В целях выполнения требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
1.Утвердить:
1.1. Правила рассмотрения запросов субъектов персональных данных или их представителей (Приложение № 1).
1.2. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации Шыгырданского сельского поселения Батыревского района Чувашской Республики (Приложение № 2).
1.3. Правила работы с обезличенными персональными данными в администрации Шыгырданского сельского поселения Батыревского района Чувашской Республики (Приложение № 3).
2. Руководителям структурных подразделений администрации Шыгырданского сельского поселения Батыревского района Чувашской Республики:
2.1. Ознакомить сотрудников, имеющих доступ к персональным данным, с настоящим распоряжением под подпись.
2.2. Листы ознакомления представить в срок до «__»_________201_.
3.Контроль за исполнением настоящего распоряжения оставляю за собой.
Глава Шыгырданского сельского поселения М.Х. Валитов
Приложение № 1 к распоряжению
№ 18/6 от «13» июня 2018 г.
Правила рассмотрения запросов субъектов персональных данных
или их представителей
- Субъект персональных данных имеет право на получение сведений, указанных в части 7 статьи 14 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее Федеральный закон), за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
3. Сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
- В случае, если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
- Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящих правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 настоящих правил, должен содержать обоснование направления повторного запроса.
- Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 настоящих правил согласно Федерального закона. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
- Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
7.1. Обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
7.2. Обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
7.3.Обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
7.4.Доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
7.5.Обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
8. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных.
8.1.Оператор обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 30 (тридцати) дней с даты получения запроса субъекта персональных данных или его представителя.
8.2.В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 (тридцати) дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
8.3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лип, которым персональные данные этого субъекта были переданы.
8.4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 (тридцати) дней с даты получения такого запроса.
Приложение № 2 к распоряжению
№ 18/6 от «13» июня 2018г.
ПРАВИЛА
осуществления внутреннего контроля соответствия обработки персональных данных в администрации Шыгырданского сельского поселения Батыревского района Чувашской Республики требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных»
I. Общие положения
1.1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных в администрации Шыгырданского сельского поселения Батыревского района Чувашской Республики требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных» (далее - Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и определяют процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
II. Порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации Шыгырданского сельского поселения Батыревского района Чувашской Республики (далее – Администрация) проводятся периодические проверки условий обработки персональных данных.
2.2. Проверка соответствия обработки персональных данных требованиям к защите персональных данных проводится ответственным за организацию обработки персональных данных, назначенным распоряжением главы администрации Шыгырданского сельского поселения Батыревского района Чувашской Республики.
2.3. Плановые проверки условий обработки персональных данных проводятся на основании утвержденного главой администрации Шыгырданского сельского поселения Батыревского района Чувашской Республики ежегодного плана внутренних проверок режима защиты персональных данных (плановые проверки), представленного в Приложении №2 к Положению по организацию и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации Шыгырданского сельского поселения Батыревского района Чувашской Республики.
2.4. Внеплановые проверки проводятся на основании поступившей информации о нарушениях правил обработки персональных данных. Проведение внеплановой проверки организуется в течение трех рабочих дней со дня поступления информации о нарушениях правил обработки персональных данных.
2.5. В проведении проверки условий обработки персональных данных не могут участвовать сотрудники Администрации, прямо или косвенно заинтересованные в ее результатах.
2.6. Проверки условий обработки персональных данных осуществляются непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра служебных мест сотрудников Администрации, участвующих в процессе обработки персональных данных.
2.7. При проведении проверки условий обработки персональных данных должны быть полностью, объективно и всесторонне установлены:
- порядок и условия применения организационных и технических мер, необходимых для выполнения требований к защите персональных данных;
- порядок и условия соблюдения парольной защиты;
- порядок и условия соблюдения антивирусной защиты;
- порядок и условия обеспечения резервного копирования;
- эффективность принимаемых мер по обеспечению безопасности персональных данных до их ввода в информационные системы персональных данных;
- условия соблюдения режима защиты при подключении к сетям общего пользования и (или) международного обмена;
- порядок и условия обновления программного обеспечения и единообразия применяемого программного обеспечения на всех элементах информационной системы персональных данных;
- порядок и условия применения средств защиты информации;
- состояние учета носителей персональных данных;
- соблюдение правил доступа к персональным данным;
- соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных;
- наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
- мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
2.8. Проверка условий обработки персональных данных должна быть завершена не позднее чем через тридцать календарных дней со дня принятия решения об ее проведении.
2.9. По результатам проведенной проверки условий обработки персональных данных ответственный за организацию обработки персональных данных предоставляет главе администрации Шыгырданского сельского поселения Батыревского района Чувашской Республики письменное заключение с указанием мер, необходимых для устранения выявленных нарушений.
Приложение № 3 к распоряжению
№ 18/6 от «13» июня 2018 г.
ПРАВИЛА
работы с обезличенными данными в администрации Шыгырданского сельского поселения Батыревского района Чувашской Республики
I. Общие положения
1.1. Правила работы с обезличенными данными в администрации Шыгырданского сельского поселения Батыревского района Чувашской Республики (далее – Правила) разработаны в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и постановления Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и определяют порядок, способы обезличивания персональных данных.
II. Условия обезличивания персональных данных
2.1. В соответствии с Федеральным законом «О персональных данных» обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
2.2. Обезличивание персональных данных может быть проведено в статистических целях, в целях предупреждения ущерба от разглашения персональных данных, по достижении целей или в случае утраты необходимости в достижении этих целей, а также в иных целях, предусмотренных законодательством Российской Федерации.
2.3. В администрации Шыгырданского сельского поселения Батыревского района Чувашской Республики (далее - Администрация) могут быть использованы следующие способы обезличивания персональных данных при условии их дальнейшей обработки:
- сокращение перечня обрабатываемых персональных данных;
- замена части сведений идентификаторами;
- понижение точности некоторых сведений в зависимости от цели обработки персональных данных (например, наименование места жительства может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);
- замена персональных данных (например, перестановка полей одной записи персональных данных с теми же самыми полями другой аналогичной записи);
- замена выбранных персональных данных средним значением для группы персональных данных;
- использование перекрестных ссылок (например, вместо одной таблицы использовать две – одна с ФИО и идентификатором субъекта, вторая – с тем же идентификатором и остальной частью персональных данных);
- использование специальных алгоритмов – маскирование персональных данных или подмена определенных символов другими;
- иными способами, исходя из целей обезличивания персональных данных.
2.4. Ответственность за обезличивание персональных данных несут лица, замещающие должности, вошедшие в Перечень должностей, ответственных за проведение мероприятий по обезличиванию персональных данных, обрабатываемых в администрации Шыгырданского сельского поселения Батыревского района Чувашской Республики утвержденный распоряжением главы администрации Шыгырданского сельского поселения Батыревского района Чувашской Республики.
2.5. Решение о необходимости и способе обезличивания персональных данных принимает ответственный за организацию обработки персональных данных в Администрации города.
2.6. Сотрудники Администрации, замещающие должности, замещение которых предусматривает осуществление обработки персональных данных, и вошедшие в Перечень должностей служащих, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, обрабатываемым в администрации Шыгырданского сельского поселения Батыревского района Чувашской Республики, утвержденный распоряжением главы администрации Шыгырданского сельского поселения Батыревского района Чувашской Республики, проводят обезличивание выбранным способом.
III. Порядок работы с обезличенными данными
3.1. Обезличенные персональные данные конфиденциальны и не подлежат разглашению.
3.2. Обезличенные персональные данные могут обрабатываться как с использованием, так и без использования средств автоматизации.
3.3. При обработке обезличенных персональных данных сотрудники Администрации руководствуются Положением о защите персональных данных в администрации Шыгырданского сельского поселения Батыревского района Чувашской Республики.