Политика в отношении обработки персональных данных

Приложение № 1
к распоряжению администрации
муниципального образования
«Заиграевский район»
от 20.03.2020г. № 92-р

ПОЛИТИКА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И РЕАЛИЗУЕМЫХ ТРЕБОВАНИЙ
К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Настоящая Политика обработки персональных данных и реализуемых требований к защите персональных данных (далее — Политика) разработана в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных и действует в отношении всей информации, которую администрация муниципального образования «Заиграевский район» - оператор может получить в рамках осуществления своей деятельности. Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и предназначена для ознакомления неограниченного круга лиц.

В Политике определены основные понятия, основные права и обязанности оператора и субъекта персональных данных, цели обработки персональных данных, правовое основание для обработки персональных данных, порядок и условия обработки персональных данных, требования к персоналу оператора, степень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в различных информационных системах персональных данных (ИСПДн) оператора.

ОБЩИЕ ПОЛОЖЕНИЯ

Целью настоящей Политики является обеспечение защиты прав и свобод субъекта персональных данных при обработке его персональных данных, безопасности объектов защиты оператора в информационных системах от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн (УБПДн) информационных систем.

Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

Информация и связанные с ней ресурсы должны быть доступны для субъектов ПДн. Должно осуществляться своевременное обнаружение и реагирование на УБПДн.

Должно осуществляться предотвращение преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения данных.

Состав объектов защиты представлен в главе II«Правовой режим обработки персональных данных», подлежащих защите.

Область действия:

Требования настоящей Политики распространяются на всех работников оператора (штатных, временных, работающих по контракту и т.п.), физических лиц и их законных представителей.

Основные понятия, реализуемые в Политике:

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

ПРАВОВОЙ РЕЖИМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1.                Правовое основание обработки персональных данных

Оператор при обработке персональных данных субъектов руководствуется:

-       Конституцией Российской Федерации;

-       Конституцией Республики Бурятия,

-       Трудовым кодексом Российской Федерации;

-       Гражданским кодексом РФ;

-       Налоговым кодексом РФ,

-       Бюджетным кодексом РФ,

-       Федеральным законом от 02.03.2007г. № 25-ФЗ «О муниципальной гражданской службе Российской Федерации»,

-       Законом Республики Бурятия от 10.09.2007г. №2431-III «О муниципальной службе в Республике Бурятия»,

-       Федеральным законом от 25.12.2008г. №273-ФЗ «О противодействии коррупции»,

-       Федеральным законом от 24.04.2008г.№ 48-ФЗ «Об опеке и попечительстве»;

-       Федеральным законом от16.04.2001г. № 44-ФЗ «О государственном банке данных о детях, оставшихся без попечения родителей»;

-       Законом Республики Бурятия от 04.03.2008 г. №137-IV«Об организации и осуществлении деятельности по опеке и попечительству, обеспечению прав детей, находящиеся в трудной жизненной ситуации, на отдых и оздоровление в Республике Бурятия и наделении органов местного самоуправления муниципальных образований в Республике Бурятия отдельными государственными полномочиями»;

-       Федеральным законом от 06.12.2011г. № 402-ФЗ «О бухгалтерском учете»,

-       Федеральным законом от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»,

-       Федеральным законом от 15.12.2001г. № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»,

-       Федеральным законом от 16.07.1999г. №165-ФЗ «Об основах обязательного социального страхования»,

-       Федеральным законом от 29.12.2006г. № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»,

-       Федеральным законом от 24.07.1998г. № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»,

-       Федеральным законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»,

-       Федеральным законом от 24.11.1995 г. № 181-ФЗ «О социальной защите инвалидов в Российской Федерации»,

-       Федеральным законом от 28.03.1998г. №53-ФЗ» О воинской обязанности и военной службе»,

-       Федеральным законом от 05.04.2013г. № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»,

-       Федеральным законом от 27.07.2006 г. №149-ФЗ «Об информации, информационных технологиях и защите информации»;

-       Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных»,

-       Постановлением Правительства Российской Федерации от 15.09.2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

-       Постановлением Правительства Российской Федерации от 16.04.2003 г. №225 «О трудовых книжках»;

-       Постановлением Правительства Российской Федерации от 21.03.2012 г. №211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренным Федеральным законом «О персональных данных»;

-       Постановлением Правительства Российской Федерации от 16.04.2003 г. №225 «О трудовых книжках»;

-       Постановлением Правительства Российской Федерации от 21.03.2012 г. №211 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренным Федеральным законом «О персональных данных»;

-       Положением «Об администрации муниципального образования «Заиграевский район» Республики Бурятия, утвержденного Заиграевским районным Советом депутатов «Заиграевский район» Республики Бурятия от 22.04.2016 г. №128;

-       Политикой об обработке персональных данных и реализуемых требований к защите персональных данных,

-       служебными контрактами и дополнительными соглашениями к ним,

-       трудовыми договорами и дополнительными соглашениями к ним,

-       договорами о предоставлении государственной поддержки субъекту малого предпринимательства,

-       договорами гражданско-правового характера,

-       согласием субъекта персональных данных.

2.     Категории субъектов персональных данных

В администрации муниципального образования «Заиграевский район» обрабатываются персональные данные следующих категорий субъектов персональных данных:

-       Муниципальные служащие, иные работники (лица, состоящие в трудовых отношениях с оператором), их ближайшие родственники;

-       Физические лица в рамках учета личных подсобных хозяйств;

-       Физические лица, привлекаемые к административной ответственности, их законные представители;

-       Несовершеннолетние подоопечные, их опекуны и попечители, ближайшие родственники опекунов и попечителей;

-       Физические лица, относящиеся к категориям граждан, которым предоставляется жилищное обеспечение;

-       Физических лиц в рамках договоров гражданско – правового характера;

-       Иных лиц, давшие согласие на обработку своих персональных данных, либо сделавшие общедоступными свои персональные данные или чьи персональные данные получены из общедоступного источника, а также в других случаях, предусмотренных законодательством Российской Федерации.

3.     Категории обрабатываемых персональных данных

Администрация муниципального образования «Заиграевский район» обрабатывает следующие категории персональных данных:

3.1.              Муниципальных служащих, их ближайших родственников:

Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; семейное положение; образование; профессия; доходы; имущественное положение, состояние здоровья; данные паспорта, данные ИНН, данные СНИЛС, пол, данные свидетельств об актах гражданского состояния, фото, место работы, характер работы, вид работы, номер и дата трудового договора, гражданство, знание иностранного языка, языка народов РФ, данные диплома, стаж, сведения из трудовой книжки и вкладыша, сведения о воинском учете, сведения о приеме и переводах на другую работу (дата, структурное подразделение, должность, тарифная ставка, основание), степень родства, сведения о повышении квалификации, об аттестации, присвоении квалификационного разряда, классного чина, дипломатического ранга, воинского звания, профессиональной переподготовке, о наградах, нагрудных значках, сведения об отпуске, сведения о рабочем времени, сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством, сведения о пребывании за границей, дата и основание прекращения трудового договора (увольнения), сведения о судимости, номер телефона, реквизиты банковского счета, контактная информация.

3.2.         Физических лиц в рамках личных подсобных хозяйств:

Фамилия, имя, отчество; данные документа, удостоверяющего личность (паспорт: серия, номер, кем и когда выдан), дата рождения; место рождения; пол; адрес места жительства и регистрации; сведения о земельных участках, об имеющихся сельскохозяйственных животных, птиц, пчел, кадастровый номер, сведения о правах собственности, сельскохозяйственной технике, оборудовании, транспортных средствах, контактный телефон, место работы,степень родства.

3.3.         Физических лиц, привлекаемых к административной ответственности, их законных представителей:

Фамилия, имя, отчество; дата рождения; место рождения; пол; адрес места жительства и регистрации; данные документа, удостоверяющего личность (паспорт: серия, номер, кем и когда выдан), сведения о привлечении к административной ответственности, характер, вид административного правонарушения, девиантном поведении;

3.4.         Лиц, находящихся под опекой (попечительством), опекуны и попечители:

Фамилия, имя, отчество, дата рождения, адрес регистрации и места жительства, данные документа, удостоверяющего личность, данные свидетельств об актах гражданского состояния, степень родства, гражданство, место работы, должность, социальное положение, имущественное положение, сведения о доходах, расходах, сведения о праве собственности, сведения о состоянии здоровья, о судимости, о прохождении подготовки лица, желающего усыновить ребенка, жилищные, санитарно – гигиеничные условия, сведения о социальной адаптации, место учебы, сведения об образовании, об организации отдыха и оздоровления, сведения о мерах по обеспечению сохранности имущества, контактная информация, данные медицинского полиса, данные СНИЛС, план работы, результаты оказания помощи, сведения о причинах отсутствия родительского попечения, этническое происхождение, приметы, особенности характера ребенка, оставшегося без попечения родителей, принадлежность к определенной религии и культуре, о трудоустройстве, фото, информация о прекращении учета сведений о ребенке в государственном банке данных о детях;

3.5.         Физические лица, относящиеся к категориям граждан, которым предоставляется жилищное обеспечение:

Фамилия, имя, отчество, дата рождения, данные документа, удостоверяющего личность, данные ИНН, данные СНИЛС, сведения о состоянии здоровья, принадлежность к льготной категории граждан (участники боевых действий), сведения о договорах социального найма, сведения о жилищных условиях, о правах собственности.

3.6.         Физическим лицам в рамках гражданско – правовых договоров (контрагентам, являющимися индивидуальными предпринимателями):

Фамилия, имя, отчество; адрес места жительства и регистрации; контактный телефон, иная контактная информация.

4.     Цели обработки персональных данных

4.1.         Муниципальных служащих, иных работников, их ближайших родственников:

-       Оформление трудовых отношений, учет результатов исполнения договорных обязательств, осуществление безналичных платежей на счет работника, обеспечение работоспособности и сохранности ресурсов и имущества работодателя, осуществление коллективного взаимодействия и совместного использования информационных ресурсов, аттестация, повышение квалификации, а также наиболее полное исполнение обязательств и компетенций в соответствии с Трудовым кодексом Российской Федерации, и другими нормативно-правовыми актами Российской Федерации в сфере трудовых отношений.

-       Обеспечение соблюдения законов и иных нормативных правовых актов.

4.2.         Иных субъектов персональных данных:

-     Обеспечения функций и полномочий, представленных исполнительно – распорядительным органам местного самоуправления законодательством Российской Федерации, Республики Бурятия,

-     Реализация обязательств, принятых оператором по соглашениям и договорам;

-     Обеспечение соблюдения законов и иных нормативных правовых актов.

4.3.         Физическим лицам в рамках гражданско – правовых договоров (контрагентам, являющимися индивидуальными предпринимателями):

-     В целях соблюдения договорных отношений, обеспечение соблюдения законов и иных нормативных правовых актов в сфере закупок для муниципальных нужд.

5.     Условия обработки, передачи и хранения персональных данных

-     Администрация муниципального образования «Заиграевский район» при осуществлении своей деятельности в части обработки персональных данных руководствуется Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

-     Администрация муниципального образования «Заиграевский район» не осуществляет трансграничную передачу персональных данных (передачу персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу).

-     Администрация муниципального образования «Заиграевский район» обрабатывает и хранит персональные данные субъектов в соответствии с внутренними нормативными документами, разработанными согласно законодательству Российской Федерации.

-     Администрация муниципального образования «Заиграевский район» обеспечивает конфиденциальность персональных данных в отношении всех субъектов персональных данных. Передача ПДн третьим лицам осуществляется только при осуществлении деятельности, определенной Уставом муниципального образования «Заиграевский район» - в рамках установленной процедуры.

-     Администрация муниципального образования «Заиграевский район» может поручить обработку персональных данных другому лицу при выполнении следующих условий:

·        получено согласие субъекта на поручение обработки персональных данных другому лицу;

·        обработка персональных данных осуществляется на основании заключаемого с этим лицом договора.

Кроме того, действующее законодательство может устанавливать ограничения и другие условия, касающиеся упомянутых выше прав субъектов персональных данных.

6.     Перечень действий с персональными данными

Администрация муниципального образования «Заиграевский район» осуществляет обработку (сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); использование; передача (предоставление, доступ); удаление; уничтожение) персональных данных с использованием средств автоматизации, а также без использования таких средств.

Администрация муниципального образования «Заиграевский район» может поручить обработку персональных данных третьим лицам в случаях, если:

-       субъект дал согласие на осуществление таких действий (при наличии условий в договоре с третьим лицом о соблюдении им принципов и правил обработки персональных данных, предусмотренных Федеральным законом «О персональных данных»);

-       для осуществления и выполнения возложенных законодательством Российской Федерации на администрацию муниципального образования «Заиграевский район» функций, полномочий и обязанностей;

-       в других случаях, предусмотренных законодательством Российской Федерации.

7.     Трансграничная передача персональных данных.

Трансграничная передача персональных данных не осуществляется.

8.     Общие принципы и условия обработки персональных данных субъектов

8.1. Обработка персональных данных граждан и работников администрации муниципального образования «Заиграевский район» осуществляется на основе принципов:

8.1.1.Обработка персональных данных должна осуществляться на законной и справедливой основе.

8.1.2.Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

8.1.3.Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

8.1.4.Обработке подлежат только персональные данные, которые отвечают целям их обработки.

8.1.5.Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

8.1.6.При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Управление должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

8.1.7.Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом № 152-ФЗ, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законодательством.

9. Основные права и обязанности оператора

9.1. Оператор вправе:

9.1.1. Отстаивать свои интересы в суде.

9.1.2. Предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.).

9.1.3.Отказать в предоставлении персональных данных в случаях, предусмотренных законом.

9.1.4. Использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством Российской Федерации.

9.2. Обязанности оператора:

9.2.1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 ФЗ.

9.2.2. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в законе.

9.2.3. Сведения, касающиеся обработки персональных данных субъекта, должны быть предоставлены субъекту персональных данных по его запросу оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

9.2.4. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных законом, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных соответствующую информацию;

9.2.5. В случае неправомерной обработки персональных данных по обращению субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование этих персональных данных (обеспечить их блокирование), либо в случае выявления неточных персональных данных – осуществить блокирование (обеспечить блокирование) персональных данных, относящихся к этому субъекту персональных данных, если блокирование не нарушает права и законные интересы субъекта персональных данных или третьих лиц, с момента такого обращения или получения указанного запроса на период проверки;

9.2.6. В случае факта подтверждения неточности персональных данных на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных;

9.2.7. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора в порядке, предусмотренной действующим законодательством;

9.2.8. В случае достижения цели, отзыва согласия субъекта на обработку его персональных данных обработки оператор обязан прекратить обработку персональных данных в порядке, предусмотренном федеральным законом;

9.2.9. Оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона;

9.2.10. В случае изменений сведений, указанных в уведомлении, а также в случае прекращения обработки персональных данных оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных в течение 10 рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных;

10.                       Права и обязанности субъекта

10.1. Субъект персональных данных, согласно законодательству Российской Федерации, имеет право:

-       получать информацию, касающуюся обработки своих персональных данных. Для реализации вышеуказанных прав субъект персональных данных может в порядке, установленном ст.14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

-       требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

-       требовать прекращение обработки своих персональных данных в случаях, предусмотренных законодательством Российской Федерации;

-       обжаловать действия или бездействие администрации муниципального образования «Заиграевский район» в судебном порядке;

-       на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

10.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в случаях, предусмотренных федеральным законом;

10.3. Субъект персональных данных обязан представлять комплекс достоверных и документированных персональных данных, состав которых установлен законодательством;

10.4. Сообщать уполномоченным оператором лицам на обработку персональных данных сведения об изменении своих персональных данных.

11.                       Хранение и использование персональных данных субъектов

11.1. Персональные данные работника и иных субъектов персональных данных хранится и обрабатывается с соблюдением требований действующего Российского законодательства о защите персональных данных;

11.2.Обработка персональных данных граждан и работников администрации муниципального образования «Заиграевский район» осуществляется неавтоматизированным способом обработки персональных данных;

11.3. Хранение персональных данных работника и иных субъектов персональных данных осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении;

Хранение документов, содержащих персональные данные работника и иных субъектов персональных данных, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.

11.4.                      Администрация муниципального образования «Заиграевский район» обеспечивает ограничение доступа к персональным данным лицам, не уполномоченным законодательством или оператором для получения соответствующих сведений.

12.                       Условия прекращения обработки персональных данных

Срок или условие прекращения обработки персональных данных в администрации муниципального образования «Заиграевский район»:

-       ликвидация администрации муниципального образования «Заиграевский район» или прекращение деятельности;

-       истечение 75 лет/ 50 лет – хранение персональных данных;

-       исполнение обязательств по договорам и по истечению срока исковой давности;

-       отзыв согласия если иное не предусмотрено Федеральным законодательством, либо в течение срока хранения документов согласно установленным срокам хранения для определенных категорий документов, если иное не предусмотрено Федеральным законодательством.

13.           Администрация муниципального образования «Заиграевский район» принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных граждан - субъектов персональных данных

К мерам, применяемым администрацией муниципального образования «Заиграевский район» для защиты персональных данных относятся:

-       назначение сотрудника, ответственного за организацию обработки персональных данных;

-       осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных»;

-       разработка документов, определяющие политику администрации муниципального образования «Заиграевский район» в отношении обработки персональных данных, локальные документы по вопросам обработки персональных данных.

-       ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, с требованиями к защите персональных данных, с документами, определяющими политику администрации муниципального образования «Заиграевский район» в отношении обработки персональных данных, локальными документами по вопросам обработки персональных данных;

-       опубликование в открытом доступе, в т.ч. на официальном сайте документа, определяющего политику администрации муниципального образования «Заиграевский район» в отношении обработки персональных данных;

-       определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

-       применение, прошедшей в установленном порядке, процедуры оценки соответствия средств защиты информации;

-       систематическое осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;

-       установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;

-       осуществление контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

14.           Методы защиты персональных данных

К методам защиты персональных данных относятся:

-       реализация разрешительной системы допуска к обработке персональных данных;

-       ограничение доступа в помещения, где хранятся носители информации;

-       разграничение доступа к персональным данным;

-       регистрация действий сотрудников, контроль несанкционированного доступа к персональным данным;

-       использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, использование защищенных каналов связи.

15.           Требования по обеспечению защиты

1. Сотрудники администрации муниципального образования «Заиграевский район», являющиеся пользователями информационных систем персональных данных (ИСПДн), должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.

2. При вступлении в должность нового сотрудника непосредственный начальник подразделения, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.

3. Сотрудник должен быть ознакомлен со сведениями настоящей Политики, принятых процедур работы с элементами ИСПДн и СЗПДн.

4. Сотрудники оператора, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей, логинов и паролей) и не допускать НСД к ним, а так же возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов.

5. Сотрудники оператора должны следовать установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей (если не используются технические средства аутентификации).

6. Сотрудники оператора должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.

7. Сотрудникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.

8. Сотрудникам запрещается разглашать защищаемую информацию, которая стала им известна при работе с информационными системами оператора, третьим лицам.

9. При работе с ПДн в ИСПДн сотрудники оператора обязаны обеспечить отсутствие возможности просмотра ПДн третьими лицами с мониторов.

10. При завершении работы с ИСПДн сотрудники обязаны защитить монитор с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты.

11. Сотрудники Администрация муниципального образования «Заиграевский район» РБ должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий на сотрудников, которые нарушили политику и процедуры безопасности ПДн.

12. Сотрудники обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы ИСПДн, могущих повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПДн.

13. Ответственность сотрудников администрации муниципального образования «Заиграевский район»:

13.1. Действующее законодательство Российской Федерации позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей (статьи 272, 273 и 274 Уголовного Кодекса Российской Федерации).

13.2. Сотрудники оператора несут ответственность за все действия, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.

13.3. При нарушениях сотрудниками администрации муниципального образования «Заиграевский район» правил, связанных с обработкой и безопасностью ПДн, они несут ответственность дисциплинарную, административную, гражданско-правовую или уголовную ответственность, установленную действующим законодательством Российской Федерации.

16.           Реагирование на обращения / запросы субъектов персональных данных и их представителей, уполномоченных органов

16.1. Процесс реагирования на обращения и запросы по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта к своим персональным данным осуществляется в несколько этапов:

1)    Прием обращения / запроса;

2)    Регистрация запроса;

3)    Первичная обработка;

4)    Исполнение запроса (включая формирования ответа);

5)    Отправка ответа на запрос.

16.2. В зависимости от формата поступления запроса, этап приёма обращения (запроса) происходит в следующих формах:

- приём непосредственного обращения субъекта ПДн (его представителя);

- приём почтового запроса субъекта ПДн (его представителя).

Приём запросов в иных формах (телефон, факс, электронная почта и др.) не производится;

16.3. При непосредственном обращении субъект ПДн сотруднику оператора предъявляются документ, удостоверяющий личность, а при обращении представителя субъекта ПДн, документ, подтверждающий полномочия субъекта ПДн. Запрос оформляется на бумажном носителе и должен содержать фамилию, имя, отчество субъекта, номер, серия документа, удостоверяющего личность, сведения о его выдаче и выдавшем органе, почтовый адрес, текст запроса;

16.4. При поступлении почтового запроса, он регистрируется, проверяются на корректность оформления и полноту содержащих сведений. В случае обращения представителя субъекта проверяется наличие сведений, подтверждающих полномочия субъекта;

16.5. Запрос регистрируется сотрудником оператора в установленном порядке;

16.6.По результатам первичной обработки запрос ставится на исполнение или в его обработке отказывается. В ходе первичной проверки проверяется дееспособности лица, наличие полномочий субъекта ПДн, наличие или отсутствие ограничений на доступ к его персональным данным;

16.7. После регистрации и первичной обработки запрос направляется компетентному сотруднику для исполнения и формирует ответ в срок исполнения 30 дней;

16.8. Контроль за исполнением запросов субъектов осуществляется лицом, ответственным за организацию обработки персональных данных, которое назначается или определяется приказом главного врача оператора;

16.9. В соответствии с частью 4 статьи 20 Федерального закона от 27.07.2006 г. № 152 – ФЗ «О персональных данных» Оператор сообщает вуполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение тридцати дней с даты получения такого запроса. В течение 30 дней под контролем лица, ответственного за организацию обработки персональных данных, подготавливается и направляется в уполномоченный орган мотивированный ответ и, при необходимости, другие необходимые документы.

17.           Заключительные положения

1.     Изменение Политики

Администрация муниципального образования «Заиграевский район» имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее утверждения и размещения в общедоступном месте, если иное не предусмотрено новой редакцией Политики.

2.     Обратная связь

Администрация муниципального образования «Заиграевский район» Республики Бурятия, юридический адрес: Республики Бурятия, Заиграевский район, пгт. Заиграево, ул. Октябрьская, д.4, почтовый адрес: Республики Бурятия, Заиграевский район, пгт. Заиграево, ул. Октябрьская, д.4.