Постановление Мэрии города Новосибирска от 16.08.2021 N 2838 "О Правилах обработки и организации защиты персональных данных в мэрии города Новосибирска"
МЭРИЯ ГОРОДА НОВОСИБИРСКА
ПОСТАНОВЛЕНИЕ
От 16.08.2021 N 2838
О Правилах обработки и организации защиты персональных данных в мэрии города Новосибирска
В соответствии с Федеральными законами от 06.10.2003 N 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации», от 27.07.2006 N 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21.03.2012 N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», руководствуясь Уставом города Новосибирска, постановляю:
1. Утвердить Правила обработки и организации защиты персональных данных в мэрии города Новосибирска (приложение).
2. Признать утратившим силу постановление мэрии города Новосибирска от 29.12.2012 N 13553 «Об утверждении Правил обработки и организации защиты персональных данных в мэрии города Новосибирска».
3. Департаменту связи и информатизации мэрии города Новосибирска разместить постановление на официальном сайте города Новосибирска в информационно-телекоммуникационной сети «Интернет».
4. Департаменту информационной политики мэрии города Новосибирска обеспечить опубликование постановления.
5. Контроль за исполнением постановления возложить на заместителя мэра города Новосибирска Скатова А. В.
Мэр города Новосибирска А.Е. Локоть
Приложение
к постановлению мэрии
города Новосибирска
от 16.08.2021 N 2838
ПРАВИЛА
обработки и организации защиты
персональных данных в мэрии города Новосибирска
1. Общие положения
1.1. Правила обработки и организации защиты персональных данных в мэрии города Новосибирска (далее - Правила) разработаны в соответствии с Федеральными законами от 06.10.2003 N 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации», от 27.07.2006 N 152-ФЗ «О персональных данных» (далее - Федеральный закон N 152-ФЗ), постановлением Правительства Российской Федерации от 21.03.2012 N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», Уставом города Новосибирска.
1.2. Правила определяют условия и порядок обработки персональных данных, перечень процедур, направленных на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, правила рассмотрения запросов субъектов персональных данных или их представителей, правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, правила работы с обезличенными данными в случае обезличивания персональных данных, порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований, порядок доступа в помещения, в которых ведется обработка персональных данных.
2. Условия и порядок обработки персональных данных
2.1. Оператором, организующим и осуществляющим обработку персональных данных (далее - оператор), является мэрия города Новосибирска.
В целях организации обработки персональных данных оператор назначает лицо, ответственное за организацию обработки персональных данных, действующее в соответствии с должностной инструкцией (приложение 1).
В структурных подразделениях мэрии города Новосибирска назначаются лица, непосредственно осуществляющие обработку персональных данных. При назначении такого лица оформляется обязательство о прекращении обработки персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, в случае расторжения с ним трудового договора (контракта) (приложение 2).
Перечень должностей, замещение которых предусматривает осуществление обработки персональных данных, а также осуществление доступа к персональным данным, утверждается постановлением мэрии города Новосибирска.
2.2. Оператор осуществляет учет обрабатываемых персональных данных в информационных системах мэрии города Новосибирска согласно перечню (приложение 3).
2.3. Персональные данные обрабатываются с использованием и без использования средств автоматизации.
Обработка персональных данных осуществляется после получения согласия субъекта персональных данных на обработку его персональных данных в соответствии с типовой формой (приложение 4), за исключением случаев, предусмотренных законодательством Российской Федерации.
В случае если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные согласно форме (приложение 5).
2.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
2.5. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных или утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, соглашением, стороной по которому является субъект персональных данных.
2.6. В случае если персональные данные являются неполными, неточными или неактуальными, оператор обязан в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных (его представителем) подтверждающих это сведений, внести в них необходимые изменения.
В случае если персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан по требованию субъекта персональных данных в срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих это сведений, уточнить, блокировать или уничтожить такие персональные данные.
3. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных
При обработке персональных данных оператор принимает меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, в том числе:
назначает лицо, ответственное за организацию обработки персональных данных в мэрии города Новосибирска;
применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных;
осуществляет внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом N 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами;
производит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации и Правил, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом N 152-ФЗ;
знакомит работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и Правилами;
не допускает обработки персональных данных, не совместимых с целями сбора персональных данных.
4. Содержание обрабатываемых персональных данных
Перечни персональных данных, обрабатываемых в мэрии города Новосибирска, включающие содержание обрабатываемых персональных данных для каждой цели их обработки, утверждаются постановлением мэрии города Новосибирска.
5. Субъекты персональных данных
К субъектам, персональные данные которых обрабатываются в мэрии города Новосибирска, относятся:
мэр города Новосибирска;
лица, претендующие на замещение должностей муниципальной службы и должностей, не отнесенных к должностям муниципальной службы, в мэрии города Новосибирска;
лица, замещающие (замещавшие) должности муниципальной службы и должности, не отнесенные к должностям муниципальной службы, в мэрии города Новосибирска;
лица, обратившиеся в мэрию города Новосибирска по вопросам, входящим в ее компетенцию;
лица, обработка персональных данных которых предусмотрена федеральным законом или иными нормативными правовыми актами Российской Федерации.
6. Правила рассмотрения запросов субъектов персональных данных
или их представителей
6.1. Субъект персональных данных имеет право на ознакомление с его персональными данными и получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые оператором способы обработки персональных данных;
наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом N 152-ФЗ;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество (при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом N 152-ФЗ или другими федеральными законами.
6.2. Сведения, указанные в пункте 6.1 Правил, представляются оператором в течение 30 дней со дня обращения субъекта персональных данных (его представителя) либо получения запроса субъекта персональных данных (его представителя). Рассмотрение запросов субъектов персональных данных или их представителей осуществляются оператором в соответствии с требованиями Федеральным законом N 152-ФЗ.
Запрос субъекта персональных данных (его представителя) должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных (его представителя). Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
6.3. В случае отказа субъекту персональных данных (его представителю) в представлении сведений, указанных в пункте 6.1 Правил, оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положения федерального закона, являющиеся основанием для такого отказа, в срок, не превышающий 30 дней со дня обращения субъекта персональных данных (его представителя) либо получения запроса субъекта персональных данных (его представителя).
6.4. Сведения предоставляются субъекту персональных данных на безвозмездной основе, в доступной форме, без указания персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
7. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
7.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом N 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актам, лицо, ответственное за организацию обработки персональных данных, организует проведение проверок условий обработки персональных данных.
7.2. Для проведения проверки создается комиссия по проведению проверок условий обработки персональных данных в мэрии города Новосибирска (далее - комиссия), состав которой утверждается постановлением мэрии города Новосибирска. Председателем комиссии является лицо, ответственное за организацию обработки персональных данных.
7.3. Проведение проверок носит плановый и внеплановый характер. Плановые проверки осуществляются на основании годовых планов работы комиссии, утверждаемых председателем комиссии. Внеплановые проверки проводятся при получении информации о фактах нарушений требований, установленных правовыми актами, регулирующими отношения в сфере персональных данных.
7.4. По результатам проверки оформляется протокол проведения проверки условий обработки персональных данных в мэрии города Новосибирска (приложение 6).
При выявлении нарушений в протоколе делается запись о необходимости проведения мероприятий по их устранению и сроках их устранения.
8. Правила работы с обезличенными данными в случае обезличивания
персональных данных
8.1. В случае необходимости использования персональных данных без определения их принадлежности конкретному субъекту персональных данных, производится обезличивание персональных данных.
8.2. Обезличенные данные обрабатываются с использованием и без использования средств автоматизации.
8.3. Обезличивание персональных данных осуществляется путем уменьшения обрабатываемых сведений, замены части сведений идентификаторами, обобщения (понижения) точности некоторых сведений, деления сведений на части и другими способами.
8.4. Обезличенные данные могут использоваться в статистических и других исследовательских целях.
8.5. Оператор назначает лиц, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных. Перечень должностей, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, утверждается постановлением мэрии города Новосибирска.
9. Порядок уничтожения персональных данных при достижении целей
обработки или при наступлении иных законных оснований
9.1. Решение о необходимости уничтожения персональных данных принимает лицо, непосредственно осуществляющее обработку персональных данных.
9.2. Уничтожение персональных данных производится путем физического уничтожения носителя персональных данных или путем удаления персональных данных без физического повреждения носителя персональных данных.
9.3. При необходимости уничтожения части персональных данных, содержащихся на бумажном носителе, с указанного носителя предварительно копируются сведения, не подлежащие уничтожению, затем уничтожается сам носитель.
9.4. Факт уничтожения персональных данных оформляется соответствующим актом.
10. Порядок доступа в помещения, в которых ведется
обработка персональных данных
10.1. Оборудование и охрана помещений, в которых ведется обработка и хранение персональных данных, должны обеспечивать сохранность носителей персональных данных, а также исключать возможность неконтролируемого проникновения или пребывания посторонних лиц.
10.2. Доступ в помещения, в которых производится обработка персональных данных, осуществляется в соответствии с пропускным режимом, установленным Регламентом мэрии города Новосибирска.
10.3. Организация рабочих мест в помещениях, в которых ведется обработка персональных данных, должна соответствовать условиям, обеспечивающим персональную ответственность за сохранность обрабатываемых персональных данных.
_________
Приложение 1
к Правилам обработки и организации
защиты персональных данных в
мэрии города Новосибирска
ДОЛЖНОСТНАЯ ИНСТРУКЦИЯ
лица, ответственного за обработку персональных данных
в мэрии города Новосибирска
1. Лицо, ответственное за организацию обработки персональных данных в мэрии города Новосибирска (далее - лицо, ответственное за организацию обработки персональных данных), назначается распоряжением мэрии города Новосибирска.
2. В целях организации обработки персональных данных в мэрии города Новосибирска лицо, ответственное за организацию обработки персональных данных, координирует деятельность структурных подразделений мэрии города Новосибирска, лиц, непосредственно осуществляющих обработку персональных данных, лиц, ответственных за проведение мероприятий по обезличиванию персональных данных.
3. Лицо, ответственное за организацию обработки персональных данных, в своей деятельности руководствуется Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
4. К обязанностям лица, ответственного за организацию обработки персональных данных, относится:
осуществление внутреннего контроля за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
обеспечение информирования работников мэрии города Новосибирска о положениях законодательства Российской Федерации о персональных данных и иных правовых актах по вопросам обработки персональных данных, требований к защите персональных данных;
организация приема и обработки обращений и запросов субъектов персональных данных (их представителей) и осуществление контроля за приемом и обработкой таких обращений и запросов.
5. Лицо, ответственное за организацию обработки персональных данных, вправе:
запрашивать и получать от структурных подразделений мэрии города Новосибирска документы и информацию, необходимые для решения вопросов, входящих в его компетенцию;
вносить мэру города Новосибирска предложения о совершенствовании работы по обработке персональных данных в мэрии города Новосибирска;
осуществлять иные права, предусмотренные законодательством Российской Федерации в сфере персональных данных.
6. За неисполнение или ненадлежащее исполнение требований правовых актов, регулирующих отношения в сфере персональных данных, лицо, ответственное за организацию обработки персональных данных, несет ответственность, установленную законодательством Российской Федерации.
_________
Приложение 2
к Правилам обработки и организации
защиты персональных данных в
мэрии города Новосибирска
ОБЯЗАТЕЛЬСТВО
лица, непосредственно осуществляющего обработку персональных данных, о прекращении обработки персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, в случае расторжения с ним трудового договора (контракта)
Я, ____________________________________________________________,
(фамилия, имя, отчество (при наличии))
исполняющий (-ая) должностные обязанности по замещаемой должности ____________________________________________________________________
(должность, наименование структурного подразделения мэрии города Новосибирска)
____________________________________________________________________,
обязуюсь прекратить обработку персональных данных, ставших известными мне в связи с исполнением должностных обязанностей, в случае расторжения со мной трудового договора (контракта).
В соответствии со статьей 7 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» я уведомлен (-а) о том, что персональные данные являются конфиденциальной информацией, и я обязан (-а) не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, ставшие известными мне в связи с исполнением должностных обязанностей.
Я предупрежден (-а) о том, что в случае нарушения данного обязательства буду привлечен (-а) к ответственности в соответствии с законодательством Российской Федерации.
________________________ ___________________ «___» _________ 20__ г.
(фамилия, инициалы) (подпись)
_________
Приложение 3
к Правилам обработки и организации
защиты персональных данных в
мэрии города Новосибирска
ПЕРЕЧЕНЬ
информационных систем персональных данных
мэрии города Новосибирска
1. Муниципальная информационная система «Льготники».
2. Муниципальная информационная система «Референдум».
3. Автоматизированная информационная система «Кадры».
4. Информационная система персональных данных «Пользовательский сегмент сети мэрии города Новосибирска».
5. Муниципальная информационная система «Гранты и премии мэрии города Новосибирска в сфере науки и инноваций».
6. Муниципальная информационная система «Учет граждан, нуждающихся в жилых помещениях, предоставляемых по договорам социального найма, в городе Новосибирске».
7. Муниципальная информационная система «Учет финансово-хозяйственной деятельности, кадровый учет, расчет заработной платы и консолидация отчетности муниципальных образовательных организаций города Новосибирска».
8. Муниципальная информационная системы «Автоматизированная система общественных кладбищ города Новосибирска «Ритуал».
9. Муниципальная информационная система города Новосибирска «Управление закупками города Новосибирска».
_________
Приложение 4
к Правилам обработки и организации
защиты персональных данных в
мэрии города Новосибирска
ТИПОВАЯ ФОРМА
согласия субъекта персональных данных
на обработку его персональных данных
СОГЛАСИЕ
субъекта персональных данных на обработку его персональных данных
Я, _________________________________________________________________,
(фамилия, имя, отчество (при наличии) гражданина)
____________________________________________________________________
(вид документа, удостоверяющего личность, серия, номер, когда и кем выдан, реквизиты
____________________________________________________________________
доверенности или иного документа, подтверждающего полномочия представителя субъекта
____________________________________________________________________,
персональных данных (при получении согласия от представителя субъекта персональных данных))
проживающий (-ая) по адресу: _________________________________________,
(адрес места жительства (места пребывания))
настоящим даю свое согласие на обработку мэрией города Новосибирска, расположенной по адресу: город Новосибирск, Красный проспект, 34, моих персональных данных и подтверждаю, что давая такое согласие, я действую свободно, своей волей и в своих интересах.
Согласие дается мною для целей: __________________________________
(цель обработки персональных данных)
____________________________________________________________________
и распространяется на следующую информацию: __________________________
(обрабатываемые персональные данные)
____________________________________________________________________.
Настоящее согласие предоставляется на осуществление любых действий (операций) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, и действует с даты подписания до достижения целей обработки персональных данных.
Я ознакомлен (-а), что согласие на обработку персональных данных может быть отозвано на основании письменного заявления.
____________________________________ _________________________
(фамилия, инициалы лица, давшего согласие) (подпись, дата)
____________________________________________________________________
(наименование или фамилия, имя, отчество (при наличии) и адрес лица, осуществляющего обработку
персональных данных по поручению оператора)
_________
Приложение 5
к Правилам обработки и организации
защиты персональных данных в
мэрии города Новосибирска
РАЗЪЯСНЕНИЯ
субъекту персональных данных юридических последствиях
отказа предоставить свои персональные данные
Мне, __________________________________________________________,
(фамилия, имя, отчество (при наличии))
____________________________________________________________________
(вид документа, удостоверяющего личность, серия, номер, когда и кем выдан)
____________________________________________________________________
разъяснены следующие юридические последствия отказа предоставить свои персональные данные для _____________________________________________:
(цели обработки)
____________________________________________________________________
(указываются юридические последствия отказа для конкретной цели обработки)
____________________________________________________________________
____________________________________________________________________.
Субъект персональных данных: |
|
|
____________________________ | __________________ | _________________ |
(фамилия, имя, отчество (при наличии)) | (подпись) | (дата) |
Разъяснения предоставил: |
|
|
____________________________ | __________________ | _________________ |
(должность, фамилия, инициалы) | (подпись) | (дата) |
_________
Приложение 6
к Правилам обработки и организации
защиты персональных данных в
мэрии города Новосибирска
ПРОТОКОЛ
проведения проверки условий обработки
персональных данных в мэрии города Новосибирска
_________________
(дата)
Настоящий протокол составлен комиссией по проведению проверок условий обработки персональных данных в мэрии города Новосибирска в составе:
Председатель: _____________________ ________________________________
(должность) (фамилия, имя, отчество (при наличии))
Члены комиссии: ___________________ _______________________________
(должность) (фамилия, имя, отчество (при наличии))
_________________________________ _________________________________
(должность) (фамилия, имя, отчество (при наличии))
_________________________________ _________________________________
(должность) (фамилия, имя, отчество (при наличии))
В соответствии с _____________________________________________________
(основание для проверки)
в период с _________ по ________ 20__ года проведена проверка условий обработки персональных данных в ______________________________________
(наименование структурного подразделения мэрии
____________________________________________________________________.
города Новосибирска)
В ходе проверки установлено:
___________________________________________________________
___________________________________________________________
___________________________________________________________
___________________________________________________________
Выявленные нарушения:
___________________________________________________________
___________________________________________________________
___________________________________________________________
___________________________________________________________
Мероприятия, необходимые для устранения нарушений:
___________________________________________________________
___________________________________________________________
___________________________________________________________
___________________________________________________________
___________________________________________________________
___________________________________________________________
___________________________________________________________
Срок устранения выявленных нарушений: до «___» ___________ 20__ года.
Председатель комиссии: ____________ ___________________
(подпись) (инициалы, фамилия)
Члены комиссии: ____________ ______________________
(подпись) (инициалы, фамилия)
______________ ______________________
(подпись) (инициалы, фамилия)
_________