Правила

обработки персональных данных в Варгашинской районной Думе

Раздел I. Общие положения

1. Правила обработки персональных данных в Варгашинской районной Думе (далее – Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ), постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом  «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
2. Правила направлены на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований, а также устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, в Варгашинской районной Думе (далее – оператор, районная Дума).
3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона № 152-ФЗ.

Раздел II. Содержание обрабатываемых персональных данных в районной Думе

4. Перечни персональных данных, обрабатываемых оператором, утверждены настоящим постановлением.

5. Информация о персональных данных может содержаться:

1) на бумажных носителях;

2) на электронных носителях;

3) на официальном сайте Администрации Варгашинского района (по согласованию) в информационно-телекоммуникационной сети Интернет.

6. Оператором используются следующие способы обработки персональных данных:

1) без использования средств автоматизации.

Раздел III. Категории субъектов, персональные данные которых обрабатываются районной Думой

7. Обработка персональных данных субъектов, оператором осуществляется с соблюдением принципов и условий, предусмотренных настоящими Правилами и законодательством Российской Федерации в области персональных данных.

8. К категориям субъектов персональных данных оператора (далее – субъект персональных данных) относятся:

1) депутаты Варгашинской районной Думы (далее – депутаты, депутат);

2) граждане, юридические лица, обратившиеся к оператору;

3) граждане, изъявившие желание участвовать в конкурсе по отбору кандидатур на должность Главы Варгашинского района.

Раздел IV. Об ответственных в районной Думе

9. Ответственным за организацию обработки персональных данных в районной Думе является Председатель районной Думы.

Раздел V. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных

10. В районной Думе  для  выявления  и предотвращения нарушений законодательства Российской Федерации в сфере персональных данных используются следующие процедуры:

1. назначение ответственного за организацию обработки персональных данных в районной Думе;
2. издание в районной Думе документов, определяющих политику оператора в отношении обработки персональных данных;
3. применение правовых, организационных и технических мер по обеспечению безопасности персональных данных, предусмотренных пунктом 5 настоящих Правил;
4. осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону № 152-ФЗ;
5. оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона №152-ФЗ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом №152-ФЗ;
6. ознакомление субъекта персональных данных, непосредственно осуществляющих обработку персональных данных в органе местного самоуправления, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящим Правилом, определяющим политику районной Думы в отношении обработки персональных данных.

11. Обеспечение безопасности персональных данных в районной Думе достигается, в частности;

1. определением угроз безопасности персональных данных при их обработке;
2. учетом машинных носителей персональных данных;
3. обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
4. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
5. установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных.

Раздел VI. Цели обработки персональных данных оператором и персональные данные, обрабатываемые в районной Думе

      12. Целями обработки персональных данных оператором являются:

1) осуществление возложенных на оператора полномочий в соответствии с законодательством Российской Федерации и Варгашинского района Курганской области, Уставом Варгашинского района Курганской области;

2) организация учета лиц, замещающих муниципальную должность; граждан, юридических лиц обратившихся к оператору за предоставлением муниципальных услуг;

         13. Персональные данные, обрабатываемые в районной Думе в связи с реализацией:

1. награждением (поощрением):

-   фамилия, имя, отчество;

-  число, месяц, год рождения;

-  место рождения;

-  пол;

- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

-  адрес места жительства или места пребывания;

-  номер контактного телефона или сведения о других способах связи;

-  сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);

-  сведения о трудовой деятельности;

-  сведения о государственных наградах, иных наградах, знаках отличия и поощрениях;

-  семейное положение, состав семьи;

-  иные персональные данные, ставшие известными в связи с награждением (поощрением) гражданина.

1. рассмотрением обращений граждан, юридических лиц:

-  фамилия, имя, отчество;

-  почтовый адрес;

-  адрес электронной почты;

-  указанный в обращении контактный телефон;

-  иные персональные данные, указанные гражданином, юридическим лицом в обращении, а также ставшие известными в процессе рассмотрения поступившего обращения.

1. граждане, изъявившие желание участвовать в конкурсе по отбору кандидатур на должность Главы Варгашинского района:

- фамилия, имя, отчество;

- число, месяц, год рождения;

- место рождения;

- пол;

- вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

- адрес места жительства или места пребывания;

- сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);

- сведения о трудовой деятельности;

- сведения о государственных наградах, иных наградах, знаках отличия и поощрениях.

Раздел VII. Порядок сбора и уточнения персональных данных

14. Сбор документов, содержащих персональные данные, осуществляется копированием представленных оригиналов документов, внесения сведений в учетные формы (на бумажных и электронных носителях).

15. Уточнение персональных данных производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.

Уточнение персональных данных производится только на основании законно полученной в установленном законодательством порядке информации.

16. Субъект персональных данных предоставляет свои персональные данные самостоятельно либо через своего представителя. В случаях, предусмотренных законодательством, персональные данные также могут быть переданы оператору третьими лицами.

17. Обработка персональных данных осуществляется с согласия субъекта персональных данных на их обработку, составленного в письменном виде по типовой форме (Приложение 8). Согласие на обработку персональных данных подписывается субъектом персональных данных собственноручно либо его представителем.

В случае если согласие на обработку персональных данных дается представителем субъекта персональных данных от лица субъекта персональных данных, оператор проверяет полномочия представителя.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в порядке, предусмотренном законодательством.

18. При получении персональных данных от субъекта персональных данных или его представителя оператор:

1) разъясняет права, цели и порядок обработки персональных данных;

2) предлагает предоставить согласие на обработку персональных данных по типовой форме;

3) разъясняет последствия отказа предоставить персональные данные, передача которых в соответствии с законодательством является обязательной.

19. Перечень депутатов, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утвержден настоящим Постановлением (далее – уполномоченное лицо).

Уполномоченное лицо подписывает обязательство о соблюдении конфиденциальности персональных данных, а в случае прекращения полномочий – о прекращении обработки персональных данных, ставших известными им в связи с окончанием срока полномочий.

Раздел VIII. Порядок использования и хранения персональных данных

20. Общий срок использования персональных данных определяется периодом времени, в течение которого оператор осуществляет действия (операции) в отношении персональных данных, обусловленные заявленными целями их обработки.

21. Использование персональных данных осуществляется с момента их получения оператором и прекращается:

1) по достижении целей обработки персональных данных;

2) в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных.

22. Использование персональных данных осуществляется при соблюдении принципа раздельности их обработки.

Персональные данные при их обработке обособляются от иной информации, в частности путем фиксации их в отдельных файлах, на отдельных материальных носителях.

Не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.

23. Персональные данные могут храниться на бумажных (и иных материальных) носителях и (или) в электронном виде.

24. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

25. Документация, касающаяся  персональных данных хранится в шкафах, в сейфах в отделе организационной и кадровой работы аппарата Администрации Варгашинского района (по согласованию). Ведущий специалист отдела организационной и кадровой работы аппарата Администрации Варгашинского района (по согласованию), является ответственным за ведение архива.

Раздел IX. Сроки обработки и хранения персональных данных

1. Сроки обработки и хранения персональных данных, указанных в разделе IV настоящих Правил, определяются в соответствии с законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Если сроки обработки и хранения персональных данных не установлены законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, то обработка и хранение персональных данных категории субъектов, персональные данные которых обрабатываются в районной Думе, осуществляется не дольше, чем этого требуют цели их обработки и хранения.

Раздел X. Порядок уничтожения бумажных носителей персональных данных при достижении целей обработки или при наступлении иных законных оснований

27. В случае достижения целей обработки персональных данных (утраты необходимости в их достижении) оператор обязан прекратить обработку персональных данных и уничтожить либо обезличить соответствующие персональные данные в срок, не превышающий 30 календарных дней с даты достижения целей обработки персональных данных (утраты необходимости в их достижении).

28. Персональные данные не уничтожаются (не обезличиваются) в случаях, если:

1) договором, соглашением стороной которого, выгодоприобретателем или поручителем является субъект персональных данных, предусмотрен иной порядок обработки персональных данных;

2) законодательством установлены сроки обязательного архивного хранения материальных носителей персональных данных;

3) в иных случаях, прямо предусмотренных законодательством.

29. Уничтожение части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных персональных данных, зафиксированных на материальном носителе.

30. В случае выявления недостоверности персональных данных, неправомерности действий с персональными данными оператор осуществляет блокирование указанных персональных данных и в срок, не превышающий семи рабочих дней с даты такого выявления, устраняет допущенные нарушения.

31. В случае подтверждения факта недостоверности персональных данных оператор уточняет персональные данные и снимает с них блокирование на основании документов, представленных:

1) субъектом персональных данных (его представителем);

2) уполномоченным органом по защите прав субъектов персональных данных;

3) иными лицами, в соответствии с законодательством.

32. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерности действий с персональными данными, уничтожает персональные данные.

Об устранении допущенных нарушений или об уничтожении персональных данных оператор уведомляет субъекта персональных данных (его представителя) и (или) уполномоченный орган по защите прав субъектов персональных данных в срок, не превышающий десяти рабочих дней с даты устранения допущенных нарушений или уничтожения персональных данных.

33. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор прекращает обработку персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий тридцати рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством.

34. Для проведения процедуры уничтожения бумажных носителей персональных данных создается комиссия, состоящая из трех депутатов, имеющих право на обработку персональных данных. Комиссия назначается постановлением Председателя районной Думы.

35. Бумажные носители персональных данных (документы, их копии, выписки), уничтожаются путем измельчения на мелкие части, исключающие возможность последующего восстановления информации или сжигаются.

36. По окончании уничтожения бумажных носителей комиссией составляется Акт об уничтожении бумажных носителей персональных данных.

37. Комиссия составляет и подписывает в двух экземплярах соответствующий акт об уничтожении бумажных носителей персональных данных. В течение трех дней после составления Акты об уничтожении направляются на подписание Председателю районной Думы. После утверждения Председателем районной Думы один экземпляр акта остается у уполномоченного лица, носители которых были уничтожены, второй экземпляр передается ведущему специалисту отдела организационной и кадровой работы аппарата Администрации Варгашинского района (по согласованию).

Раздел XI. Обязанности уполномоченного лица при обработке персональных данных

38. Уполномоченное лицо обязано:

1) знать и выполнять требования законодательства в области обеспечения защиты персональных данных, настоящих Правил;

2) хранить в тайне известные ему персональные данные, информировать о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним;

3) соблюдать правила использования персональных данных, порядок их учета и хранения, исключить доступ к ним посторонних лиц;

4) обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей.

39. При обработке персональных данных уполномоченному лицу запрещается:

1) использовать сведения, содержащие персональные данные, в неслужебных целях, а также в служебных целях – при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;

2) передавать персональные данные по незащищенным каналам связи (телетайп, факсимильная связь, электронная почта) без использования сертифицированных средств криптографической защиты информации;

3) снимать копии с документов и других носителей информации, содержащих персональные данные, или производить выписки из них, а равно использовать различные технические средства (видео- и звукозаписывающую аппаратуру) для фиксации сведений, содержащих персональные данные;

4) выполнять на дому работы, связанные с использованием персональных данных, выносить документы и другие носители информации, содержащие персональные данные, из места их хранения.

Раздел XII. Права и обязанности субъекта персональных данных

40. Закрепление прав субъекта персональных данных, регламентирующих защиту его персональных данных, обеспечивает сохранность полной и точной информации о нем.

41. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных;

10) иные сведения, предусмотренные федеральными законами.

40. Право субъекта персональных данных на доступ к его персональным данным ограничивается в соответствии с частью 8 статьи 14 Федерального закона № 152-ФЗ.

42. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

43. Сведения, указанные в пункте 13 настоящих Правил, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

44. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

45. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

46. Субъект персональных данных обязан:

1) передавать оператору комплекс достоверных, документированных персональных данных, состав которых установлен законодательством;

2) своевременно сообщать оператору об изменении своих персональных данных.

47. В целях защиты частной жизни, личной и семейной тайны субъекты персональных данных не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда.

Раздел XIII. Ответственность уполномоченного лица

`        48. Уполномоченное лицо, виновное в нарушении требований законодательства о защите персональных данных, в том числе допустившие разглашение персональных данных, несет персональную гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством ответственность.

49. Текущий контроль за соблюдением требований законодательства при обработке персональных данных осуществляется оператором путем проведения проверок по соблюдению и исполнению законодательства о персональных данных.

50. Проверки выполнения требований законодательства при обработке персональных данных проводятся в соответствии с правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.