УТВЕРЖДЕНО
постановлением администрации
Ольгинского муниципального округа
от 18.07.2023 г. № 534
Положение
о порядке обработки и обеспечении безопасности
персональных данных работников администрации
Ольгинского муниципального округа
1. Общие положения
1.1. Настоящее Положение разработано в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации", Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон), постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и устанавливает единый порядок обработки персональных данных в администрации Ольгинского муниципального округа.
1.2. В Положении используются следующие термины и понятия:
- персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
- обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
- информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
- обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
2. Условия и порядок обработки персональных данных
работников администрации Ольгинского муниципального округа
2.1. Обработка персональных данных муниципальных служащих администрации Ольгинского муниципального округа осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области персональных данных.
2.2. В целях, указанных в п. 2.1 настоящего Положения, обрабатываются следующие категории персональных данных муниципальных служащих администрации Ольгинского муниципального округа:
2.2.1. фамилия, имя, отчество (в том силе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
2.2.2. число, месяц, год рождения;
2.2.3. место рождения;
2.2.4. информация о гражданстве (в том силе предыдущие гражданства, иные гражданства);
2.2.5. вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи);
2.2.6. адрес места жительства (адрес регистрации, адрес фактического проживания);
2.2.7. реквизиты свидетельства государственной регистрации актов гражданского состояния;
2.2.8. семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);
2.2.9. сведения о трудовой деятельности;
2.2.10. сведения о воинском учете и реквизиты документов воинского учета;
2.2.11. сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, форма обучения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
2.2.12. сведения об учебной степени, ученом звании;
2.2.13. сведения об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;
2.2.14. фотографии;
2.2.15. сведения о прохождении государственной гражданской службы, в том числе: дата, основания поступления на государственную гражданскую службу и назначения на должность государственной гражданской службы, дата, основания назначения, перевода, перемещения на иную должность государственной гражданской службы, наименование замещаемых должностей государственной гражданской службы с указанием структурных подразделений, размера денежного содержания, а также сведения о прежнем месте работы;
2.2.16. информация, содержащаяся в служебном контракте, дополнительных соглашениях к служебному контракту;
2.2.17. сведения о пребывании за границей;
2.2.18. информация о воинском звании, должности, № воинской части и месте её дислокации, в период прохождения военной службы;
2.2.19. информация о наличии или отсутствии судимости;
2.2.20. информация об оформленных допусках к государственной тайне;
2.2.21. государственные награды, иные награды и знаки отличия;
2.2.22. сведения о профессиональной переподготовке и (или) повышении квалификации;
2.2.23. информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания, отпуске по беременности и родам, отпуске по уходу за ребенком до достижения им возраста 3 лет;
2.2.24. сведения о заграничном паспорте (номер, серия, кем и когда выдан);
2.2.25. сведения о наличии близких родственников, постоянно проживающих (проживавших) за границей;
2.2.26. иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 2.1 настоящего Положения.
2.3. Обработка персональных данных осуществляется:
2.3.1 после получения согласия субъекта персональных данных, составленного по форме согласно приложению № 1 к настоящему Положению, за исключением случаев, предусмотренных частью 2 статьи 6 Федерального закона;
2.3.2. после направления уведомления об обработке персональных данных в Управление Федеральной службы по надзору в сфере связи, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона;
2.3.3. после принятия необходимых мер по защите персональных данных.
2.4. В администрации Ольгинского муниципального округа распоряжением главы администрации округа назначается работник, ответственный за защиту персональных данных, и определяется перечень лиц, допущенных к обработке персональных данных.
2.5. Лица, допущенные к обработке персональных данных, в обязательном порядке под роспись знакомятся с настоящим Положением и подписывают обязательство о неразглашение информации, содержащей персональные данные, по форме согласно приложению № 2 к настоящему Положению.
2.6. Запрещается:
2.6.1. обрабатывать персональные данные в присутствии лиц, не допущенных к их обработке;
2.6.2. осуществлять ввод персональных данных под диктовку.
3. Порядок обработки персональных данных работников
администрации Ольгинского муниципального округа
3.1. Администрация Ольгинского муниципального округа создает в пределах своих полномочий, установленных в соответствии с федеральными законами, информационной системой персональных данных (далее ИСПДн), в целях обеспечения реализации прав объектов персональных данных.
3.2. В администрации Ольгинского муниципального округа на основании «Перечня сведений конфиденциального характера», утвержденного Указом Президента Российской Федерации 06.03.1997 № 188, определяется и утверждается перечень сведений ограниченного доступа, не относящихся к государственной тайне (далее - конфиденциальной информации) и перечень информационных систем персональных данных.
3.3. На стадии проектирования каждой ИСПДн определяются цели и содержание обработки персональных данных, утверждается перечень обрабатываемых персональных данных.
4. Порядок обработки персональных данных
в информационных системах персональных
данных с использованием средств автоматизации
4.1. Обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
4.2. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии:
4.2.1. утвержденных организационно-технических документов о порядке эксплуатации информационных систем персональных данных, включающих акт классификации ИСПДн, инструкции пользователя, администратора по организации антивирусной защиты, и других нормативных и методических документов;
4.2.2. настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, резервного копирования информации и других программных и технических средств в соответствии с требованиями безопасности информации;
4.2.3. охраны и организации режима допуска в помещения, предназначенные для обработки персональных данных.
5. Порядок обработки персональных данных
без использования средств автоматизации
5.1. Обработка персональных данных без использования средств автоматизации (далее – неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации.
5.2. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.
5.3. При неавтоматизированной обработке персональных данных на бумажных носителях:
5.3.1. не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы;
5.3.2. персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
5.3.3. документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
5.3.4. дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.
5.4. Неавтоматизированная обработка персональных данных в электронном виде осуществляется на внешних электронных носителях информации.
5.5. При отсутствии технологической возможности осуществления неавтоматизированной обработки персональных данных в электронном виде на внешних носителях информации необходимо принимать организационные (охрана помещений) и технические меры (установка сертифицированных средств защиты информации), исключающие возможность несанкционированного доступа к персональным данным лиц, не допущенных к их обработке.
5.6. Электронные носители информации, содержащие персональные данные, учитываются в журнале учета электронных носителей персональных данных, составленном по форме согласно приложению № 3 к настоящему Положению.
К каждому электронному носителю оформляется опись файлов, содержащихся на нем, с указанием цели обработки и категории персональных данных.
5.7. При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном электронном носителе, если электронный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
5.7.1. при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
5.7.2. при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
5.8. Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
5.9. Доступ к персональным данным работников без специального разрешения имеют работники, указанные приложении № 4 к настоящему Положению.
5.10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
6. Ответственность должностных лиц
Работники, допущенные к персональным данным, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.