Озёрское сельское поселение
Бутурлиновский муниципальный район Воронежской области

Политика в отношении обработки персональных данных

Правила
обработки персональных данных
в
администрации Озерского сельского поселения Бутурлиновского муниципального района

Воронежской области

Настоящие Правила устанавливают в администрации Озерского сельского поселения Бутурлиновского муниципального района Воронежской области (далее - Администрация) порядок действий при обработке персональных данных и процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения; порядок рассмотрения запросов субъектов персональных данных или их представителей; порядок работы с обезличенными данными; порядок доступа сотрудников в помещения, в которых ведется обработка персональных данных; порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, иных субъектов персональных данных; типовую форму согласия на обработку персональных данных сотрудников Администрация, иных субъектов персональных данных; типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные

1. Цели обработки персональных данных

Обработка персональных данных в администрации осуществляется в целях:

    • реализации трудовых отношений;
    • оказания государственных и муниципальных услуг, осуществления государственных муниципальных функций.

Обработке подлежат только персональные данные, которые отвечают целям их обработки.

2. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных

Администрация устанавливает следующие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:

    • издание администрацией нормативных правовых актов по вопросам обработки и обеспечения безопасности персональных данных;
    • назначение ответственных за организацию обработки и обеспечение безопасности персональных данных в администрации;
    • определение сотрудников администрации, допущенных к обработке персональных данных и несущих в соответствии с действующим законодательством Российской Федерации ответственность за нарушение требований по обеспечению безопасности персональных данных;
    • ознакомление сотрудников администрации, перед началом обработки персональных данных, под роспись с положениями законодательства Российской Федерации о персональных данных, с требованиями к защите персональных данных в администрации, документами администрации, определяющими политику в отношении обработки персональных данных;
    • обучение сотрудников администрации, допущенных к обработке персональных данных, выполнению требований по их защите;
    • получение персональных данных лично у субъекта персональных данных или в случаях, установленных действующим законодательством, у его законных представителей;
    • при получении персональных данных у третьей стороны администрации извещает об этом субъекта персональных данных заранее, получает его письменное согласие и сообщает ему о целях, предполагаемых источниках и способах получения персональных данных;
    • применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
    • опубликование на официальном сайте администрации в сети Интернет документов администрации, определяющих политику в отношении обработки персональных данных;
    • осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, а также документами администрации.

3. Получение персональных данных

Все персональные данные получаются непосредственно от субъекта персональных данных.

Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает письменное согласие на их обработку.

Типовая форма согласия на обработку персональных данных сотрудников администрации (приложение №1), иных субъектов персональных данных (приложение №2), а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные приведена соответственно (приложение №3).

В случае недееспособности либо несовершеннолетия субъекта все персональные данные субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и дает согласие на их обработку.

В случаях, когда необходимые персональные данные субъекта могут быть получены только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении необходимо сообщить о целях, правовых основаниях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение.

4. Допуск к персональным данным

Перечень должностей сотрудников администрации, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным и лиц их занимающих, утверждается распоряжением администрации.

Каждый сотрудник, допущенный к персональным данным, обязан подписать обязательство, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей.

Формирование перечня должностей сотрудников администрации, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным и лиц их занимающих, а также внесение предложений по его корректировке, ознакомление данных лиц с обязательством под роспись осуществляет лицо, ответственное за организацию обработки персональных данных в администрации.

5. Обязанности сотрудников,
допущенных к обработке персональных данных

Сотрудники администрации, допущенные к обработке персональных данных, обязаны:

    • знать и выполнять требования законодательства Российской Федерации в области персональных данных, документов администрации по вопросам обработки и обеспечения безопасности персональных данных, настоящих Правил;
    • соблюдать правила обработки персональных данных (машинных носителей персональных данных), порядок их учета и хранения, исключать доступ к ним посторонних лиц;
    • обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей;
    • не разглашать третьим лицам персональные данные, ставших известными, в связи с выполнением должностных обязанностей, информировать непосредственное руководство о фактах нарушения установленного порядка обработки персональных данных, о попытках несанкционированного доступа к персональным данным;
    • в случае попытки третьих лиц получить от них персональные данные, сообщать непосредственному руководителю;
    • не использовать персональные данные с целью получения выгоды;
    • после прекращения права на допуск к персональным данным (расторжения служебного контракта) прекратить обработку персональных данных, не разглашать и не передавать персональные данные третьим лицам, ставшие известными в связи с исполнением должностных обязанностей.

Сотрудникам администрации, допущенным к обработке персональных данных, запрещается:

    • использовать персональные данные в неслужебных целях, а также в служебных целях – при ведении телефонных переговоров, в открытой переписке, статьях и выступлениях;
    • передавать персональные данные по незащищенным каналам связи (факсимильная связь, электронная почта);
    • использовать для обработки и хранения персональных данных не учтенные машинные носители информации;
    • снимать копии с документов и машинных носителей информации, содержащих персональные данные, или производить выписки из них, а равно использовать различные технические средства (фото-, видео- и звукозаписывающую аппаратуру) для фиксации персональных данных;
    • передавать документы и машинные носители информации, содержащие персональные данные другим сотрудникам, не допущенным к обработке персональных данных;
    • выполнять на дому работы, связанные с использованием персональных данных, выносить документы и машинные носители информации, содержащие персональные данные, из служебных помещений без санкции главы администрации.

6. Содержание обрабатываемых персональных данных

В администрации персональные данные обрабатываются в связи с реализацией трудовых отношений, а также в связи с оказанием государственных и муниципальных услуг, осуществлением государственных и муниципальных функций.

Перечень персональных данных, обрабатываемых в администрации с привязкой к целям обработки персональных данных, а также указанием информационных систем, в которых они обрабатываются, утверждается распоряжением Администрации.

Формирование перечня персональных данных, обрабатываемых в администрации, и внесение предложений по его корректировке осуществляет лицо, ответственное за организацию обработки персональных данных в Администрации.

7. Категории субъектов, персональные данные
которых обрабатываются

К категориям субъектов, персональные данные которых обрабатываются в администрации в связи с реализацией трудовых отношений, относятся:

    • сотрудники администрации;
    • руководители подведомственных учреждений;
    • кандидаты на замещение вакантных должностей и на включение в кадровый резерв администрации.

К категориям субъектов, персональные данные которых обрабатываются в администрации в связи с оказанием государственных и муниципальных услуг, осуществлением государственных и муниципальных функций, относятся граждане, обратившиеся в администрацию в целях получения услуги.

8. Сроки обработки, хранения и уничтожения
персональных данных

Персональные данные, связанные с реализацией трудовых отношений, обрабатываются и хранятся в течение действия служебного контракта (трудового договора) и в течение 75 (семидесяти пяти) лет после прекращения его действия.

Персональные данные, связанные с оказанием государственных услуг и осуществлением государственных функций, обрабатываются и хранятся до достижения цели их обработки или до момента прекращения необходимости в достижении заранее заявленных целей обработки персональных данных.

В случае достижения цели обработки персональных данных или при наступлении иных законных оснований обработка персональных данных прекращается, и они уничтожаются в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено служебным контрактом, договором или соглашением, стороной которого является субъект персональных данных, либо если Администрация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

В случае отзыва субъектом персональных данных согласия на обработку его персональных данных их обработка прекращается и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, они уничтожаются в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено служебным контрактом, договором или соглашением, стороной которого является субъект персональных данных, либо если Администрация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

Уничтожение машинных носителей персональных данных, выведенных из эксплуатации, производится на основании акта уничтожения, утверждаемого главой поселения.

Решение о стирании записей, содержащих персональные данные, в электронных базах данных принимается сотрудниками Администрации, допущенными к обработке персональных данных, самостоятельно в срок, не превышающий тридцати дней по достижении целей обработки или с момента утраты необходимости в достижении этих целей.

9. Порядок рассмотрения запросов субъектов персональных
данных или их представителей

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

    • подтверждение факта обработки персональных данных;
    • правовые основания и цели обработки персональных данных;
    • цели и применяемые Администрацией способы обработки персональных данных;
    • наименование и место нахождения Администрации, сведения о сотрудниках Администрации, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Администрацией или на основании федерального закона;
    • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
    • сроки обработки персональных данных, в том числе сроки их хранения.

Сведения предоставляются ответственным за организацию обработки персональных данных в Администрации субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.

Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Администрацией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Администрацией, подпись субъекта персональных данных или его представителя.

Субъект персональных данных вправе требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

В случае обращения субъекта персональных данных или его представителя либо при получении запроса от субъекта персональных данных или его представителя ответственный за организацию обработки персональных данных в Администрации обязан:

    • сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных;
    • предоставить безвозмездно возможность субъекту персональных данных или его представителю ознакомления с этими персональными данными в течение тридцати дней с даты обращения или получения запроса. В случае принятия решения об отказе в предоставлении информации о наличии персональных данных о соответствующем субъекте ему или его представителю в срок, не превышающий тридцати дней со дня обращения (либо с даты получения запроса) в письменной форме направить мотивированный ответ, содержащий ссылку на норму Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» или иного федерального закона, являющуюся основанием для такого отказа;
    • предоставить субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных;
    • в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, инициировать процедуру внесения в них необходимых изменений;
    • в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, инициировать процедуру уничтожения таких персональных данных;
    • уведомить субъекта персональных данных или его представителя, а также третьих лиц, которым персональные данные этого субъекта были переданы, о внесенных изменениях и предпринятых мерах.

Сведения должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

В случае если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно или направить повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса.

Субъект персональных данных вправе обратиться повторно в Администрацию или направить ему повторный запрос в целях получения сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения тридцати дней в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с обязательными сведениями должен содержать обоснование направления повторного запроса.

В случае несоответствия повторного запроса субъекта персональных данных указанным выше условиям такой запрос может быть отклонен. Такой отказ должен быть мотивированным.

Регистрация обращений и запросов субъектов персональных данных или их представителей, а также уполномоченного органа по защите прав субъектов персональных данных осуществляется ответственным за организацию обработки персональных данных в Администрации в журнале. Листы журнала нумеруются, прошиваются и опечатываются. Форма журнала приведена в приложении №4 к настоящим Правилам.

10. Порядок доступа сотрудников в помещения, в которых ведется обработка персональных данных

Для помещений, в которых ведется обработка персональных данных, организуется режим безопасности, при котором обеспечивается сохранность документов и машинных носителей информации, содержащих персональные данные, средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.

В помещениях, где размещены технические средства, участвующие в обработке персональных данных, а также хранятся машинные носители персональных данных (далее – Помещения), право самостоятельного доступа в рабочие дни имеют только сотрудники, включенные в Перечень лиц, имеющих доступ в Помещения, утвержденный распоряжением Администрации.

Нахождение иных лиц в Помещениях возможно только в сопровождении сотрудника Администрации, имеющего право самостоятельного доступа в это Помещение на время, ограниченное служебной необходимостью. При этом должна быть исключена возможность доступа посторонних лиц к обрабатываемым персональным данным, в том числе через выводимую на экран монитора и принтер информацию, а также к машинным носителям персональных данных.

Технические средства, участвующие в обработке персональных данных, в Помещении должны располагаться таким образом, чтобы исключить случайный просмотр обрабатываемой информации посторонними лицами, вошедшими в Помещение, а также через двери и окна Помещения.

В случае отсутствия сотрудников, имеющих право самостоятельного доступа, в Помещении в рабочее, а также в нерабочее время Помещение должно закрываться на ключ.

Уборка Помещения должна проводиться только в присутствии сотрудника, имеющего право самостоятельного доступа в Помещение.

На время проведения ремонта Помещения все технические средства, участвующие в обработке персональных данных, а также документы и машинные носители информации, содержащие персональные данные, переносятся в другое Помещение, используемое для обработки персональных данных.

В случае возникновения нештатных ситуаций необходимо незамедлительно сообщать о них главе Администрации. Доступ в Помещение с целью устранения нештатных ситуаций, а также в нерабочее время осуществляется с разрешение главы Администрации. В случае привлечения для устранения внештатных ситуаций внешних исполнителей и сотрудников Администрации, не включенных в Перечень лиц, имеющих доступ в Помещение, доступ в Помещение осуществляется с разрешения главы Администрации в присутствии сотрудника, имеющего право самостоятельного доступа в Помещение.

Контроль за соблюдением порядка доступа сотрудников в Помещения осуществляют ответственные за организацию обработки и обеспечение безопасности персональных данных в Администрации.

11. Порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите
персональных данных

В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и документами Администрации, проводятся периодические проверки условий обработки персональных данных. Проверки проводятся ответственными за организацию обработки и обеспечение безопасности персональных данных в Администрации по плану проведения внутреннего контроля или поручению главы Администрации. План проведения внутреннего контроля формируется ответственным за организацию обработки персональных данных и утверждается главой Администрации ежегодно.

Проверки осуществляются путем опроса, а также путем осмотра рабочих мест сотрудников Администрации, участвующих в процессе обработки персональных данных.

Контролируемые вопросы в ходе проведения проверки:

    • наличие у сотрудников допуска к обработке персональных данных;
    • наличие согласий субъектов на обработку их персональных данных;
    • соблюдение целей, состава и сроков обработки персональных данных;
    • соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных;
    • соблюдение сотрудниками правил работы с машинными носителями персональных данных;
    • соблюдение порядка работы со средствами защиты информации.

По итогам каждой проверки составляется протокол проверки соответствия обработки персональных данных требованиям к защите персональных данных по форме, приведенной в приложение №5 к настоящим Правилам.

При выявлении в ходе проверки нарушений в протоколе указываются мероприятия по устранению этих нарушений и сроки их исполнения. О результатах проверки и мерах, необходимых для устранения выявленных нарушений, ответственный за организацию обработки персональных данных докладывает главе поселения.

Протоколы проверок подписываются ответственными за организацию обработки и обеспечение безопасности персональных данных и утверждаются главой Администрации. Хранятся протоколы проверок у ответственного за организацию обработки персональных данных в течение пяти лет.

Политика конфиденциальности

Найдено 0 документов
Ничего не найдено

Сайт использует сервис веб-аналитики Яндекс Метрика с помощью технологии «cookie». Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie