1. Общие положения
Настоящие Правила (политика) обработки персональных данных в Администрации Октябрьского района Курской области (далее – Правила) разработаны на основании и во исполнение:
Федерального закона РФ от 27.07.2006 №152-ФЗ «О персональных данных»;
Постановления Правительства РФ от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
Постановления Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
и определяют политику Администрации Октябрьского района Курской области в отношении обработки персональных данных.
Настоящие Правила утверждаются и вводятся в действие постановлением Главы Администрации Октябрьского района Курской области от 08.08.2019 № 697.
и являются обязательными для исполнения всеми сотрудниками Администрации Октябрьского района Курской области.
Настоящие Правила:
устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
определяют для каждой цели обработки персональных данных:
содержание обрабатываемых персональных данных,
категории субъектов, персональные данные которых обрабатываются,
сроки их обработки и хранения,
порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
перечни персональных данных, обрабатываемых в связи с реализацией трудовых отношений, а также в связи с оказанием государственных (муниципальных) услуг и осуществлением государственных (муниципальных) функций;
оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона«О персональных данных»;
определяют соотношение вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона«О персональных данных» и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом«О персональных данных»;
устанавливают правила рассмотрения запросов субъектов персональных данных или их представителей;
устанавливают правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом«О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора;
устанавливают типовую форму согласия на обработку персональных данных сотрудников и иных субъектов персональных данных;
устанавливают типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
устанавливают правила работы с обезличенными данными;
определяют перечень должностей сотрудников, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
определяют перечень информационных систем персональных данных;
определяют перечень должностей сотрудников, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
устанавливают порядок ознакомления сотрудников Администрации Октябрьского района Курской области, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организуют обучение указанных сотрудников;
устанавливают перечень и правила ведения иных локальных актов по вопросам обработки персональных данных, включая:
порядок доступа сотрудников в помещения, в которых ведется обработка персональных данных;
должностная инструкция ответственного за организацию обработки персональных данных;
типовое обязательство сотрудников, непосредственно осуществляющих обработку персональных данных, в случае расторжения с ними государственного контракта прекратить обработку персональных данных, ставших известными в связи с исполнением должностных обязанностей.
2. Основные понятия, используемые в Политике
В настоящих Правилах используются следующие основные понятия:
персональные данные– любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор– государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
автоматизированная обработка персональных данных– обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных– действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных– действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных– временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных– действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных– действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных– совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных– передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
конфиденциальность персональных данных – обязанность операторов и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом
специальные категории персональных данных – персональные данные, в том числе, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, о судимости
биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность
использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
3. Цели обработки персональных данных
Администрации Октябрьского района Курской области, являясь оператором персональных данных, должен определять цели обработки персональных данных в своих информационных системах персональных данных.
Цели обработки персональных данных в информационных системах персональных данных должны быть четко определены и соответствовать:
заявленным в Уставе или Положении;
перечням задач или функций структурных подразделений (должностных лиц) Администрации Октябрьского района Курской области, указанным в положениях о таких структурных подразделениях (должностных обязанностях).
Определение целей обработки персональных данных в информационных системах персональных данных производится в Правилах обработки персональных данных конкретных информационных систем персональных данных Администрации Октябрьского района Курской области.
Цели обработки персональных данных определяют:
содержание и объем обрабатываемых персональных данных,
категории субъектов, персональные данные которых обрабатываются,
сроки их обработки и хранения,
порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
Цели обработки персональных данных должны быть:
конкретны;
заранее определены;
законны;
заявлены.
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Совместимость целей определяется по наличию общей цели связанной с заявленным в Уставе, Положении основными полномочиями и правами Администрации Октябрьского района Курской области или по наличию общей цели, определяемой действующим законодательством Российской Федерации.
4. Способы и правила обработки персональных данных в информационных системах персональных данных в зависимости от применения средств автоматизации
Способы обработки персональных данных в информационных системах персональных данных:
обработка персональных данных без использования средств автоматизации;
обработка персональных данных с использованием средств автоматизации;
исключительно автоматизированная обработка персональных данных.
5. Обработка персональных данных с согласия субъекта персональных данных
В случае если обработка персональных данных субъекта персональных данных в информационной системе персональных данных осуществляется на основании согласияи не имеется оснований для обработки таких персональных данных без получения согласия, должны выполняться указанные в настоящем пункте правила.
Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
Согласие на обработку персональных данных должно быть:
конкретным,
информированным,
сознательным.
Согласие на обработку персональных данных Администрации Октябрьского района Курской области может быть дано может быть дано субъектом персональных данных или его представителем только в письменной форме. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.
В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
В случае получения согласия от законного представителя субъекта персональных данных или наследников субъекта персональных данных они обязаны представить документы, подтверждающие их полномочия.
Допускается включение согласия в типовые формы (бланки) материальных носителей персональных данных и в договоры с субъектами персональных данных.
Письменные согласия субъектов персональных данных должны храниться в Администрации Октябрьского района Курской области.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных путем направления обращения в Администрацию Октябрьского района Курской области. При получении такого обращения выполняются действия предусмотренные пунктом 2.14.8 настоящего Положения.
Требования к содержанию согласия на обработку персональных данных приведено в пункте 2.15 настоящего Положения.
6. Обработка персональных данных без согласия субъекта персональных данных
Обработка персональных данных, осуществляемая без получения согласия на такую обработку от субъекта персональных данных может осуществляться только по основаниям, указанным в пункте 2.4.2, при этом обязанность предоставить доказательство наличия таких оснований возлагается на Администрацию Октябрьского района Курской области.
Порядок определения оснований обработки персональных данных без согласия на обработку персональных данных от субъекта персональных данных, их определения, оформления и предоставления приведен в пунктах 2.7, 2.9, 2.14 и 2.18 настоящих Правил.
7. Конфиденциальность персональных данных
Запрет раскрытия третьим лицам и распространения персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом Администрация Октябрьского района Курской области и иными лицами, получившим доступ к персональным данным называется конфиденциальностью персональных данных.
8. Обеспечение безопасности персональных данных при их обработке
В соответствии с требованиями действующего законодательства в области персональных данных при обработке персональных данных в Администрации Октябрьского района Курской области обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита информации, содержащейся в информационных системах, технических средств (в том числе средств вычислительной техники, машинных носителей информации, средств и систем связи и передачи данных, технических средств обработки буквенно-цифровой, графической, видео- и речевой информации), общесистемного, прикладного, специального программного обеспечения, информационных технологий, а также средств защиты информации.
Работы по обеспечению безопасности персональных данных при их обработке в информационных системах в Администрации Октябрьского района Курской области являются неотъемлемой частью работ по созданию информационных систем.
9. Принципы обеспечения безопасности персональных данных при их обработке
Обеспечение безопасности персональных данных в Администрации Октябрьского района Курской области должно осуществляться на основе следующих принципов:
соблюдение конфиденциальности персональных данных и иных характеристик их безопасности;
реализация права на доступ к персональным данным лиц, доступ которых к таким данным разрешается в рамках действующего законодательства Российской Федерации и локальными нормативными актами Администрации Октябрьского района Курской области;
обеспечение защиты информации, содержащей персональные данные, от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
проведение мероприятий, направленных на предотвращение несанкционированной передачи их лицам, не имеющим права доступа к такой информации;
своевременное обнаружение фактов несанкционированного доступа к персональным данным;
недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
постоянный контроль за обеспечением уровня защищенности персональных данных;
применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия.
Категорически запрещается нарушать указанные принципы по обеспечению безопасности персональных данных.
10. Требования к помещениям, в которых производится обработка персональных данных
Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
Помещения, в которых располагаются технические средства информационных систем персональных данных или хранятся носители персональных данных, соответствуют требованиям пожарной безопасности, установленными действующим законодательством Российской Федерации.
В Администрации Октябрьского района Курской области производится оснащение помещений, в которых располагаются технические средства информационных систем персональных данных или хранятся носители персональных данных, входными дверьми с замками, осуществляется обеспечение постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода, а также оборудование помещений устройствами, сигнализирующими о несанкционированном вскрытии помещений.
Доступ в помещения, в которых располагаются технические средства информационных систем персональных данных или хранятся носители персональных данных, в рабочее и нерабочее время, а также в нештатных ситуациях, должен осуществляться в соответствии с инструкцией по организации режима обеспечения безопасности помещений по утверждённым перечням лиц, имеющих право доступа в соответствующие помещения.
Кроме указанных мер по специальному оборудованию и охране помещений, в которых устанавливаются криптографические средства защиты информации или осуществляется их хранение, реализуются дополнительные требования, определяемые методическими документами ФСБ России.
11. Ответственность за нарушение требований в области персональных данных
Лица, виновные в нарушении требований действующего законодательства в области персональных данных, несут предусмотренную законодательством Российской Федерации ответственность. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.