Размер:
AAA
Цвет: CCC
Изображения Вкл.Выкл.
Обычная версия сайта

Приложение 12

к Положению о защите и обработке персональных данных

в администрации Заволжского района в городе Твери,

утвержденному приказом главы

администрации района от 23.10.2015 № 174

Политика администрации Заволжского района в г. Твери в отношении обработки и защиты персональных данных

1. Общие положения

1.1. В целях выполнения норм федерального законодательства в области обработки персональных данных субъектов персональных данных администрация Заволжского района в городе Твери считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.

1.2. Настоящая Политика определяет принципы, порядок, правовые основания и условия обработки персональных данных работников администрации и иных лиц, чьи персональные данные обрабатываются администрацией района.

Цель - защита прав и свобод человека и гражданина при обработке его персональных данных, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну. Также устанавливает ответственность должностных лиц администрации, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.3 Политика в отношении обработки персональных данных в администрации Заволжского района в городе Твери разработана в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и ее действие распространяется на все персональные данные субъектов, обрабатываемые в администрации города с применением средств автоматизации и без применения таких средств.

2. Информация об операторе

Наименование: администрация Заволжского района в городе Твери

Фактический адрес: 170042, Россия, Тверская область, город Тверь, улица Горького, дом 130.

Тел.: 8 (4822) 52-15-61

3. Правовые основания обработки персональных данных

Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами Российской Федерации:

- Конституцией Российской Федерации;

- Трудовым кодексом Российской Федерации;

- Гражданским кодексом Российской Федерации;

- Жилищным кодексом Российской Федерации;

- Кодекса Российской Федерации об административных правонарушениях;

- Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";

- Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федеральным законом от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";

- Федеральным законом от 02.03.2007 N 25-ФЗ "О муниципальной службе Российской Федерации";

- Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации",

- Федеральным законом от 06.10.2003 N 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации".

4. Цели обработки персональных данных

Оператор обрабатывает персональные данные исключительно в целях:

- обеспечение кадровой и бухгалтерской работы в отношении муниципальных служащих и иных категорий работников администрации района;

- выполнение работ по предоставлению муниципальных и государственных услуг населению, осуществление муниципальных и государственных функций и других полномочий администрации района в соответствии с законодательством Российской Федерации.

5. Категории обрабатываемых персональных данных

Перечень персональных данных, подлежащих защите в администрации города, формируется в соответствии с Федеральным законом от 27.06.2006 N 152-ФЗ "О персональных данных".

Оператором обрабатываются персональные данные следующих категорий субъектов персональных данных:

- муниципальных служащих и иных категорий работников администрации города в связи с трудовыми отношениями и касающиеся конкретного работника;

- физических лиц, обращающихся в администрацию города с письменными предложениями, заявлениями или жалобами;

- руководителей, уполномоченных представителей юридических лиц, а также физические лица, состоящие в гражданско-правовых отношениях с администрацией района;

- граждан, а также должностных, юридических лиц и индивидуальных предпринимателей, в отношении которых ведутся дела об административных правонарушениях;

- иных физических лиц, сведения о персональных данных которых имеются у администрации города в связи с реализацией ею своих полномочий.

6. Основные принципы и условия обработки персональных данных

6.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", в т.ч.:

- законности обработки персональных данных;

- прекращения обработки персональных данных после достижения конкретных, заранее определенных и законных целей;

- недопустимости обработки персональных данных, несовместимой с целями их сбора;

- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- соответствия содержания и объема обрабатываемых персональных данных заявленным целям их обработки;

- обеспечения точности, достаточности, а в необходимых случаях и актуальности персональных данных по отношению к целям их обработки;

- недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки.

6.2. Оператор обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:

- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

- обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

- обработка персональных данных необходима для исполнения полномочий органов местного самоуправления, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

6.3. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

6.4. В целях информационного обеспечения оператором могут создаваться общедоступные источники персональных данных работников, в том числе справочники и адресные книги. В общедоступные источники персональных данных с согласия работника могут включаться его фамилия, имя, отчество, дата и место рождения, должность, личные номера контактных телефонов, личные адреса электронной почты.

Сведения о работнике должны быть в любое время исключены из общедоступных источников персональных данных по требованию работника либо по решению суда или иных уполномоченных государственных органов.

6.5. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению руководителя оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".

6.6. В случае отказа субъекта персональных данных предоставить администрации района свои персональные данные, ему должны быть разъяснены юридические последствия такого отказа.

6.7. Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).

6.8. Оператор не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

6.9. Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.

7. Передача персональных данных субъекта персональных данных третьим лицам

7.1. Передача персональных данных субъекта персональных данных третьим лицам осуществляется на основании мотивированных письменных запросов с указанием конкретных персональных данных и целей, для которых они будут использованы, с письменного согласия субъекта персональных данных, за исключением случаев, установленных законодательством Российской Федерации

7.2. Оператор обязан сообщать персональные данные субъекта персональных данных по надлежаще оформленным запросам суда, прокуратуры, правоохранительных органов.

7.3. Оператор прекращает обработку персональных данных в случае:

- изменения, признания утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;

- изменения или расторжения соглашений, заключенных Оператором во исполнение нормативных правовых актов, на основании которых осуществляется обработка персональных данных;

- выявления неправомерной обработки персональных данных, осуществляемой Оператором;

- достижения цели обработки персональных данных;

- отзыва субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" обработка персональных данных допускается только с согласия субъекта персональных данных.

7.4. Сроки хранения персональных данных муниципальных служащих и иных категорий работников Оператора определяются в соответствии с Трудовым кодексом Российской Федерации, а также Федеральным законом от 02.03.2007 N 25-ФЗ "О муниципальной службе Российской Федерации".

7.5. Сроки хранения персональных данных граждан определяются в соответствие со сроком действия договора с субъектом персональных данных, сроком исковой давности, а также иными требованиями законодательства РФ.

8. Меры по обеспечению безопасности персональных данных при их обработке

8.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них.

Для целенаправленного создания оператором неблагоприятных условий и труднопреодолимых препятствий для нарушителей, пытающихся осуществить несанкционированный доступ к персональным данным в целях овладения ими, их видоизменения, уничтожения, заражения вредоносной компьютерной программой, подмены и совершения иных несанкционированных действий, оператором применяются следующие организационно-технические меры:

- назначение ответственных за организацию обработки персональных данных;

- осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам;

- обработка персональных данных, осуществляемая без использования средств автоматизации, организована в соответствии с требованиями установленными Постановлением Правительства РФ от 15.09.2008 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учет машинных носителей персональных данных;

- выявление фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;

- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установление правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

8.2. Вводится:

- ограничение и регламентация состава работников, имеющих доступ к персональным данным;

- ознакомление работников с требованиями федерального законодательства и нормативных документов оператора по обработке и защите персональных данных;

- обеспечение учета и хранения материальных носителей информации и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;

- определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;

- разработка на основе модели угроз системы защиты персональных данных для соответствующего класса информационных систем;

- реализация системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;

- регистрация и учет действий пользователей информационных систем персональных данных;

- парольная защита доступа пользователей к информационной системе персональных данных;

- применение в необходимых случаях средств криптографической защиты информации для обеспечения безопасности персональных данных при передаче по открытым каналам связи и хранении на машинных носителях информации;

- осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок; применение межсетевого экранирования;

- обнаружение вторжений в корпоративную сеть оператора, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;

- централизованное управление системой защиты персональных данных;

- резервное копирование информации;

- обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- обучение работников, использующих средства защиты информации, применяемые в информационных системах персональных данных, правилам работы с ними;

- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;

- использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

- проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;

- размещение технических средств обработки персональных данных в пределах охраняемой территории;

- организация пропускного режима на территорию оператора;

- поддержание технических средств охраны, сигнализаций помещений в состоянии постоянной готовности.

9. Права субъектов персональных данных

9.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Федеральном законе от 27.07.2006 N 152-ФЗ "О персональных данных", возлагается на оператора.

9.2. Субъект персональных данных вправе требовать от Оператора, который их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

9.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

9.4. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

9.5. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.

9.6. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" или иным образом нарушает его права свободы, то он вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

10. Заключительные положения

10.1. Приказом главы администрации района назначается ответственный за организацию обработки персональных данных и их защиту.

10.2. Настоящая Политика является внутренним документом Оператора, общедоступной и подлежит размещению на официальном сайте администрации города Твери, на станице администрации района.

10.3. Настоящая Политика обязательна для соблюдения и подлежит доведению до всех сотрудников администрации района.

10.4. Ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации.