АДМИНИСТРАЦИЯ БЕРЁЗОВСКОГО СЕЛЬСОВЕТА
ПЕРВОМАЙСКОГО РАЙОНА АЛТАЙСКОГО КРАЯ
П О С Т А Н О В Л Е Н И Е
с. Берёзовка
10.03.2023 № 52
Об утверждении положения «Об утверждении Положения об обработке и защите персональных данных работников администрации Берёзовского сельсовета и граждан, обратившихся в администрацию Берёзовского сельсовета Первомайского района Алтайского края».
В целях соблюдения требований Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федеральных законов от 27.07.2006 № 152-ФЗ «О персональных данных» и № 149 –ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации», постановлений Правительства РФ №687 от 15.09.2008 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», № 1119 от 01.11.2012«Обутверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Кодекса Российской Федерации об административных правонарушениях, на основании протеста прокурора Первомайского района Алтайского края от 21.02.2023 г. ПОСТАНОВЛЯЮ:
1.Утвердить прилагаемое Положение «Об организации работы с персональными данными в администрации Берёзовского сельсовета Первомайского района Алтайского края».
2. Признать утратившим силу постановление администрации Берёзовского сельсовета Первомайского района Алтайского края от 26.05.2022 № 76/1 «Об утверждении Положение о персональных данных муниципального служащего администрации Берёзовского сельсовета ».
3.Обнародовать настоящее постановление в установленном порядке.
4. Контроль за исполнением данного постановления оставляю за собой.
Глава сельсовета А.П.Агальцова
|
Утверждено постановлением Администрации Берёзовского сельсовета Первомайского района Алтайского края от 10.03.2023 № 52 |
ПОЛОЖЕНИЕ
об организации работы с персональными данными в Администрации Берёзовского сельсовета Первомайского района Алтайского края
- Общие положения
1.1. Настоящее положение принято в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну работников Администрации Берёзовского сельсовета Первомайского района Алтайского края (далее-работники Администрации сельсовета) и других физических лиц.
1.2. Настоящее положение определяет порядок получения, обработки хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания и любого другого использования персональных данных работников Администрации и физических лиц, предоставляемых в Администрацию Берёзовского сельсовета Первомайского района Алтайского края (далее - Администрация сельсовета (оператор персональных данных)) при обращении с заявлениями, в том числе о предоставлении муниципальных услуг, в том числе в электронной форме, с использованием портала государственных и муниципальных услуг, а также защиту персональных данных от несанкционированного доступа и разглашения.
1.3. Настоящее Положение разработано на основе и во исполнение части 1 статьи 23, статьи 24 Конституции Российской Федерации, Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», положений главы 14 Трудового кодекса Российской Федерации «Защита персональных данных работников», Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», постановлениями Правительства РФ №687 от 15.09.2008 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и Кодекса Российской Федерации об административных правонарушениях.
1.4. Обработка персональных данных осуществляется с 01.01.2001г. на основании включения Администрации сельсовета в реестр операторов, осуществляющих обработку персональных данных).
1.5. В настоящем Положении используются следующие понятия и термины:
- работник Администрации сельсовета – физическое лицо, вступившее в трудовые отношения с Администрацией сельсовета;
- персональные данные - это любые данные о физическом лице, которые идентифицируют физическое лицо или могут идентифицировать его:
- персональные данные, разрешенные субъектом персональных данных для распространения;
- персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152 «О персональных данных».
- служебные сведения (служебная тайна) – информация (сведения) служебного характера, содержащаяся в различных видах документов, а также получаемая в процессе выполнения служебных функций, доступ к которой ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами.
2. Состав персональных данных
2.1. Цель обработки персональных данных:
Персональные данные работника Администрации сельсовета – информация, необходимая оператору персональных данных в связи с трудовыми отношениями и касающиеся конкретного работника.
Персональные данные физических лиц – информация, касающаяся конкретного физического лица, необходимая оператору персональных данных для выполнения своих функций.
2.2.Субъектыперсональных данных:
2.2.1. физические лица:
- фамилия, имя, отчество (при наличии) субъекта персональных данных;
- контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных);
- сведения об операторе-организации - наименование, адрес, указанный в Едином государственном реестре юридических лиц, идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);
сведения об операторе - физическом лице - фамилия, имя, отчество (при наличии), место жительства или место пребывания;
сведения об операторе-гражданине, являющимся индивидуальным предпринимателем, - фамилия, имя, отчество (при наличии), идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);
- сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных;
- цель (цели) обработки персональных данных;
- категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных:
персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);
специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);
биометрические персональные данные ;
- категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта персональных данных);
- условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных) ;
- срок действия согласия.
2.2.2. Работники Администрации сельсовета:
- фамилия, имя, отчество;
- дата рождения;
- вид документа, удостоверяющего личность, серия и номер этого документа,
- наименование или код органа, выдавшего документ, дата выдачи документа;
- адрес места жительства;
- адрес места рождения;
- идентификационный номер налогоплательщика;
- серия и номер полиса обязательного медицинского страхования;
- страховой номер индивидуального лицевого счета застрахованного;
- сведения о страховом свидетельстве;
- гражданство;
- информация об образовании;
- сведения о зарплате;
- другие сведения, предусмотренные федеральными законами.
2.3. Документы, содержащие персональные данные являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случае обезличивания персональных данных и в отношении общедоступных персональных данных.
3. Обязанности оператора персональных данных
3.1.Оператор персональных данных в целях обеспечения прав и свобод человека и гражданина при работе с персональными данными обязан соблюдать следующие общие требования:
3.1.1.Руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, федеральными законами и иными нормами действующего законодательства при определении содержания обрабатываемых персональных данных.
3.1.2. Обрабатывать персональные данные работника Администрации сельсовета и физических лиц исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работниковАдминистрации сельсовета и физических лиц, контроля качества выполняемой работы и обеспечения сохранности имущества.
3.1.3. Получать персональные данные непосредственно у субъекта персональных данных.
3.2. Получение и дальнейшая обработка персональных данных работников Администрации сельсовета и физических лиц у третьих лиц, возможно только при уведомлении работников и граждан РФ об этом заранее и с его согласия.
В уведомлении о получении персональных данных у третьих лиц должна содержаться следующая информация:
- о целях получения персональных данных;
-о предполагаемых источниках и способах получения персональных данных;
- о характере подлежащих получению персональных данных;
-о последствиях отказа работника дать письменное согласие на их получение.
3.3. Не допускать обработку специальных категорий персональных данных работников Администрации сельсовета и физических лиц, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.
3.4. Предоставлять работнику Администрации сельсовета и физическому лицу информацию, касающуюся обработки его персональных данных.
3.5. Сообщать по письменному запросу работника Администрации сельсовета и физического лица или их законного представителя информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставлять возможность ознакомления с ними при обращении работника Администрации сельсовета и физического лица либо их законного представителя в течение десяти рабочих дней момента обращения или получения оператором запроса субъекта персональных данных либо его представителя с возможностью его продления до 5 рабочих дней.
3.6. Разъяснять работнику Администрации сельсовета и физическому лицу юридические последствия отказа предоставить свои персональные данные, если обязанность предоставления персональных данных установлена федеральным законом.
3.7. Обеспечивать защиту персональных данных работников Администрации сельсовета и физических лиц от неправомерного их использования или утраты за счет собственных средств, в порядке, установленном действующим законодательством.
3.8. Иметь подтверждение всех изменений персональных данных работников Администрации сельсовета и физических лиц соответствующими документами.
3.9. Не сообщать персональные данные работников Администрации сельсовета и физических лиц третьей стороне без их письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровья работников Администрации сельсовета и физических лиц, а также в случаях, установленных действующим законодательством.
3.10. Предупреждать лиц, получающих персональные данные работников Администрации сельсовета и физических лиц, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
3.11. Администрации сельсовета запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении работников Администрации сельсовета и физических лиц или иным образом затрагивающих их права и законные интересы. Принятие данного решения возможно только при наличии согласия в письменной форме работников Администрации сельсовета и физических лиц.
3.12. Разрешать доступ к персональным данным работников Администрации сельсовета и физических лиц только лицам, перечисленным в разделе 7 настоящего положения, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы при выполнении конкретных функций.
Лица, перечисленные в разделе 7 настоящего положения, должны быть ознакомлены под расписку с документами Администрации сельсовета, устанавливающими порядок обработки персональных данных работников, а также об их правах, обязанностях и ответственности в этой области.
3.13. Передавать персональные данные работника его законным представителям в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными законными представителями их функций.
3.14В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
3.15. В случае достижения цели обработки персональных данных Администрация сельсовета обязана незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя.
3.16. Исполнять иные обязанности, предусмотренные действующим законодательством Российской Федерации в области персональных данных.
4. Обязанности работника Администрации сельсовета
4.1.Работник Администрации сельсовета обязан:
4.1.1.По требованию Администрации сельсовета предоставлять ему необходимый комплекс достоверных, подтвержденных документально персональных данных, перечень которых предусмотрен п. 2.2.2 настоящего Положения.
4.1.2. Своевременно, в течение пяти рабочих дней, сообщать в Администрацию сельсовета об изменении своих персональных данных.
4.1.3. Предоставлять Администрации сельсовета сведения о своих персональных данных на протяжении всей своей трудовой деятельности.
4.1.4. Исполнять иные обязанности, предусмотренные законодательством Российской Федерации в области персональных данных.
5. Оператор персональных данных вправе:
5.1.Персональные данные работников (обратившихся граждан) могут храниться в бумажном и (или) электронном виде с соблюдением предусмотренных нормативно-правовых актов Российской Федерации и мер по защите персональных данных.
5.2.Оператор обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
5.3.В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
5.4. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
5.5. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
5.6. Специалисты администрации сельсовета, при обработке персональных данных, должны обеспечить защиту и конфиденциальность персональных данных.
5.7. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
5.7.1 В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
5.8. Работники администрации Берёзовского сельсовета Первомайского района, имеющие доступ к персональным данным, обязаны принимать и соблюдать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, модифицирования, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении данной информации. Персональные данные подлежат уничтожению по достижении целей их обработки или в случае утраты необходимости в достижении этих целей.
5.9. Доступ к персональным данным имеют в рамках своих должностных обязанностей:
глава сельсовета;
глава администрации сельсовета;
секретарь администрации сельсовета;
главный специалист по финансам, налогам и сборам (только к тем персональным данным, которые необходимы для выполнения конкретных функций этих работников);
делопроизводитель, специалист ВУС (только к тем персональным данным, которые необходимы для выполнения конкретных функций этих работников);
сам работник (только к своим персональным данным).
5.10. Иные работники администрации сельсовета могут иметь доступ к персональным данным работников (обратившихся граждан) в соответствии с изданными распоряжениями, приказами или иными утвержденными руководством разрешительными документами.
5.11. Работа с персональными данными лиц, не включенных в разрешительные документы, не допускается.
5.12.Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
5.13.Все документы на бумажных носителях, содержащие персональные данные должны храниться в местах, защищенных от несанкционированного доступа.
5.14. Доступ к электронным носителям, содержащим персональные данные, обеспечивается разграничением прав доступа в информационной системе, а также системой паролей.
5.15.Работа по обеспечению безопасности персональных данных при их обработке в информационных системах является неотъемлемой частью работ по созданию информационных систем.
5.16.Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
5.17.Размещение информационных систем, специальное оборудование и охрана помещений, в которых осуществляется обработка информации конфиденциального характера, персональных данных, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения в эти помещения посторонних лиц.
5.18.Перечень защищаемых помещений, в которых осуществляется обработка персональных данных с указанием лиц, имеющих допуск в данные помещения, представлен в приложении №3.
5.19. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом или другими федеральными законами.
5.19.1. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 настоящего Федерального закона. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
5.20. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
5.21 В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6. Права работника Администрации сельсовета и физического лица
6.1.Работники администрации сельсовета, ответственные за работу с персональными данными, должны четко знать случаи, при которых они могут передать информацию о работнике (обратившемся гражданине) запрашивающим лицам. К таким случаям, как правило, относят запросы, направленные различными государственными органами.
6.2.Если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.";
6.3.Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6.4.Не допускается сообщать третьей стороне персональные данные работника
(обратившегося гражданина) без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника (обратившегося гражданина), а также в случаях, установленных законодательством Российской Федерации.
6.5.Не допускается сообщать персональные данные работника (обратившегося гражданина) в коммерческих целях без его письменного согласия.
6.6.В администрации сельсовета, где обрабатываются персональные данные работников (обратившихся граждан) необходимо вести журнал учёта выданных персональных данных. В этом журнале регистрируются запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе предоставления персональных данных, а также указывается список переданных персональных данных (приложение №4).
6.7.При передаче персональных данных работников (обратившихся граждан) третьим лицам необходимо предупреждать их о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные обязаны соблюдать режим конфиденциальности. Исключение составляет обмен персональными данными в порядке, установленном действующим законодательством.
6.8.Передача персональных данных работников (обратившихся граждан) в пределах администрации сельсовета осуществляется в соответствии с нормативными актами (должностные инструкции работников, имеющих отношение к обработке персональных данных и др.), распоряжениями главы администрации сельсовета.
6.9.Не допускается запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
6.10. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии)"
6.11. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 настоящего Федерального закона. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации
7. Доступ к персональным данным
7.1.Внутренний доступ:
7.1.1. Доступ к персональным данным работников Администрации сельсовета имеют следующие должностные лица, непосредственно использующие персональные данные в служебных целях:
- специалист по кадрам Администрации сельсовета;
- делопроизводитель Администрации сельсовета.
7.1.2.Доступ к персональным данным физических лиц имеют следующие должностные лица, непосредственно использующие персональные данные в служебных целях:
- заместитель главы Администрации сельсовета;
- специалист по кадрам Администрации сельсовета;
- специалист Администрации сельсовета;
-специалист по благоустройству Администрации сельсовета;
-специалист по земельным вопросам Администрации сельсовета;
- делопроизводитель Администрации сельсовета.
7.1.3. Уполномоченные лица имеют право получать только те персональные данные работника Администрации сельсовета и физического лица, которые необходимы им для выполнения конкретных функций в соответствии с должностной инструкцией указанных лиц. Все остальные работники имеют право на полную информацию только о своих персональных данных и обработке этих данных. Список лиц, имеющих доступ к персональным данным прилагается к настоящему положению (приложение № 1).
7.1.4. Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.
7.1.5.В случае смерти работника согласие на обработку его персональных данных дают в письменной форме наследники работника, если такое согласие не было дано работником при его жизни.
7.1.6.Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 ст.18 Федерального закона от 27.07.2006 № 152 «О персональных данных», до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
- наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные настоящим Федеральным законом права субъекта персональных данных;
- источник получения персональных данных.
7.2. Внешний доступ
7.2.1. Персональные данные работников Администрации сельсовета вне организации могут представляться в государственные и негосударственные функциональные структуры в соответствии с требованиями действующего законодательства:
- налоговые органы;
- управления Пенсионного Фонда Российской Федерации;
- комитеты по социальной защите населения;
- фонд Социального Страхования;
- федеральный Фонд обязательного медицинского страхования;
- сберегательный банк;
- управление Федерального казначейства.
7.2.2. Персональные данные работника Администрации сельсовета (в том числе, уволенного) могут быть предоставлены другим организациям по письменному запросу на бланке организации с приложением заверенной копии заявления работника о согласии предоставления персональных данных соответствующей организации.
7.2.3. Предоставление сведений о персональных данных работников Администрации сельсовета без соответствующего их согласия возможно при поступлении запроса в следующих случаях
- в целях предупреждения угрозы жизни и здоровья работника;
- при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях»;
- при поступлении официальных запросов из налоговых органов, органов Пенсионного Фонда России, органов Федерального социального страхования, судебных органов, в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя, при этом срок может быть продлен, но не более чем на пять рабочих дней, в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причины продления срока.
7.2.4.В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
7.3. Предоставление другим организациям сведений о физических лицах без соответствующего их согласия возможно в следующих случаях:
- в целях выполнения функций Администрации сельсовета;
- в целях предупреждения угрозы жизни и здоровья физических лиц;
- при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях»;
- при поступлении официальных запросов из налоговых органов, органов Пенсионного Фонда России, органов Федерального социального страхования, судебных органов.
7.4. Субъект персональных данных, о котором запрашиваются сведения, должен быть уведомлён о передаче его персональных данных третьим лицам, за исключением случаев, когда такое уведомление невозможно в силу форс-мажорных обстоятельств, а именно: стихийных бедствий, аварий, катастроф.
7.5. Запрещается передача персональных данных работника Администрации сельсовета и физических лиц в коммерческих целях без их согласия.
8. Защита персональных данных
8.1. Защита персональных данных работников Администрации сельсовета и физических лиц от неправомерного их использования или утраты обеспечивается за счёт средств Администрации сельсовета в порядке, установленном федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных».
8.2. Администрация сельсовета при обработке персональных данных обязана принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
8.3. Администрацией сельсовета и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных. Перечень помещений, в которых осуществляется обработка персональных данных с указанием лиц, имеющих допуск в данные помещения (Приложение №2).
8.4. В случае если Администрация сельсовета на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
8.5. При передаче персональных данных работников Администрации сельсовета и физических лиц третьим лицам, в том числе представителям работников, в порядке, установленном Трудовым кодексом Российской Федерации и настоящим Положением, ограничивать передаваемую информацию только теми персональными данными работников и граждан РФ, которые необходимы для выполнения третьим лицами своих функций.
8.6 Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
8.7. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона "О персональных данных".
Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах. Список лиц, ответственных за организацию защиты конфиденциальной информации и за разработку, проведение мероприятий, направленных на выполнение требований законодательства и других нормативных документов в области персональных данных (Приложение №3).
Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо).
Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.
8.8В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных.
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
8.9. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, возлагается на Администрацию сельсовета.
8.10. Личные дела, трудовые книжки, карточки - лицевые счета работников должны храниться в запираемых шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
9. Ответственность за разглашение информации, связанной с персональнымиданными
9.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, как работника Администрации сельсовета, так и физического лица, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии со ст. 13.11 Кодекса РФ об административных правонарушениях. К данным лицам могут быть применены следующие дисциплинарные взыскания:
1) замечание;
2) выговор;
3) увольнение по соответствующим основаниям.
9.2. За каждый дисциплинарный проступок может быть применено только одно дисциплинарное взыскание.
9.3. Копия распоряжения о применении к работнику дисциплинарного взыскания с указанием оснований его применения вручается работнику под расписку в течение трех рабочих дней, не считая времени отсутствия работника на работе, со дня издания распоряжения.
Если в течение года со дня применения дисциплинарного взыскания работник не будет подвергнут новому дисциплинарному взысканию, то он считается не имеющим дисциплинарного взыскания.
|
Приложение № 1 к положению «Об организации работы с персональными данными в Администрации Берёзовского сельсовета Первомайского района Алтайского края» утвержденному постановлением Администрации Берёзовского сельсовета Первомайского района Алтайского края от ___________№ _____ |
Список лиц, имеющих доступ к персональным данным
|
№ п\п |
Должность |
ФИО |
|
|
1 |
Глава сельсовета |
Агальцова Альбина Петровна |
|
|
2 |
Заместитель главы администрации |
Попова Ольга Николаевна |
|
|
3 |
Главный специалист по финансам, налогам и сборам |
Глушкова Анна Михайловна |
|
|
4 |
старший инспектор по земельным и имущественным отношениям |
Логинова Елена Александровна |
|
|
5 |
делопроизводитель администрации |
Микрюкова Светлана Николаевна |
|
|
6 |
старший инспектор по социальным вопросам |
Фомина Нина Митрофановна |
|
|
Приложение № 2 к положению «Об организации работы с персональными данными в Администрации Берёзовского сельсовета Первомайского района Алтайского края» утвержденному постановлением Администрации Берёзовского сельсовета Первомайского района Алтайского края от 10.03.2023 № 52 |
Перечень помещений, в которых осуществляется обработка персональных данных с указанием лиц, имеющих допуск в данные помещения
|
№ п\п |
Наименование помещения |
Должность, ФИО |
|
1. |
Здание администрации сельсовета |
Глава сельсовета Агальцова Альбина Петровеа |
Приложение № 3
к положению «Об организации работы с персональными данными в Администрации Берёзовского
сельсовета Первомайского района Алтайского края» утвержденному постановлением Администрации Берёзовского сельсовета Первомайского района Алтайского края
от 10.03.2023 № 52
Уполномоченное лицо, осуществляющее обработку персональных данных
|
№ п\п |
Должность |
ФИО |
|
1 |
делопроизводитель администрации |
Микрюкова Светлана Николаевна |
|
2 |
старший инспектор по социальным вопросам |
Фомина Нина Митрофановна |