Постановление администрации г. Н.Новгорода от 04.02.2014 N 269 "Об организации обработки персональных данных в администрации города Нижнего Новгорода"
АДМИНИСТРАЦИЯ ГОРОДА НИЖНЕГО НОВГОРОДА
ПОСТАНОВЛЕНИЕ
от 4 февраля 2014 г. № 269
ОБ ОРГАНИЗАЦИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В АДМИНИСТРАЦИИ ГОРОДА НИЖНЕГО НОВГОРОДА
Список изменяющих документов
(в ред. постановления администрации г. Н.Новгорода
от 08.08.2014 № 3135)
В соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", постановлением Правительства РФ от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Уставом города Нижнего Новгорода, распоряжением администрации города Нижнего Новгорода от 31.08.2009 № 271-р "Об организации работ по защите персональных данных", постановлением администрации города Нижнего Новгорода от 12.08.2010 № 4541 "Об организации работы с персональными данными в администрации города Нижнего Новгорода" администрация города Нижнего Новгорода постановляет:
1. Утвердить для отраслевых (функциональных) структурных подразделений администрации города Нижнего Новгорода, не являющихся юридическими лицами:
1.1. Политику в отношении обработки персональных данных (приложение № 1).
1.2. Правила обработки персональных данных (приложение № 2).
1.3. Правила рассмотрения запросов субъектов персональных данных или их представителей (приложение № 3).
2. Назначить ответственным за организацию обработки персональных данных в отраслевых (функциональных) структурных подразделениях администрации города Нижнего Новгорода, не являющихся юридическими лицами, заместителя главы администрации города Нижнего Новгорода Никонова В.А.
(п. 2 в ред. постановления администрации г. Н.Новгорода от 08.08.2014 № 3135)
3. Определить, что отраслевые (функциональные) структурные подразделения и территориальные органы администрации города Нижнего Новгорода, являющиеся юридическими лицами, наделены полномочиями и исполняют функции операторов, осуществляющих обработку персональных данных.
4. Возложить на отраслевые (функциональные) структурные подразделения администрации города Нижнего Новгорода, не являющиеся юридическими лицами, полномочия по ознакомлению лиц, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации, правовыми актами администрации города Нижнего Новгорода о порядке обработки персональных данных и требованиях к обеспечению безопасности персональных данных, оформлению обязательств лиц, осуществляющих обработку персональных данных, в случае расторжения с ними служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными им в связи с исполнением должностных обязанностей.
5. Руководителям отраслевых (функциональных) структурных подразделений и территориальных органов администрации города Нижнего Новгорода, являющихся юридическими лицами, в срок до 01.05.2014:
5.1. Назначить ответственного за организацию обработки персональных данных.
5.2. Привести в соответствие с требованиями законодательства Российской Федерации должностные инструкции ответственных за организацию обработки персональных данных.
5.3. Утвердить политику в отношении обработки персональных данных, правила обработки персональных данных, правила рассмотрения запросов субъектов персональных данных или их представителей и иные правовые акты, подлежащие утверждению оператором, обрабатывающим персональные данные, в соответствии с действующим законодательством и иными нормативными правовыми актами в области обработки персональных данных.
При разработке документов, указанных в подпункте 5.3 постановления, руководствоваться политикой в отношении обработки персональных данных, правилами обработки персональных данных, правилами рассмотрения запросов субъектов персональных данных или их представителей, утвержденными настоящим постановлением.
6. Руководителям отраслевых (функциональных) структурных подразделений администрации города Нижнего Новгорода, не являющихся юридическими лицами, в течение 10 рабочих дней со дня опубликования постановления назначить ответственного за организацию работы по обработке персональных данных и внести соответствующие изменения в должностную инструкцию.
7. Руководителям отраслевых (функциональных) структурных подразделений и территориальных органов администрации города Нижнего Новгорода:
7.1. Обеспечивать выполнение требований законодательства и иных нормативных правовых актов Российской Федерации, правовых актов администрации города Нижнего Новгорода при обработке персональных данных.
7.2. Обеспечивать поддержание в актуальном состоянии правовых и организационно-распорядительных документов по работе с персональными данными и их защите.
7.3. Представлять в управление делами администрации города Нижнего Новгорода по запросу копии правовых и организационно-распорядительных документов по работе с персональными данными и их защите.
8. Управлению делами администрации города Нижнего Новгорода (Хусиянов А.А.) обеспечить организацию и контроль выполнения требований законодательства и иных нормативных правовых актов Российской Федерации, правовых актов администрации города Нижнего Новгорода при обработке персональных данных в администрации города Нижнего Новгорода.
9. Департаменту организационно-кадрового обеспечения деятельности администрации города Нижнего Новгорода (Гаврилов С.С.) обеспечить:
9.1. Внесение изменений в должностную инструкцию лица, ответственного за организацию обработки персональных данных в отраслевых (функциональных) структурных подразделениях администрации города Нижнего Новгорода, не являющихся юридическими лицами, в части прав и обязанностей по организации обработки персональных данных.
9.2. Подготовку правового акта о внесении изменений в постановление администрации города Нижнего Новгорода от 12.08.2010 № 4541 "Об организации работы с персональными данными в администрации города Нижнего Новгорода" в целях приведения его в соответствие с действующим законодательством и иными нормативными правовыми актами в области обработки персональных данных.
10. Департаменту общественных отношений и информации администрации города Нижнего Новгорода (Раков С.В.) обеспечить опубликование постановления в средствах массовой информации.
11. Департаменту правового обеспечения администрации города Нижнего Новгорода (Филиппова Н.О.) обеспечить размещение постановления на официальном сайте администрации города Нижнего Новгорода в сети Интернет.
12. Контроль за исполнением постановления оставляю за собой.
Исполняющий обязанности
главы администрации города
М.М.ХОЛКИНА
Приложение № 1
к постановлению
администрации города
от 04.02.2014 № 269
ПОЛИТИКА
В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
1.1. Настоящая политика в отношении обработки персональных данных (далее - Политика) в отраслевых (функциональных) структурных подразделениях администрации города Нижнего Новгорода, не являющихся юридическими лицами (далее - структурные подразделения, структурные подразделения администрации города Нижнего Новгорода), разработана в соответствии с частью 2 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
1.2. Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Политика является общедоступным документом, декларирующим основы деятельности структурных подразделений администрации города Нижнего Новгорода, связанной с обработкой персональных данных.
1.4. Действие Политики не распространяется на отношения, возникающие при:
организации хранения, комплектования, учета и использования содержащих персональные данные архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
1.5. В Политике используются термины и определения, установленные в Федеральном законе от 27.07.2006 № 152-ФЗ "О персональных данных".
1.6. Администрация города Нижнего Новгорода является оператором, организующим и осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, в структурных подразделениях.
1.7. Администрация города Нижнего Новгорода включена в Реестр операторов персональных данных за регистрационным номером 10-0085203 от 29.12.2009.
1.8. Отраслевые (функциональные) структурные подразделения и территориальные органы администрации города Нижнего Новгорода, являющиеся юридическими лицами, подлежат включению в Реестр операторов персональных данных.
2. Принципы и цели обработки персональных данных,
субъекты персональных данных
2.1. Обработка персональных данных в структурных подразделениях администрации города Нижнего Новгорода основана на следующих принципах:
2.1.1. Соблюдение законности целей и способов обработки персональных данных.
2.1.2. Ограничения обработки персональных данных достижением конкретных, заранее определенных целей.
2.1.3. Соответствие целей обработки персональных данных целям сбора персональных данных, содержанию и объему обрабатываемых персональных данных.
2.1.4. Недопустимость объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.1.5. Обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных.
2.1.6. Выполнение правовых, организационных и технических мер по обеспечению безопасности персональных данных при их обработке.
2.1.7. Соблюдение прав субъекта персональных данных на доступ к его персональным данным.
2.1.8. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
2.1.9. Уничтожение обрабатываемых персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
2.2. Целями обработки персональных данных в структурных подразделениях администрации города Нижнего Новгорода являются:
2.2.1. Исполнение условий трудового договора (служебного контракта) и осуществление прав и обязанностей в соответствии с трудовым законодательством, законодательством о муниципальной службе.
2.2.2. Рассмотрение обращений граждан Российской Федерации в соответствии с законодательством.
2.2.3. Выполнение обязательств по гражданско-правовым договорам (контрактам) и иным соглашениям, заключаемым администрацией города Нижнего Новгорода.
2.2.4. Предоставление муниципальных услуг, реализация полномочий органа местного самоуправления.
2.2.5. Создание общедоступных источников персональных данных.
2.3. Субъектами обработки персональных данных в структурных подразделениях администрации города Нижнего Новгорода являются:
2.3.1. Граждане, состоящие с администрацией города Нижнего Новгорода в отношениях, регулируемых трудовым законодательством, законодательством о муниципальной службе.
2.3.2. Граждане, являющиеся кандидатами на включение во внешний кадровый резерв администрации города Нижнего Новгорода.
2.3.3. Граждане, обращающиеся в администрацию города Нижнего Новгорода и ее структурные подразделения, в том числе с целью получения муниципальных услуг.
2.3.4. Граждане, персональные данные которых обрабатываются в связи с реализацией полномочий органа местного самоуправления, в том числе предоставлением муниципальных услуг.
2.3.5. Граждане, состоящие с администрацией города Нижнего Новгорода, ее структурными подразделениями в гражданско-правовых отношениях.
2.4. Обработка персональных данных осуществляется с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие субъекта персональных данных должно отвечать требованиям, определенным Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных".
3. Обязанности администрации города Нижнего Новгорода
при обработке персональных данных
3.1. Издавать правовые акты по вопросам обработки персональных данных, а также правовые акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации и иных нормативных правовых актов, связанных с обработкой персональных данных, устранение последствий таких нарушений.
3.2. Определять состав и перечень правовых, организационных и технических мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами.
3.3. Назначать лицо, ответственное за организацию обработки персональных данных в структурных подразделениях администрации города Нижнего Новгорода, которое, в частности:
получает указания непосредственно от главы администрации города Нижнего Новгорода и подотчетно ему;
осуществляет внутренний контроль за соблюдением законодательства Российской Федерации и иных нормативных правовых актов о персональных данных, в том числе требований к защите персональных данных;
обеспечивает доведение до сведения сотрудников положений законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, правовых актов администрации города Нижнего Новгорода по вопросам обработки персональных данных;
организовывает прием и обработку обращений и запросов субъектов персональных данных или их представителей и осуществляет контроль за приемом и обработкой таких обращений и запросов.
3.4. Обеспечивать выполнение лицами, осуществляющими обработку персональных данных, и лицами, имеющими доступ к персональным данным, требований по защите персональных данных, установленных нормативными правовыми актами.
3.5. Обеспечивать конфиденциальность персональных данных, обрабатываемых в структурных подразделениях, кроме общедоступных персональных данных и случаев обезличивания персональных данных, если иное не предусмотрено федеральным законом.
3.6. Принимать меры по обеспечению безопасности персональных данных при их обработке в структурных подразделениях.
3.7. Не допускать обработку и приобщение к личному делу субъекта персональных данных сведений, касающихся состояния здоровья, расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, членства в общественных объединениях или его профсоюзной деятельности, если иное не предусмотрено федеральным законом.
3.8. Обеспечивать уничтожение персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.9. Выполнять иные требования в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами.
4. Порядок доступа к персональным данным и их предоставления
4.1. К обработке персональных данных допускаются сотрудники структурных подразделений, должностными инструкциями которых предусмотрено выполнение обязанностей по обработке персональных данных.
4.2. Предоставление доступа сотрудникам структурных подразделений к персональным данным осуществляется на основании перечня должностей служащих, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утвержденного правовым актом администрации города Нижнего Новгорода.
4.3. Руководитель структурного подразделения при организации доступа сотрудника к персональным данным обязан ознакомить его с требованиями федерального законодательства и правовых актов администрации города Нижнего Новгорода к обработке персональных данных и обеспечению безопасности персональных данных под роспись.
4.4. Лицам, допущенным к обработке персональных данных, предоставляется доступ только к персональным данным, необходимым для выполнения их служебных обязанностей в пределах задач и функций соответствующих структурных подразделений.
4.5. Каждое лицо, допущенное к автоматизированной обработке персональных данных, использует индивидуальный идентификатор и пароль, которые не имеет права передавать другим лицам.
4.6. Структурные подразделения администрации города Нижнего Новгорода вправе передавать (распространять, предоставлять, давать доступ) персональные данные третьим лицам с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора либо путем принятия администрацией города Нижнего Новгорода правового акта. В правовом акте должны быть определены перечень действий (операций) с персональными данными и цели их обработки, должна быть установлена обязанность лица, которому предоставлены персональные данные, соблюдать конфиденциальность и обеспечивать безопасность персональных данных, а также должны быть указаны требования к их защите в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных".
4.7. Основанием для отказа в предоставлении персональных данных третьим лицам являются:
4.7.1. Отсутствие согласия субъекта персональных данных.
4.7.2. Отсутствие условий, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", при которых согласие субъекта персональных данных не требуется.
5. Организация защиты персональных данных
5.1. Персональные данные относятся к сведениям ограниченного доступа и подлежат защите в рамках функционирующей в структурных подразделениях администрации города Нижнего Новгорода системы защиты информации.
5.2. При организации защиты персональных данных при их обработке структурные подразделения руководствуются, в том числе, Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами", постановлением Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", распоряжением администрации города Нижнего Новгорода от 31.08.2009 № 271-р "Об организации работ по защите персональных данных", приказом ФСТЭК России от 11.02.2013 № 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", приказом ФСТЭК России от 18.02.2013 № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", распоряжением администрации города Нижнего Новгорода от 04.04.2008 № 155-р "О назначении ответственных за обеспечение безопасности информации в структурных подразделениях администрации города и администрациях районов города Нижнего Новгорода".
5.3. Субъектами отношений при организации системы защиты для обеспечения безопасности персональных данных при их обработке в структурных подразделениях (далее - субъекты информационных отношений) являются:
администрация города Нижнего Новгорода как оператор, осуществляющий обработку персональных данных;
сотрудники структурных подразделений, допущенные к обработке персональных данных, в соответствии с возложенными на них полномочиями и функциями.
5.4. Под безопасностью информации понимают состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность.
5.5. Задачами системы защиты персональных данных являются исключение или минимизация ущерба от возможной реализации случайных или злонамеренных воздействий на персональные данные, а также прогнозирование и предотвращение таких воздействий.
5.6. Меры, принимаемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных, подразделяются на правовые, организационные и технические:
5.6.1. К правовым мерам защиты персональных данных относится принятие правовых актов администрации города Нижнего Новгорода и структурных подразделений в соответствии с федеральными законами в области защиты персональных данных и принятыми в их исполнение нормативными документами, закрепляющих права и обязанности субъектов информационных отношений в процессе обработки персональных данных, а также устанавливающих ответственность за нарушение этих правил.
5.6.2. К организационным мерам защиты персональных данных относятся, в том числе:
5.6.2.1. Назначение в структурных подразделениях ответственных за обеспечение безопасности информации.
5.6.2.2. Разработка и поддержание в актуальном состоянии организационно-распорядительных документов, регламентирующих порядок обработки персональных данных, создания и функционирования системы защиты персональных данных.
5.6.2.3. Организация деятельности субъектов информационных отношений, в том числе:
установление перечня должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
информирование лиц, осуществляющих обработку персональных данных, о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки;
обеспечение раздельной фиксации на материальных носителях персональных данных, имеющих различную цель обработки, или их раздельной обработки;
обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
5.6.2.4. Осуществление внутреннего контроля соответствия обработки и безопасности персональных данных в структурных подразделениях администрации города Нижнего Новгорода требованиям законодательства Российской Федерации и иных нормативных правовых актов о персональных данных, в том числе требованиям к защите персональных данных.
5.6.2.5. Проведение мероприятий по размещению, специальному оборудованию, охране и организации режима допуска в помещения, где ведется работа с персональными данными.
5.6.2.6. Обучение, периодическое повышение квалификации сотрудников, ответственных за организацию обработки и обеспечение безопасности информации, сотрудников, непосредственно выполняющих мероприятия по обеспечению безопасности персональных данных.
5.6.3. К техническим мерам защиты относится использование программно-аппаратных средств, выполняющих самостоятельно или в комплексе с другими средствами функции защиты персональных данных, и методов защиты, в том числе:
программной или программно-технической защиты от несанкционированного доступа к информационным ресурсам автоматизированных рабочих мест, на которых обрабатываются персональные данные;
программно-технических средств, позволяющих восстанавливать персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;
средств защиты персональных данных от утечки по техническим каналам при их обработке, хранении и передаче по каналам связи;
средств межсетевого экранирования при подключении автоматизированных рабочих мест к локальным сетям общего пользования или к сети Интернет;
криптографических средств защиты информации;
средств защиты от вредоносного программного обеспечения.
5.7. В структурных подразделениях применяются сертифицированные средства защиты информации, соответствующие требованиям, установленным уполномоченными органами в области технической защиты информации.
5.8. В случае принятия решения о проведении работ по обезличиванию персональных данных разрабатываются правила работы с обезличенными данными в соответствии с приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05.09.2013 № 996 "Об утверждении требований и методов по обезличиванию персональных данных".
5.9. Лицо, ответственное за организацию обработки персональных данных в структурных подразделениях администрации города Нижнего Новгорода, при обеспечении безопасности персональных данных вправе, в том числе:
иметь доступ к информации, касающейся обработки персональных данных;
привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в структурных подразделениях, сотрудников с возложением на них соответствующих обязанностей и закреплением ответственности.
6. Ответственность за нарушение требований законодательства
Российской Федерации в области персональных данных
6.1. Ответственный за организацию обработки персональных данных в структурных подразделениях администрации города Нижнего Новгорода несет ответственность за надлежащее выполнение возложенных функций по организации обработки персональных данных в структурных подразделениях в соответствии с законодательством Российской Федерации и иными нормативными правовыми актами в области персональных данных.
6.2. Лица, осуществляющие обработку персональных данных в структурных подразделениях администрации города Нижнего Новгорода в соответствии со своими полномочиями, несут гражданско-правовую, уголовную, административную, дисциплинарную ответственность за нарушение требований к обработке и защите персональных данных, предусмотренную законодательством Российской Федерации.
Приложение № 2
к постановлению
администрации города
от 04.02.2014 № 269
ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящие правила обработки персональных данных в отраслевых (функциональных) структурных подразделениях администрации города Нижнего Новгорода, не являющихся юридическими лицами (далее - структурные подразделения, структурные подразделения администрации города Нижнего Новгорода), устанавливают:
особенности организации обработки персональных данных с использованием средств автоматизации и без использования средств автоматизации;
сроки обработки и хранения персональных данных;
порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований.
1.2. В правилах используются понятия и термины, определенные Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" и Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации".
1.3. В структурных подразделениях администрации города Нижнего Новгорода осуществляется автоматизированная обработка персональных данных, а также обработка персональных данных без использования средств автоматизации.
1.4. Лица, осуществляющие обработку персональных данных, должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также под роспись ознакомлены с настоящими правилами, положениями законодательства Российской Федерации, правовыми актами администрации города Нижнего Новгорода о порядке обработки персональных данных и требованиях к обеспечению безопасности персональных данных. Форма соответствующего листа ознакомления приводится в приложении к настоящим правилам.
2. ОСОБЕННОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ
БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ
2.1. Порядок обработки персональных данных, осуществляемой без использования средств автоматизации, определяется постановлением Правительства РФ от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и правовыми актами администрации города Нижнего Новгорода.
2.2. Обработка персональных данных без использования средств автоматизации осуществляется на материальных носителях информации (далее - материальные носители).
2.3. Персональные данные обособляются от иной информации путем фиксации их на отдельных материальных носителях.
2.4. Запрещается оставлять материальные носители без присмотра или передавать на хранение другим лицам, не имеющим на это полномочий.
2.5. Запрещается выносить из служебных помещений материальные носители.
2.6. Учет машинных съемных носителей информации осуществляется путем ведения журналов учета.
2.7. Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.
2.8. В случае, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на этом носителе персональных данных или иной информации, принимаются следующие меры:
2.8.1. При необходимости использования или распространения определенных персональных данных осуществляется их копирование с целью последующего использования копии.
2.8.2. При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или копированию.
2.9. Уточнение персональных данных производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
3. ОСОБЕННОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ АВТОМАТИЗАЦИИ
3.1. Основы обработки персональных данных, осуществляемой с использованием средств автоматизации, определяются Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", постановлением Правительства РФ от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", постановлением Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказом ФСТЭК России от 11.02.2013 № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", приказом ФСТЭК России от 18.02.2013 № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", распоряжением администрации города Нижнего Новгорода от 31.08.2009 № 271-р "Об организации работ по защите персональных данных", а также другими принятыми нормативно-методическими и организационно-распорядительными документами администрации города Нижнего Новгорода.
3.2. В структурных подразделениях администрации города Нижнего Новгорода один из заместителей руководителя структурного подразделения назначается ответственным за обеспечение безопасности информации ограниченного доступа на объектах вычислительной техники и осуществляет непосредственное руководство работами по защите информации.
3.3. Для обеспечения безопасности персональных данных при их обработке в информационных системах выполняются мероприятия, предусмотренные распоряжением администрации города Нижнего Новгорода от 31.08.2009 № 271-р "Об организации работ по защите персональных данных".
3.4. Лица, ответственные за безопасность персональных данных при их обработке в информационных системах, обеспечивают, в том числе:
3.4.1. Своевременное обнаружение фактов несанкционированного доступа к персональным данным.
3.4.2. Недопущение воздействия на программно-аппаратные средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование.
3.4.3. Возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа.
3.4.4. Постоянный контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
3.4.5. Знание и соблюдение условий использования средств защиты информации лицами, осуществляющими обработку персональных данных.
3.4.6. Незамедлительное приостановление предоставления доступа к персональным данным лицам, осуществляющим обработку персональных данных, при обнаружении нарушений.
3.4.7. Незамедлительное доведение информации о фактах нарушений функционирования системы защиты информации до руководителя структурного подразделения с целью последующего уведомления лица, ответственного за организацию обработки персональных данных в структурных подразделениях администрации города Нижнего Новгорода, составление заключений по фактам нарушений.
3.5. Запрещается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии:
настроенных сертифицированных средств защиты от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств, в соответствии с требованиями безопасности информации;
утвержденных организационно-распорядительных документов по информационной системе персональных данных;
приказа о вводе в эксплуатацию информационной системы персональных данных с назначением ответственных лиц за безопасность информации.
3.6. В информационных системах персональных данных структурных подразделений администрации города Нижнего Новгорода не осуществляется обработка:
биометрических персональных данных;
специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
В случае принятия решения об обработке биометрических персональных данных и специальных категорий персональных данных, такие данные могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных или в случаях, установленных законодательством Российской Федерации.
3.7. Трансграничная передача персональных данных структурными подразделениями администрации города Нижнего Новгорода не осуществляется. В случае принятия решения о трансграничной передаче персональных данных такие данные могут передаваться только при наличии согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных или в случаях, установленных законодательством Российской Федерации, предусматривающих трансграничную передачу персональных данных без письменного согласия субъекта персональных данных.
3.8. Сведения об информационных системах персональных данных структурных подразделений содержатся в Реестре муниципальных информационных систем администрации города Нижнего Новгорода, утвержденном распоряжением администрации города Нижнего Новгорода от 13.12.2012 № 593-р.
4. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Сроки обработки персональных данных определяются в соответствии с целью обработки. Персональные данные подлежат уничтожению по достижении цели обработки персональных данных, если иное не предусмотрено федеральным законодательством.
4.2. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
4.3. Сроки обработки и хранения персональных данных в информационных системах персональных данных устанавливаются правовыми актами администрации города Нижнего Новгорода, определяющими порядок их эксплуатации.
4.4. Сроки обработки и хранения персональных данных на бумажных носителях определяются:
4.4.1. При обработке персональных данных муниципальных служащих структурных подразделений администрации города Нижнего Новгорода, иных сотрудников структурных подразделений, руководителей муниципальных предприятий и муниципальных учреждений города Нижнего Новгорода требованиями трудового законодательства, законодательства о муниципальной службе и законодательства об архивном деле.
4.4.2. При обработке персональных данных граждан, обратившихся в администрацию города Нижнего Новгорода лично либо направивших индивидуальные или коллективные письменные обращения, а также в целях предоставления муниципальных услуг и исполнения муниципальных функций, требованиями Федерального закона от 02.05.2006 № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", Федерального закона от 27.07.2010 № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", законодательства об архивном деле, административными регламентами и иными правовыми актами администрации города Нижнего Новгорода.
5. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ДОСТИЖЕНИИ
ЦЕЛЕЙ ОБРАБОТКИ ИЛИ ПРИ НАСТУПЛЕНИИ ИНЫХ ЗАКОННЫХ ОСНОВАНИЙ
5.1. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.2. Лица, осуществляющие обработку персональных данных, в рамках своих полномочий, проводят систематические проверки и выделение документов на бумажных и материальных съемных носителях, а также данных, хранящихся в информационных системах персональных данных и содержащих персональные данные с истекшими сроками хранения, подлежащих уничтожению.
5.3. Решение об уничтожении документов, содержащих персональные данные, принимают руководители структурных подразделений, в которых осуществляется обработка персональных данных.
5.4. По окончании процедуры уничтожения составляется соответствующий акт с указанием даты и основания уничтожения.
Приложение
к Правилам
обработки персональных данных
ЛИСТ ОЗНАКОМЛЕНИЯ
ЛИЦА, ОСУЩЕСТВЛЯЮЩЕГО ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ,
С ПОЛОЖЕНИЯМИ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ,
ПРАВОВЫМИ АКТАМИ АДМИНИСТРАЦИИ ГОРОДА НИЖНЕГО НОВГОРОДА
О ПОРЯДКЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И ТРЕБОВАНИЯХ
К ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Я, ___________________________________________________________________,
(фамилия, имя, отчество)
___________________________________________________________________________
(должность)
___________________________________________________________________________
__________________________________________________________________________,
ознакомлен(а) с положениями законодательства Российской Федерации и
правовыми актами администрации города Нижнего Новгорода о порядке обработки
персональных данных и требованиях к обеспечению безопасности персональных
данных.
Мною изучены положения Федерального закона от 27.07.2006 № 152-ФЗ "О
персональных данных", Федерального закона от 02.03.2007 № 25-ФЗ "О
муниципальной службе в Российской Федерации", Трудового кодекса Российской
Федерации, постановления Правительства Российской Федерации от 15.09.2008
№ 687 "Об утверждении Положения об особенностях обработки персональных
данных, осуществляемой без использования средств автоматизации",
постановления Правительства Российской Федерации от 01.11.2012 № 1119 "Об
утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных", правовых актов администрации
города Нижнего Новгорода об обработке персональных данных.
Я уведомлен(а) о том, что персональные данные являются
конфиденциальной информацией, обязуюсь не раскрывать третьим лицам и не
распространять персональные данные, ставшие мне известными в связи с
исполнением должностных обязанностей.
Ответственность и права, предусмотренные Федеральным законом
от 27.07.2006 № 152-ФЗ "О персональных данных" и другими федеральными
законами, мне разъяснены.
"____" _________ 20__ г. _________ _____________________
(подпись) (расшифровка подписи)
Приложение № 3
к постановлению
администрации города
от 04.02.2014 № 269
ПРАВИЛА
РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящие правила рассмотрения запросов субъектов персональных данных или их представителей (далее - правила) устанавливают единый порядок регистрации (учета) и рассмотрения запросов субъектов персональных данных или их представителей (далее - запросы) в отраслевых (функциональных) структурных подразделениях администрации города Нижнего Новгорода, не являющихся юридическими лицами, (далее - структурные подразделения, структурные подразделения администрации города Нижнего Новгорода).
1.2. Правила разработаны в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", Федеральным законом от 02.05.2006 № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", Трудовым кодексом Российской Федерации, Федеральным законом от 02.03.2007 № 25-ФЗ "О муниципальной службе в Российской Федерации".
2. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Субъект персональных данных имеет право на:
2.1. Получение информации, касающейся обработки его персональных данных, предусмотренной частью 7 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных". Данное право может быть ограничено в случаях, предусмотренных частью 8 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
2.2. Уточнение персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
2.3. Обжалование действий (бездействия) сотрудников администрации города Нижнего Новгорода в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что структурные подразделения осуществляют обработку его персональных данных с нарушением законодательства Российской Федерации или иным образом нарушают его права и свободы.
2.4. Защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
3. ПОРЯДОК РАССМОТРЕНИЯ ЗАПРОСОВ
СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ
3.1. Сведения, касающиеся обработки персональных данных, предусмотренные частью 7 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", предоставляются субъекту персональных данных или его представителю при направлении ими запроса или обращении в администрацию города Нижнего Новгорода и ее структурные подразделения.
3.2. Запрос должен содержать следующие сведения:
фамилию, имя, отчество субъекта персональных данных, а также, в случае направления запроса представителем субъекта персональных данных, его фамилию, имя, отчество;
сведения о документе, удостоверяющем личность субъекта персональных данных или его представителя;
сведения, подтверждающие факт обработки персональных данных администрацией города Нижнего Новгорода;
подпись субъекта персональных данных или его представителя;
доверенность, оформленную в установленном порядке, в случае направления запроса представителем субъекта персональных данных.
3.3. Запрос может быть направлен в электронной форме и подписан электронной подписью в соответствии с законодательством Российской Федерации.
3.4. Запрос регистрируется в течение трех дней со дня его поступления.
3.5. Запросы, поступающие в адрес главы администрации города Нижнего Новгорода, заместителей главы администрации города Нижнего Новгорода, за исключением глав администраций районов города Нижнего Новгорода, регистрируются сотрудниками департамента организационно-кадрового обеспечения деятельности администрации города Нижнего Новгорода и передаются согласно резолюции вышеуказанных лиц в структурные подразделения.
3.6. Запросы, поступающие в адрес руководителей структурных подразделений, регистрируются сотрудниками данных подразделений, ответственными за делопроизводство.
3.7. Сведения по запросу либо отказ в предоставлении сведений направляются субъекту персональных данных или его представителю в срок, не превышающий тридцати дней с даты получения запроса.
3.8. Лицо, осуществляющее подготовку ответа на запрос, обязано:
разобраться в существе запроса, в случае необходимости истребовать дополнительные материалы или осуществить проверку фактов, изложенных в запросе;
принять законные, обоснованные и мотивированные решения и обеспечить их своевременное и надлежащее исполнение;
сообщить субъекту персональных данных или его представителю о решениях, принятых по его запросу, со ссылками на законодательство Российской Федерации, а в случае отклонения запроса разъяснить порядок обжалования этого решения.
3.9. В ответе субъекту персональных данных или его представителю сообщается информация о наличии персональных данных, а также предоставляется возможность ознакомления с персональными данными при личном обращении.
3.10. Отказ в предоставлении информации о наличии персональных данных или в предоставлении возможности ознакомления с персональными данными должен содержать законное основание для такого отказа.
3.11. Сведения предоставляются субъекту персональных данных или его представителю в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких данных.
3.12. Возможность ознакомления с персональными данными предоставляется субъекту персональных данных или его представителю на безвозмездной основе.
3.13. В случае если сведения были предоставлены для ознакомления субъекту персональных данных или его представителю по его запросу, субъект персональных данных вправе направить повторный запрос не ранее чем через 30 дней после первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
3.14. Субъект персональных данных вправе направить повторный запрос до истечения срока, указанного в подпункте 3.13, в случае если сведения не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального запроса. Повторный запрос наряду с необходимыми сведениями должен содержать обоснование направления повторного запроса.
3.15. Администрация города Нижнего Новгорода и ее структурные подразделения отказывают субъекту персональных данных или его представителю в выполнении повторного запроса, если запрос не соответствует условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", с указанием оснований для отказа.
3.16. В случае предоставления субъектом персональных данных или его представителем сведений о том, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, лицо, обрабатывающее персональные данные, обязано уничтожить такие персональные данные на основании правового акта руководителя структурного подразделения администрации города Нижнего Новгорода.
3.17. В случае поступления сведений о неправомерной обработке персональных данных от субъекта персональных данных, его представителя или уполномоченного органа по защите прав субъектов персональных данных, лицо, обрабатывающее персональные данные, обязано приостановить обработку неправомерно обрабатываемых персональных данных, с момента получения запроса на период проведения проверки.
3.18. В случае выявления неправомерной обработки персональных данных лицо, обрабатывающее персональные данные, в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку таких персональных данных. В случае невозможности обеспечения правомерности обработки персональных данных, лицо, обрабатывающее персональные данные, обязано уничтожить такие персональные данные либо обеспечить их уничтожение в установленный законом срок на основании правового акта руководителя структурного подразделения администрации города Нижнего Новгорода. Об устранении допущенных нарушений или об уничтожении персональных данных структурные подразделения обязаны уведомить субъекта персональных данных или его представителя, а также в случае, если запрос был направлен уполномоченным органом по защите прав субъектов персональных данных, уведомить указанный орган.
3.19. В случае предоставления субъектом персональных данных, его представителем либо органом по защите прав субъектов персональных данных сведений о том, что персональные данные субъекта являются неполными, неточными или неактуальными, лицо, обрабатывающее персональные данные, обязано приостановить обработку таких персональных данных с момента получения запроса на период проведения проверки, если это не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
3.20. В случае подтверждения факта неточности персональных данных лицо, обрабатывающее персональные данные, на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов, обязано уточнить персональные данные в срок, не превышающий семи рабочих дней со дня представления сведений, и возобновить обработку персональных данных. Структурные подразделения администрации города Нижнего Новгорода обязаны уведомить субъекта персональных данных или его представителя о внесенных изменениях, а также принять меры для уведомления третьих лиц, которым эти данные были переданы.
3.21. При необходимости для проверки фактов, изложенных в запросах, организуются служебные проверки в соответствии с правовыми актами администрации города Нижнего Новгорода или правовыми актами руководителей структурных подразделений.
3.22. По результатам служебной проверки составляется мотивированное заключение (акт), которое должно содержать объективный анализ собранных материалов. Если по результатам проверки выявлены факты совершения лицом, осуществляющим обработку персональных данных, действия (бездействия), содержащего признаки административного правонарушения или преступления, материалы передаются в правоохранительные органы. Результаты служебной проверки докладываются лицу, ответственному за организацию обработки персональных данных в структурных подразделениях администрации города Нижнего Новгорода.
3.23. Запрос считается рассмотренным, если в ответе на запрос рассмотрены все поставленные в нем вопросы, приняты необходимые меры, и субъекту персональных данных или его представителю дан исчерпывающий ответ.
3.24. Лицо, ответственное за организацию обработки персональных данных в структурных подразделениях администрации города Нижнего Новгорода, осуществляет контроль за соблюдением порядка рассмотрения запросов:
сроков исполнения поручений по запросам;
полноты рассмотрения запросов;
объективности проверки фактов, изложенных в запросах;
законности и обоснованности принятых решений;
своевременности исполнения принятых решений;
своевременности направления ответов заявителям.
3.25. Нарушение настоящих правил влечет ответственность, предусмотренную законодательством Российской Федерации.
------------------------------------------------------------------