Семерка - Российский Правовой Портал

Об утверждении Регламента обработки персональных данных в информационных системах администрации города Рязани, муниципальных предприятий и учреждений города Рязани

Постановление Администрации города Рязани от 26.12.2007 N 5021

Текст правового акта по состоянию на август 2012 года

Во исполнение п. 3 распоряжения главы администрации города Рязани от 06.06.2007 N 420-р "О проведении инвентаризации информационных систем персональных данных в администрации города Рязани", руководствуясь Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 26.07.2006 N 152-ФЗ "О персональных данных", статьями 39, 41 Устава муниципального образования - городской округ город Рязань Рязанской области, постановляю:

1. Утвердить прилагаемый Регламент обработки персональных данных в информационных системах администрации города Рязани, муниципальных предприятий и учреждений города Рязани.

2. Настоящее постановление вступает в силу с момента его опубликования.

3. Отделу информационной политики опубликовать настоящее постановление в газете "Рязанские ведомости".

4. Контроль за исполнением данного постановления оставляю за собой.



Глава администрации
Ф.И.ПРОВОТОРОВ



Утвержден
Постановлением
главы администрации города Рязани
от 26 декабря 2007 г. N 5021

РЕГЛАМЕНТ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ АДМИНИСТРАЦИИ ГОРОДА РЯЗАНИ, МУНИЦИПАЛЬНЫХ ПРЕДПРИЯТИЙ И УЧРЕЖДЕНИЙ ГОРОДА РЯЗАНИ



1. Общие положения

1.1. Регламент обработки персональных данных в информационных системах администрации города Рязани, муниципальных предприятий и учреждений города Рязани (далее - Регламент) разработан в соответствии с Конституцией РФ, Федеральным законом от 26.07.2007 N 152-ФЗ "О персональных данных", Федеральным законом от 06.10.2003 N 131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации", Законом Рязанской области от 28.02 2007 N 28-ОЗ "Об информационных системах Рязанской области" в целях упорядочения работы с персональными данными в структурных подразделениях администрации города Рязани, муниципальных предприятиях и учреждениях города Рязани.

1.2. Для целей настоящего Регламента используются следующие основные понятия:

- персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, в том числе необходимая работодателю в связи с трудовыми отношениями;

- субъекты персональных данных - физические лица, обратившиеся в администрацию города Рязани, муниципальные предприятия или учреждения города Рязани, а также физические лица, состоящие в трудовых отношениях с администрацией города Рязани, муниципальными предприятиями или учреждениями города Рязани;

- оператор персональных данных - структурное подразделение администрации города Рязани, муниципального предприятия или учреждения города Рязани, осуществляющее обработку персональных данных на основании устава, положения о деятельности подразделения (должностных инструкций сотрудников подразделений), иных документов, определяющих цели и содержание обработки персональных данных;

- информационная система персональных данных (далее - ИС) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (автоматизированные информационные системы) (далее - АИС) или без использования таких средств;

- обработка персональных данных - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;

- использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц;

- распространение персональных данных - действия, направленные на передачу персональных данных работников определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

- общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

- конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.



2. Обработка персональных данных

2.1. Персональные данные обрабатываются на основе принципов, установленных действующим законодательством о персональных данных.

2.2. Сбор, использование, хранение персональных данных осуществляются оператором персональных данных в целях реализации возложенных на него функций и должностных обязанностей, определяемых законами и иными нормативными правовыми актами Российской Федерации, Рязанской области, Уставом города Рязани, положениями о структурных подразделениях администрации города Рязани, уставами муниципальных предприятий и учреждений, должностными инструкциями.

2.3. Персональные данные оператор получает непосредственно от субъекта персональных данных, который принимает решение об их предоставлении и дает согласие на их обработку своей волей и в своем интересе. При получении персональных данных оператор сообщает субъекту персональных данных о целях и способах их обработки.

В определенных Федеральным законом "О персональных данных" случаях (при обработке специальных категорий данных, биометрических данных) обработка этих данных осуществляется только с согласия в письменной форме субъекта персональных данных. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

Оператор вправе получать персональные данные от третьих лиц только с письменного согласия субъекта персональных данных.

2.4. Для работы с персональными данными оператор устанавливает перечень работников, имеющих доступ ко всей или к части информации, хранящейся в базах данных ИС и АИС, а также цели и условия такого доступа. Право неограниченного доступа к указанным базам данных имеет руководитель структурного подразделения, а также работники, в должностные обязанности которых входит обслуживание и обеспечение функционирования ИС и АИС, использующих персональные данные.

Перечень персональных данных субъектов, используемых для обработки в ИС и АИС, порядок использования, цель, периодичность и основания внесения изменений и дополнений, а также порядок хранения персональных данных устанавливаются оператором с учетом специфики своей деятельности в инструкциях администратора и пользователя по работе с ИС и АИС.

2.5. Хранение персональных данных в ИС и АИС осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Персональные данные подлежат уничтожению по достижении целей их обработки или в случае утраты необходимости в достижении этих целей.

Персональные данные не должны храниться дольше, чем это оправдано выполнением задач, ради которых они собирались, или чем это требуется в интересах лиц, о которых собраны данные. В случае, если для научных, прикладных исследований, для решения задач статистики необходимо сохранить персональные данные, которые больше не используются в тех целях, ради которых они были собраны в базах данных ИС и АИС, эти данные могут сохраняться преимущественно только в обезличенной форме в виде анонимных сведений.

2.6. ИС и АИС, использующие персональные данные, подлежат учету путем регистрации в Реестре информационных ресурсов и информационных систем муниципального образования - город Рязань в соответствии и в порядке, предусмотренном Постановлением главы администрации города Рязани от 3 ноября 2005 г. N 4003 "О реестре информационных ресурсов и систем муниципального образования - город Рязань".

2.7. АИС, в которых производится обработка персональных данных, создаются и эксплуатируются в соответствии с Регламентом создания и эксплуатации автоматизированных информационных систем в администрации города Рязани.

2.8. АИС, использующие персональные данные, подлежат также внесению в реестр уполномоченного органа по защите прав субъектов персональных данных в порядке, утвержденном Федеральным законом "О персональных данных".



3. Обязанности оператора обработки персональных данных в ИС и АИС

3.1. Оператор обязан предоставить субъекту персональных данных по его просьбе следующую информацию, касающуюся обработки его персональных данных, в том числе содержащую:

- подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

- способы обработки персональных данных, применяемые оператором;

- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

- перечень обрабатываемых персональных данных и источник их получения;

- сроки обработки персональных данных, в том числе сроки их хранения;

- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

3.2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор разъясняет субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.

3.3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

- наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

- цель обработки персональных данных и ее правовое основание;

- предполагаемые пользователи персональных данных.

3.4. Оператор обязан безвозмездно предоставить субъекту персональных данных возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлению субъектом персональных данных сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор в ИС и АИС, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

О внесенных изменениях и предпринятых мерах оператор уведомляет субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

3.5. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператор блокирует использование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения, производит их уточнение на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, после чего проводит разблокирование указанных данных.

3.6. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, проводит уничтожение персональных данных.

Об устранении допущенных нарушений или об уничтожении персональных данных оператор уведомляет субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.

3.7. В случае достижения цели обработки персональных данных оператор незамедлительно прекращает обработку персональных данных и уничтожает соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомляет об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.

3.8. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных, уведомив об этом субъекта персональных данных.



4. Защита персональных данных

4.1. Оператор должен обеспечивать надлежащие условия защиты персональных данных, хранящихся в используемых ИС и АИС, от несанкционированного доступа, использования, распространения, искажения и уничтожения. Сотрудники, уполномоченные осуществлять обработку персональных данных, несут ответственность за защиту персональных данных в порядке, предусмотренном действующим законодательством Российской Федерации.

4.2. Установка программного обеспечения АИС оператору осуществляется отделом автоматизированных систем обработки информации и управления (АСОИУ) с обязательным подписанием совместного протокола об установке программного обеспечения с указанием даты установки, фамилии, имени, отчества, должности получателя - ответственного лица оператора.

Доступ к таким компьютерам лиц, не допущенных к работе с персональными данными в порядке, предусмотренном п. 4.3 настоящего Регламента, должен быть исключен, а компьютер - защищен аппаратными и программными средствами защиты от несанкционированного использования.

4.3. Руководитель структурного подразделения, осуществляющего обработку персональных данных, определяет лиц, ответственных за сохранность, целевое использование, защиту персональных данных и программного обеспечения, в том числе от несанкционированного доступа посторонних лиц, а также от случайной утраты или несанкционированного уничтожения персональных данных.

Внесение изменений в перечень используемых персональных данных в базы данных ИС и АИС, при наличии оснований и производственной необходимости, осуществляется только по разрешению лица, ответственного за защиту информации у данного оператора.



5. Заключительные положения

5.1. Всем сотрудникам, допущенным к работе с персональными данными, разъясняется ответственность за нарушение правил получения, обработки, защиты персональных данных.

5.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов персональных данных, несут ответственность в соответствии с действующим законодательством.



Курсы валют
09.08
10.08
USD
65.1299
65.2543
EUR
73.0432
73.0196
CNY
9.24523
9.25278
GBP
79.2501
79.1013



Новости партнеров
Погода
01.01
01.01
Москва
Санкт-Петербург
Новосибирск
Хабаровск
Калининград
Архангельск
Популярные новости
Статистика




Рейтинг@Mail.ru
© 2008-2017. Все права защищены.
При использовании материалов Российского Правового Портала "Семерка" ссылка на 7Law.info обязательна