Региональное
Законодательство
Ставропольский край

Постановление администрации Буденновского муниципального района Ставропольского края от 23.04.2013 N 468 "Об утверждении правил обработки персональных данных в администрации Буденновского муниципального района"

АДМИНИСТРАЦИЯ БУДЕННОВСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
СТАВРОПОЛЬСКОГО КРАЯ

ПОСТАНОВЛЕНИЕ
от 23 апреля 2013 г. № 468

ОБ УТВЕРЖДЕНИИ ПРАВИЛ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В АДМИНИСТРАЦИИ БУДЕННОВСКОГО МУНИЦИПАЛЬНОГО РАЙОНА

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" администрация Буденновского муниципального района Ставропольского края постановляет:

1. Утвердить прилагаемые правила обработки персональных данных в администрации Буденновского муниципального района.
2. Контроль за выполнением настоящего постановления возложить на управляющего делами администрации Буденновского муниципального района Демичеву Л.М.
3. Настоящее постановление вступает в силу со дня его принятия и подлежит официальному опубликованию в официальном печатном издании Буденновского муниципального района "Вестник Буденновского муниципального района" и размещению на официальном сайте Буденновского муниципального района в сети Интернет www.budennovsk-rayon.ru в течение 10 дней со дня принятия.

Исполняющий обязанности главы
администрации Буденновского
муниципального района
А.В.Простынчук





Утверждены
постановлением
администрации Буденновского
муниципального района
от 23 апреля 2013 г. № 468

ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ БУДЕННОВСКОГО
МУНИЦИПАЛЬНОГО РАЙОНА

1. Общие положения

1.1. Настоящие правила обработки персональных данных в администрации Буденновского муниципального района (далее - Правила) устанавливают единый порядок обработки персональных данных в администрации Буденновского муниципального района (далее - администрация).
1.2. Обработка персональных данных в администрации осуществляется в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (далее - Федеральный закон № 152-ФЗ), принятыми в соответствии с ним нормативными правовыми актами и настоящими Правилами.
1.3. Основные понятия и термины, используемые в настоящих Правилах, применяются в том же значении, что и в Федеральном законе № 152-ФЗ.
1.4. Целью настоящих Правил является обеспечение защиты персональных данных граждан от неправомерного или случайного доступа к ним, компрометации, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
1.5. Настоящие Правила устанавливают и определяют:
процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных;
цели обработки персональных данных;
содержание обрабатываемых персональных данных для каждой цели обработки персональных данных;
категории субъектов, персональные данные которых обрабатываются;
сроки обработки и хранения обрабатываемых персональных данных;
порядок уничтожения обработанных персональных данных при достижении целей обработки или при наступлении иных законных оснований.
1.6. Основные условия обработки персональных данных:
1.6.1. Обработка персональных данных осуществляется после принятия необходимых мер по защите персональных данных, а именно:
после получения согласия субъекта персональных данных, за исключением случаев, предусмотренных пунктами 2 - 7, 9 - 11 части 1 статьи 6 Федерального закона № 152-ФЗ;
после направления уведомления об обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона № 152-ФЗ.
1.6.2. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящими Правилами и подписывают обязательство о неразглашении информации по форме, установленной в администрации.

2. Процедуры, направленные на выявление и предотвращение
нарушений законодательства в сфере персональных данных

2.1. Информационные ресурсы, содержащие персональные данные, созданные, приобретенные, накопленные в администрации, а также полученные иными установленными законом способами, не могут быть использованы иначе, как в установленных законом случаях.
2.2. К мерам, направленным на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных относятся:
создание группы информационной безопасности администрации, ответственной за организацию обработки персональных данных в администрации;
применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с частями 1 и 2 статьи 19 Федерального закона № 152-ФЗ;
осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, правовым актам администрации;
оценка вреда, который может быть причинен субъектам персональным данных в случае нарушения законодательства Российской Федерации и настоящих Правил;
ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и настоящими Правилами;
запрет на обработку персональных данных лицами, не допущенными к их обработке;
запрет на обработку персональных данных под диктовку.
2.3. Документы, определяющие политику в отношении обработки персональных данных, подлежат обязательному опубликованию на официальном сайте Буденновского муниципального района в сети Интернет www.budennovsk-rayon.ru в течение 10 дней после их утверждения.
2.4. За разглашение информации, содержащей персональные данные, нарушение порядка обращения с документами и машинными носителями информации, содержащими такую информацию, а также за нарушение режима защиты, обработки и порядка использования этой информации, работник администрации может быть привлечен к дисциплинарной или иной ответственности, предусмотренной действующим законодательством.
2.5. Порядок обработки персональных данных в информационных системах персональных данных.
2.5.1. Обработка персональных данных в информационных системах персональных данных администрации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 01 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", иных правовых актов уполномоченных федеральных органов исполнительной власти.
2.5.2. При эксплуатации автоматизированных информационных систем необходимо соблюдать следующие требования:
к работе допускаются только лица, назначенные соответствующим распоряжением администрации;
на персональных электронных вычислительных машинах (далее - ПЭВМ), дисках, папках и файлах, на которых обрабатываются и хранятся сведения о персональных данных, должны быть установлены пароли (идентификаторы);
на период обработки защищаемой информации в помещении могут находиться только лица, допущенные в установленном порядке к обрабатываемой информации.
2.5.3. Начальники отделов администрации, работники администрации, осуществляющие обработку персональных данных (далее - пользователи) обязаны контролировать и выполнять предусмотренные в администрации меры по защите информации, содержащей персональные данные.
2.5.4. Начальники отделов администрации обязаны:
участвовать в подготовке перечня персональных данных, обрабатываемых на ПЭВМ отдела администрации;
готовить к утверждению списки работников отделов, которых по своим должностным обязанностям необходимо допустить к работе с персональными данными в информационной системе администрации;
контролировать целевое использование работниками отделов ресурсов сети Интернет;
контролировать выполнение пользователями общих правил работы на ПЭВМ и в локальной вычислительной сети администрации (далее - ЛВС);
выборочно контролировать характер исходящей информации, направляемой пользователями по электронной почте другим адресатам и принимать оперативные меры к соблюдению ими установленных требований по защите персональных данных;
при обнаружении нарушений установленных требований по защите персональных данных, в результате которых вскрыты факты их разглашения, прекратить работы на рабочем месте, где обнаружены нарушения, доложить главе администрации и поставить в известность группу информационной безопасности администрации;
обеспечивать условия для выполнения функций группой информационной безопасности администрации при проверке в отделе администрации эффективности предусмотренных мер защиты информации.
2.5.5. При приеме на работу работник предупреждается об ответственности за разглашение сведений, содержащих персональные данные, которые станут ему известными в связи с предстоящим выполнением своих должностных обязанностей.
2.5.6. Пользователь обязан:
знать правила работы в ЛВС и принятые меры по защите ресурсов ЛВС (в части, его касающейся);
при работе на своей рабочей станции (ПЭВМ) и в ЛВС выполнять только служебные задания;
перед началом работы на ПЭВМ проверить свои рабочие папки на жестком магнитном диске, съемные магнитные носители информации на отсутствие вирусов с помощью штатных средств антивирусной защиты, убедиться в исправности своей рабочей станции;
при сообщениях тестовых программ о появлении вирусов немедленно прекратить работу, доложить своему непосредственному начальнику и сообщить группе информационной безопасности администрации;
при обработке информации, содержащей персональные данные, использовать только зарегистрированные в журналах учета администрации машинные носители информации;
при необходимости использования магнитных носителей, поступивших из других отделов, комитетов, управлений администрации, иных организаций, прежде всего, провести проверку этих носителей на отсутствие вирусов;
выполнять предписания группы информационной безопасности администрации;
представлять для контроля свою рабочую станцию (ПЭВМ) начальнику отдела администрации и группе информационной безопасности администрации;
сохранять в тайне свой индивидуальный пароль, периодически, но не реже чем один раз в полгода, изменять его и не сообщать другим лицам;
вводить пароль и другие учетные данные, убедившись, что клавиатура находится вне поля зрения других лиц;
учет, размножение, обращение печатных материалов, содержащих персональные данные, проводить в соответствии с требованиями Инструкции по делопроизводству в администрации Буденновского муниципального района, утверждаемой администрацией;
при обнаружении различных неисправностей в работе компьютерной техники или ЛВС, недокументированных свойств в программном обеспечении, нарушений целостности пломб (наклеек, печатей), несоответствии номеров на аппаратных средствах сообщить группе информационной безопасности администрации и поставить в известность руководителя отдела администрации.
2.5.7. Пользователю при работе запрещается:
играть в компьютерные игры;
приносить различные компьютерные программы и пытаться установить их на локальный диск компьютера без уведомления группы информационной безопасности администрации;
перенастраивать программное обеспечение компьютера;
самостоятельно вскрывать комплектующие рабочей станции (ПЭВМ);
запускать на своей рабочей станции (ПЭВМ) или другой рабочей станции сети любые системные или прикладные программы, кроме установленных группой информационной безопасности администрации;
изменять или копировать файл, принадлежащий другому пользователю, не получив предварительно разрешения владельца файла;
оставлять включенной без присмотра свою рабочую станцию (ПЭВМ), не активизировав средства защиты от несанкционированного доступа (временную блокировку экрана и клавиатуры);
оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации (при наличии), магнитные носители и распечатки, содержащие персональные данные;
допускать к подключенной в сеть рабочей станции (ПЭВМ) посторонних лиц;
производить копирование для временного хранения информации, содержащей персональные данные, на неучтенные носители;
работать на рабочей станции (ПЭВМ) в сети с информацией, содержащей персональные данные, при обнаружении неисправностей станции (ПЭВМ), влияющих на защиту информации;
умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты информации, которые могут привести к утечке, блокированию, искажению или утере информации, содержащей персональные данные;
использовать электронную почту администрации для личных целей, а также для передачи информации, содержащей персональные данные;
запрашивать и получать из сети Интернет материалы развлекательного характера (игры, клипы и т.д.);
запрашивать и получать из сети Интернет программные продукты, кроме случаев, связанных со служебной необходимостью. При этом необходимо согласование с начальником своего отдела и обеспечение процесса группой информационной безопасности администрации.
2.5.8. Работники администрации не вправе использовать в личных целях персональные данные, ставшие известными им вследствие выполнения служебных обязанностей.
2.6. Порядок обработки персональных данных без использования средств автоматизации.
2.6.1. Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации.
2.6.2. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.
2.6.3. При неавтоматизированной обработке персональных данных на бумажных носителях:
не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы;
персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.
2.6.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовые формы), должны соблюдаться следующие условия:
типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на неавтоматизированную обработку персональных данных (при необходимости получения письменного согласия на обработку персональных данных);
типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.
2.6.5. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
2.6.6. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
2.6.7. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных - осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
при необходимости уничтожения или блокирования части персональных данных - уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
2.6.8. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.
2.6.9. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ.
2.6.10. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

3. Цели обработки персональных данных

3.1. Целью обработки персональных данных является:
осуществление возложенных на администрацию федеральным законодательством, законодательством Ставропольского края и Положением об администрации полномочий и обязанностей (далее - установленная сфера деятельности);
организация деятельности администрации для обеспечения соблюдения законов и иных нормативных правовых актов, реализации права на труд, права на пенсионное обеспечение и медицинское страхование работников.

4. Содержание обрабатываемых персональных данных

4.1. К персональным данным, обрабатываемым для достижения целей, указанных в подпункте 3.1 настоящих Правил относятся:
фамилия, имя, отчество, пол, дата и место рождения, адрес места жительства и проживания;
паспортные данные или данные иного документа, удостоверяющего личность и гражданство, включая серию, номер, дату выдачи, наименование органа, выдавшего документ);
сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки;
сведения о трудовой деятельности, опыте работы, занимаемой должности, трудовом стаже, повышения квалификации и переподготовки, наградах и поощрениях, взысканиях и расследованиях, командировках;
сведения о пребывании за границей;
сведения о наличии (отсутствии) судимости и (или) факта уголовного преследования;
сведения о составе семьи, иных родственниках (родители, супруги, дети, братья, сестры, а также братья, сестры, родители, дети супругов и супруги детей), о наличии иждивенцев, о месте работы или учебы членов семьи и иных родственников (родители, супруги, дети, братья, сестры, а также братья, сестры, родители, дети супругов и супруги детей);
сведения об отсутствии (наличии) заболевания, препятствующего поступлению на муниципальную службу;
сведения об избрании или назначения на государственную должность Российской Федерации либо на государственную должность субъекта Российской Федерации, а также назначении на должность государственной службы;
сведения об избрании или назначении на муниципальную должность;
сведения об избрании на оплачиваемую выборную должность в органе профессионального союза, в том числе в выборном органе первичной профсоюзной организации, созданной в органе местного самоуправления, аппарате избирательной комиссии муниципального образования;
сведения об отношении к воинской обязанности;
сведения о доходах, расходах и обязательствах имущественного характера, а также о доходах, расходах и обязательствах имущественного характера супруги (супруга) и несовершеннолетних детей;
сведения об идентификационном номере налогоплательщика;
сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
сведения о социальных льготах и о социальном статусе;
номера контактных телефонов;
номера банковских счетов;
сведения об объектах недвижимого имущества и о государственной регистрации прав на них;
сведения о государственной регистрации физического лица в качестве индивидуального предпринимателя;
сведения об участии в управлении коммерческой организацией;
сведения из страховых полисов обязательного (добровольного) медицинского страхования.

5. Категории субъектов, персональные данные
которых обрабатываются

5.1. К субъектам, персональные данные которых обрабатываются, относятся:
граждане, обратившиеся в администрацию с предложениями, жалобами, заявлениями и по другим вопросам, касающимся установленной сферы деятельности администрации, в том числе за предоставлением государственных и муниципальных услуг;
граждане, претендующие на замещение вакантных должностей муниципальной службы в администрации и на включение в кадровый резерв;
муниципальные служащие, замещающие (замещавшие) должности муниципальной службы, в администрации;
работники администрации, замещающие должности, не являющиеся должностями муниципальной службы;
руководители муниципальных учреждений и муниципальных предприятий, подведомственных администрации.

6. Сроки обработки и хранения обрабатываемых
персональных данных

6.1. Сроки обработки и хранения персональных данных определяются:
приказом Министерства культуры Российской Федерации от 25 августа 2010 г. № 558 "Об утверждении "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения";
сроком исковой давности;
иными требованиями законодательства Российской Федерации, нормативными правовыми актами Ставропольского края, муниципальными правовыми актами Буденновского муниципального района.
6.2. Если срок хранения персональных данных не установлен законодательством Российской Федерации, нормативными правовыми актами Ставропольского края, муниципальными правовыми актами Буденновского муниципального района или договором, стороной которого, выгодоприобретателем или поручителем является субъект персональных данных, то хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных.

7. Порядок уничтожения обработанных персональных данных

7.1. Под уничтожением обработанных персональных данных понимаются действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных, или в результате которых уничтожаются материальные носители персональных данных.
7.2. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
7.3. Порядок уничтожения обработанных персональных данных.
Уничтожению подлежат утратившие практическое значение и не имеющие исторической или иной ценности носители информации, содержащие персональные данные. При уничтожении таких носителей должно быть исключено ознакомление с ними посторонних лиц, неполное или случайное их уничтожение.
Уничтожение производится путем сожжения, расплавления, дробления, растворения, химического разложения или превращения в мягкую бесформенную массу или порошок. Допускается уничтожение документов путем измельчения в бумажную сечку. Магнитные и фотографические носители уничтожаются сожжением, дроблением, расплавлением и другими способами, исключающими возможность их восстановления.
Отобранные для уничтожения документальные материалы хранятся отдельно от других материалов.
Уничтожение обработанных персональных данных производится комиссионно, с составлением соответствующего акта. Состав комиссии утверждается распоряжением администрации.
Акт об уничтожении подписывается всеми членами комиссии и утверждается главой администрации.
7.4. Без оформления акта уничтожаются: испорченные бумажные и технические носители, черновики и проекты документов и другие материалы, образовавшиеся при исполнении документов, содержащих персональные данные.
В процедуру уничтожения документов и носителей информации без составления акта входит проведение следующих мероприятий:
уничтожение бумажных носителей, разрушение магнитного или иного технического носителя в присутствии исполнителя и руководителя отдела администрации, допущенных к обработке персональных данных;
внесение отметок об уничтожении в учетные формы документов и носителей.

Управляющий делами
администрации Буденновского
муниципального района
Л.М.ДЕМИЧЕВА


------------------------------------------------------------------