Региональное
Законодательство
Саратовской области

Постановление администрации Саратовского муниципального района от 07.10.2014 N 2420 "Об утверждении политики обработки персональных данных в администрации Саратовского муниципального района Саратовской области"

АДМИНИСТРАЦИЯ
САРАТОВСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
САРАТОВСКОЙ ОБЛАСТИ

ПОСТАНОВЛЕНИЕ
от 7 октября 2014 г. № 2420

ОБ УТВЕРЖДЕНИИ ПОЛИТИКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В АДМИНИСТРАЦИИ САРАТОВСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
САРАТОВСКОЙ ОБЛАСТИ

С целью определения политики обработки персональных данных в администрации Саратовского муниципального района Саратовской области в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", руководствуясь Уставом Саратовского муниципального района Саратовской области, администрация Саратовского муниципального района постановляет:
1. Утвердить политику обработки персональных данных в администрации Саратовского муниципального района согласно приложению к настоящему постановлению.
2. Главному специалисту отдела административной реформы, организационной работы и информационного обеспечения Ю.В. Тяпиной ознакомить с настоящим постановлением работников администрации Саратовского муниципального района Саратовской области под роспись.
3. Руководителям структурных (отраслевых) подразделений, входящих в структуру администрации Саратовского муниципального района, ознакомить с настоящим постановлением сотрудников подразделений под роспись.
4. Рекомендовать главам муниципальных образований и главам администраций муниципальных образований Саратовского муниципального района Саратовской области принять аналогичные нормативные акты.
5. Настоящее постановление подлежит опубликованию в районной газете "Большая Волга" и размещению на официальном сайте администрации Саратовского муниципального района Саратовской области.
6. Контроль за исполнением настоящего постановления возложить на заместителя главы администрации, руководителя аппарата К.Е. Понкратову.

Глава
администрации Саратовского муниципального района
И.А.БАБОШКИН





Приложение
к постановлению
администрации Саратовского муниципального района
от 7 октября 2014 г. № 2420

ПОЛИТИКА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ
САРАТОВСКОГО МУНИЦИПАЛЬНОГО РАЙОНА САРАТОВСКОЙ ОБЛАСТИ

1. Общие положения

1.1. Настоящая Политика об обработке персональных данных в администрации Саратовского муниципального района (далее - Политика):
- является основополагающим внутренним документом, регулирующим вопросы обработки персональных данных администрации Саратовского муниципального района;
- разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных, направленного на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности, в целях защиты от несанкционированного доступа и неправомерного распространения персональных данных, обрабатываемых в администрации Саратовского муниципального района;
- раскрывает основные категории персональных данных, обрабатываемых администрацией Саратовского муниципального района, цели, способы и принципы обработки персональных данных, права и обязанности при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых в администрации Саратовского муниципального района в целях обеспечения безопасности персональных данных при их обработке;
- предназначена для работников администрации Саратовского муниципального района, осуществляющих обработку персональных данных в целях непосредственной реализации ими закрепленных в Политике принципов, а также является информационным ресурсом для субъектов персональных данных, позволяющим определить концептуальные основы деятельности администрации Саратовского муниципального района при обработке персональных данных.

2. Источники нормативного правового регулирования
вопросов обработки персональных данных

2.1. Политика администрации Саратовского муниципального района в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами Российской Федерации:
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных";
- Федеральный закон от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации";
- Указ Президента российской Федерации от 06.03.1997 № 188 "Об утверждении перечня сведений конфиденциального характера";
- постановление Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
- постановление Правительства Российской Федерации от 17.11.2007 № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных";
- постановление Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятых в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
- приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 № 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных";
- приказ ФСТЭК России от 05.02.2010 № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных";
- приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 01.12.2009 № 630 "Об утверждении Административного регламента проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных".
2.2. Во исполнение настоящей Политики в администрации Саратовского муниципального района постановлениями утверждаются следующие локальные нормативные правовые акты:
- Положение об обработке персональных данных в администрации Саратовского муниципального района;
- Положение об организации и обеспечении защиты персональных данных в администрации Саратовского муниципального района;
- Перечень персональных данных, обрабатываемых в администрации Саратовского муниципального района в связи с реализацией трудовых отношений, а также в связи с оказанием муниципальных услуг и осуществлением муниципальных функций;
- Перечень информационных систем персональных данных администрации Саратовского муниципального района;
- Перечень должностей служащих администрации Саратовского муниципального района, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
- Перечень мест хранения материальных носителей персональных данных, обрабатываемых без использования средств автоматизации в администрации Саратовского муниципального района;
- Модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных администрации Саратовского муниципального района;
- Модель нарушителя безопасности персональных данных при их обработке в информационных системах персональных данных администрации Саратовского муниципального района;
- Должностная инструкция ответственного за организацию обработки персональных данных в администрации Саратовского муниципального района;
- Инструкция работника администрации Саратовского муниципального района по обеспечению безопасности при работе с персональными данными;
- Инструкция администратора безопасности информационных систем персональных данных;
- Акты классификации информационных систем персональных данных администрации Саратовского муниципального района;
- План проведения периодических проверок условий обработки персональных данных в администрации Саратовского муниципального района;
- Типовое обязательство служащего администрации Саратовского муниципального района, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
- Типовая форма согласия на обработку персональных данных служащих администрации Саратовского муниципального района, иных субъектов персональных данных;
- Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
- иные локальные документы администрации Саратовского муниципального района, принимаемые во исполнение требований действующих нормативных правовых актов Российской Федерации в области обработки персональных данных.

3. Основные термины и понятия, используемые
в локальных документах, принимаемых
по вопросу обработки персональных данных

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информация - сведения (сообщения, данные) независимо от формы их представления.
Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных. Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их раскрытия третьим лицам и их распространения без согласия субъекта персональных данных или наличия иного законного основания. Материальный носитель персональных данных - материальный объект, используемый для закрепления и хранения информации. В целях настоящего Положения под материальным носителем понимается бумажный документ, диск, дискета, флэш-карта и т.п.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Общедоступные источники персональных данных - источники персональных данных, в которые с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Для целей настоящего Порядка и других локальных документов администрации Саратовского муниципального района оператором является администрация Саратовского муниципального района.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Работники администрации Саратовского муниципального района - физические лица, состоящие с администрацией Саратовского муниципального района в трудовых отношениях на основании служебного контракта.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Цель обработки персональных данных - конкретный конечный результат действий, совершенных с персональными данными, соответствующий требованиям законодательства Российской Федерации и направленный в том числе на создание необходимых правовых условий для достижения оптимального согласования интересов сторон.

4. Общие условия обработки персональных данных

4.1. Обработка персональных данных осуществляется в администрации Саратовского муниципального района на основе следующих принципов:
- обработка персональных данных должна осуществляться на законной и справедливой основе;
- обработка персональных данных должна быть ограничена достижением конкретных, заранее определенных и законных целей;
- не допускается обработка персональных данных, не совместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
- допускается обработка исключительно тех персональных данных, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки;
- не допускается обработка персональных данных, излишних по отношению к заявленным целям обработки;
- при обработке персональных данных должна быть обеспечена точность персональных данных, их достаточность, а в необходимых случаях - и актуальность по отношению к целям обработки персональных данных;
- неполные или неточные данные должны быть удалены или уточнены. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законодательством.
По достижении целей обработки или в случае утраты необходимости в достижении этих целей персональные данные должны быть уничтожены или обезличены, если иное не предусмотрено федеральным законодательством.
4.2. Администрация Саратовского муниципального района при обработке персональных данных обязана принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
4.3. Обеспечение безопасности персональных данных достигается в частности:
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
4.4. Перечень персональных данных, обрабатываемых в администрации Саратовского муниципального района, утверждается постановлением администрации Саратовского муниципального района и по мере изменения состава обрабатываемых персональных данных подлежит пересмотру и уточнению.

3.5. Субъектами персональных данных, обработка которых осуществляется администрацией Саратовского муниципального района, являются:
- работники администрации Саратовского муниципального района;
- физические лица, персональные данные которых обрабатываются в рамках выполнения полномочий администрацией Саратовского муниципального района;
- иные физические лица, состоящие с администрацией Саратовского муниципального района в трудовых отношениях.
4.6. Цели обработки персональных данных
Целями обработки персональных данных работников администрации Саратовского муниципального района являются: организация учета сотрудников для обеспечения соблюдения требований действующих нормативно-правовых актов; реализация администрацией Саратовского муниципального района обязательств в рамках трудовых правоотношений (на основании заключенных с работниками муниципальных служебных контрактов и действующих нормативных правовых актов), а также обязательств, связанных с трудовыми правоотношениями, предусмотренных действующим законодательством Российской Федерации.
Целью обработки персональных данных физических лиц является осуществление возложенных на администрацию Саратовского муниципального района функций в соответствии с Уставом Саратовского муниципального района Саратовской области, другими нормативными правовыми актами Российской Федерации, подлежащими применению при осуществлении администрацией Саратовского муниципального района деятельности по вопросам местного значения Саратовского муниципального района.
Целью обработки персональных данных представителей юридических лиц, заключивших с администрацией Саратовского муниципального района договоры, является заключение и исполнение администрацией Саратовского муниципального района договора с юридическим лицом и взаимодействие с представителями юридических лиц, связанное с исполнением заключенных администрацией Саратовского муниципального района договоров.
4.7. При определении объема и содержания обрабатываемых персональных данных субъектов администрация Саратовского муниципального района руководствуется вышеуказанными целями получения и обработки персональных данных.

3.8. Доступ работников администрации Саратовского муниципального района к персональным данным, подлежащим обработке, разрешен только уполномоченным работникам в соответствии с Перечнем должностей служащих, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным. При этом указанным лицам предоставляется доступ только к персональным данным, необходимым для выполнения их служебных обязанностей в пределах задач и функций их подразделений.
4.9. Порядок доступа субъекта персональных данных к его персональным данным, обрабатываемым администрацией Саратовского муниципального района, осуществляется в соответствии с Федеральным законом № 152-ФЗ "О персональных данных" и определяется Положением об обработке персональных данных в администрации Саратовского муниципального района.
4.10. Перечень информационных систем персональных данных администрации Саратовского муниципального района утверждается главой администрации Саратовского муниципального района. Информационные системы персональных данных классифицируются в зависимости от категорий обрабатываемых в них персональных данных.
4.11. Организация и проведение мероприятий по обеспечению защиты персональных данных в администрации Саратовского муниципального района осуществляются в соответствии с Положением по организации и обеспечению защиты персональных данных в администрации Саратовского муниципального района.
4.12. Общее руководство организацией работ по защите персональных данных в администрации Саратовского муниципального района осуществляет глава администрации Саратовского муниципального района.
4.13. В целях обеспечения мероприятий, предусмотренных действующим законодательством Российской Федерации в области обработки персональных данных, в администрации Саратовского муниципального района назначен работник, ответственный за следующее:
- доведение до сведения работников администрации Саратовского муниципального района положений законодательства Российской Федерации о персональных данных, локальных актов администрации по вопросам обработки персональных данных, требований к защите персональных данных;
- осуществление внутреннего контроля за соблюдением администрацией Саратовского муниципального района и работниками администрации Саратовского муниципального района законодательства Российской Федерации о персональных данных при обработке персональных данных в информационных системах администрации Саратовского муниципального района, в том числе требований к защите персональных данных, обрабатываемых в информационных системах администрации Саратовского муниципального района;
- осуществление внутреннего контроля за соблюдением администрацией Саратовского муниципального района и работниками администрации Саратовского муниципального района законодательства Российской Федерации о персональных данных при обработке персональных данных без использования средств автоматизации (на бумажных носителях), а также за организацию приема и обработки обращений и запросов субъектов персональных данных или их представителей и осуществление контроля за приемом и обработкой таких обращений и запросов.
4.14. Деятельность администрации Саратовского муниципального района по обеспечению безопасности персональных данных контролируется уполномоченным органом по защите прав субъектов персональных данных.


------------------------------------------------------------------