РОССИЙСКАЯ ФЕДЕРАЦИЯ КУРГАНСКАЯ БЛАСТЬ ПЕТУХОВСКИЙ РАЙОН АДМИНИСТРАЦИЯ ЗОТИНСКОГО СЕЛЬСОВЕТА ПОСТАНОВЛЕНИЕ от 28 сентября 2017года № 36 с. Зотино О мерах по обеспечению безопасности персональных данных В целях исполнения требований Федерального закона от 27.07.2006 №152-ФЗ (в ред. от 25.07.2011 года) «О персональных данных», постановления Правительства Российской Федерации от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами Администрация Зотинского сельсовета, ПОСТАНОВЛЯЕТ: 1.Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Администрации Зотинского сельсовета (Приложение 1). 2. Утвердить Правила рассмотрения запросов субъектов персональных данных или их представителей в Администрации Зотинского сельсовета (Приложение 2). 3. Утвердить Порядок доступа служащих Администрации Зотинского сельсовета в помещения, в которых ведется обработка персональных данных (Приложение 3). 4. Утвердить Перечень персональных данных, обрабатываемых в Администрации Зотинского сельсовета, в связи с реализацией трудовых отношений и оказанием муниципальных услуг (Приложение 4). 5. Утвердить Перечень должностей муниципальных служащих Администрации Зотинского сельсовета, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (Приложение 5). 6.Утвердить Перечень информационных систем персональных данных (Приложение №6). 7. Утвердить Форму типового обязательства о неразглашении информации, содержащей персональные данные (Приложение 7). 8. Утвердить Типовую форму согласия на обработку персональных данных (Приложение 8). 9. Утвердить Типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные (Приложение 9). 10. Утвердить Должностную инструкцию ответственного за организацию обработки персональных данных (Приложение 10). 11. Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (Приложение 11). 12. Обнародовать настоящее постановление в местах определенных Уставом Зотинского сельсовета 13. Контроль за исполнением настоящего постановления оставляю за собой. Глава Зотинского сельсовета: Г.Н. Сколькович Приложение 1 к Постановлению Администрации Зотинского сельсовета № 36 от 28.09.2017г. «О мерах по обеспечению безопасности персональных данных» Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Администрации Зотинского сельсовета Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее - Правила) в Администрации Зотинского сельсовета (далее - Администрация) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных. Настоящие Правила разработаны в соответствии Федеральным законом от 27 июля 2006 г. № 152 ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, ответственного за обработку персональных данных, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 года № 152 ФЗ «О персональных данных». В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Администрации организовывается проведение периодических проверок условий обработки персональных данных. Проверки осуществляются ответственным за организацию обработки персональных данных в Администрации Зотинского сельсовета. В проведении проверки не может участвовать муниципальный служащий, прямо или косвенно заинтересованный в её результатах. Проверки соответствия обработки персональных данных установленным требованиям в Администрации проводятся на основании утвержденного Главой Зотинского сельсовета ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего в Администрацию письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены: - порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных; - порядок и условия применения средств защиты информации; - эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; - состояние учета машинных носителей персональных данных; - соблюдение правил доступа к персональным данным; - наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер; - мероприятия по восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; - осуществление мероприятий по обеспечению целостности персональных данных. Ответственный за организацию обработки персональных данных в Администрации имеет право: - запрашивать у сотрудников Администрации информацию, необходимую для реализации полномочий; - требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных; - принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации; - вносить Главе Зотинского сельсовета предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке; - вносить Главе Зотинского сельсовета предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных в Администрации в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных. Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о её проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, Главе Зотинского сельсовета докладывает ответственный за организацию обработки персональных данных в форме письменного заключения. Глава Зотинского сельсовета, назначивший внеплановую проверку, обязан контролировать своевременность и правильность её проведения. Приложение 2 к Постановлению Администрации Зотинского сельсовета № 36 от 28.09.2017г. «О мерах по обеспечению безопасности персональных данных» ПРАВИЛА рассмотрения запросов субъектов персональных данных или их представителей в Администрации Зотинского сельсовета 1. Настоящими Правилами рассмотрения запросов субъектов персональных данных или их представителей в Администрации Зотинского сельсовета (далее - Правила) определяются порядок учета (регистрации), рассмотрения запросов субъектов персональных данных или их представителей (далее - запросы). 2. Настоящие Правила разработаны в соответствии Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 02.05.2006г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон), Федеральным законом от 02.03.2007г. № 25-ФЗ «О муниципальной службе в Российской Федерации», постановлением Правительства Российской Федерации от 21.03.2012г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом « О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», специальными требованиями и рекомендациями по технической защите конфиденциальной информации, утвержденными приказом Гостехкомиссии России от 30.08.2002г. № 282, постановлением Правительства Российской Федерации от 01.11.2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 15.09.2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». 3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных (часть 7статьи 14 Федерального закона), в том числе содержащей: 1) подтверждение факта обработки персональных данных Администрацией Зотинского сельсовета; 2) правовые основания и цели обработки персональных данных; 3) цели и применяемые Администрации Зотинского сельсовета способы обработки персональных данных; 4) наименование и место нахождения Администрации Зотинского сельсовета, сведения о лицах (за исключением работников Администрации Зотинского сельсовета), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Администрацией Зотинского сельсовета или на основании Федерального закона; 5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом; 6) сроки обработки персональных данных, в том числе сроки их хранения; 7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных»; 8) информацию об осуществленной или о предполагаемой трансграничной передаче данных; 9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Администрации Зотинского сельсовета, если обработка поручена или будет поручена такому лицу; 10) иные сведения, предусмотренные Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных» или другими федеральными законами. 4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если: 1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка; 2) обработка персональных данных осуществляется органами, осуществляющими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными; 3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма; 4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц; 5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства. 5. Субъект персональных данных вправе требовать от Администрации Зотинского сельсовета уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. 6. Сведения, указанные в пункте 3 настоящих Правил, должны быть предоставлены субъекту персональных данных в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. 7. Сведения, указанные в пункте 3 настоящих Правил, предоставляются субъекту персональных данных или его представителю Администрацией Зотинского сельсовета при обращении либо при получении запроса субъекта персональных данных или его представителя. 8. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Администрацией Зотинского сельсовета (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения) либо сведения, иным образом подтверждающие факт обработки персональных данных Администрацией Зотинского сельсовета) подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. 9. Рассмотрение запросов и ведение регистрации по запросам осуществляется лицом, ответственным за организацию обработки персональных данных в Администрации Зотинского сельсовета. 10. Лицо, ответственное за организацию обработки персональных данных в Администрации Зотинского сельсовета, обеспечивает: - объективное, всестороннее и своевременное рассмотрения запроса; - принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъекта персональных данных; - направление письменных ответов по существу запроса. 11. Все поступившие запросы регистрируются в день их поступления. На запросе проставляется штамп, в котором указывается входящий номер и дата регистрации. Журнал регистрации запросов ведется по форме, согласно приложению к настоящим Правилам. 12. Запрос прочитывается, проверяется на повторность, при необходимости сверяется с находящейся в архиве предыдущей перепиской. В случае, если сведения, указанные в пункте 3 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Администрацию Зотинского сельсовета или направить повторный запрос в целях получения сведений, указанных в пункте 3 настоящих Правил, и ознакомления с такими персональными данными не ранее, чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. Субъект персональных данных имеет право обратиться Повторно в Администрацию Зотинского сельсовета или направить повторный запрос в целях получения сведений, указанных в пункте 3 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 1 настоящей части, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 8 настоящих Правил, должен содержать обоснование направления повторного запроса. 13. Администрация Зотинского сельсовета вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктом 12 настоящих Правил. Такой отказ должен быть мотивированным. 14. Лицо, ответственное за организацию обработки персональных данных в Администрации Зотинского сельсовета, при рассмотрении и разрешении запроса обязано: - внимательно разобраться в их существе, в случае необходимости истребовать дополнительные материалы или направить сотрудников на места для проверки фактов, изложенных в запросах, принять другие меры для объективного разрешения поставленных заявителями вопросов, выявления и устранения причин и условий, порождающих факты нарушения законодательства о персональных данных; - принимать по ним законные, обоснованные и мотивированные решения и обеспечивать своевременное и качественное их исполнение; - сообщать в письменной форме заявителям о решениях, принятых по их запросам, со ссылками на законодательство Российской Федерации, а в случае отклонения запроса - разъяснять также порядок обжалования принятого решения. 15. Лицо, ответственное за организацию обработки персональных данных в Администрации Зотинского сельсовета, обязано сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя. 16. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя лицо, ответственное за организацию обработки персональных данных в Администрации Зотинского сельсовета, обязано дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. 17. Лицо, ответственное за организацию обработки персональных данных в Администрации Зотинского сельсовета, обязано предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. 18. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, уполномоченные должностные лица Администрации Зотинского сельсовета обязаны внести в них необходимые изменения. 19. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уполномоченные должностные лица Администрации Зотинского сельсовета обязаны уничтожить такие персональные данные. 20. Лицо, ответственное за организацию обработки персональных данных в Администрации Зотинского сельсовета, обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы. 21. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя, уполномоченного органа по защите прав субъектов персональных данных уполномоченные должностные лица Администрации Зотинского сельсовета обязаны осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Администрации Зотинского сельсовета) с момента такого обращения или получения указанного запроса на период проверки. 22. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных уполномоченные должностные лица Администрации Зотинского сельсовета обязаны осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Администрации Зотинского сельсовета) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. 23. В случае подтверждения факта неточности персональных данных уполномоченные должностные лица Администрации Зотинского сельсовета на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов, обязаны уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению ответственного за обработку персональных данных) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных. 24. В случае выявления неправомерной обработки персональных данных осуществляемой Администрацией Зотинского сельсовета или лицом, действующим по поручению Администрации Зотинского сельсовета, Администрация Зотинского сельсовета в срок, не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицам, действующим по поручению Администрации Зотинского сельсовета. В случае, если обеспечить правомерность обработки персональных данных невозможно, Администрация Зотинского сельсовета в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязана уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Администрацией Зотинского сельсовета обязана уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган. 25. Для проверки фактов, изложенных в запросах, при необходимости организуются служебные проверки в соответствии с законодательством Российской Федерации. 26. По результатам служебной проверки составляется мотивированное заключение, которое должно содержать объективный анализ собранных материалов. Если при проверке выявлены факты совершения муниципальными служащими Администрации Зотинского сельсовета действия (бездействия), содержащего признаки административного правонарушения или состава преступления информация передается незамедлительно в правоохранительные органы. Результаты служебной проверки докладываются Главе Зотинского сельсовета. 27. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы заявителю. 28. Непосредственный контроль за соблюдением установленного законодательством и настоящими Правилами порядка рассмотрения запросов осуществляет глава Администрации Зотинского сельсовета, курирующий вопросы реализации Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных» в Администрации Зотинского сельсовета. 29. Глава Зотинского сельсовета, курирующий вопросы реализации Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных» в Администрации Зотинского сельсовета, осуществляет контроль за работой с запросами и организацией их приема как лично, так и через специалистов Администрации Зотинского сельсовета, в чьи обязанности входят полномочия по осуществлению контроля. На контроль берутся все запросы. 30. При осуществлении контроля обращается внимание на сроки исполнения поручений по запросам и полноту рассмотрения поставленных вопросов, объективность проверки фактов, изложенных в запросах, законность и обоснованность принятых по ним решений, своевременность их исполнения и направления ответов заявителям. 31. Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных должностных лиц ответственность в соответствии с законодательством Российской Федерации. Приложение 3 к Постановлению Администрации Зотинского сельсовета № 36 от 28.09.2017г. «О мерах по обеспечению безопасности персональных данных» ПОРЯДОК доступа служащих Администрации Зотинского сельсовета в помещения, в которых ведется обработка персональных данных 1. Общие положения 1.1. Настоящий Порядок доступа сотрудников Администрации Зотинского сельсовета в помещения Администрации, в которых ведется обработка персональных данных (далее - Порядок), устанавливает единые требования к доступу сотрудников в служебные помещения в целях предотвращения нарушения прав субъектов персональных данных, обрабатываемых в Администрации Зотинского сельсовета, и обеспечения соблюдения требований законодательства о персональных данных. 1.2. Настоящий Порядок обязателен для применения и исполнения всеми муниципальными служащими. 2. Требования к служебным помещениям 2.1. В целях обеспечения соблюдения требований к ограничению доступа в служебные помещения обеспечивается: - использование служебных помещений строго по назначению; - наличие на входах в служебные помещения дверей, оборудованных запорными устройствами; - содержание дверей служебных помещений в нерабочее время в закрытом на запорное устройство состоянии; - остекление окон в здании Администрации, содержание их в нерабочее время в закрытом состоянии; - доступ в служебные помещения граждан строго в установленные дни и часы приема. 2.2. Доступ в служебные помещения сотрудников допускается только для выполнения поручений и получения информации, необходимой для исполнения служебных обязанностей в соответствии с должностной инструкцией, иных лиц - в случаях, установленных законодательством. 2.3. Муниципальным служащим запрещается передавать ключи от служебных помещений третьим лицам. 3. Контроль за соблюдением требований к доступу в служебные помещения 3.1. Текущий контроль за содержанием служебных помещений осуществляет ответственный за организацию обработки персональных данных. 3.2. Муниципальные служащие, обнаружившие попытку незаконного проникновения посторонних лиц в служебное помещение, немедленно сообщают об этом в МО МВД «Петуховский». Приложение 4 к Постановлению Администрации Зотинского сельсовета № 36 от 28.09.2017 года «О мерах по обеспечению безопасности персональных данных» ПЕРЕЧЕНЬ персональных данных, обрабатываемых в Администрации Зотинского сельсовета, в связи с реализацией трудовых отношений и оказанием муниципальных услуг Перечень персональных данных, обрабатываемых в Администрации Зотинского сельсовета, в связи с реализацией трудовых отношений и оказанием муниципальных услуг (далее - Перечень ), разработан в соответствии с Федеральным законом от 27 .07.2006 г. № 152-ФЗ «О персональных данных». Сведениями, составляющими персональные данные, является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, в том числе: 1. Персональные данные специальной категории: сведения, касающиеся расовой, национальной принадлежности, состояния здоровья. 2. Биометрические персональные данные: сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (фотографии субъекта персональных данных в личном деле, ксерокопии с документов, удостоверяющих личность и имеющих фотографию владельца в личном деле). 3. Персональные данные общей категории: - фамилия, имя, отчество (в т.ч. прежние), дата и место рождения; - паспортные данные или данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ), гражданство; - адрес места жительства (по паспорту и фактический) и дата регистрации по месту жительства или по месту пребывания; - номера телефонов (мобильного и домашнего), в случае их регистрации на субъекта персональных данных или по адресу его места жительства (по паспорту); -сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки (серия, номер, дата выдачи диплома, свидетельства, аттестата или другого документа об окончании образовательного учреждения, в том числе наименование и местоположение образовательного учреждения); - сведения о повышении квалификации и переподготовке (серия, номер, дата выдачи документа о повышении квалификации или о переподготовке, наименование и местоположение образовательного учреждения); - сведения о трудовой деятельности (данные о трудовой деятельности на текущее время с полным указанием должности, структурного подразделения, организации и ее наименования. ИНН, адреса и телефонов, а также реквизиты других организаций с полным наименование занимаемых ранее в них должностей и времени работы в этих организациях); -сведения о номере, серии и дате выдачи трудовой книжки (вкладыша в нее) и записей в ней; -содержание и реквизиты служебного контракта, гражданско-правового договора с гражданином; -сведения о заработной плате; -сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу (серия, номер, дата выдачи, наименование органа, выдавшего военный билет); - сведения о семейном положении (состояние в браке, данные свидетельства о заключении брака, фамилия, имя, отчество супруги(а), паспортные данные супруги (а), данные справки по форме 2-НДФЛ супруги(а), степень родства, фамилии, имена, отчества и даты рождения других членов семьи, иждивенцев); - сведения об имуществе (имущественном положении): автотранспорт (марка, место регистрации), адреса размещения, способ и основание получения объектов недвижимости, банковские вклады (местоположение, номера счетов), кредиты (займы), банковские счета, денежные средства и ценные бумаги, в том числе в доверительном управлении и на доверительном хранении; - сведения о номере и серии страхового свидетельства государственного пенсионного страхования; - сведения об идентификационном номере налогоплательщика; - сведения из страховых полисов обязательного медицинского страхования; -сведения, указанные в оригиналах и копиях распоряжений по личному составу и материалах к ним; -сведения о государственных и ведомственных наградах, почетных и специальных званиях, поощрениях (в том числе наименование или название награды, звания или поощрения, дата и вид нормативного акта о награждении или дата поощрения) сотрудника; -материалы по аттестации сотрудников; - материалы по внутренним служебным расследованиям в отношении сотрудников; -медицинские заключения установленной формы об отсутствии у гражданина заболевания, препятствующего поступлению на муниципальную службу; -сведения о временной нетрудоспособности сотрудников; -табельный номер сотрудника; -сведения о социальных льготах и о социальном статусе (серия, номер, дата выдачи, наименование органа, выдавшего документа, являющимся основанием для предоставления льгот и статуса). 4. Обезличенные и (или) общедоступные персональные данные: -сведения о трудовой деятельности (общие данные о трудовой занятости на текущее время, общий и непрерывный стаж работы); -сведения об образовании, квалификации, о наличии специальных знаний или специальной подготовки (дата начала и завершения обучения, факультет или отделение, квалификация и специальность по окончании образовательного учреждения, ученая степень, ученое звание, владение иностранными языками); - сведения о повышении квалификации и переподготовке (дата начала и завершения обучения, квалификация и специальность по окончании образовательного учреждения); -сведения о заработной плате (в том числе данные по окладу, надбавкам, налогам); - сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу (военно-учетная специальность, воинское звание, данные о принятии/снятии с учета); - сведения о семейном положении (состоянии в браке, наличие детей и их возраст); - наличие (отсутствие) судимости. Приложение 5 к Постановлению Администрации Зотинского сельсовета № 36 от 28.09. 2017 года «О мерах по обеспечению безопасности персональных данных» Перечень должностей муниципальных служащих Администрации Зотинского сельсовета, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным 1. Глава Зотинского сельсовета 2. Главный специалист Администрации Зотинского сельсовета Приложение 6 к Постановлению Администрации Зотинского сельсовета № 36 от 28.09. 2017 года «О мерах по обеспечению безопасности персональных данных» ПЕРЕЧЕНЬ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ 1.Понятие информационной системы персональных данных. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. 2. Информационные системы персональных данных: - Программа «Самоуправление - СМАРТ» - Программа «ФИАС» - 1С-Бухгалтерия - Свод-СМАРТ - СУФД-казначейство - СБиС-документооборот - ГИС-ЖКХ - Свод-СМАРТ - ФГИС ТП - ЕСПГУ, ТРМВ, СИР Приложение 7 к Постановлению Администрации Зотинского сельсовета № 36 от 28.09. 2017 года «О мерах по обеспечению безопасности персональных данных» Форма типового обязательства о неразглашении информации, содержащей персональные данные Я, __________________________________________________________________________, Ф.И.О. сотрудника в качестве сотрудника Администрации Зотинского сельсовета в период трудовых отношений с данным учреждением и в течение 3 (Трех) лет после их окончания обязуюсь: 1. Не разглашать сведения, составляющие информацию ограниченного доступа (доступ к которой ограничивается в соответствии с законодательством РФ) Администрации Зотинского сельсовета, которые мне будут доверены или станут известны по работе. 2. Не передавать третьим лицам и не раскрывать публично сведения, составляющие информацию ограниченного доступа Администрации Зотинского сельсовета. 3. Выполнять требования приказов, инструкций и положений по обеспечению сохранности информации ограниченного доступа Администрации Зотинского сельсовета. 4. В случае попытки посторонних лиц получить от меня сведения об информации ограниченного доступа Администрации Зотинского сельсовета сообщить об этом факте руководству. 5. Сохранять информацию ограниченного доступа тех учреждений (организаций), с которыми у Администрации Зотинского сельсовета имелись и (или) имеются деловые отношения. 6. Не использовать знание информации ограниченного доступа Администрации Зотинского сельсовета для занятий любой деятельностью, которая может нанести ущерб Администрации Зотинского сельсовета, за исключением случаев, установленных законодательством РФ. 7. В случае моего увольнения все носители информации ограниченного доступа Администрации Зотинского сельсовета образования (рукописи, черновики, машинные носители, распечатки на принтерах, изделия и пр.), которые находились в моем распоряжении в связи с выполнением мною служебных обязанностей во время работы в Администрации Зотинского сельсовета, передать непосредственному руководителю. 8. Об утрате или недостаче носителей информации ограниченного доступа, ключей, специальных пропусков, удостоверений от режимных помещений, хранилищ, сейфов, архивов, личных печатей, которые могут привести к разглашению информации ограниченного доступа, а также о причинах и условиях возможной утечки сведений немедленно сообщать Главе Администрации Зотинского сельсовета. Я предупрежден(а), что в случае невыполнения любого из вышеуказанных пунктов настоящего Обязательства, ко мне могут быть применены меры дисциплинарного взыскания в соответствии с трудовым законодательством РФ, вплоть до увольнения из Администрации Зотинского сельсовета. Мне известно, что нарушение требований по обеспечению сохранности информации ограниченного доступа Администрации Зотинского сельсовета может повлечь уголовную, административную, гражданско-правовую или иную ответственность в соответствии с законодательством Российской Федерации в виде лишения свободы, денежного штрафа, обязанности по возмещению ущерба (убытков, упущенной выгоды) Администрации Зотинского сельсовета и других наказаний. «____»______________20____г. ______________ /___________________/ Приложение 8 к Постановлению Администрации Зотинского сельсовета № 36 от 28.09. 2017 года «О мерах по обеспечению безопасности персональных данных» ТИПОВАЯ ФОРМА СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ Администрация Зотинского сельсовета (наименование (Ф.И.О.) ответственного за обработку персональных данных) с. Зотино ул.Школьная,54 (адрес ответственного за обработку персональных данных) _____________________________________ (Ф.И.О. субъекта персональных данных) _____________________________________ (адрес, где зарегистрирован субъект персональных данных) ______________________________________ (номер основного документа, удостоверяющего его личность) ______________________________________ (дата выдачи указанного документа) ______________________________________ (наименование органа, выдавшего документ) Согласие на обработку персональных данных В целях обеспечения реализации Управлением государственной службы и кадров Правительства Курганской области полномочий по контролю за расходами лиц, замещающих муниципальные должности в Курганской области на постоянной основе, должности муниципальной службы в Курганской области, включенные в перечни, установленные законами, иными нормативными правовыми актами Курганской области и муниципальными нормативными правовыми актами, а также в связи с реализацией Губернатором Курганской области полномочий, установленных Указом Президента Российской Федерации от 2 апреля 2013 года N 309 "О мерах по реализации отдельных положений Федерального закона "О противодействии коррупции" свободно, своей волей и в своем интересе даю согласие на обработку моих персональных данных, перечисленных ниже, с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение: - фамилия, имя, отчество; - число, месяц, год рождения; - место рождения; - вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи; - адрес места жительства (адрес регистрации, фактического проживания); - семейное положение, состав семьи; - данные страхового свидетельства государственного пенсионного страхования; - идентификационный номер налогоплательщика; - сведения о доходах, об имуществе и обязательствах имущественного характера гражданина, претендующего на должности муниципальной службы в Курганской области, включенные в соответствующий перечень, лиц, замещающих должности муниципальной службы в Курганской области, включенные в соответствующий перечень, а также сведения о доходах, об имуществе и обязательствах имущественного характера их супруги (супруга) и несовершеннолетних детей; сведения о доходах, об имуществе и обязательствах имущественного характера гражданина, претендующего на замещение муниципальной должности в Курганской области на постоянной основе, лиц, замещающих муниципальные должности в Курганской области на постоянной основе, а также сведения о доходах, об имуществе и обязательствах имущественного характера их супруги (супруга) и несовершеннолетних детей; - сведения о расходах лиц, замещающих должности муниципальной службы в Курганской области, включенные в перечни, установленные законами, иными нормативными правовыми актами Курганской области и муниципальными нормативными правовыми актами, лиц, замещающих муниципальные должности в Курганской области на постоянной основе, а также о расходах их супруги (супруга) и несовершеннолетних детей. Распространение и предоставление персональных данных осуществляется оператором в установленных действующим законодательством случаях. Настоящее согласие действует со дня его подписания до момента достижения цели, для которой оно получено. Согласие на обработку персональных данных может быть отозвано на основании составленного в произвольной форме письменного заявления. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Правительство Курганской области вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных". Приложение 9 к Постановлению Администрации Зотинского сельсовета № 36 от 28.09. 2017 года «О мерах по обеспечению безопасности персональных данных» Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные Мне, __________________________________________________________________, разъяснены юридические последствия отказа предоставить свои персональные данные в Администрацию Зотинскогокого сельсовета. В соответствии со статьями 57, 65 Трудового кодекса Российской Федерации субъект персональных данных, поступающий на работу или работающий в Администрации Зотинского сельсовета, обязан представить определенный перечень информации о себе. Без предоставления субъектом персональных данных обязательных для заключения трудового договора сведений, трудовой договор не может быть заключен. На основании пункта 11 части 1 статьи 77 Трудового кодекса Российской Федерации трудовой договор прекращается вследствие нарушения установленных обязательных правил его заключения, если это нарушение исключает возможность продолжения работы. «____»_______________20____г. ______________________/________________/ Приложение 10 к Постановлению Администрации Зотинского сельсовета № 36 от 28.09. 2017 года «О мерах по обеспечению безопасности персональных данных» ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ ответственного за организацию обработки персональных данных в Администрации Зотинского сельсовета 1. ОБЩИЕ ПОЛОЖЕНИЯ 1.1. Данная Инструкция определяет основные обязанности и права ответственного за организацию обработки персональных данных Администрации Зотинского сельсовета. 1.2. Ответственный за организацию обработки персональных данных является штатным сотрудником Администрации Зотинского сельсовета и назначается распоряжением Главы Зотинского сельсовета. 1.3. Решение вопросов организации защиты персональных данных в Администрации Зотинского сельсовета входит в прямые служебные обязанности ответственного за организацию обработки персональных данных. 1.4. Ответственный за организацию обработки персональных данных обладает правами доступа к любым носителям персональных данных Администрации Зотинского сельсовета. 2. Термины и определения 2.1. Автоматизированное рабочее место (АРМ) - персональный компьютер и подключенные к нему периферийные устройства - принтер, многофункциональные устройства, сканеры и т.д. 2.2. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) (ст. 3 ФЗ РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»). 2.3. Доступ к информации - возможность получения информации и её использования (ст. 2 ФЗ РФ от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации»). 2.4. Защита информации - деятельность по предотвращению утечки информации, несанкционированных и непреднамеренных воздействий на информацию, то есть процесс, направленный на достижение информационной безопасности. 2.5. Информация - сведения (сообщения, данные) независимо от формы их представления (ст. 2 ФЗ РФ от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации»). 2.6. Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств (ст. 3 ФЗ РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»). 2.7. Несанкционированный доступ (НСД) - доступ к информации, хранящейся на различных типах носителей (бумажных, магнитных, оптических и т.д.) в компьютерных базах данных, файловых хранилищах, архивах, секретных частях и т.п. различных организаций путём изменения (повышения, фальсификации) своих прав доступа. 2.8. Носитель информации - любой материальный объект или среда, используемый(ая) для хранения или передачи информации. 2.9. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст. 3 ФЗ РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»). 2.10. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 ФЗ РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»). 2.11. Средство защиты информации (СЗИ) - техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации. 2.12. Угрозы безопасности персональных данных (УБПДн) - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных (ст. 19 ФЗ РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»). 2.13. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных (ст. 3 ФЗ РФ от 27.07.2006 г. № 152-ФЗ «О персональных данных»). 3. ДОЛЖНОСТНЫЕ ОБЯЗАННОСТИ Ответственный за организацию обработки персональных данных обязан: 3.1. Знать перечень и условия обработки персональных данных в Администрации Зотинского сельсовета. 3.2. Знать и предоставлять на утверждение начальнику изменения к списку лиц, доступ которых к персональным данным необходим для выполнения ими своих служебных (трудовых) обязанностей. 3.3. Участвовать в определении полномочий пользователей ИСПДн (оформлении разрешительной системы доступа), минимально необходимых им для выполнения служебных (трудовых) обязанностей. 3.4. Осуществлять учет документов, содержащих персональные данные, их уничтожение либо контроль процедуры их уничтожения. 3.5. Блокировать доступ к персональным данным при обнаружении нарушений порядка их обработки. 3.6. Реагировать на попытки несанкционированного доступа к информации в установленном ст.4 настоящей Инструкции порядке. 3.7. Контролировать осуществление мероприятий по установке и настройке средств защиты информации. 3.8. Контролировать оперативное внесение изменений в конфигурацию технических средств ИСПДн, требовать отражения соответствующих изменений в Техническом паспорте информационной системы персональных данных. 3.9. По указанию руководства своевременно и точно отражать изменения в локальных нормативно-правовых актах по управлению средствами защиты информации в ИСПДн и правилам обработки персональных данных. 3.10. Проводить разбирательства и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, нарушения правил работы с документами, содержащими персональные данные, или по другим нарушениям, которые могут привести к снижению уровня защищённости персональных данных. 3.11. Контролировать соблюдение сотрудниками локальных документов, регламентирующих порядок работы с программными, техническими средствами ИСПДн и персональными данными. 3.12. Вносить свои предложения по совершенствованию мер защиты персональных данных в ИСПДн, разработке и принятии мер по предотвращению возможных опасных последствий нарушений, приводящих к снижению уровня защищенности персональных данных. 3.13. Организовать учет обращений субъектов персональных данных, контролировать заполнение Журнала учета обращений субъектов персональных данных . 3.14. Представлять интересы Администрации Зотинского сельсовета при проверках надзорных органов в сфере обработки персональных данных. 3.15. Знать законодательство РФ о персональных данных, следить за его изменениями. 3.16. Выполнять иные мероприятия, требуемые нормативными документами по защите персональных данных. 4. ДЕЙСТВИЯ ПРИ ОБНАРУЖЕНИИ ПОПЫТОК НЕСАНКЦИОНИРОВАННОГО ДОСТУПА 4.1. К попыткам несанкционированного доступа относятся: 4.1.1. сеансы работы с персональными данными незарегистрированных пользователей или пользователей, нарушивших установленную периодичность доступа, или срок действия полномочий которых истек, или превышающих свои полномочия по доступу к данным; 4.1.2. действия третьего лица, пытающегося получить доступ (или уже получившего доступ) к ИСПДн, при использовании учетной записи администратора или другого пользователя ИСПДн, методом подбора пароля, использования пароля, разглашенного владельцем учетной записи, или любым другим методом. 4.2. При выявлении факта несанкционированного доступа ответственный за организацию обработки персональных данных обязан: 4.2.1. прекратить несанкционированный доступ к персональным данным; 4.2.2. доложить Главе Зотинского сельсовета служебной запиской о факте несанкционированного доступа, его результате (успешный, неуспешный) и предпринятых действиях; 4.2.3. известить администратора безопасности ИСПДн о факте несанкционированного доступа. 5. ПРАВА Ответственный за организацию обработки персональных данных имеет право: 5.1. Требовать от сотрудников выполнения локальных нормативно-правовых актов в части работы с персональными данными. 5.2. Блокировать доступ к персональным данным любых пользователей, если это необходимо для предотвращения нарушения режима защиты персональных данных. 5.3. Проводить служебные расследования и опрашивать пользователей по фактам несоблюдения условий хранения носителей персональных данных, нарушения правил работы с техническими и программными средствами ИСПДн, в том числе со средствами защиты информации, или по другим нарушениям, которые могут привести к снижению уровня защищенности персональных данных. 6. ОТВЕТСТВЕННОСТЬ 6.1. Ответственный за организацию обработки персональных данных несет персональную ответственность за соблюдение требований настоящей Инструкции, за качество проводимых им работ по обеспечению безопасности персональных данных и за все действия, совершенные от имени его учетной записи в ИСПДн, если с его стороны не было предпринято необходимых действий для предотвращения несанкционированного использования его учетной записи. 6.2. Ответственный за организацию обработки персональных данных при нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несет дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации. 6.3. Разглашение персональных данных субъекта (передача их посторонним лицам, в том числе другим сотрудникам, не имеющим к ним допуск), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных локальными нормативными правовыми актами (распоряжениями) Администрации Зотинского сельсовета, влечет наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарных взысканий в виде замечания, выговора, увольнения. Сотрудник Администрации Зотинского сельсовета, имеющий доступ к персональным данным субъекта и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба Администрации Зотинского сельсовета (в соответствии с п. 7 ст. 243 Трудового кодекса РФ). 6.3.1. В отдельных случаях при разглашении персональных данных сотрудник, совершивший указанный проступок, несет ответственность в соответствии со статьей 13.14 Кодекса об административных правонарушениях РФ. 6.4. В случае незаконного сбора или публичного распространения информации о частной жизни лица (нарушения неприкосновенности частной жизни) предусмотрена ответственность в соответствии со ст. 137 Уголовного кодекса РФ. С инструкцией ознакомлен(а): ___________________________________ __________________________/___________________/ Приложение 11 к Постановлению Администрации Зотинского сельсовета № 36 от 28.09. 2017 года «О мерах по обеспечению безопасности персональных данных» Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Администрации Зотинского сельсовета 1. Общие положения 1.1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Администрации Зотинского сельсовета (далее - Правила) устанавливаются процедуры (основания, порядок и формы) проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных. 1.2. Настоящие Правила разработаны в соответствии Федеральными законами от 27 июля 2006 года № 152-ФЗ «О персональных данных» и от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, ответственного за обработку персональных данных, являющимися государственными или муниципальными органами», приказом ФСТЭК России от 18 февраля 2.013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»: 1.3. Целью настоящих Правил является выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных. 1.4. В Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». 2. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных 2.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Администрации Зотинского сельсовета (далее - Администрация) организовывается проведение проверок условий обработки персональных данных. 2.2. Проверки условий обработки персональных данных на соответствие требованиям к защите персональных данных, установленных в Администрации (далее - проверки) осуществляются комиссией, утвержденной распоряжением Администрации (далее - Комиссия по персональным данным). 2.3. Проверки условий обработки персональных данных могут быть плановыми и внеплановыми, документарными и проводимыми в помещениях Администрации, в которых ведется обработка персональных данных. 2.4. Плановые проверки проводятся в соответствии с ежегодным планом проведения проверок, утвержденным распоряжением Администрации. 2.5. План проведения проверок разрабатывается лицом, ответственным за организацию обработки персональных данных в Администрации. 2.6. Внеплановые проверки проводятся на основании поступившего в Администрацию на имя Главы Зотинского сельсовета письменного заявления физического лица (субъекта персональных данных) или его представителя либо уполномоченным органом по защите прав субъектов персональных данных о нарушениях правил обработки персональных данных. 2.7. В течение трех рабочих дней с момента поступления в Администрацию заявления о нарушениях правил обработки персональных данных принимается решение о проведении внеплановой проверки, которое оформляется распоряжением Администрации. 2.8. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента оформления распоряжения Администрации о проведении внеплановой проверки. 2.9. При проведении проверок условий обработки персональных данных должен быть полностью, объективно и всесторонне исследован порядок обработки персональных данных и его соответствие принципам обработки персональных данных, а именно: - законности целей и способов обработки персональных данных и добросовестности; - соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям ответственного за обработку персональных данных персональных данных; - соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных; - достоверность переданных, их достаточность для целей обработки, недопустимость обработки персональных данных, избыточность по отношению к целям, заявленным при сборе персональных данных; - недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных. 2.10. В случае выявления фактов: - несоблюдения установленного порядка обработки персональных данных; - несоблюдения условий хранения носителей персональных данных; - использования средств защиты информации, которые могут привести к нарушению заданного уровня безопасности (конфиденциальность, целостность, доступность) персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных; - нарушения заданного уровня безопасности персональных данных (конфиденциальность, целостность, доступность); - в обязательном порядке устанавливаются причины нарушения обработки персональных данных и наличие (отсутствие) вины. 2.11. Комиссия по персональным данным имеет право: запрашивать у сотрудников Администрации информацию, необходимую для реализации полномочий; - требовать от уполномоченных на обработку персональных данных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных; - принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации; - вносить Главе Зотинского сельсовета предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке; - вносить Главе Зотинского сельсовета предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства. Российской Федерации ,в отношении обработки персональных данных. 2.12. В процессе проведения внутреннего контроля (проверок) соответствия обработки персональных данных требованиям к защите персональных данных разрабатываются меры, направленные на предотвращение негативных последствий выявленных нарушений. 2.13. В случаях выявления нарушений обработки персональных данных, требующих немедленного устранения, принимаются меры оперативного реагирования. 2.14. Плановая проверка должна быть завершена не позднее чем через месяц со дня её назначения. Заключение о результатах проведенной проверки и принятых по устранению выявленных нарушений мерах, а также мерах, необходимых для устранения нарушений, направляется Главе Зотинского сельсовета за подписью председателя Комиссии по персональным данным. 2.15. Устранение выявленных нарушений проводится не позднее 30 дней с момента завершения проверки. 2.16. В отношении персональных данных, ставших известными Комиссии по персональным данным в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных. |