Постановление администрации ЗАТО город Радужный от 15.02.2023 N 204 "О внесении изменений в постановление администрации от 11.05.2012 N 647 "О политике обработки персональных данных в администрации ЗАТО г. Радужный Владимирской области"



ВЛАДИМИРСКАЯ ОБЛАСТЬ
АДМИНИСТРАЦИЯ ЗАКРЫТОГО АДМИНИСТРАТИВНО-ТЕРРИТОРИАЛЬНОГО
ОБРАЗОВАНИЯ ГОРОД РАДУЖНЫЙ

ПОСТАНОВЛЕНИЕ
от 15 февраля 2023 г. в„– 204

О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ПОСТАНОВЛЕНИЕ АДМИНИСТРАЦИИ
ОТ 11.05.2012 в„– 647 "О ПОЛИТИКЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ
ДАННЫХ В АДМИНИСТРАЦИИ ЗАТО Г. РАДУЖНЫЙ
ВЛАДИМИРСКОЙ ОБЛАСТИ"

В целях выполнения требований Федерального закона от 27.07.2006 в„– 152-ФЗ "О персональных данных", в соответствии с Федеральным законом от 06.10.2003 в„– 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации", руководствуясь статьей 36 Устава муниципального образования ЗАТО г. Радужный Владимирской области, постановляю:
1. Приложение к постановлению администрации ЗАТО г. Радужный Владимирской области от 11.05.2012 в„– 647 "О политике обработки персональных данных в администрации ЗАТО г. Радужный Владимирской области" изложить в новой редакции согласно приложению.
2. Контроль за выполнением настоящего постановления возложить на заместителя главы администрации города, руководителя аппарата.
3. Настоящее постановление вступает в силу со дня его подписания и подлежит официальному опубликованию в информационном бюллетене администрации ЗАТО г. Радужный "Радуга-информ".

И.о. главы администрации
С.С.ОЛЕСИКОВ





Приложение
к постановлению
администрации
ЗАТО г. Радужный
от 11.02.2012 в„– 647,
в редакции
от 13.08.2012 в„– 1113,
от 31.03.2014 в„– 386,
от 10.02.2021 в„– 150,
от 15.02.2023 в„– 204

ПОЛИТИКА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ
ЗАТО Г. РАДУЖНЫЙ ВЛАДИМИРСКОЙ ОБЛАСТИ

1. Термины и определения

Персональные данные (далее - ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники.
Распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц.
Предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
Блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
Уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.
Обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
Информационная система персональных данных (далее - ИСПДн) - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
Государственная информационная система персональных данных (далее - ГИС) - это информационные системы персональных данных, созданные в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.
Трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2. Общие положения

2.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) в администрации ЗАТО г. Радужный Владимирской области (далее - администрация) составлена в соответствии с Федеральным законом от 27.07.2006 в„– 152-ФЗ "О персональных данных" и действует в отношении ПДн, обрабатываемых в ИСПДн администрации, ГИС администрации и метаданных пользователей официального сайта муниципального образования ЗАТО г. Радужный Владимирской области (www.raduzhnyi-city.ru).
2.2. Целью настоящей Политики является соблюдение прав субъектов ПДн при обработке их ПДн в ИСПДн администрации.
2.3. Настоящая Политика в области обработки ПДн определяется в соответствии со следующими нормативно-правовыми актами РФ:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Указ Президента РФ от 06.03.1997 в„– 188 "Об утверждении перечня сведений конфиденциального характера";
- Федеральный закон от 27.07.2006 в„– 152-ФЗ "О персональных данных";
- Федеральный закон от 27.07.2006 в„– 149-ФЗ "Об информации, информационных технологиях и о защите информации";
- Федеральный закон от 31.07.2020 в„– 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации";
- Федеральный закон от 09.02.2009 в„– 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления";
- Федеральный закон от 14.07.2022 в„– 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных";
- постановление Правительства Российской Федерации от 21.03.2012 в„– 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
- постановление Правительства Российской Федерации от 15.09.2008 в„– 687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
- постановление Правительства Российской Федерации от 01.11.2012 в„– 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- постановления Правительства РФ от 29.06.2021 в„– 1046 "О федеральном государственном контроле (надзоре) за обработкой персональных данных";
- постановление Правительства РФ от 10.03.2022 в„– 336 "Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля" (Мораторий);
- приказ ФСТЭК России от 11.02.2013 в„– 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";
- приказ ФСТЭК России от 18.02.2013 в„– 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
- приказ Роскомнадзора от 24.02.2021 в„– 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения";
- приказ Роскомнадзора от 28.10.2022 в„– 180 "Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных".
2.4. Администрация является оператором ПДн и внесена в реестр операторов, осуществляющих обработку ПДн.
2.5. Во исполнение настоящей Политики в администрации утверждаются следующие нормативно-правовые акты: Перечень обрабатываемых персональных данных в ИСПДн администрации; Положения об обработке персональных данных в ИСПДн администрации; Перечень ИСПДн администрации; Разрешительная система (матрица) доступа ИСПДн администрации; Положение об уничтожении персональных данных; Должностная инструкция ответственного за организацию обработки персональных данных в администрации; Типовая форма согласия на обработку персональных данных субъектов; Методика проведения классификации ИСПДн администрации; Модели актуальных угроз и вероятного нарушителя ИСПДн администрации; Должностные инструкции работников администрации при работе с персональными данными; Инструкция специалиста по защите информации; Акты классификации ИСПДн администрации; иные нормативно-правовые акты администрации, принимаемые во исполнение требований законодательства Российской Федерации.

3. Условия обработки персональных данных

3.1. Условия обработки ПДн в ИСПДн администрации:
3.1.1. Соблюдение законности получения, обработки, хранения, а также других действий с ПДн.
3.1.2. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей.
3.1.3. Недопущение объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
3.1.4. Обработка только тех ПДн, которые отвечают целям их обработки.
3.1.5. Недопущение обработки избыточных ПДн по отношению к заявленным целям их обработки.
3.1.6. Обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки ПДн.
3.1.7. Выполнение мер по обеспечению безопасности ПДн при их обработке и хранении.
3.1.8. Соблюдение прав субъекта ПДн на доступ к его ПДн.
3.1.9. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.
3.1.10. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.1.11. Администрация при обработке ПДн обязана принимать необходимые, правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

4. Состав персональных данных

4.1. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме.
4.2. Согласие обработку персональных данных должно включать в себя, в частности: 1) фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн); 3) наименование и адрес оператора, получающего согласие субъекта ПДн; 4) цель обработки ПДн; 5) перечень ПДн, на обработку которых дается согласие субъекта ПДн; 6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу; 7) перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн; 8) срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено федеральным законом; 9) подпись субъекта ПДн.
4.3. В случае недееспособности субъекта ПДн согласие на обработку его ПДн дает законный представитель субъекта ПДн.
4.4. Перечень ПДн, обрабатываемых в ИСПДн администрации, определяется исходя из "Перечня персональных данных, обрабатываемых в ИСПДн". По мере изменения состава обрабатываемых ПДн перечень подлежит пересмотру и уточнению.
4.5. Администрация обрабатывает: ПДн, содержащиеся в обращениях граждан; ПДн граждан, содержащиеся в записях актов гражданского состояния; ПДн работников администрации; ПДн, содержащиеся в делах об административных правонарушениях, комиссии по делам несовершеннолетних и административной комиссии администрации.
4.6. Документы, содержащие ПДн, создаются путем: копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.); внесения сведений в учетные формы; получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).
4.7. Обработка ПДн в администрации осуществляется как с использованием средств автоматизации, так и без использования таких средств.

5. Цели обработки персональных данных

5.1. Осуществление трудовых отношений.
5.2. Осуществление гражданско-правовых отношений.
5.3. Для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей для достижения целей, предусмотренных Конвенцией о правовой помощи и правовых отношений по гражданским, семейным и уголовным делам, подписанной государствами - членами Содружества Независимых Государств в Минске 22 января 1993 года (в редакции Протокола к Конвенции, подписанного 28 марта 1997 года в Москве).
5.4. Общедоступные источники ПДн отсутствуют.

6. Обеспечение безопасности персональных данных

6.1. Безопасность ПДн достигается:
6.1.1. Назначением лица, ответственного за обработку ПДн.
6.1.2. Определением угроз безопасности ПДн при их обработке в ИСПДн.
6.1.3. Применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований, установленных Правительством Российской Федерации.
6.1.4. Оценкой вреда, который может быть причинен субъектам ПДн в случае нарушения Федерального закона от 27.07.2006 в„– 152-ФЗ "О персональных данных".
6.1.5. Применением сертифицированных средств защиты информации.
6.1.6. Оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн.
6.1.7. Учетом машинных носителей ПДн.
6.1.8. Обнаружением фактов несанкционированного доступа к ПДн и принятием мер по их защите.
6.1.9. Восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
6.1.10. Установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн.
6.1.11. Контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
6.1.12. Разработкой и утверждением нормативно-правовых актов по вопросам обработки и защиты ПДн.
6.1.13. Ознакомлением работников администрации, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, нормативно-правовыми актами по вопросам обработки и защиты ПДн и их обучением.
6.1.14. Осуществлением внутреннего контроля и аудита.

7. Доступ к персональным данным

7.1. Доступ работников администрации к ПДн осуществляется в соответствии с "Разрешительной системой (матрицей) доступа ИСПДн". При этом указанным лицам предоставляется доступ только к ПДн, необходимым для выполнения их служебных обязанностей в пределах задач и функций их подразделений.
7.2. Предоставление ПДн третьим лицам осуществляется по запросу с письменного согласия субъекта ПДн.
7.3. Порядок доступа субъекта ПДн к его ПДн.
7.3.1. Субъект ПДн вправе требовать уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.3.2. Сведения должны быть предоставлены субъекту ПДн администрацией в доступной форме и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.
7.3.3. Сведения предоставляются субъекту ПДн или его представителю при обращении либо при получении запроса субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с администрацией, либо сведения, иным образом подтверждающие факт обработки ПДн администрацией, подпись субъекта ПДн или его представителя.
7.3.4. Администрация вправе отказать субъекту ПДн в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на администрации.
7.3.5. Субъект ПДн право на получение информации, касающейся обработки его ПДн, в том числе содержащей: подтверждение факта обработки ПДн администрацией; правовые основания и цели обработки ПДн; цели и применяемые администрацией способы обработки ПДн; наименование и место нахождения администрации, сведения о лицах, которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с администрацией или на основании федерального закона; обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; сроки обработки ПДн, в том числе сроки их хранения; порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом от 27.07.2006 в„– 152-ФЗ "О персональных данных"; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению администрации, если обработка поручена или будет поручена такому лицу.
7.3.6. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7.3.7. Использование и хранение биометрических ПДн вне ИСПДн могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

8. Обязанности администрации

8.1. Администрация обязана безвозмездно предоставить субъекту ПДн, его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн. В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, администрация обязана внести в них необходимые изменения.
8.2. В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн администрация обязана осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению администрации) с момента такого обращения или получения указанного запроса на период проверки.
8.3. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн администрация обязана осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению администрации) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
8.4. В случае подтверждения факта неточности ПДн администрация на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязана уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению администрации) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.
8.5. В случае выявления неправомерной обработки ПДн, осуществляемой администрацией или лицом, действующим по поручению администрации, администрация в срок, не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению администрации.

9. Условия прекращения обработки персональных данных

9.1. Обработка ПДн субъекта ПДн прекращается в случае ликвидации оператора, реорганизации оператора, прекращения деятельности по обработке ПДн, наступления срока (условия) прекращения обработки ПДн, указанного в уведомлении, вступившего в законную силу решения суда или иных оснований. Субъектом ПДн и оператором подписывается уведомление о прекращении обработки ПДн в соответствии с утвержденной формой.
9.1. Сроки хранения документов, содержащих ПДн субъектов, определяются в соответствии со сроком действия договора с субъектом ПДн, Федеральным законом РФ от 22.10.2004 в„– 125-ФЗ "Об архивном деле в Российской Федерации", приказом Минкультуры РФ от 25.08.2010 в„– 558 "Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения".
9.2. Порядок уничтожения носителей, содержащих ПДн, определяется в соответствии с "Положением об уничтожении бумажных и электронных носителей персональных данных, обрабатываемых в администрации ЗАТО г. Радужный".

10. Ответственность

10.1. Лица, виновные в нарушении требований Федерального закона от 27.07.2006 в„– 152-ФЗ "О персональных данных", несут предусмотренную законодательством Российской Федерации ответственность.
10.2. Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, а также требований к защите ПДн, установленных в соответствии с Федеральным законом от 27.07.2006 в„– 152-ФЗ "О персональных данных", подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПДн убытков.

11. Положения об обработке метаданных посетителей
официального сайта муниципального образования

11.1. На официальном сайте муниципального образования ЗАТО г. Радужный Владимирской области (www.raduzhnyi-city.ru) (далее - официальный сайт) для качественного предоставления услуг применяется инструмент веб-аналитики YandexMetrika (Яндекс Метрика) в целях анализа использования сайтов и улучшения их работы. YandexMetrika обрабатывает cookie - текстовые файлы, сохраняющиеся на компьютере пользователя и позволяющие анализировать посещение веб-сайтов. На официальном сайте отображается предупреждение, информирующее пользователей об обработке метаданных. При посещении официального сайта пользователь дает согласие оператору на обработку указанных данных с использованием метрических сервисов для анализа использования, измерения и повышения уровня производительности официального сайта.
11.2. Обработка файлов cookie оператором осуществляется в обобщенном виде и никогда не соотносится с личными сведениями пользователей.
11.3. Согласие действует с момента его предоставления и в течение всего периода использования официального сайта пользователем.
11.4. В случае отказа от обработки файлов cookie пользователю необходимо прекратить использование официального сайта оператора или отключить использование файлов cookie в настройках браузера, при этом некоторые функции официального сайта оператора могут стать недоступны.

12. Трансграничная передача персональных данных

Отдел ЗАГС администрации ЗАТО г. Радужный Владимирской области осуществляет трансграничную передачу ПДн в рамках исполнения обращений граждан по истребованию документов с территорий следующих иностранных государств: Армения, Белоруссия, Казахстан, Молдавия, Таджикистан, Украина, Узбекистан.


------------------------------------------------------------------