудники Администрации могут быть привлечены к дисциплинарной, административной, гражданской, уголовной и иной, предусмотренной законодательством Российской Федерации ответственности.
5.3.Моральный вред, причиненный субъекту ПД вследствие нарушения его прав, нарушения правил обработки ПД, установленных Федеральным законом, а также требований к защите ПД, установленных в соответствии с Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПД убытков.