О введении в действие документов, направленных на обеспечение выполнения Администрацией Конаковского района Тверской области обязанностей, предусмотренных Федеральным законом «О персональных данных»
АДМИНИСТРАЦИЯ КОНАКОВСКОГО РАЙОНА
ТВЕРСКОЙ ОБЛАСТИ
Р А С П О Р Я Ж Е Н И Е
11.07.2016 г. Конаково № 168
О введении в действие документов, направленных на обеспечение выполнения Администрацией Конаковского района Тверской области обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами
В целях выполнения требований Федерального закона от 27 июля 2006 №152-ФЗ «О персональных данных» и постановления Правительства Российской Федерации от 21 марта 2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», руководствуясь Уставом МО «Конаковский район» Тверской области,
ОБЯЗЫВАЮ:
1. Утвердить Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в Администрации Конаковского района Тверской области (приложение 1).
2. Утвердить Правила рассмотрения запросов субъектов персональных данных или их представителей в Администрации Конаковского района Тверской области (приложение 2).
3. Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных в Администрации Конаковского района Тверской области требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных» (приложение 3).
4. Утвердить Правила работы с обезличенными данными в случае обезличивания персональных данных в Администрации Конаковского района Тверской области (приложение 4).
5. Утвердить Перечень должностей служащих Администрации Конаковского района Тверской области, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных в случае обезличивания персональных данных (приложение 5).
6. Утвердить Перечень должностей служащих Администрации Конаковского района Тверской области, замещение которых предусматривает осуществление обработки персональных данных, либо осуществление доступа к персональным данным (приложение 6).
7. Контроль за исполнением настоящего распоряжения возложить на заместителя главы администрации по правовым вопросам, управляющего делами.
Глава администрации
Конаковского района О.В. Лобановский
ПРИЛОЖЕНИЕ 1
к распоряжению Администрации
Конаковского района Тверской области
от 11. 07. 2016 г. № 168
Правила
обработки персональных данных, устанавливающие процедуры направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в Администрации Конаковского района Тверской области
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящие Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в Администрации Конаковского района Тверской области (далее - Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21 марта 2012 № 211 «Об утверждении перечня мер. направленных на обеспечение выполнения обязанностей. предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
1.2. Настоящие Правила определяют цели обработки персональных данных, категории субъектов, персональные данные которых обрабатываются в Администрации Конаковского района Тверской области (далее — муниципальный орган, Оператор), содержание обрабатываемых персональных данных, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных.
2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Обработка персональных данных муниципальным органом осуществляется в следующих целях:
- ведение бухгалтерского и кадрового учета;
- выполнение требований законодательства о муниципальной службе в Российской Федерации.
2.2. Принципы, в соответствии с которыми осуществляется обработка персональных данных, приведены в Политике в отношении обработки персональных данных в Администрации Конаковского района Тверской области.
3. КАТЕГОРИИ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ, СРОКИ ИХ ОБРАБОТКИ
И ХРАНЕНИЯ
3.1. В муниципальном органе осуществляется обработка следующих категорий субъектов персональных данных:
- работники, замещающие должности муниципальной службы;
- граждане, персональные данные которых необходимы для выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;
- работники, не являющиеся муниципальными служащими;
- граждане, персональные данные которых необходимы в целях исполнения уставных задач.
3.2. Персональные данные обрабатываются в сроки, обусловленные
заявленными целями их обработки.
33. Обработка персональных данных осуществляется с момента их получения муниципальным органом и прекращается:
- по достижении целей обработки персональных данных;
- в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных.
3.4. Сроки хранения персональных данных, содержащиеся на материальных носителях информации, устанавливаются в соответствии с номенклатурой дел муниципального органа.
4. СОДЕРЖАНИЕ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ
ДАННЫХ
4.1. В соответствии с целями обработки персональных данных, указанными в 2.1 настоящих Правил, муниципальным органом осуществляется обработка следующих персональных данных:
4.1.1. Работники, замещающие должности муниципальной службы:
- ФИО;
- рождения;
- место рождения;
- пол;
- гражданство;
- адрес регистрации;
- адрес проживания;
- дата регистрации по месту жительства;
- контактные телефоны;
- данные документа, удостоверяющего личность;
- наименование органа, выдавшего документ, удостоверяющий личность;
- дата выдачи документа, удостоверяющего личность; - ИНН;
- СНИЛС;
- реквизиты документа об образовании;
- сведения об образовании;
- направление подготовки или специальность по документу об образовании;
- квалификация по документу об образовании;
- сведения о послевузовском профессиональном образовании;
- реквизиты трудового договора;
- характер, вид работы;
- стаж работы;
- сведения о присвоении квалификационного разряда, классного чина, дипломатического ранга, воинского звания;
- семейное положение;
- сведения о составе семьи;
- сведения о воинском учете;
- сведения о приеме на работу и переводах на другие должности;
- сведения об увольнении;
- основание прекращения трудового договора (увольнения);
- сведения об аттестации;
- сведения о повышении квалификации;
- сведения о профессиональной переподготовке;
- табельный номер;
- сведения о государственных и ведомственных наградах;
- сведения о почетных званиях;
- ученая степень;
- сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством;
- данные об отпусках;
- сведения о владении иностранными языками.
4.1.2. Граждане, персональные данные которых необходимы для выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей:
- ФИО;
- дата рождения;
- место рождения;
- пол;
- гражданство;
- адрес регистрации;
- адрес проживания;
- дата регистрации по месту жительства;
- контактные телефоны;
- данные документа, удостоверяющего личность;
- наименование органа, выдавшего документ, удостоверяющий личность;
- дата выдачи документа, удостоверяющего личность;
- ИНН;
- СНИЛС;
- реквизиты документа об образовании;
- сведения об образовании;
- направление подготовки или специальность по документу об образовании;
- квалификация по документу об образовании;
- сведения о послевузовском профессиональном образовании;
- профессия;
- реквизиты трудового договора;
- характер, вид работы;
- стаж работы;
- семейное положение;
- сведения о составе семьи;
- сведения о воинском учете;
- сведения о приеме на работу и переводах на другие должности;
- сведения об увольнении;
- основание прекращения трудового договора (увольнения);
- сведения об аттестации;
- сведения о повышении квалификации;
- сведения о профессиональной переподготовке;
- табельный номер;
- сведения о наградах (поощрениях);
- сведения о почетных званиях;
- сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством;
- данные об отпусках;
- сведения о владении иностранными языками.
4.1.3. Работники, не являющиеся муниципальными служащими:
- ФИО;
- сведения о смене ФИО;
- дата рождения;
- место рождения;
- гражданство;
- сведения об изменении гражданства;
- сведения о наличии гражданства другого государства;
- адрес регистрации;
- адрес проживания;
- контактные телефоны (или иной вид связи);
- данные документа, удостоверяющего личность;
- наименование органа, выдавшего документ, удостоверяющий личность;
- дата выдачи документа, удостоверяющего личность;
-данные заграничного паспорта;
- ИНН;
- СНИЛС;
- реквизиты документа об образовании;
- сведения об образовании;
- направление подготовки или специальность по документу об образовании;
- квалификация по документу об образовании;
- сведения о послевузовском профессиональном образовании;
- сведения о трудовой деятельности;
- классный чин федеральной гражданской службы, дипломатический ранг, воинское или специальное звание, классный чин правоохранительной службы, классный чин гражданской службы субъекта Российской Федерации. квалификационный разряд государственной службы, квалификационный разряд или классный чин муниципальной службы;
- отношение к воинской обязанности и воинское звание;
- сведения о государственных наградах;
- ученая степень;
- ученое звание;
- сведения о близких родственниках;
-сведения об изменении ФИО близкими родственниками;
- сведения о близких родственниках, постоянно проживающих за границей и (или) оформляющих документы для выезда на постоянное место жительства в другое государство;
- сведения о пребывании за границей;
- сведения о владении иностранными языками;
- сведения о допуске к государственной тайне;
- фотография.
4.1.4. Граждане, персональные данные которых необходимы в целях исполнения уставных задач:
- ФИО;
- сведения о смене ФИО;
- дата рождения;
- место рождения;
- гражданство;
- сведения об изменении гражданства;
- сведения о наличии гражданства другого государства;
- адрес регистрации;
- адрес проживания;
- контактные телефоны (или иной вид связи);
- данные документа, удостоверяющего личность;
- наименование органа, выдавшего документ, удостоверяющий личность;
- дата выдачи документа, удостоверяющего личность;
- данные заграничного паспорта;
- ИНН;
- СНИЛС;
- реквизиты документа об образовании;
- сведения об образовании;
- направление подготовки или специальность по документу об образовании;
- квалификация по документу об образовании;
- сведения о послевузовском профессиональном образовании;
- сведения о трудовой деятельности;
- классный чин федеральной гражданской службы, дипломатический ранг, воинское или специальное звание, классный чин правоохранительной службы, классный чин гражданской службы субъекта Российской Федерации. квалификационный разряд государственной службы, квалификационный разряд или классный чин муниципальной службы;
- отношение к воинской обязанности и воинское звание;
- сведения о государственных наградах;
- ученая степень;
- ученое звание;
- сведения о близких родственниках;
- сведения об изменении ФИО близкими родственниками;
- сведения о близких родственниках, постоянно проживающих за границей и (или) оформляющих документы для выезда на постоянное место жительства в другое государство;
- сведения о пребывании за границей;
- сведения о владении иностранными языками;
- сведения о допуске к государственной тайне;
- фотография.
5. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ДОСТИЖЕНИИ ЦЕЛЕЙ ОБРАБОТКИ ИЛИ ПРИ НАСТУПЛЕНИИ ИНЫХ ЗАКОННЫХ ОСНОВАНИЙ
5.1. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях. предусмотренных настоящим федеральными законами.
5.2. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае. если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
5.3. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора. Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
5.4. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 5.1- 53 настоящих Правил. Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
5.5. Уничтожение документов, содержащих персональные данные, утративших свое практическое значение и не подлежащих архивному хранению, производится на основании акта уничтожения персональных данных по утвержденной муниципальным органом форме.
6. ПРОЦЕДУРЫ, НАПРАВЛЕННЫЕ НА ВЫЯВЛЕНИЕ И ПРЕДОТВРАЩЕНИЕ НАРУШЕНИЙ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Муниципальный орган устанавливает следующие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:
- издание локальных актов по вопросам обработки и защиты персональных данных;
- назначение ответственного за организацию обработки персональных данных;
- определение лиц. уполномоченных на обработку персональных данных муниципальным органом и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима обработки персональных данных;
- ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику муниципального органа в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников;
- получение согласия на обработку персональных данных у субъектов персональных данных (их законных представителей) за исключением случаев, предусмотренных Федеральным законом «О персональных данных»;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике муниципального органа в отношении обработки персональных данных, локальным актам муниципального органа;
- опубликование на официальном сайте муниципального органа документов, определяющих политику муниципального органа в отношении обработки персональных данных, реализуемые требования к защите персональных данных;
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с требованиями Федерального закона «О персональных данных».
ПРИЛОЖЕНИЕ 2
к распоряжению Администрации
Конаковского района Тверской области
от 11. 07. 2016 г. № 168
Правила рассмотрения запросов субъектов персональных данных или их представителей в Администрации Конаковского района
Тверской области
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящие Правила рассмотрения запросов субъектов персональных данных или их представителей в Администрации Конаковского района Тверской области (далее - Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 №152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21 марта 2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и определяют права субъектов персональных данных, обязанности Администрации Конаковского района Тверской области (далее - орган исполнительной власти. Оператор) при обращении субъекта персональных данных или его представителя, а также сроки и последовательность действий должностных лиц муниципального органа при рассмотрении запросов субъектов персональных данных или их представителей (далее - Запрос).
1.2. Представитель субъекта персональных данных - лицо, действующее от имени субъекта персональных данных в силу полномочий, основанных на доверенности, указании закона, либо акте уполномоченного на то государственного органа или органа местного самоуправления. При обращении представителя субъекта персональных данных в муниципальный орган предоставляется документ. подтверждающий полномочия законного представителя.
2. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных муниципальным органом;
- правовые основания и цели обработки персональных данных;
- цели и применяемые муниципальным органом способы обработки персональных данных;
- наименование и место нахождения муниципального органа, сведения о лицах (за исключением работников муниципального органа), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с муниципальным органом или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законодательством в сфере защиты персональных данных;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению муниципального органа, если обработка поручена или будет поручена такому липу;
- иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
2.2. Сведения, указанные в п.2.1 настоящих Правил, должны быть предоставлены субъекту персональных данных муниципальным органом в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
2.3. Сведения, указанные в п.2.1 настоящих Правил, предоставляются субъекту персональных данных или его представителю муниципальным органом при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с муниципальным органом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных органом исполнительной власти, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
2.4. В случае, если сведения, указанные в п.2.1 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в муниципальный орган или направить повторный запрос в целях получения сведений, указанных в п.2.1 настоящих Правил, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
2.5. Субъект персональных данных вправе обратиться повторно в муниципальный орган или направить повторный запрос в целях получения сведений, указанных в п.2.1 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п.2.4 настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п.2.3 настоящих Правил, должен содержать обоснование направления повторного запроса.
2.6. Муниципальный орган вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 2.4 и 2.5 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на муниципальном органе.
2.7. Субъект персональных данных вправе требовать от муниципального органа уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными. устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
- обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
- обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
- обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
- обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
3. ОБЯЗАННОСТИ ОПЕРАТОРА ПРИ ОБРАЩЕНИИ К НЕМУ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ ЛИБО ПРИ ПОЛУЧЕНИИ ЗАПРОСА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ ИЛИ ЕГО ПРЕДСТАВИТЕЛЯ
3.1. Оператор обязан сообщить в порядке, предусмотренном настоящими Правилами, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
3.2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Оператор обязан дать в письменной форме мотивированный ответ, с указанием причин отказа со ссылкой на положение ч. 8 ст. 14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
3.3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными. Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки. Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц. которым персональные данные этого субъекта были переданы.
4. ПОРЯДОК РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ
4.1. В день поступления запроса субъекта персональных данных или его представителя в муниципальный орган указанный запрос необходимо зарегистрировать в соответствии с правилами документооборота, установленными муниципальным органом, а также внести соответствующую запись в Журнал учета обращений субъектов персональных данных. Форма Журнала учета обращений субъектов персональных данных утверждена распоряжением Администрации Конаковского района Тверской области.
4.2. Ответственный за организацию обработки персональных данных муниципального органа осуществляет непосредственный контроль за соблюдением установленного законодательством Российской Федерации и настоящими Правилами порядка рассмотрения запросов субъектов персональных данных или их представителей. На контроль берутся все запросы.
4.3. Структурное подразделение, ответственное за исполнение указанного запроса, обеспечивает рассмотрение запроса и подготовку необходимой информации в установленный действующим законодательством срок.
4.4. Для проверки фактов, изложенных в запросах, при необходимости организуются служебные проверки в соответствии с законодательством Российской Федерации.
4.5. По результатам служебной проверки составляется мотивированное заключение, которое должно содержать объективный анализ собранных материалов. Если при проверке выявлены факты совершения сотрудником муниципального органа действия (бездействия), содержащего признаки административного правонарушения или состава преступления информация передается незамедлительно в правоохранительные органы. Результаты служебной проверки докладываются Главе администрации Конаковского района.
4.6. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы заявителю.
4.7. Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных должностных лиц ответственность в соответствии с законодательством Российской Федерации.
ПРИЛОЖЕНИЕ 3
к распоряжению Администрации
Конаковского района Тверской области
от 11. 07. 2016 г. № 168
Правила осуществления внутреннего контроля соответствия обработки персональных данных в Администрации Конаковского района Тверской области требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных»
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных в Администрации Конаковского района Тверской области требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных» (далее - Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21 марта 2012 №211 «Об утверждении перечня мер. направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
2. ПОРЯДОК ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Администрации Конаковского района Тверской области (далее — муниципальный орган) проводятся периодические проверки условий обработки персональных данных.
2.2. Проверка соответствия обработки персональных данных требованиям к защите персональных данных проводится ответственным за организацию обработки персональных данных.
2.3. Плановые проверки условий обработки персональных данных проводятся на основании утвержденного Главой администрации Конаковского района ежегодного плана внутренних проверок режима защиты персональных данных (плановые проверки), представленного в приложении к Положению по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Администрации Конаковского района Тверской области.
2.4. Внеплановые проверки проводятся на основании поступившей информации о нарушениях правил обработки персональных данных. Проведение внеплановой проверки организуется в течение трех рабочих дней со дня поступления информации о нарушениях правил обработки персональных данных.
2.5. В проведении проверки условий обработки персональных данных не могут участвовать сотрудники муниципального органа, прямо или косвенно заинтересованные в ее результатах.
2.6. Проверки условий обработки персональных данных осуществляются непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра служебных мест сотрудников муниципального органа, участвующих в процессе обработки персональных данных.
2.7. При проведении проверки условий обработки персональных данных должны быть полностью, объективно и всесторонне установлены:
- порядок и условия применения организационных и технических мер, необходимых для выполнения требований к защите персональных данных;
- порядок и условия соблюдения парольной защиты;
- порядок и условия соблюдения антивирусной защиты;
- порядок и условия обеспечения резервного копирования;
- эффективность принимаемых мер по обеспечению безопасности персональных данных до их ввода в информационные системы персональных данных;
- условия соблюдения режима защиты при подключении к сетям общего пользования и (или) международного обмена;
- порядок и условия обновления программного обеспечения и единообразия применяемого программного обеспечения на всех элементах информационной системы персональных данных;
- порядок и условия применения средств защиты информации;
- состояние учета носителей персональных данных;
- соблюдение правил доступа к персональным данным;
- соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных;
- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
- мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
2.8. Проверка условий обработки персональных данных должна быть завершена не позднее чем через тридцать календарных дней со дня принятия решения о ее проведении.
2.9. По результатам проведенной проверки условий обработки персональных данных ответственный за организацию обработки персональных данных предоставляет Главе администрации Конаковского района письменное заключение с указанием мер, необходимых для устранения выявленных нарушений.
ПРИЛОЖЕНИЕ 4
к распоряжению Администрации
Конаковского района Тверской области
от 11. 07. 2016 г. № 168
Правила работы с обезличенными данными в случае обезличивания персональных данных в Администрации Конаковского района
Тверской области
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Правила работы с обезличенными данными в случае обезличивания персональных данных в Администрации Конаковского района Тверской области (далее - Правила) разработаны в соответствии с требованиями Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 21 марта 2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 №996 «Об утверждении требований и методов по обезличиванию персональных данных» и определяют условия обезличивания персональных данных, методы обезличивания персональных данных и порядок работы с обезличенными данными.
2. УСЛОВИЯ ОБЕЗЛИЧИВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. В соответствии с Федеральным законом «О персональных данных» обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
2.2. Обезличивание персональных данных может быть проведено в статистических целях, в целях предупреждения ущерба от разглашения персональных данных, по достижении целей или в случае утраты необходимости в достижении этих целей, а также в иных целях, предусмотренных законодательством Российской Федерации.
2.3.Обезличивание персональных данных должно обеспечивать следующие свойства информации:
- полноту (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
- структурированность (сохранение структурных связей между обезличенными персональными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
- релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
- семантическую целостность (сохранение семантики (сути и смысла) персональных данных при их обезличивании);
- применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных без предварительного деобезличивания всего объема записей о субъектах);
- анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).
2.4. Методы обезличивания персональных данных должны обладать следующими характеристиками:
- обратимостью (возможностью преобразования. обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);
- вариативностью (возможностью внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);
- изменяемостью (возможностью внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);
- (стойкостью метода к атакам на идентификацию субъекта персональных данных);
- возможностью косвенного дееобезличивания (возможностью проведения деобезличивания с использованием информации других операторов);
- совместимостью (возможностью интеграции персональных данных, обезличенных различными методами);
- параметрическим объемом (возможностью определения объема дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);
- возможностью оценки качества данных (возможностью проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).
2.5. Методы обезличивания персональных данных должны обладать следующими свойствами:
- обратимостью (возможность проведения деобезличивания);
- возможностью обеспечения заданного уровня анонимности;
- увеличением стойкости при увеличении объема обезличиваемых персональных данных.
2.6. Получаемые обезличенные данные должны обладать следующими свойствами:
- сохранением полноты (состав обезличенных данных должен полностью соответствовать составу обезличиваемых персональных данных);
- сохранением структурированности обезличиваемых персональных данных;
- сохранением семантической целостности обезличиваемых персональных данных;
- анонимностью отдельных данных не ниже заданного уровня (количества возможных сопоставлений обезличенных данных между собой для деобезличивания как, например, k- anonymity).
2.7. Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки персональных данных.
2.8. В Администрации Конаковского района Тверской области могут быть использованы следующие методы обезличивания:
- метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);
- метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);
- метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);
- метод перемешивания (перестановка отдельных записей, а так же групп записей в массиве персональных данных).
2.9. Описание методов обезличивания, обеспечиваемых ими свойств обезличенных данных, оценка свойств методов, требования к реализации методов приведены в приложении к настоящим Правилам.
2.10. Предложения о методах обезличивания вносит ответственный за обеспечение безопасности персональных данных в информационных системах персональных данных муниципального органа. Решение о методах обезличивания персональных данных принимает Глава администрации Конаковского района.
2.11. Ответственность за обезличивание персональных данных несут лица, замещающие должности, вошедшие в Перечень должностей служащих Администрации Конаковского района Тверской области, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных в случае обезличивания персональных данных.
3. ПОРЯДОК РАБОТЫ С ОБЕЗЛИЧЕННЫМИ ДАННЫМИ
3.1. Обезличенные персональные данные конфиденциальны и не подлежат разглашению.
3.2. Обезличенные персональные данные могут обрабатываться как с использованием, так и без использования средств автоматизации.
3.3. При обработке обезличенных персональных данных сотрудники муниципального органа руководствуются настоящими Правилами.
ПРИЛОЖЕНИЕ
к Правилам работы с обезличенными данными
в случае обезличивания персональных данных
в Администрации Конаковского района
Тверской области
Описание методов обезличивания
1. МЕТОД ВВЕДЕНИЯ ИДЕНТИФИКАТОРОВ
1.1. Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия.
1.2. Метод обеспечивает следующие свойства обезличенных данных:
- полнота;
- структурированность;
- семантическая целостность;
- применимость.
1.3. Оценка свойств метода:
- обратимость (метод позволяет провести процедуру деобезличивания);
- вариативность (метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания);
- изменяемость (метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания);
- стойкость (метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);
- возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
- совместимость (метод позволяет интегрировать записи, соответствующие отдельным атрибутам);
- параметрический объем (объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию);
- возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
1.4. Для реализации метода требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия.
2. МЕТОД ИЗМЕНЕНИЯ СОСТАВА ИЛИ СЕМАНТИКИ
2.1. Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта.
2.2. Метод обеспечивает следующие свойства обезличенных данных:
- структурированность;
- релевантность;
- применимость;
- анонимность.
2.3. Оценка свойств метода:
- обратимость (метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных);
- вариативность (метод не позволяет изменять параметры метода без проведения предварительного деобезличивания);
- изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
- стойкость (стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);
- возможность косвенного деобезличивания (метод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
- совместимость (метод не обеспечивает интеграции с данными, обезличенными другими методами);
- параметрический объем (параметры метода определяются набором правил изменения состава или семантики персональных данных);
- возможность оценки качества данных (метод не позволяет проводить анализ, использующий конкретные значения персональных данных).
2.4. Для реализации метода требуется выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта. При этом возможно использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки (средние значения, например).
3. МЕТОД ДЕКОМПОЗИЦИИ
3.1. Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам.
3.2. Метод обеспечивает следующие свойства обезличенных данных:
- полнота;
- структурированность;
- релевантность;
- семантическая целостность;
- применимость.
3.3. Оценка свойств метода:
- обратимость (метод позволяет провести процедуру деобезличивания);
- вариативность (метод позволяет изменить параметры декомпозиции без предварительного деобезличивания);
- изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
- стойкость (метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений);
- возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
- совместимость (метод обеспечивает интеграцию с данными, обезличенными другими методами);
- параметрический объем (определяется числом подмножеств и числом субъектов персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц связывания записей, находящихся в различных хранилищах);
- возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
3.4. Для реализации метода требуется предварительно разработать правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища.
4. МЕТОД ПЕРЕМЕШИВАНИЯ
4.1. Метод перемешивания реализуется путем перемешивания отдельных записей, а так же групп записей между собой.
4.2. Метод обеспечивает следующие свойства обезличенных данных:
- полнота;
- структурированность;
- релевантность;
- семантическая целостность;
- применимость;
- анонимность.
4.3.Оценка свойств метода:
- обратимость (метод позволяет провести процедуру деобезличивания);
- вариативность (метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания);
- изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
- стойкость (длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию);
- возможность косвенного деобезличивания (метод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов);
- совместимость (метод позволяет проводить интеграцию с данными, обезличенными другими методами);
- параметрический объем (зависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию);
- возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
4.4. Для реализации метода требуется разработать правила перемешивания и их алгоритмы, правила и алгоритмы деобезличивания и внесения изменений в записи.
4.5. Метод может использоваться совместно с методами введения идентификаторов и декомпозиции.
ПРИЛОЖЕНИЕ 5
к распоряжению Администрации
Конаковского района Тверской области
от 11. 07. 2016 г. № 168
Перечень должностей служащих Администрации Конаковского района
Тверской области, ответственных за проведение мероприятий по
обезличиванию обрабатываемых персональных данных в случае
обезличивания персональных данных
|
№ п/п |
Структурное подразделение, должность |
|
Отдел бухгалтерского учета и отчетности |
|
|
1. |
Заведующий отделом, Главный бухгалтер |
|
|
Кадровая служба |
|
1 |
Руководитель |
ПРИЛОЖЕНИЕ 6
к распоряжению Администрации
Конаковского района Тверской области
от 11. 07. 2016 г. № 168
Перечень должностей служащих Администрации Конаковского района
Тверской области, замещение которых предусматривает осуществление
обработки персональных данных, либо осуществление доступа к персональным данным
|
№ п/п |
Структурное подразделение, должность |
|
Отдел бухгалтерского учета и отчетности |
|
|
1. |
Заведующий отделом, Главный бухгалтер |
|
Кадровая служба |
|
|
2. |
Руководитель кадровой службы |
