Распоряжение городской Думы г. Можги от 29.12.2013 N 100 "Об утверждении Политики в отношении обработки персональных данных, оператором которых является городская Дума муниципального образования "Город Можга"



ГОРОДСКАЯ ДУМА ГОРОДА МОЖГИ

РАСПОРЯЖЕНИЕ
от 29 декабря 2013 г. № 100

ОБ УТВЕРЖДЕНИИ ПОЛИТИКИ В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ
ДАННЫХ, ОПЕРАТОРОМ КОТОРЫХ ЯВЛЯЕТСЯ ГОРОДСКАЯ ДУМА
МУНИЦИПАЛЬНОГО ОБРАЗОВАНИЯ "ГОРОД МОЖГА"

В целях реализации Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", в соответствии с постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами":
1. Утвердить Политику в отношении обработки персональных данных, оператором которых является городская Дума муниципального образования "Город Можга" (прилагается).
2. Контроль за исполнением распоряжения возложить на руководителя аппарата Главы муниципального образования "Город Можга" и городской Думы.

Глава муниципального образования
"Город Можга"
С.А.ПАНТЮХИН





Приложение № 1
к распоряжению
городской Думы
муниципального образования
"Город Можга"
от 29 декабря 2013 г. № 100

ПОЛИТИКА
В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОПЕРАТОРОМ
КОТОРЫХ ЯВЛЯЕТСЯ ГОРОДСКАЯ ДУМА МУНИЦИПАЛЬНОГО
ОБРАЗОВАНИЯ "ГОРОД МОЖГА"

Общие положения

Настоящая Политика в отношении обработки персональных данных, оператором которых является городская Дума муниципального образования "Город Можга" (далее - Политика):
- является основополагающим внутренним документом городской Думы муниципального образования "Город Можга" (далее - городская Дума), регулирующим вопросы обработки персональных данных;
- разработана в целях обеспечения соответствия с законодательством Российской Федерации обработки, хранения и защиты персональных данных (далее - ПДн) сотрудников городской Думы и граждан, обратившихся за получением услуги, предоставляемой городской Думой;
- раскрывает основные категории персональных данных, обрабатываемых в городской Думе, цели, способы и принципы обработки персональных данных, права и обязанности городской Думы при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых в городской Думе в целях обеспечения безопасности персональных данных при их обработке;
- предназначена для сотрудников городской Думы, осуществляющих обработку персональных данных в целях непосредственной реализации ими закрепленных в Политике принципов, а также является информационным ресурсом для субъектов персональных данных, позволяющим определить концептуальные основы деятельности городской Думы при обработке персональных данных.

1. Источники нормативного правового регулирования
вопросов обработки персональных данных

1.1. Политика городской Думы в области обработки персональных данных определяется на основании следующих нормативных правовых актов РФ:
- Конституции Российской Федерации;
- Трудового кодекса Российской Федерации;
- Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ "О персональных данных";
- Федерального закона Российской Федерации от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации";
- постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- постановления Правительства России от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
- постановления Правительства РФ от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных";
- приказа ФСТЭК России от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
1.2. Во исполнение настоящей Политики в городской Думе утверждаются следующие локальные нормативные правовые акты:
- Положение о порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в городской Думе (далее - Положение);
- Правила обработки персональных данных в городской Думе;
- Правила рассмотрения запросов субъектов персональных данных или их представителей в городской Думе;
- Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в информационных системах персональных данных в городской Думе;
- инструкции администратора безопасности, пользователя, антивирусного контроля информационных системах персональных данных в городской Думе;
- Перечень персональных данных, обрабатываемых в городской Думе;
- акты классификации информационных систем персональных данных в городской Думе;
- частные модели угроз безопасности персональных данных информационных систем персональных данных городской Думы
- и иные локальные документы городской Думы, принимаемые во исполнение требований действующих нормативных правовых актов РФ в области обработки и защиты персональных данных.

2. Основные термины и понятия, используемые в локальных
документах городской Думы, принимаемых по вопросу
обработки персональных данных

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации, Перечнем ПДн, обрабатываемых в городской Думе, и локальными актами городской Думы.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Распространение персональных данных - действия, направленные на раскрытие ПДн неопределенному кругу, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом.
Предоставление персональных данных - действия, направленные на раскрытие ПДн определенному кругу.
Использование персональных данных - действия (операции) с ПДн, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПДн или других лиц либо иным образом затрагивающих права и свободы субъекта ПДн или других лиц.
Блокирование персональных данных - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители ПДн.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
Информационная система персональных данных - информационная система, представляющая собой совокупность содержащихся в базе данных ПДн и их обработку, информационных технологий и технических средств.
Конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся ее владельцем.
Общедоступные персональные данные - ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Трансграничная передача персональных данных - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Общие условия обработки персональных данных

3.1. Обработка ПДн в городской Думе осуществляется на основе следующих принципов:
3.1.1. Законности обработки ПДн.
3.1.2. Законности целей и способов обработки ПДн.
3.1.3. Соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям подразделений Администрации, занимающихся обработкой ПДн.
3.1.4. Соответствия содержания и объема обрабатываемых ПДн целям обработки ПДн.
3.1.5. Достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн.
3.1.6. Недопустимости объединения баз данных, содержащих ПДн, обработка которых осуществляется для различных целей.
3.1.7. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше чем этого требуют цели их обработки.
3.1.8. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.1.9. Субъект ПДн является собственником своих ПДн и самостоятельно решает вопрос передачи городской Думе своих ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации.
3.1.10. Держателем ПДн является городская Дума, в случае когда субъект ПДн передает во владение свои ПДн. Городская Дума выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.
3.1.11. Комплекс мер по защите ПДн направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности ПДн и обеспечивает безопасность информации в процессе деятельности городской Думы.
3.1.12. Городская Дума при обработке ПДн обязана принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий, в соответствии с требованиями к обеспечению безопасности ПДн при их обработке в ИСПДн.
3.1.13. Мероприятия по защите ПДн определяются положениями, распоряжениями, инструкциями и другими внутренними документами городской Думы.
3.2. Для защиты ПДн в городской Думе применяются следующие принципы и правила:
3.2.1. Ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей ПДн.
3.2.2. Строгое избирательное и обоснованное распределение документов и информации между сотрудниками.
3.2.3. Рациональное размещение рабочих мест сотрудников, при котором исключается бесконтрольное использование защищаемой информации.
3.2.4. Знание сотрудниками требований нормативно-методических документов по защите ПДн.
3.2.5. Распределение персональной ответственности между сотрудниками, участвующими в обработке ПДн, за выполнение требований по обеспечению безопасности ПДн.
3.2.6. Установление режима конфиденциальности в соответствии с требованиями по обеспечению безопасности ПДн при работе с конфиденциальными документами и базами данных.
3.2.7. Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
3.2.8. Исключение бесконтрольного пребывания посторонних лиц в помещениях, в которых ведется обработка ПДн и находится соответствующая вычислительная техника.
3.2.9. Организация порядка уничтожения персональных данных.
3.2.10. Своевременное выявление нарушений требований разрешительной системы доступа разработанной и утвержденной для каждой информационной системы ПДн.
3.2.11. Воспитательная и разъяснительная работа с сотрудниками аппарата по предупреждению утраты сведений, содержащих персональные данные.
3.2.12. Обучение работников по вопросам, связанным с обеспечением безопасности ПДн.
3.2.13. Ограничение доступа к техническим средствам и системам обработки информации, на которых содержатся ПДн.
3.2.14. Создание целенаправленных неблагоприятных условий и труднопреодолимых препятствий для лица, пытающегося совершить несанкционированный доступ и овладение информацией.
3.2.15. Резервирование защищаемых данных (создание резервных копий).
3.3. Цели обработки персональных данных:
- осуществление трудовых отношений;
- решение вопросов местного значения.
3.4. Правовое основание обработки персональных данных:
Для информационных систем персональных данных разрабатывается перечень нормативно-правовых актов, согласно которым городской Думе возможно вести обработку ПДн.


------------------------------------------------------------------