Постановление от 25.04.2013 г № 719
Об утверждении Правил обработки персональных данных в Администрации муниципального образования «Кезский район»
1.Утвердить Правила обработки персональных данных в Администрации муниципального образования "Кезский район" (прилагается).
2.Разместить настоящее постановление на официальном сайте муниципального образования "Кезский район".
3.Контроль за исполнением настоящего постановления возложить на руководителя Аппарата Главы МО, Районного Совета депутатов и Администрации МО "Кезский район" Тетерину В.К.
Глава Администрации
МО "Кезский район"
И.О.БОГДАНОВ
Утвеждены
постановлением
Администрации МО "Кезский район"
от 25 апреля 2013 г. N 719
ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ
МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ "КЕЗСКИЙ РАЙОН"
I.Общие положения
1.Настоящие Правила обработки персональных данных в Администрации муниципального образования "Кезский район" (далее - Правила) разработаны на основании и во исполнение:
- Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон N 152-ФЗ);
- постановления Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
- постановления Правительства Российской Федерации от 17 ноября 2007 года N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных";
- постановления Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
2.Настоящие Правила устанавливает единый порядок обработки персональных данных в Администрации муниципального образования "Кезский район" (далее - Учреждение) и являются обязательными для исполнения всеми сотрудниками Учреждения.
3.Целью настоящих Правил является обеспечение защиты персональных данных граждан от несанкционированного доступа, неправомерного их использования или утраты.
4.Настоящие Правила устанавливают и определяют:
1) процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
2) цели обработки персональных данных;
3) содержание обрабатываемых персональных данных для каждой цели обработки персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) сроки обработки и хранения обрабатываемых персональных данных;
6) порядок уничтожения обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований;
7) правила рассмотрения запросов субъектов персональных данных или их представителей;
8) правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных Федеральным законом N 152-ФЗ, принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;
9) правила работы с обезличенными данными;
10) перечень информационных систем персональных данных;
11) должностную инструкцию ответственного за организацию обработки персональных данных;
12) типовое обязательство лица, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора (контракта) прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
13) типовую форму согласия на обработку персональных данных субъектов персональных данных;
14) типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
15) порядок доступа в помещения, в которых ведется обработка персональных данных.
II.Меры, направленные на выявление и предотвращение нарушений законодательства в сфере персональных данных
5.К мерам, направленным на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных, относятся:
1) назначение ответственного за организацию обработки персональных данных в Учреждении;
2) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с требованиями Федерального закона N 152-ФЗ;
3) осуществление внутреннего контроля соответствия обработки персональных данных требованиям Федерального закона N 152-ФЗ и принятых в соответствии с ним нормативных правовых актов, требованиям к защите персональных данных, политике Учреждения в отношении обработки персональных данных, локальным актам Учреждения;
4) оценка вреда, который может быть причинен субъектам персональным данных в случае нарушения законодательства Российской Федерации и настоящих Правил;
5) ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и настоящим Положением;
6) запрет на обработку персональных данных лицами, не допущенными к их обработке.
III.Способы и правила обработки персональных данных в информационных системах персональных данных в зависимости от применения средств автоматизации
6.Способы обработки персональных данных в информационных системах персональных данных:
- обработка персональных данных с использованием средств автоматизации;
- обработка персональных данных без использования средств автоматизации;
- смешанная обработка персональных данных.
IV.Порядок обработки персональных данных в информационных системах персональных данных с использованием средств автоматизации
7.Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 17 ноября 2007 года N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
8.При эксплуатации автоматизированных систем необходимо соблюдать требования:
1) к работе допускаются только лица, назначенные соответствующим распоряжением;
2) на ПЭВМ, дисках, папках и файлах, на которых обрабатываются и хранятся сведения о персональных данных, должны быть установлены пароли (идентификаторы);
3) пребывание посторонних лиц в помещении, где ведется обработка ПДН, допускается только в присутствии сотрудников, допущенных к обработке ПДН.
V.Порядок обработки персональных данных без использования средств автоматизации
9.Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).
Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.
При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности, при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных, осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных.
При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия:
- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать:
- сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации,
- имя (наименование) и адрес оператора,
- фамилию, имя, отчество и адрес субъекта персональных данных,
- источник получения персональных данных,
- сроки обработки персональных данных,
- перечень действий с персональными данными, которые будут совершаться в процессе их обработки,
- общее описание используемых оператором способов обработки персональных данных;
- типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
- типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
VI.Правила смешанной обработки персональных данных
10.При смешанной обработке персональных данных необходимо выполнять правила, объединяющие правила обработки персональных данных при их обработке каждым из используемых при смешанной обработке персональных данных способов (пункты 7 - 9 настоящих Правил).
VII.Цели обработки персональных данных
11.Целью обработки персональных данных является:
1) осуществление возложенных на Администрацию муниципального образования "Кезский район" федеральным законодательством, законодательством Удмуртской Республики и Уставом муниципального образования "Кезский район" полномочий и обязанностей по решению вопросов местного значения муниципального образования "Кезский район";
2) организация деятельности Администрации муниципального образования "Кезский район" для обеспечения соблюдения законов и иных нормативных правовых актов, реализации права на труд, права избирать и быть избранным в органы местного самоуправления, права на пенсионное обеспечение и медицинское страхование работников Учреждения.
VIII.Содержание обрабатываемых персональных данных для осуществления возложенных на администрацию муниципального образования "Кезский район" функций, полномочий и обязанностей по решению вопросов местного значения
12.К персональным данным, обрабатываемым для достижения целей, указанных в пункте 1 части 11 настоящих Правил (осуществление полномочий по решению вопросов местного значения), относятся:
1) анкетные и биографические данные гражданина, включая адрес места жительства и проживания, телефонные номера (домашний, рабочий, сотовый);
2) паспортные данные или данные иного документа, удостоверяющего личность и гражданство, включая серию, номер, дату выдачи, наименование органа, выдавшего документ;
3) сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки;
4) сведения о трудовой деятельности, опыте работы, занимаемой должности, трудовом стаже, повышения квалификации и переподготовки;
5) сведения о составе семьи и наличии иждивенцев, сведения о месте работы или учебы членов семьи;
6) сведения о состоянии здоровья и наличии заболеваний (когда это необходимо в случаях, установленных законом);
7) сведения об отношении к воинской обязанности;
8) сведения о доходах и обязательствах имущественного характера, в том числе членов семьи;
9) сведения об идентификационном номере налогоплательщика;
10) сведения о социальных льготах и о социальном статусе.
13.Перечень персональных данных, обрабатываемых Учреждением, должен соответствовать требованиям действующего законодательства для осуществления возложенных на Администрацию муниципального образования "Кезский район" функций, полномочий и обязанностей по решению вопросов местного значения.
Обработка персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных, недопустима.
IX.Содержание обрабатываемых персональных данных для реализации права на труд, права избирать и быть избранным в органы местного самоуправления, права на пенсионное обеспечение и медицинское страхование работников
14.К персональным данным, обрабатываемым для достижения целей, указанных в пункте 2 части 11 настоящих Правил, относятся:
1) анкетные и биографические данные гражданина, включая адрес места жительства и проживания, телефонные номера (домашний, рабочий, сотовый), фотографии;
2) паспортные данные или данные иного документа, удостоверяющего личность и гражданство, включая серию, номер, дату выдачи, наименование органа, выдавшего документ;
3) сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки, включая серию, номер, дату выдачи диплома, свидетельства, аттестата или другого документа об окончании образовательного учреждения, дату начала и завершения обучения;
4) сведения о трудовой деятельности, опыте работы, занимаемой должности, трудовом стаже, повышения квалификации и переподготовки, включая сведения о номере, серии, дате выдачи трудовой книжки (вкладыша в нее) и записях в ней, содержание и реквизиты трудового договора (контракта);
5) сведения о составе семьи и наличии иждивенцев, сведения о месте работы или учебы членов семьи;
6) сведения о состоянии здоровья и наличии заболеваний (когда это необходимо в случаях, установленных законом);
7) сведения об отношении к воинской обязанности;
8) сведения о доходах и обязательствах имущественного характера, в том числе супруги (супруга) и несовершеннолетних детей;
9) сведения об идентификационном номере налогоплательщика;
10) сведения о социальных льготах и о социальном статусе;
11) сведения из страховых полисов обязательного (добровольного) медицинского страхования);
12) сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
13) сведения о поощрениях, командировках и отпусках работников.
15.Перечень персональных данных, обрабатываемых Учреждением, должен соответствовать требованиям действующего законодательства для реализации права на труд, права избирать и быть избранным в органы местного самоуправления, права на пенсионное обеспечение и медицинское страхование работников.
Обработка персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных, недопустима.
X.Категории субъектов, персональные данные которых обрабатываются
16.К субъектам, персональные данные которых обрабатываются в Учреждении, относятся:
1) глава Администрации муниципального образования "Кезский район";
2) граждане, претендующие на замещение должности муниципальной службы и должности технического (рабочего) персонала в Администрации муниципального образования "Кезский район";
3) граждане, замещающие (замещавшие) должности муниципальной службы и должности технического (рабочего) персонала в Администрации муниципального образования "Кезский район";
4) граждане, обратившиеся с обращениями в Администрацию муниципального образования "Кезский район".
XI.Сроки обработки и хранения обрабатываемых персональных данных
17.Сроки обработки и хранения персональных данных определяются:
1) в соответствии с требованиями архивного законодательства Российской Федерации, в том числе в соответствии с перечнями типовых архивных документов с указанием сроков их хранения;
2) сроком исковой давности.
18.При использовании документов, содержащих персональные данные, в различных целях определение сроков обработки, в том числе хранения, таких документов устанавливается по максимальному сроку. При этом в случае наличия персональных данных в таких документах, обработка которых более не требуется, производятся действия по уничтожению таких данных.
19.Хранение персональных данных в Учреждении осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Хранение персональных данных в информационных системах персональных данных и вне таких систем Учреждения осуществляется только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного:
- доступа к ним,
- их уничтожения,
- изменения,
- блокирования,
- копирования,
- предоставления,
- распространения.
XII.Уничтожения обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований
20.Уничтожение персональных данных - это действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
21.Уничтожение персональных данных в Учреждении производится только в следующих случаях:
- обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
- персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
- в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки персональных данных невозможно;
- в случае достижения цели обработки персональных данных;
- в случае отзыва субъектом персональных данных согласия на обработку его персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных.
22.При уничтожении персональных данных применяются следующие способы:
- измельчение в бумагорезательной (бумагоуничтожительной) машине - для документов, исполненных на бумаге;
- тщательное вымарывание (с проверкой тщательности вымарывания) - для сохранения возможности обработки иных данных, зафиксированных на материальном носителе, содержавшем персональные данные;
- измельчение в специальной бумагорезательной (бумагоуничтожительной) машине или физическое уничтожение (разрушение) носителей информации - для носителей информации на оптических дисках;
- физическое уничтожение частей носителей информации - разрушение или сильная деформация - для носителей информации на жестком магнитном диске (уничтожению подлежат внутренние диски и микросхемы); SSD-дисках, USB- и Flash-носителях (уничтожению подлежат модули и микросхемы долговременной памяти);
- стирание с помощью сертифицированных средств уничтожения информации - для записей в базах данных и отдельных документов на машинном носителе.
При уничтожении персональных данных необходимо учитывать их наличие в архивных базах данных и производить уничтожение во всех копиях базы данных, если иное не установлено действующим законодательством Российской Федерации.
При необходимости уничтожения части персональных данных допускается уничтожать материальный носитель одним из указанных в настоящем Положении способов с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению.
Уничтожение персональных данных производится лицами, обрабатывающими персональные данные в соответствующей информационной системе персональных данных, в которой производится уничтожение персональных данных, только в присутствии лица, ответственного за организацию обработки персональных данных в Учреждении.
23.По факту уничтожения персональных данных составляется акт уничтожения персональных данных по форме, приведенной в приложении 1, который подписывается лицами, производившими уничтожение, заверяется лицом, ответственным за организацию обработки персональных данных, присутствовавшим при уничтожении, и утверждается главой Администрации муниципального образования "Кезский район".
Хранение актов уничтожения персональных данных осуществляется в течение срока исковой давности, если иное не установлено нормативно-правовыми актами Российской Федерации.
XIII.Осуществление блокирования персональных данных
24.Блокированием персональных данных называется временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Блокирование персональных данных конкретного субъекта персональных данных должно осуществляться во всех информационных системах персональных данных организации, включая архивы баз данных, содержащих такие персональные данные, информационных систем персональных данных.
25.Блокирование персональных данных в Учреждении осуществляется:
- в случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных с момента такого обращения или получения указанного запроса на период проверки;
- в случае отсутствия возможности уничтожения персональных данных в установленные сроки до их уничтожения.
После устранения выявленной неправомерной обработки персональных данных Учреждение осуществляет снятие блокирования персональных данных.
XIV.Осуществление обезличивания персональных данных
26.Обезличивание персональных данных в Учреждении при обработке персональных данных с использованием средств автоматизации осуществляется с помощью специализированного программного обеспечения на основании нормативно-правовых актов, правил, инструкций, руководств, регламентов, инструкций на такое программное обеспечение и иных документов для достижения заранее определенных и заявленных целей.
27.Допускается обезличивание персональных данных при обработке персональных данных без использования средств автоматизации производить способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
XV.Правила рассмотрения запросов субъектов персональных данных
28.Субъект персональных данных, указанный в части 16 настоящих Правил, имеет право на получение информации, касающейся обработки его персональных данных. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона N 152-ФЗ.
29.Субъект персональных данных имеет право требовать от оператора уточнения его персональных данных, их блокирования или уничтожения, в случае если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
30.При обращении либо при получении запроса субъекта персональных данных или его представителя сведения должны быть предоставлены в доступной форме. Запрос регистрируется в день поступления по правилам делопроизводства.
31.Запрос субъекта персональных данных должен содержать сведения, позволяющие провести его идентификацию:
1) фамилию, имя, отчество субъекта персональных данных или его представителя,
2) адрес проживания субъекта персональных данных или его представителя,
3) номер и дату выдачи основного документа, подтверждающего личность субъекта персональных данных или его представителя,
4) подпись субъекта персональных данных или его представителя.
Запрос может быть направлен электронной почтой и подписан электронной подписью в соответствии с законодательством Российской Федерации.
32.Оператор при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных обязан сообщить в порядке статьи 14 Федерального закона N 152-ФЗ субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными в течение 30 (тридцати) дней с даты получения запроса.
В случае отказа в предоставлении информации о наличии персональных данных оператор обязан дать в письменной форме мотивированный ответ со ссылкой на действующее законодательство, являющийся основанием для такого отказа. Отказ в предоставлении информации направляется в срок, не превышающий 30 (тридцати) дней со дня получения запроса субъекта персональных данных.
33.В случае предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор в срок, не превышающий 7 (семь) рабочих дней, вносит в них необходимые изменения. О внесенных изменениях уведомляется субъект персональных данных или его представитель.
34.В случае предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные в срок, не превышающий 7 (семь) рабочих дней. Об уничтоженных персональных данных уведомляется субъект персональных данных или его представитель.
35.При получении запроса из уполномоченного органа по защите прав субъектов персональных данных оператор обязан сообщить необходимую информацию в течение 30 (тридцати) дней с даты получения такого запроса.
36.Возможность ознакомления с персональными данными предоставляется на безвозмездной основе лицом, ответственным за обработку персональных данных.
XVI.Правила осуществления внутреннего контроля
37.В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Учреждении организуется проведение периодических проверок условий обработки персональных данных. Внутренний контроль соответствия обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных осуществляется путем проведения проверки не реже одного раза в год. Срок проведения проверки устанавливается 1 квартал текущего года.
Проведение внутреннего контроля соответствия обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (далее - внутренний контроль) осуществляет Комиссия в составе специалистов сектора информатизации Аппарата Главы муниципального образования, Районного Совета депутатов и Администрации муниципального образования "Кезский район" под руководством начальника управления правовой работы, информатизации и взаимодействия с представительными органами Аппарата.
При проведении внутренней проверки соответствия обработки персональных данных установленным требованиям комиссией должны быть полностью, объективно и всесторонне установлены:
1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
2) порядок и условия применения средств защиты информации;
3) эффективность принимаемых мер по обеспечению безопасности персональных данных;
4) состояние учета машинных носителей персональных данных;
5) соблюдение правил доступа к персональным данным;
6) наличие (отсутствие) фактов несанкционированного доступа к персональным данным;
7) мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) осуществление мероприятий по обеспечению целостности персональных данных.
В отношении персональных данных, ставших известными комиссии в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
38.Оператор должен обеспечить необходимые условия для проведения проверки и обязан организовать доступ к оборудованию, в помещения, где осуществляется обработка персональных данных, предоставить необходимую информацию и документацию для достижения целей проверки.
39.Оператор при проведении проверки имеет право: непосредственно присутствовать при проведении проверки, давать объяснения по вопросам, относящимся к предмету проверки, знакомиться с результатами проверки.
40.По результатам проверки составляется акт проверки, который подписывается членами комиссии и представляется главе Администрации муниципального образования "Кезский район".
В акте отражаются сведения о результатах проверки, в том числе о выявленных нарушениях обязательных требований законодательства Российской Федерации в области персональных данных, об их характере и о лицах, допустивших указанные нарушения.
Акт должен содержать одно из следующих заключений:
- об отсутствии в деятельности оператора нарушений требований действующего законодательства в области персональных данных;
- о выявленных в деятельности оператора нарушениях требований действующего законодательства и нормативных документов Учреждения в области персональных данных, с указанием конкретных статей и (или) пунктов нарушенных нормативных правовых актов.
XVII.Правила работы с обезличенными данными
41.Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса используемых информационных систем персональных данных и по достижению сроков обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством Российской Федерации.
42.К способам обезличивания персональных данных при условии дальнейшей обработки персональных данных относятся:
1) уменьшение перечня обрабатываемых сведений;
2) замена части сведений идентификаторами;
3) обобщение (понижение) точности некоторых сведений;
4) деление сведений на части и обработка их в разных информационных системах;
5) другие способы.
43.К способам обезличивания персональных данных в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.
44.Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
45.Обезличенные персональные данные могут обрабатываться с использования и без использования средств автоматизации.
46.При обработке обезличенных персональных данных с использованием средств автоматизации необходимо:
1) использование паролей;
2) использование антивирусных программ;
3) соблюдение правил доступа в помещение, в котором ведется обработка персональных данных.
47.При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
1) хранения бумажных носителей в условиях, исключающих доступ к ним посторонних лиц;
2) соблюдение правил доступа в помещение, в котором ведется обработка персональных данных.
XVIII.Перечень информационных систем персональных данных
48.Перечень информационных систем персональных данных, используемых для обработки персональных данных Учреждением, утверждается распоряжением Администрации муниципального образования "Кезский район".
XIX.Перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
49.Перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, утверждается распоряжением Администрации муниципального образования "Кезский район".
XX.Перечень лиц, осуществляющих обработку персональных данных
50.Перечень лиц, осуществляющих обработку персональных данных, утверждается распоряжением Администрации муниципального образования "Кезский район".
51.Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашении информации, содержащей персональные данные (приложение N 2 настоящих Правил).
XXI.Ответственный за организацию обработки персональных данных
52.Распоряжением Администрации МО "Кезский район" назначается ответственный за обработку персональных данных по каждой информационной системе ПДН, а также по каждому структурному подразделению Администрации, ведущему обработку ПДН и без использования средств автоматизации.
53.Ответственный за организацию обработки персональных под роспись знакомится с должностной инструкцией ответственного за организацию обработки персональных данных в Администрации муниципального образования "Кезский район". (приложение N 3 настоящих Правил.)
XXII.Обязательство о прекращении обработки персональных данных
54.Лица, замещающие должности, указанные в части 16 настоящих Правил в случае расторжения с ним контракта (договора), дают письменное обязательство прекратить обработку персональных данных, ставших известными им в связи с исполнением должностных обязанностей.
Обязательство о прекращении обработки персональных данных дается в письменной форме (приложением N 4 настоящих Правил).
XXIII.Согласие на обработку персональных данных
55.Оператор перед обработкой персональных данных получает у субъектов обработки персональных данных, указанных в статье 16 настоящих Правил, согласие на обработку персональных данных.
Согласие на обработку персональных данных дается субъектом обработки персональных данных в письменной форме.
Типовая форма согласия на обработку персональных данных в целях, предусмотренных пунктом 1 части 11 настоящих Правил, является приложением N 5 настоящих Правил.
Типовая форма согласия на обработку персональных данных в целях, предусмотренных пунктом 2 статьи 11 настоящих Правил, является приложением N 6 настоящих Правил.
XXIV.Юридические последствия отсутствия согласия на обработку персональных данных
56.В случае отсутствия согласия на обработку персональных данных оператор разъясняет субъекту обработки персональных данных юридические последствия отказа предоставить свои персональные данные.
Разъяснение юридических последствий осуществляется в письменной форме (приложение N 6 настоящих Правил).
XXV.Порядок доступа в помещения, в которых ведется обработка персональных данных
57.Все сотрудники, постоянно работающие в помещениях, в которых ведется обработка персональных данных, должны быть допущены к работе с соответствующими видами персональных данных.
58.В служебных помещениях, занимаемых Администрацией муниципального образования "Кезский район", применяются административные, технические, физические и процедурные меры, направленные для защиты данных от нецелевого использования, несанкционированного доступа, раскрытия, потери, изменения и уничтожения обрабатываемых персональных данных.
К указанным мерам относятся:
1) физические меры защиты: двери, снабженные замками, сейфы и безопасное уничтожение носителей, содержащих персональные данные;
2) технические меры защиты: применение антивирусных программ, программ защиты, установление паролей на персональных компьютерах;
3) организационные меры защиты: обучение и ознакомление с принципами безопасности и конфиденциальности, доведение до операторов обработки персональных данных важности защиты персональных данных и способов обеспечения защиты.
59.Запрещается оставлять материальные носители с персональными данными без присмотра в незапертом помещении, в котором осуществляется обработка персональных данных.
60.Пребывание посторонних лиц в кабинетах, в которых ведется обработка персональных данных, допускается только в присутствии сотрудников, допущенных к обработке персональных данных.
Приложения
2013-04-25
Приложение к Постановлению от 25 апреля 2013 года № 719
Приложение к Постановлению от 25 апреля 2013 года № 719