ПОЛИТИКА

Администрации города Твери в отношении обработки и защиты

персональных данных

1.Общие положения

      

1.1. Настоящая политика в области обработки и защиты персональных данных (далее - Политика) разработана в целях выполнения требований законодательства РФ в области обработки персональных данных, раскрывает основные категории персональных данных, обрабатываемых оператором, цели, задачи и принципы обработки, права и обязанности оператора при обработке, права субъектов персональных данных. Политика является общедоступным документом, декларирующим концептуальные основы деятельности оператора при обработке персональных данных.

1.2. Термины и определения

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 06.10.2003 № 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации»; Трудовым кодексом Российской Федерации; Федеральным законом от 02.03.2007 № 25-ФЗ «О муниципальной службе в Российской Федерации»; Уставом города Твери; Кодексом Российской Федерации об административных правонарушениях, Семейным кодексом Российской Федерации; Налоговым кодексом Российской Федерации; Гражданским кодексом Российской Федерации; Федеральным законом от 12.02.1998 № 28-ФЗ «О гражданской обороне»; Федеральным законом от 21.12.1994 № 68-ФЗ «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера»; Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»; Законом Тверской области от 09.11.2007 № 121-ЗО «О регулировании отдельных вопросов муниципальной службы в Тверской области»; Федеральным законом от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»; Федеральным законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»; Федеральным законом от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании»; Федеральным законом от 28.03.1998 № 53-Ф3 «О воинской обязанности и военной службе»; Федеральным законом от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»; Федеральным законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»; Федеральным законом от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»; Приказом Министерства здравоохранения и социального развития Российской Федерации от 29.06.2011 № 624н «Об утверждении Порядка выдачи листков нетрудоспособности»; Федеральным законом от 25.12.2008 № 273-Ф3 «О противодействии коррупции»; Федеральным законом от 06.04.2011 № 63-Ф3 «Об электронной подписи»; Федеральным законом от 09.02.2009 № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления»; Федеральным законом от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»; Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»; Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»; Федеральным законом от 26.02.1997 № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации»; Указом Президента Российской Федерации от 30.05.2005 № 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»; Постановлением Правительства Российской Федерации от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

1.3. Категории субъектов, персональные данные которых обрабатываются

Администрация города Твери (далее – Администрация), являясь оператором персональных данных, осуществляет обработку персональных данных следующих субъектов:

1.3.1. работников, являющихся муниципальными служащими;

1.3.2. граждан, включенных в кадровый резерв Администрации и кандидатов на включение в кадровый резерв;

1.3.3. работников, не являющихся муниципальными служащими;

1.3.4. родственников муниципальных служащих;

1.3.5. родственников работников, не являющихся муниципальными служащими;

1.3.6. физических лиц, претендующих на замещение вакантной должности муниципальной службы;

1.3.7. физических лиц, представляемых к награждению;

1.3.8. уволенных работников;

1.3.9. физических лиц в связи с предоставлением муниципальных услуг и исполнением государственных функций.

2. Цели обработки персональных данных

В Администрации города Твери обрабатываются персональные данные субъектов персональных данных, в целях выполнения возложенных законодательством Российской Федерации на Администрацию функций, полномочий и обязанностей.

Основной целью, на достижение которой направлены все положения настоящей Политики, является защита субъектов информационных отношений Администрации от возможного нанесения им материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на персональные данные, их носители, процессы обработки и передачи.

Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств персональных данных:

- доступности персональных данных для легальных пользователей (устойчивого функционирования информационных систем Администрации, при котором пользователи имеют возможность получения необходимых персональных данных и результатов решения задач за приемлемое для них время);

- целостности и аутентичности (подтверждение авторства) персональных данных, хранимых и обрабатываемых в информационных системах Администрации и передаваемой по каналам связи;

- конфиденциальности - сохранения в тайне определенной части персональных данных, хранимых, обрабатываемых и передаваемых по каналам связи.

Необходимый уровень доступности, целостности и конфиденциальности персональных данных обеспечивается соответствующими множеству значимых угроз методами и средствами.

3.Основные задачи системы обеспечения безопасности персональных данных

Для достижения основной цели защиты и обеспечения указанных свойств персональных данных система обеспечения информационной безопасности Администрации должна обеспечивать эффективное решение следующих задач:

- своевременное выявление, оценка и прогнозирование источников угроз информационной безопасности, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, нарушению нормального функционирования информационных систем Администрации;

- создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции;

- создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации;

- защиту от вмешательства в процесс функционирования информационных систем Администрации посторонних лиц (доступ к информационным ресурсам должны иметь только зарегистрированные в установленном порядке пользователи);

- разграничение доступа пользователей к информационным, аппаратным, программным и иным ресурсам Администрации (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа;

- обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);

- защиту от несанкционированной модификации используемых в информационных системах Администрации программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы;

- защиту информации ограниченного пользования от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.

Поставленные основные цели защиты и решение перечисленных выше задач достигаются:

- строгим учетом всех подлежащих защите ресурсов информационных систем Администрации (информации, задач, документов, каналов связи, серверов, автоматизированных рабочих мест);

- полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов Администрации по вопросам обеспечения безопасности информации;

- подготовкой должностных лиц (сотрудников), ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности персональных данных и процессов их обработки;

- наделением каждого сотрудника (пользователя) минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к информационным ресурсам Администрации;

- четким знанием и строгим соблюдением всеми пользователями информационных систем Администрации требований законодательства Российской Федерации по вопросам обеспечения безопасности информации;

- персональной ответственностью за свои действия каждого сотрудника, в рамках своих функциональных обязанностей имеющего доступ к информационным ресурсам Администрации;

- непрерывным поддержанием необходимого уровня защищенности элементов информационной среды Администрации;

- применением физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования;

- эффективным контролем над соблюдением пользователями информационных ресурсов Администрации требований по обеспечению безопасности информации.

4.Основные принципы построения системы безопасности персональных данных

Построение системы обеспечения безопасности персональных данных Администрации и ее функционирование должны осуществляться в соответствии со следующими основными принципами.

4.1. Законность

Предполагает осуществление защитных мероприятий и разработку системы безопасности персональных данных Администрации в соответствии с действующим законодательством в области защиты персональных данных, а также других законодательных актов по безопасности информации Российской Федерации, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с персональными данными. Принятые меры безопасности персональных данных не должны препятствовать доступу правоохранительных органов в предусмотренных законодательством случаях.

Все пользователи информационной системы Администрации должны иметь представление об ответственности за правонарушения в области обработки персональных данных.

4.2. Системность

Системный подход к построению системы защиты информации в Администрации предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных.

При создании системы защиты должны учитываться все слабые и наиболее уязвимые места информационных систем Администрации, а также характер, возможные объекты и направления атак на нее со стороны нарушителей (особенно высококвалифицированных злоумышленников). Система защиты должна строиться с учетом не только всех известных каналов проникновения и несанкционированного доступа к информации, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

4.3. Непрерывность защиты

Обеспечение безопасности персональных данных - процесс, осуществляемый руководством Администрации, ответственным за организацию обработки персональных данных и сотрудниками всех уровней. Это не только и не столько процедура или политика, которая осуществляется в определенный отрезок времени или совокупность средств защиты, сколько процесс, который должен постоянно идти на всех уровнях внутри Администрации и каждый сотрудник Администрации должен принимать участие в этом процессе. Деятельность по обеспечению информационной безопасности является составной частью повседневной деятельности Администрации. И ее эффективность зависит от участия руководства Администрации в обеспечении информационной безопасности персональных данных.

Кроме того, большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления защиты.

4.4. Своевременность

Предполагает упреждающий характер мер обеспечения безопасности персональных данных, то есть постановку задач по комплексной защите персональных данных и реализацию мер обеспечения безопасности персональных данных на ранних стадиях разработки информационных систем в целом и их систем защиты, в частности.

Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой информационной системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресурсов, так и по стойкости) системы, обладающие достаточным уровнем защищенности.

4.5. Преемственность и совершенствование

Предполагает постоянное совершенствование мер и средств защиты персональных данных на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования информационных систем Администрации и системы ее защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.

4.6. Разумная достаточность (экономическая целесообразность)

Предполагает соответствие уровня затрат на обеспечение безопасности персональных данных ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать эргономические показатели работы компонентов информационных систем Администрации.

4.7. Персональная ответственность

Предполагает возложение ответственности за обеспечение безопасности персональных данных и системы их обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.

4.8. Минимизация полномочий

Означает предоставление пользователям минимальных прав доступа в соответствии со служебной необходимостью. Доступ к персональным данным должен предоставляться только в том случае и объеме, если это необходимо сотруднику для выполнения его должностных обязанностей.

4.9. Исключение конфликта интересов (разделение функций)

Эффективная система обеспечения информационной безопасности предполагает четкое разделение обязанностей сотрудников и исключение ситуаций, когда сфера ответственности сотрудников допускает конфликт интересов. Сферы потенциальных конфликтов должны выявляться, минимизироваться, и находиться под строгим независимым контролем. Реализация данного принципа предполагает, что не один сотрудник не должен иметь полномочий, позволяющих ему единолично осуществлять выполнение критичных операций. Для снижения риска манипулирования персональными данными и риска хищения, такие полномочия должны в максимально возможной степени быть разделены между различными сотрудниками или подразделениями Администрации. Необходимо проводить периодические проверки обязанностей, функций и деятельности сотрудников, выполняющих ключевые функции, с тем, чтобы они не имели возможности скрывать совершение неправомерных действий. Кроме того, необходимо принимать специальные меры по недопущению сговора между сотрудниками.

4.10. Взаимодействие и сотрудничество

Предполагает создание благоприятной атмосферы в коллективе Администрации. В такой обстановке сотрудники должны осознанно соблюдать установленные правила и оказывать содействие деятельности ответственным за организацию обработки персональных данных.

4.11. Гибкость системы защиты

Система обеспечения информационной безопасности должна быть способна реагировать на изменения внешней среды и условий осуществления Администрацией своей деятельности. В число таких изменений входят:

- изменения организационной и штатной структуры Администрации;

- изменение существующих или внедрение принципиально новых информационных систем;

- новые технические средства.

Свойство гибкости системы обеспечения информационной безопасности избавляет в таких ситуациях от необходимости принятия кардинальных мер по полной замене средств и методов защиты на новые, что снижает ее общую стоимость.

4.12. Открытость алгоритмов и механизмов защиты

Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам). Это, однако, не означает, что информация об используемых системах и механизмах защиты должна быть общедоступна.

4.13. Простота применения средств защиты

Механизмы и методы защиты должны быть интуитивно понятны и просты в использовании. Применение средств и методов защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций.

4.14. Обоснованность и техническая реализуемость

Информационные технологии, технические и программные средства, средства и меры защиты персональных данных должны быть реализованы на современном уровне развития науки и техники, обоснованы с точки зрения достижения заданного уровня безопасности информации и экономической целесообразности, а также должны соответствовать установленным нормам и требованиям по безопасности персональных данных.

4.15. Специализация и профессионализм

Предполагает привлечение к разработке средств и реализации мер защиты персональных данных специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными специалистами Администрации (ответственными за организацию обработки персональных данных).

4.16. Обязательность контроля

Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил, обеспечения безопасности персональных данных, на основе используемых систем и средств защиты персональных данных, при совершенствовании критериев и методов оценки эффективности этих систем и средств.

Контроль за деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.

Кроме того, эффективная система обеспечения информационной безопасности требует наличия адекватной и всеобъемлющей информации о текущем состоянии процессов, связанных с движением информации и сведений о соблюдении установленных нормативных требований, а также дополнительной информации, имеющей отношение к принятию решений. Информация должна быть надежной, своевременной, доступной и правильно оформленной.

Недостатки системы обеспечения информационной безопасности, выявленные сотрудниками Администрации должны немедленно доводиться до сведения руководства Администрации и оперативно устраняться.

5. Меры обеспечения информационной безопасности

Все меры обеспечения безопасности информационных систем Администрации подразделяются на:

правовые - это действующие в стране законы, указы и нормативные правовые акты, регламентирующие правила обращения с персональными данными, закрепляющие права и обязанности участников информационных отношений в процессе их обработки и использования, а также устанавливающие ответственность за нарушения этих правил.

организационные (административные) - это меры организационного характера, регламентирующие процессы функционирования системы обработки персональных данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

6. Условия и порядок обработки персональных данных муниципальных служащих и граждан, претендующих на замещение должностей муниципальной службы в Администрации

6.1. Персональные данные муниципальных служащих Администрации, граждан, претендующих на замещение должностей муниципальной службы в Администрации, обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия муниципальным служащим Администрации в прохождении муниципальной службы, формирования кадрового резерва муниципальной службы, обучения и должностного роста, учета результатов исполнения муниципальными служащими Администрации должностных обязанностей, обеспечения личной безопасности муниципальных служащих Администрации, и членов их семьи, обеспечения муниципальных служащих Администрации установленными законодательством Российской Федерации условиями труда, гарантиями и компенсациями, сохранности принадлежащего им имущества, а также в целях противодействия коррупции.

6.2. В целях, указанных в пункте 6.1 настоящей Политики, обрабатываются следующие категории персональных данных муниципальных служащих Администрации, а также граждан, претендующих на замещение должностей муниципальной службы Администрации:

- фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);

- число, месяц, год рождения;

- место рождения;

- информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);

- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

- адрес места жительства (адрес регистрации, фактического проживания);

- номер контактного телефона или сведения о других способах связи;

- реквизиты страхового свидетельства государственного пенсионного страхования;

- идентификационный номер налогоплательщика;

- реквизиты страхового медицинского полиса обязательного медицинского страхования;

- реквизиты свидетельства государственной регистрации актов гражданского состояния;

- семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);

- сведения о трудовой деятельности;

- сведения о воинском учете и реквизиты документов воинского учета;

- сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);

- сведения об ученой степени;

- информация о владении иностранными языками, степень владения;

- медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;

- фотография;

- сведения о прохождении муниципальной службы, в том числе: дата, основания поступления на муниципальную службу и назначения на должность, дата, основания назначения, перевода, перемещения на иную должность муниципальной службы, наименование замещаемых должностей муниципальной службы с указанием структурных подразделений, размера денежного содержания, результатов аттестации на соответствие замещаемой должности муниципальной службы, а также сведения о прежнем месте работы;

- информация, содержащаяся в трудовом договоре, дополнительных соглашениях к трудовому договору;

- сведения о пребывании за границей;

- информация о классном чине муниципальной службы (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде муниципальной службы (квалификационном разряде или классном чине государственной гражданской службы);

- информация о наличии или отсутствии судимости;

- информация об оформленных допусках к государственной тайне;

- государственные награды, иные награды и знаки отличия;

- сведения о профессиональной переподготовке и (или) повышении квалификации;

- информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;

- сведения о доходах, расходах, об имуществе и обязательствах имущественного характера;

- номер расчетного счета;

- номер банковской карты;

- иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 6.1 настоящей Политики.

6.3. Обработка персональных данных муниципальных служащих Администрации, граждан, претендующих на замещение должностей муниципальной службы Администрации, осуществляется при условии получения согласия указанных лиц в следующих случаях:

- при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации о муниципальной службе;

- при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

6.4. В случаях, предусмотренных пунктом 6.3. настоящей Политики, согласие субъекта персональных данных оформляется в письменной форме согласно приложению №1 и № 3 к настоящей Политике, если иное не установлено Федеральным законом «О персональных данных».

6.5. Обработка персональных данных муниципальных служащих Администрации, граждан, претендующих на замещение должностей муниципальной службы Администрации, осуществляется отделом муниципальной службы и кадровой работы управления организационно-контрольной работы Администрации и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

6.6. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных муниципальных служащих Администрации, граждан, претендующих на замещение должностей муниципальной службы Администрации, осуществляется путем:

- получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы);

- копирования оригиналов документов;

- внесения сведений в учетные формы (на бумажных и электронных носителях);

- формирования персональных данных в ходе кадровой работы;

- внесения персональных данных в информационные системы Администрации.

6.7. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от муниципальных служащих Администрации, граждан, претендующих на замещение должностей муниципальной службы Администрации.

6.8. В случае возникновения необходимости получения персональных данных муниципального служащего Администрации у третьей стороны, следует известить об этом муниципального служащего заранее, получить его письменное согласие согласно приложению № 2 к настоящей Политике и сообщить ему о целях, предполагаемых источниках и способах получения персональных данных.

6.9. Запрещается получать, обрабатывать и приобщать к личному делу муниципального служащего Администрации персональные данные, не предусмотренные законодательством Российской Федерации, пунктом 6.2 настоящей Политики, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

6.10. При сборе персональных данных сотрудник отдела муниципальной службы и кадровой работы управления организационно-контрольной работы Администрации, осуществляющий сбор (получение) персональных данных непосредственно от муниципальных служащих Администрации обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные (Приложение № 6 к Политике).

6.11. В Администрации утверждается Перечень должностей муниципальных служащих в структурных подразделениях, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (Приложение № 4 к Политике).

6.12. Передача (распространение, предоставление) и использование персональных данных муниципальных служащих Администрации, граждан, претендующих на замещение должностей муниципальной службы Администрации, осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

6.13. Муниципальные служащие, непосредственно осуществляющие обработку персональных данных в Администрации, дают обязательство о неразглашении информации, содержащей персональные данные (Приложение № 7 к Политике).

6.14. В случае расторжения трудового договора с муниципальным служащим, непосредственно осуществляющим обработку персональных данных в Администрации, с него берется обязательство о прекращении обработки персональных данных, ставших ему известными в связи с исполнением должностных обязанностей (Приложение № 5 к Политике).

6.I. Условия и порядок обработки персональных данных работников, не являющихся муниципальными служащими

6.I.1. Персональные данные работников, не являющихся муниципальными служащими, обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия им в работе, обучении и должностном росте, в целях учета результатов исполнения ими должностных обязанностей, обеспечения личной безопасности работников, не являющихся муниципальными служащими, и членов их семьи, обеспечения им установленных законодательством Российской Федерации условий труда, гарантий и компенсаций.

6.I.2. В целях, указанных в пункте 6.I.1. настоящей Политики, обрабатываются следующие категории персональных данных работников, не являющихся муниципальными служащими:

- фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);

- число, месяц, год рождения;

- место рождения;

- информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);

- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

- адрес места жительства (адрес регистрации, фактического проживания);

- номер контактного телефона или сведения о других способах связи;

- реквизиты страхового свидетельства государственного пенсионного страхования;

- идентификационный номер налогоплательщика;

- реквизиты свидетельства государственной регистрации актов гражданского состояния;

- семейное положение, состав семьи и сведения о близких родственниках;

- сведения о трудовой деятельности;

- сведения о воинском учете и реквизиты документов воинского учета;

- сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);

- сведения об ученой степени;

- информация о владении иностранными языками, степень владения;

- сведения о дате поступления на работу, о дате, основаниях назначения, перевода, перемещения на иную должность, наименование должностей с указанием структурных подразделений, размера денежного содержания, а также сведения о прежнем месте работы;

- информация, содержащаяся в должностной инструкции;

- государственные награды, иные награды и знаки отличия;

- сведения о профессиональной переподготовке и (или) повышении квалификации;

- информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;

- номер расчетного счета;

- номер банковской карты;

- иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 6.I.1. настоящей Политики.

6.I.3. Обработка персональных данных и биометрических персональных данных работников, не являющихся муниципальными служащими, осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 6.I.1. настоящей Политики, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона «О персональных данных», Трудовым кодексом Российской Федерации.

6.I.4. Обработка специальных категорий персональных данных работников, не являющихся муниципальными служащими, осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 6.I.1. настоящей Политики, в соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 Федерального закона «О персональных данных» и положениями Трудового кодекса Российской Федерации, за исключением случаев получения персональных данных работника у третьей стороны (в соответствии с пунктом 3 статьи 86 Трудового кодекса Российской Федерации требуется письменное согласие граждан).

6.I.5. Обработка персональных данных работников, не являющихся муниципальными служащими, осуществляется при условии получения согласия указанных лиц в следующих случаях:

- при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации;

- при трансграничной передаче персональных данных;

- при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

6.I.6. Обработка персональных данных работников, не являющихся муниципальными служащими, осуществляется отделом бухгалтерского учета и отчетности и отделом муниципальной службы и кадровой работы управления организационно-контрольной работы Администрации города Твери. Обработка персональных данных работников, не являющихся муниципальными служащими включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

6.I.7. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных работников, не являющихся муниципальными служащими, осуществляется путем:

- получения оригиналов необходимых документов (заявление, трудовая книжка, иные документы, предоставляемые в отдел муниципальной службы и кадровой работы управления организационно-контрольной работы Администрации города Твери);

- копирования оригиналов документов;

- внесения сведений в учетные формы (на бумажных и электронных носителях);

- формирования персональных данных в ходе бухгалтерской и кадровой работы;

- внесения персональных данных в информационные системы Администрации города Твери, используемые отделом бухгалтерского учета и отчетности и отделом муниципальной службы и кадровой работы управления организационно-контрольной работы Администрации города Твери.

6.I.8. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от работников, не являющихся муниципальными служащими.

6.I.9. В случае возникновения необходимости получения персональных данных субъекта у третьей стороны, следует известить об этом работника, не являющегося муниципальными служащими заранее, получить его письменное согласие и сообщить ему о целях, предполагаемых источниках и способах получения персональных данных.

6.I.10. Запрещается получать, обрабатывать и приобщать к личному делу работника, не являющегося муниципальными служащими персональные данные, не предусмотренные пунктом 6.I.2. настоящей Политики, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

6.I.11. При сборе персональных данных сотрудник отдела муниципальной службы и кадровой работы управления организационно-контрольной работы Администрации города Твери, осуществляющий сбор (получение) персональных данных непосредственно от работников, не являющихся муниципальными служащими обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.

6.I.12. Передача (распространение, предоставление) и использование персональных данных работников, не являющихся муниципальными служащими, осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

7. Условия и порядок обработки персональных данных

субъектов в связи с предоставлением муниципальных услуг

и исполнением государственных функций

7.1. В Администрации обработка персональных данных физических лиц осуществляется в целях предоставления следующих муниципальных услуг и исполнения государственных функций:

7.1.1. организация приема граждан, обеспечение своевременного и в полном объеме рассмотрения устных и письменных обращений граждан по вопросам, относящимся к компетенции Администрации;

7.1.2. предоставление муниципальных услуг.

7.2. Персональные данные граждан, обратившихся в Администрацию лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением заявителей о результатах рассмотрения.

В соответствии с законодательством Российской Федерации в Администрации подлежат рассмотрению обращения граждан Российской Федерации, иностранных граждан и лиц без гражданства.

7.3. В рамках рассмотрения обращений граждан подлежат обработке следующие персональные данные заявителей:

- фамилия, имя, отчество (последнее при наличии);

- почтовый адрес;

- адрес электронной почты;

- указанный в обращении контактный телефон;

- иные персональные данные, указанные заявителем в обращении (жалобе), а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения.

7.4. При оказании муниципальных услуг осуществляется обработка следующих персональных данных заявителей:

- фамилия, имя, отчество (последнее при наличии);

- вид, серия, номер документа, удостоверяющего личность;

- адрес места жительства;

- номер контактного телефона и, при наличии, адрес электронной почты.

7.6. Обработка персональных данных, необходимых в связи с предоставлением муниципальных услуг и исполнением государственных функций, указанных в пункте 7.1 настоящей Политики, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 4 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» и иными нормативными правовыми актами, определяющими предоставление муниципальных услуг и исполнение государственных функций в установленной сфере ведения Администрации.

7.7. Обработка персональных данных, необходимых в связи с предоставлением муниципальных услуг и исполнением государственных функций, указанных в пункте 7.1 настоящей Политики, осуществляется структурными подразделениями Администрации, предоставляющими соответствующие муниципальные услуги и (или) исполняющими государственные функции, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

7.8. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов, обратившихся в Администрацию для получения муниципальной услуги или в целях исполнения государственной функции, осуществляется путем:

7.8.1. получения оригиналов необходимых документов (заявление);

7.8.2. заверения копий документов;

7.8.3. внесения сведений в учетные формы (на бумажных и электронных носителях);

7.8.4. внесения персональных данных в прикладные программные подсистемы Единой информационной системы Администрации.

7.9. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных (заявителей).

7.10. При предоставлении муниципальной услуги или исполнении государственной функции Администрацией запрещается запрашивать у субъектов персональных данных и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации.

7.11. При сборе персональных данных уполномоченное должностное лицо структурного подразделения Администрации, осуществляющее получение персональных данных непосредственно от субъектов персональных данных, обратившихся за предоставлением муниципальной услуги или в связи с исполнением государственной функции, обязано разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.

7.12. Передача (распространение, предоставление) и использование персональных данных заявителей (субъектов персональных данных) Администрацией осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

8. Порядок обработки персональных данных субъектов

персональных данных в информационных системах

8.1. Обработка персональных данных в Администрации осуществляется:

8.1.1. в ИСПДн «1С Бухгалтерия»;

8.1.2. в ИСПДн «Зарплата и кадры»;

8.1.3. в ИСПДН «Система бухгалтерского и складского учёта СБИС»

8.1.4. в системе межведомственного электронного взаимодействия;

8.1.5. в ИСПДн «Система электронного документооборота LanDocs».

8.2. Муниципальным служащим Администрации, имеющим право осуществлять обработку персональных данных в информационных системах Администрации, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными инструкциями муниципальных служащих Администрации.

8.3. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных Администрации, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

8.3.1. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Администрации;

8.3.2. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Администрации, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

8.3.3. применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

8.3.4. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

8.3.5. учет машинных носителей персональных данных;

8.3.6. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

8.3.7. восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

8.3.8. установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных Администрации, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных Администрации;

8.3.9. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.

8.4. Структурное подразделение Администрации, ответственное за обеспечение функционирования информационных систем персональных данных, организует и контролирует ведение учета материальных носителей персональных данных.

8.5. Структурное подразделение Администрации, ответственное за обеспечение функционирования информационных систем персональных данных при их обработке в информационных системах персональных данных Администрации, должно обеспечить:

8.5.1. своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных в Администрации и руководителя Администрации;

8.5.2. недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

8.5.3. возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8.5.4. постоянный контроль за обеспечением уровня защищенности персональных данных;

8.5.5. знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

8.5.6. учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

8.5.7. при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин;

8.5.8. разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

8.6. Структурное подразделение Администрации, ответственное за обеспечение функционирования информационных систем персональных данных в Администрации, принимает все необходимые меры по восстановлению персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.

8.7. Обмен персональными данными при их обработке в информационных системах персональных данных Администрации осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.

8.8. Доступ муниципальных служащих Администрации к персональным данным, находящимся в информационных системах персональных данных Администрации, предусматривает обязательное прохождение процедуры идентификации и аутентификации.

8.9. В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных Администрации уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

9. Обработка персональных данных в рамках

межведомственного информационного взаимодействия

с применением единой системы межведомственного

электронного взаимодействия

9.1. Администрация в соответствии с законодательством Российской Федерации осуществляет обработку персональных данных в рамках межведомственного электронного информационного взаимодействия в электронном виде с федеральными органами государственной власти.

10. Сроки обработки и хранения персональных данных

       10.1. Сроки обработки и хранения персональных данных определяются в соответствии с требованиями части 7 статьи 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

       10.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект.

10.3. Сроки обработки и хранения персональных данных муниципальных служащих Администрации, граждан, претендующих на замещение должностей муниципальной службы Администрации, уволенных работников определяются в соответствии с законодательством Российской Федерации. С учетом положений законодательства Российской Федерации, устанавливаются следующие сроки обработки и хранения персональных данных муниципальных служащих:

10.3.1. Персональные данные, содержащиеся в приказах по личному составу муниципальных служащих Администрации (о приеме, о переводе, об увольнении, об установлении надбавок), подлежат хранению в отделе муниципальной службы и кадровой работы управления организационно-контрольной работы Администрации в течение двух лет, с последующим формированием и передачей указанных документов в архив Администрации, где хранятся в течение 75 лет.

10.3.2. Персональные данные, содержащиеся в личных делах муниципальных служащих Администрации, а также личных карточках муниципальных служащих Администрации, хранятся в отделе муниципальной службы и кадровой работы управления организационно-контрольной работы Администрации в течение десяти лет, с последующим формированием и передачей указанных документов в архив Администрации, где хранятся в течение 75 лет.

10.3.3. Персональные данные, содержащиеся в приказах о поощрениях, материальной помощи муниципальных служащих Администрации, подлежат хранению в течение двух лет в отделе муниципальной службы и кадровой работы управления организационно-контрольной работы Администрации с последующим формированием и передачей указанных документов в архив Администрации, где хранятся в течение 75 лет.

10.3.4. Персональные данные, содержащиеся в распоряжениях о предоставлении отпусков, о краткосрочных внутрироссийских и зарубежных командировках, о дисциплинарных взысканиях муниципальных служащих Администрации, подлежат хранению в отделе муниципальной службы и кадровой работы управления организационно-контрольной работы Администрации в течение пяти лет с последующим уничтожением.

10.2. Сроки обработки и хранения персональных данных, предоставляемых субъектами персональных данных в Администрацию в связи с получением муниципальных услуг и исполнением государственных функций, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.

10.3. Персональные данные граждан, обратившихся в Администрацию лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет (ЭПК).

10.4. Персональные данные, предоставляемые субъектами на бумажном носителе в связи с предоставлением Администрацией муниципальных услуг и исполнением государственных функций, хранятся на бумажных носителях в структурных подразделениях Администрации, к полномочиям которых относится обработка персональных данных в связи с предоставлением муниципальной услуги или исполнением муниципальной функции, в соответствии с утвержденными положениями о соответствующих структурных подразделениях Администрации.

10.5. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

10.6. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных Политикой.

10.7. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений Администрации.

10.8. Срок хранения персональных данных, внесенных в информационные системы персональных данных Администрации, должен соответствовать сроку хранения бумажных оригиналов.

11. Порядок уничтожения персональных данных

при достижении целей обработки или при наступлении иных законных оснований

11.1. Структурными подразделениями Администрации осуществляется систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.

11.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании экспертной комиссии Администрации, состав которой утверждается распоряжением Администрации.

По итогам заседания составляются протокол и Акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем и членами комиссии и утверждается руководителем Администрации.

11.3. Уничтожение документов, содержащих персональные данные, осуществляется в порядке, установленном законодательством Российской Федерации.

11.4. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

12. Порядок доступа сотрудников

Администрации в помещения, в которых ведется обработка персональных данных

12.1. Доступ в административные здания, которые используются работниками Администрации, осуществляется в соответствии с режимом, исключающим возможность бесконтрольного входа (выхода) лиц, вноса (выноса) имущества.

12.2. Перечень сотрудников, допущенных к работе с персональными данными определен в данной Политике.

12.3. В своей работе сотрудники, допущенные к обработке персональных данных, должны руководствоваться требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», иных нормативных правовых документов Российской Федерации, Тверской области, Администрации города Твери, настоящей Политики.

12.4. Помещения, в которых обрабатываются персональные данные, должны быть защищены от физического проникновения посторонних лиц. Доступ лиц, не причастных к непосредственной обработке персональных данных в эти помещения должен быть исключен. Исключена возможность визуального просмотра персональных данных.

12.5. Персональные данные на бумажных носителях должны находиться в недоступном для посторонних лиц месте.

12.6. Помещения, в которых ведется обработка персональных данных, запираются на ключ. В случае утраты ключей от помещений, в которых ведется обработка персональных данных, немедленно заменяется замок.

12.7. Вскрытие помещения, в котором ведется обработка персональных данных, и право самостоятельного входа в него производят работники, уполномоченные ответственным за организацию обработки персональных данных в Администрации. Передавать ключи от помещений третьим лицам запрещается.

12.8. Сотрудники, допущенные к обработке персональных данных должны:

пройти инструктаж о соблюдении требований к защите персональных данных;

строго следить за соблюдением режима разграничения доступа, незамедлительно информировать непосредственного руководителя и ответственного за организацию обработки персональных данных обо всех случаях утечки или разрушения обрабатываемой информации;

перед началом обработки персональных данных убедиться в отсутствии в помещении посторонних лиц.

12.9. Для осуществления контроля и поддержания надлежащего режима обработки персональных данных, руководство Администрации, а также ответственный за организацию обработки персональных данных обязаны систематически информировать лиц, осуществляющих обработку защищаемой информации о необходимости повышения их бдительности и персональной ответственности.

12.10. Передача (обмен и.т.д.) персональных данных осуществляется только между сотрудниками, ответственными за обработку, хранение персональных данных.

При временном отсутствии лиц, ответственных за обработку, хранение персональных данных, исполнение обязанностей по обработке и хранению персональных данных возлагается на лицо, исполняющее обязанности временно отсутствующего работника.

12.11. Техническое обслуживание компьютерной и организационной техники, сопровождение программных средств, а также проведение других работ в помещении, в котором ведется обработка персональных данных, осуществляются в присутствии работников, уполномоченных ответственным за организацию обработки персональных данных.

12.12. В случае необходимости принятия в нерабочее время экстренных мер при срабатывании пожарной или охранной сигнализации, авариях в системах энерго-, водо- и теплоснабжения помещение, в котором ведется обработка персональных данных, вскрывается комиссией в составе не менее двух человек.

12.13. Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на ответственного за обработку персональных данных.

12.14. Сотрудники, виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, уголовную ответственность в соответствии с законодательством Российской Федерации.

Начальник управления

организационно-контрольной работы

Администрации города Твери                                                       Е.А. Микляева

Приложение № 1

к Политике                  

СОГЛАСИЕ

на передачу (предоставление) персональных данных третьим лицам

Я,________________________________________________________________

                                           (должность, Ф.И.О.)

Зарегистрированный по адресу:________________________________________

____________________________________________________________________

Паспорт серия____________№______________________________________, выдан__________________________________

в соответствии со статьями 7 и 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» даю согласие оператору - Администрация города Твери, расположенному по адресу: 170100, г. Тверь, ул. Советская, 11, на передачу моих персональных данных

о __________________________________________________________________

кому______________________________________________________________   с целью____________________________________________________________

способом__________________________________________________________

Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме.

           (дата)                                    (подпись)            (расшифровка подписи)

                                                                                    

Приложение № 2

к Политике        

СОГЛАСИЕ

на получение персональных данных у третьих лиц

Я,________________________________________________________________

                                           (должность, Ф.И.О.)

Зарегистрированный по адресу:_________________________________________

____________________________________________________________________

Паспорт серия____________№______________________________________, выдан__________________________________

в соответствии со статьями 7 и 9 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» даю согласие оператору – Администрация горда Твери, расположенному по адресу: 170100, г. Тверь, ул. Советская,11 на получение моих персональных данных                                                

о ___________________________________________________________________

от кого_____________________________________________________________

с целью____________________________________________________________

способом__________________________________________________________

Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме.

           (дата)                                    (подпись)            (расшифровка подписи)

                                                                                    

Приложение № 3

к Политике

 

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Я,_____________________________________________________________________________________________________, паспорт серия _____ № _________ выдан «_____» ____________ г.________________________________________________________,

                                                                          (кем выдан)                          

зарегистрированной(го) по адресу: _______________________________________________

_____________________________________________________________________________ действуя по собственной воле и в своих интересах даю Администрации города Твери (адрес: г. Тверь, ул. Советская, д.11), (далее – оператор) согласие на обработку своих персональных данных.

В лице представителя субъекта персональных данных (заполняется в случае получения согласия от представителя субъекта персональных данных)

_____________________________________________________________________________

(фамилия, имя, отчество полностью)

паспорт серия _________ № ____________ выдан «_____» ___________ г. _____________________________________________________________________________,

                                                                                    (кем выдан)

проживающий по адресу: _____________________________________________________________________________

действующий от имени субъекта персональных данных на основании _____________________________________________________________________________

(реквизиты доверенности или иного документа, подтверждающего полномочия представителя)

Цель обработки персональных данных:

- обеспечение соблюдения требований законодательства Российской Федерации;

- оформление и регулирование трудовых отношений;

- отражение информации в кадровых документах;

- начисление заработной платы;

- исчисление и уплата налоговых платежей, предусмотренных законодательством Российской Федерации;

- представление законодательно установленной отчетности в отношении физических лиц в ИФНС и внебюджетные фонды;

- подача сведений в банк для оформления банковской карты и последующего перечисления на нее заработной платы;

- предоставление налоговых вычетов;

- обеспечение безопасных условий труда;

- исполнение обязательств, предусмотренных договорами _____________________________________________________________________________

(указать какими)

_____________________________________________________________________________

(указать иные цели (при наличии)

_____________________________________________________________________________

Перечень персональных данных, на обработку которых дается согласие:

- фамилия, имя, отчество;

- год, месяц, дата и место рождения;

- свидетельство о гражданстве;

- реквизиты документа, удостоверяющего личность;

- идентификационный номер налогоплательщика, дата постановки его на учет, реквизиты свидетельства постановки на учет в налоговом органе;

- номер свидетельства обязательного пенсионного страхования, дата регистрации в системе обязательного пенсионного страхования;

- номер полиса обязательного медицинского страхования;

- адрес фактического места проживания и регистрации по месту жительства и (или) по месту пребывания;

- почтовый и электронный адреса;

- номера телефонов;

- фотографии;

- сведения об образовании, профессии, специальности и квалификации, реквизиты документов об образовании;

- сведения о семейном положении и составе семьи;

- сведения об имущественном положении, доходах, задолженности;

- сведения о занимаемых ранее должностях и стаже работы, воинской обязанности, воинском учете;

__________________________________________________________________________________________________________

(указать иные категории ПДн, в случае их обработки)

Наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу_________________________________________________________________________

_____________________________________________________________________________

(указать полное наименование юридического лица, фамилия, имя, отчество и адрес физического лица, осуществляющего обработку персональных данных по поручению оператора, которому будет поручена обработка)

Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных:

Обработка вышеуказанных персональных данных будет осуществляться путем смешанной (автоматизированной, не автоматизированной) обработки персональных данных.

Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных (только те, которые применяются реально)

Обработка вышеуказанных персональных данных будет осуществляться путем _____________________________________________________________________________

___                     (указать способ обработки (смешанной, автоматизированной, неавтоматизированной)

__________________________________________________________________________ обработки персональных данных.

Даю согласие на передачу (предоставление) оператором моих данных: _____________________________________________________________________________

___________________________________________________________________________________________________________

(указать полное наименование юридического лица; фамилия, имя, отчество и адрес физического лица; передачу которым дается согласие)

путем ____________________________________________________________________

(предоставления, допуска)

Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

Настоящее согласие на обработку персональных данных действует с момента его представления оператору и может быть отозвано мной в любое время путем подачи оператору заявления в простой письменной форме.

Персональные данные субъекта подлежат хранению в течение сроков, установленных законодательством Российской Федерации. Персональные данные уничтожаются: по достижению целей обработки персональных данных; при ликвидации или реорганизации оператора; на основании письменного обращения субъекта персональных данных с требованием о прекращении обработки его персональных данных (оператор прекратит обработку таких персональных данных в течение 3 (трех) рабочих дней, о чем будет направлено письменное уведомление субъекту персональных данных в течение 10 (десяти) рабочих дней.

___________________________________   /______________/                                                                

«______» __________20____

Приложение № 5

                           к Политике

ОБЯЗАТЕЛЬСТВО

муниципального служащего, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора

прекратить обработку персональных данных, ставших известными в связи с исполнением должностных обязанностей

Я ________________________________________________________________

(фамилия, имя, отчество)

______________________________________________________________________________

(должность)

обязуюсь прекратить обработку персональных данных, ставших известными мне в связи с исполнением должностных обязанностей, в случае расторжения со мной трудового договора, освобождения меня от замещаемой должности и увольнения.

    В соответствии со статьей 7 Федерального закона от 27.07. 2006 № 152-ФЗ «О персональных данных» я уведомлен(а) о том, что персональные данные являются конфиденциальной информацией и я обязан(а) не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, ставших известными мне в связи с исполнением должностных обязанностей.

     Ответственность, предусмотренная Федеральным законом от 27.07. 2006 № 152-ФЗ «О персональных данных» и другими федеральными законами, мне разъяснена.

дата                                                                                                 подпись

Приложение № 6

                                                                                                  к Политике

ТИПОВАЯ ФОРМА

разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные

         Уважаемый (ая) ______________________________________________.

(фамилия, имя, отчество)

           Лица, которые намерены вступить в те или иные правовые отношения с Администрацией города Твери не обязаны предоставлять персональные данные, однако непредоставление данной информации может сделать невозможным установление (продолжение) правовых отношений с Администрацией города Твери и выполнение юридических и иных обязательств.

         Персональные данные хранятся и обрабатываются в Администрации города Твери в соответствии с законодательством Российской Федерации.

Приложение № 7

к Политике

ОБЯЗАТЕЛЬСТВО

о неразглашении информации, содержащей персональные данные

Я,________________________________________________________________

(фамилия, имя, отчество лица, допущенного к обработке персональных данных)

исполняющий(ая) должностные обязанности по замещаемой должности

__________________________________________________________________

предупрежден(а) о том, что на период исполнения должностных обязанностей в соответствии с должностной инструкцией (распределением обязанностей) мне будет предоставлен допуск к информации, содержащей персональные данные.

Настоящим добровольно принимаю на себя обязательства:

    1. Не передавать и не разглашать третьим лицам информацию, содержащую персональные данные, которая мне доверена (будет доверена) или станет известной в связи с исполнением должностных обязанностей.

    2. В случае попытки третьих лиц получить от меня информацию, содержащую персональные данные, сообщать непосредственному начальнику.

    3. Не использовать информацию, содержащую персональные данные, с целью получения выгоды.

    4. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты персональных данных.

    5. В случае расторжения договора (контракта) и (или) прекращения права на допуск к информации, содержащей персональные данные, не разглашать и не передавать третьим лицам известную мне информацию, содержащую персональные данные.

Я предупрежден(а) о том, что нарушение данного обязательства является основанием привлечения к дисциплинарной ответственности и (или) иной ответственности в соответствии с законодательством Российской Федерации.

дата                                                                                                      подпись

Приложение № 8

к Политике

ДОЛЖНОСТНЫЕ ОБЯЗАННОСТИ

ответственного за организацию обработки персональных данных

Раздел I

Общие положения

1. Ответственный за организацию обработки персональных данных (далее - ответственный) в Администрации города Твери (далее - оператор) назначается из числа работников распоряжением руководителя оператора и отвечает за организацию обработки персональных данных оператором.

2. Ответственный в рамках исполнения обязанностей по организации обработки персональных данных подчиняется непосредственно руководителю оператора и осуществляет организацию и контроль соответствия обработки персональных данных установленным требованиям к защите персональных данных оператором, нормативным и организационно-распорядительным документам по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных оператора (далее - ИСПДн).

3. Ответственный в своей работе руководствуется федеральным законодательством Российской Федерации, положениями, руководящими и нормативными документами Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации по защите информации и организационно-распорядительными документами и несет персональную ответственность за свои действия.

Раздел II

Обязанности ответственного

4. Ответственный обязан:

1) знать и выполнять правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;

2) знать и выполнять действующие нормативные и руководящие документы, а также внутренние инструкции и распоряжения, регламентирующие порядок действий по обработке и защите персональных данных;

3) обеспечивать выполнение режимных и организационных мероприятий на месте эксплуатации ИСПДн, а также следить за выполнением требований к размещению средств вычислительной техники и их сохранностью;

4) осуществлять ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных;

5) организовывать обучение работников оператора, непосредственно осуществляющих обработку персональных данных;

6) принимать правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке, предусмотренные соответствующими нормативными правовыми актами, для выполнения установленных требований к защите персональных данных при их обработке, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

7) при обработке персональных данных, осуществляемой без использования средств автоматизации, выполнять требования, установленные Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

8) в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организовывать проведение плановых и внеплановых проверок условий обработки персональных данных оператором;

9) докладывать о результатах проведенных проверок и мерах, необходимых для устранения выявленных нарушений, руководителю оператора;

10) осуществлять контроль за принятием организационных мер, направленных на исключение несанкционированного доступа в помещение с ИСПДн;

11) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в Администрацию города Твери.

Раздел III

Права ответственного за организацию обработки

персональных данных

5. Ответственный имеет право:

1) требовать от пользователей ИСПДн выполнения установленной технологии обработки персональных данных, инструкций и других нормативных правовых документов по обеспечению безопасности персональных данных;

2) участвовать в разработке мероприятий оператора по совершенствованию безопасности персональных данных;

3) инициировать проведение проверок по фактам нарушения установленных требований обеспечения безопасности персональных данных, несанкционированного доступа к ИСПДн, утраты, порчи защищаемых персональных данных и программных и аппаратных средств из состава ИСПДн;

4) обращаться к руководителю оператора с предложением о приостановке процесса обработки персональных данных или отстранении от работы пользователя в случаях нарушения установленной технологии обработки персональных данных или нарушения режима конфиденциальности;

5) вносить предложения по совершенствованию правовых, организационных и технических мер по обеспечению безопасности персональных данных при их обработке оператором.

Приложение 10

к Политике

Правила
рассмотрения запросов субъектов персональных данных
или их представителей в Администрации города Твери

1. Работники, являющиеся муниципальными служащими Администрации города Твери (далее – Администрация), граждане, включенные в кадровый резерв Администрации, работники, не являющиеся муниципальными служащими Администрации, родственники муниципальных служащих, родственники работников, не являющихся муниципальными служащими Администрации, граждане, претендующие на замещение должностей в Администрации, родственники соискателей на замещение вакантных должностей и лиц, включенных в кадровый резерв Администрации, уволенные работники, а также физические лица, персональные данные которых обрабатываются в Администрации, имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

1.1. подтверждение факта обработки персональных данных в Администрации;

1.2. правовые основания и цели обработки персональных данных;

1.3. применяемые в Администрации способы обработки персональных данных;

1.4. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

1.5. сроки обработки персональных данных, в том числе сроки их хранения в Администрации;

1.6. порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;

1.7. информацию об осуществленной или предполагаемой трансграничной передаче данных;

1.8. наименование организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Администрации, если обработка поручена или будет поручена такой организации или лицу;

1.9. иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.

2. Лица, указанные в пункте 1 настоящего Приложения (далее - субъекты персональных данных), вправе требовать от Администрации уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

3. Сведения, указанные в подпунктах 1.1 - 1.9 пункта 1 настоящего Приложения, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

4. Сведения, указанные в подпунктах 1.1 - 1.9 пункта 1 настоящего Приложения, предоставляются субъекту персональных данных или его представителю уполномоченным должностным лицом Администрации, осуществляющим обработку соответствующих персональных данных при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать:

4.1. номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

4.2. сведения, подтверждающие факт обработки персональных данных в Администрации, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

5. В случае, если сведения, указанные в подпунктах 1.1 - 1.9 пункта 1 настоящего Приложения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Администрацию или направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

6. Субъект персональных данных вправе обратиться повторно в Администрацию или направить повторный запрос в целях получения сведений, указанных в подпунктах 1.1 - 1.9 пункта 1 настоящего Приложения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 5 настоящего Приложения, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 4 настоящего Приложения, должен содержать обоснование направления повторного запроса.

7. Администрация (уполномоченное должностное лицо Администрации) вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 5 и 6 настоящего Приложения. Такой отказ должен быть мотивированным.

8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.