Распоряжение от 18.01.2022 №2 «Об обработке персональных данных в Контрольно-счётной палате муниципального образования «город Ульяновск»»

РАСПОРЯЖЕНИЕ

от 18.01.2022                                                                                                                                                                             № 2

Об обработке персональных данных в Контрольно-счётной палате муниципального образования «город Ульяновск»

В соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Указом Президента Российской Федерации от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера", постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" утвердить:

1. Положение об обработке персональных данных в Контрольно-счётной палате муниципального образования «город Ульяновск» (Приложение № 1).

2. Перечень должностей Контрольно-счётной палаты муниципального образования «город Ульяновск», замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (Приложение № 2).

3. Типовую форму согласия на обработку персональных данных лица, замещающего муниципальную должность, муниципального служащего, лица, замещающего должность в Контрольно-счётной палате муниципального образования «город Ульяновск», не относящуюся к должностям муниципальной службы (Приложение № 3).

4. Типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные (Приложение № 4).

5. Форму Типового обязательства работника Контрольно-счётной палаты о неразглашении информации, содержащей персональные данные, ставшей доступной на период исполнения должностных обязанностей (Приложение № 5).

6. Типовую форму согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения (Приложение № 6).

7. Признать утратившими силу распоряжения председателя Контрольно-счётной палаты от 19.08.2016    № 33 «Об обработке персональных данных в Контрольно-счётной палате муниципального образования «город Ульяновск»», от 24.12.2019 № 53 «О внесении изменений в распоряжение председателя Контрольно-счётной палаты от 19.08.2016 № 33 «Об обработке персональных данных в Контрольно-счётной палате муниципального образования

«город Ульяновск»».

8. Настоящее распоряжение вступает в силу со дня подписания.

9. Контроль за исполнением настоящего распоряжения оставляю за собой.

Председатель

Приложение № 1
к распоряжению председателя Контрольно-счётной палаты
муниципального образования «город Ульяновск»
от 18 января 2022 г. № 2

Положение
об обработке персональных данных в Контрольно-счётной палате  муниципального образования «город Ульяновск»

1. Общие положения

1.1. Положение об обработке персональных данных в Контрольно-счётной палате  муниципального образования «город Ульяновск» (далее – Положение, Контрольно-счётная палата) определяет процедуры и порядок обработки персональных данных, а также меры, направленные на предотвращение нарушений законодательства Российской Федерации о персональных данных в Контрольно-счётной палате  (далее также - Оператор).

1.2. Настоящее Положение разработано в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"), Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Указом Президента Российской Федерации от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера", постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", приказом Федеральной службы по техническому и экспортному контролю от 11.02.2013 N 17 "Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

1.3. Обработка персональных данных Оператором осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации о персональных данных, и должна ограничиваться достижением конкретных, заранее определённых целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объём обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

1.4. Для целей настоящего Положения используется следующее понятие:

Оператор - Контрольно-счётной палата, самостоятельно или совместно с другими лицами организующее и осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В остальном для целей настоящего Положения используются основные понятия и термины, определённые Федеральным законом "О персональных данных" и Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации".

1.5. Основные права и обязанности Оператора и субъектов персональных данных.

1.5.1. Обязанности Оператора:

1) предоставлять при сборе персональных данных субъекту персональных данных информацию, касающуюся обработки его персональных данных в объёме, определённом Федеральным законом "О персональных данных";

2) разъяснять субъекту персональных данных юридические последствия отказа предоставить его персональные данные, в случае если предоставление персональных данных является обязательным в соответствии с федеральным законодательством;

3) принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами Российской Федерации;

4) предоставлять запрашиваемую информацию и принимать меры по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокировке и уничтожению персональных данных, в случае обращения к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных;

5) уведомлять уполномоченный орган по защите прав субъектов персональных данных о своём намерении осуществлять обработку персональных данных.


1.5.2. Права Оператора:

1) обрабатывать персональные данные;

2) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации в сфере персональных данных.

1.5.3. Права субъектов персональных данных:

1) иметь доступ к своим персональным данным;

2) требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

3) требовать соблюдения своих прав и законных интересов при принятии решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных;

4) обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

1.5.4. Обязанности субъектов персональных данных:

1) предоставлять Оператору достоверные персональные данные, необходимые для достижения Оператором законных целей обработки персональных данных;

2) сообщать Оператору об изменении своих персональных данных.

2. Цели обработки, правовое основание, категории субъектов персональных данных и перечень персональных данных, обрабатываемых Оператором

 

2.1. В связи с наличием служебных и трудовых отношений, а также в связи с исполнением функций, полномочий и обязанностей, возложенных законодательством Российской Федерации, законодательством Ульяновской области и нормативными муниципальными правовыми актами на Контрольно-счётной палату, Оператором обрабатываются персональные данные субъектов персональных данных в целях:

1) обеспечения кадровой работы, в том числе в целях содействия лицам, замещающим муниципальные должности в Контрольно-счётной палате (далее - лица, замещающие муниципальные должности), муниципальным служащим, замещающим должности муниципальной службы в Контрольно-счётной палате (далее - муниципальные служащие), в прохождении муниципальной службы, в обучении и должностном росте; обеспечения личной безопасности лиц, замещающих муниципальные должности, муниципальных служащих и членов их семей, обеспечения сохранности принадлежащего им имущества и имущества Контрольно-счётной палаты; учёта результатов исполнения лицами, замещающими муниципальные должности, и муниципальными служащими своих должностных обязанностей; обеспечения лицам, замещающим муниципальные должности, и муниципальным служащим установленных законодательством Российской Федерации условий труда, гарантий и компенсаций; ведения реестра муниципальных служащих Контрольно-счётной палаты; проведения конкурсов на замещение вакантных должностей муниципальной службы Контрольно-счётной палаты; формирования кадрового резерва Контрольно-счётной палаты; обеспечения доступа к информации о деятельности Контрольно-счётной палаты;

2) обеспечения кадровой работы в отношении лиц, замещающих должности в Контрольно-счётной палате, не относящиеся к должностям муниципальной службы (далее - работники), содействия работникам в трудоустройстве, получении образования, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества Контрольно-счётной палаты;

3) формирования налоговой, бюджетной отчётности, отчётности в государственные внебюджетные фонды Российской Федерации по начисленным и уплаченным страховым взносам; осуществления начислений на выплаты по оплате труда, выплат и компенсаций, предусмотренных законодательством Российской Федерации, нормативными правовыми актами Ульяновской области и муниципальными правовыми актами; ведения персонифицированного учёта лиц, в отношении которых осуществляются начисления, выплаты и компенсации;

4) анализа и проведения проверки достоверности и полноты сведений, представленных лицами, замещающими муниципальные должности, муниципальными служащими, кандидатами на замещение должностей муниципальной службы Контрольно-счётной палаты, о своих доходах, расходах, об имуществе и обязательствах имущественного характера, а также сведений о доходах, расходах, об имуществе и обязательствах имущественного характера супруг (супругов) и несовершеннолетних детей; осуществления контроля за расходами;

5) анализа сведений о соблюдении гражданами, замещавшими должности муниципальной службы Контрольно-счётной палаты, ограничений при заключении ими после прекращения трудового договора (контракта), освобождения от замещаемой должности муниципальной службы и увольнения с муниципальной службы, трудового договора и (или) гражданско-правового договора в случаях, предусмотренных федеральными законами; анализа сведений о соблюдении муниципальными служащими требований к служебному поведению, о предотвращении или урегулировании конфликта интересов и соблюдении установленных для них запретов, ограничений и обязанностей;

6) оформления допуска к сведениям, составляющим государственную тайну;

7) отбора кандидатов и формирования списков для обучения по программам дополнительного профессионального образования, краткосрочным обучающим мероприятиям;

8) представления к награждения наградами Ульяновской области, Губернатора Ульяновской области, поощрения мерами поощрения Законодательного Собрания Ульяновской области, Ульяновской Городской Думы, администрации города Ульяновска, Контрольно-счётной палаты;

9) организации приёма граждан, обеспечения объективного всестороннего и своевременного рассмотрения устных и письменных обращений граждан, а также обращений в форме электронного документа;

10) организации производства по делам об административных правонарушениях;

11) обеспечения деятельности судов общей юрисдикции в Российской Федерации при рассмотрении дел об административных правонарушениях.

2.2. В целях, указанных в п.2.1. Положения, Оператором обрабатываются следующие персональные данные субъектов персональных данных:

1) фамилия, имя, отчество (при наличии) (в том числе прежние фамилия, имя или отчество  в случае их изменения, когда, где и по какой причине изменяли);

2) фотография;

3) число, месяц, год рождения;

4) место рождения;

5) вид, серия,  номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

6) место  жительства (адрес регистрации, фактического проживания) и адреса прежних мест жительства, дата регистрации по месту жительства;

7) информация  о  гражданстве  (в  том  числе  прежние  гражданства,  иные гражданства);

8) сведения  об образовании, в том числе о послевузовском профессиональном образовании  (наименование  и  год  окончания  образовательного учреждения, наименование   и   реквизиты   документа   об   образовании,  квалификация, специальность по документу об образовании);

9) сведения   о   профессиональной   переподготовке   и   (или)  повышении квалификации;

10) сведения об учёной степени, учёном звании;

11) информация о владении иностранными языками, степень владения;

12) медицинское  заключение по установленной форме о наличии (отсутствии) заболевания,  препятствующего  поступлению  на  муниципальную службу (работу) или ее прохождению;

13) сведения  из  заключения медицинского учреждения о наличии тяжелых форм хронических  заболеваний,  при  которых  невозможно  совместное  проживание граждан   в   одной   квартире,   предусмотренных  перечнем,  установленным Министерством здравоохранения  Российской  Федерации;

14) сведения о временной нетрудоспособности, указанной в листке нетрудоспособности;

15) сведения  о прохождении службы (работы), в том числе: дата,  основания  поступления на службу (работу) и назначения на должность,  дата,  основания  назначения,  перевода,  перемещения  на  иную должность,  наименование  замещаемых  должностей,  размера денежного содержания, заработной  платы,  результатов  аттестации  на  соответствие замещаемой должности, а также сведения о прежних местах службы (работы);

16) информация,  содержащаяся  в  трудовом   договоре (контракте), дополнительных  соглашениях  к  трудовому договору (контракту);

17) сведения  о классном чине муниципальной службы, о классном чине государственной гражданской службы Российской Федерации, дипломатическом ранге, воинском или специальном звании, классном чине  правоохранительной  службы,  классном чине юстиции, квалификационном разряде государственной службы (кем и когда присвоены);

18) информация  о  допусках  к государственной тайне, оформленных за период работы, службы, учебы (форма, номер и дата);

19) информация  о  государственных наградах, иных наградах и знаках отличия (кем и когда награжден (а));

20) информация об отпусках;

21) сведения   о   доходах,   расходах,   об   имуществе  и  обязательствах имущественного характера;

22) сведения об адресах сайтов в информационно-телекоммуникационной сети «Интернет»;

23) номер контактного телефона (либо сведения о иных видах связи);

24) реквизиты документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учёта;

25) идентификационный номер налогоплательщика;

26) реквизиты полиса обязательного медицинского страхования;

27) семейное  положение, состав семьи и сведения о близких родственниках (отец, мать, братья, сестры, дети, супруг (супруга) (в том числе бывшие), супруги братьев и сестёр, братья и сёстры супругов. Если родственники изменяли фамилию, имя и отчество – указать их прежние фамилию, имя, отчество (при наличии);

28) информация, содержащаяся в свидетельствах о государственной регистрации актов гражданского состояния;

29) сведения  о  воинском  учете  и  информация,  содержащаяся в документах воинского учета;

30) персональные  данные,  содержащиеся  в выписке из домовой книги, копиях финансово-лицевого счета;

31) сведения о пребывании за границей (когда, где, с какой целью);

32) информация о наличии (отсутствии) судимости;

33) сведения о социальных льготах;

34) номер банковской карты;

35) иные   персональные   данные,   необходимые  для  достижения  целей  их обработки, предусмотренные пунктом 2.1.  Положения.

3. Условия и порядок обработки персональных данных

 

3.1. Обработка персональных данных Оператором допускается в следующих случаях:

1) при наличии согласия субъекта персональных данных на обработку его персональных данных;

2) для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;

3) в иных случаях, предусмотренных частью 1 статьи 6 Федерального закона "О персональных данных".

3.2. Перечень действий, совершаемых Оператором с персональными данными субъектов персональных данных в процессе их обработки:

сбор;

запись;

систематизация;

накопление;

хранение;

уточнение (обновление, изменение);

извлечение;

использование;

передача (распространение, предоставление, доступ);

блокирование;

удаление;

уничтожение.

3.3. Способы, используемые Оператором при обработке персональных данных.

3.3.1. Автоматизированная обработка персональных данных, реализуется Оператором в следующих информационных системах персональных данных: «1С: Предприятие/Бухгалтерия государственного учреждения", «1С: Предприятие/Зарплата и кадры государственного учреждения", СБИС++, Сбербанк Бизнес Онлайн, WEB-Торги-КС, ЕИС закупки, ГИС «Энергоэффективность», регистрация документов организации (Araxgroup), ССТУ.РФ.

Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.

Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. Такое решение может быть принято только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных законодательством Российской Федерации.

При получении согласия субъекта персональных данных субъекту персональных данных разъясняется порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставляется возможность заявить возражение против такого решения, а также разъясняется порядок защиты субъектом персональных данных своих прав и законных интересов. Возражения субъекта персональных данных рассматриваются Оператором в течение 30 дней со дня их получения, и субъект персональных данных уведомляется о результатах рассмотрения такого возражения.

3.3.2. Неавтоматизированная обработка персональных данных.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обосабливаются от иной информации, в частности, путём фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители).

При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. При неавтоматизированной обработке персональных данных различных категорий для каждой категории должен использоваться отдельный материальный носитель.

В случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и иной информации, не являющейся персональными данными, а также при несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, принимаются меры по обеспечению раздельной обработки персональных данных, в частности:

осуществляется копирование персональных данных, подлежащих передаче или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих передаче или использованию;

при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

Уточнение персональных данных при неавтоматизированной обработке производится путём обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путём фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путём изготовления нового материального носителя с уточнёнными персональными данными.

При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, соблюдаются условия, установленные при использовании таких типовых форм законодательством Российской Федерации.

3.3.3. Смешанная обработка персональных данных.

При организации смешанной обработки персональных данных учитываются особенности как автоматизированного, так и неавтоматизированного способов обработки персональных данных.

3.4. Осуществление получения персональных данных.

3.4.1. Персональные данные лиц, замещающих муниципальные должности, муниципальных служащих, работников, граждан, претендующих на замещение должностей муниципальной службы в Контрольно-счётной палате (далее - кандидаты), следует получать у них лично. В случае возникновения необходимости получения персональных данных лиц, замещающих муниципальные должности, муниципальных служащих, работников, кандидатов у третьей стороны следует известить об этом лиц, замещающих муниципальные должности, муниципальных служащих, работников, кандидатов заранее, получить их письменные согласия и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.

Запрещается получать, обрабатывать и приобщать к личному делу лиц, замещающих муниципальные должности, муниципальных служащих, работников, кандидатов не установленные федеральными законами персональные данные об их политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах.

3.4.2. Получение персональных данных физических лиц при исполнении функций, полномочий и обязанностей, возложенных федеральным законодательством и законодательством Ульяновской области, муниципальными правовыми актами осуществляется путём получения персональных данных непосредственно от субъектов персональных данных.

3.4.3. Если персональные данные получены не от субъекта персональных данных, Оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

наименование и адрес местонахождения Оператора или его представителя;

цель обработки персональных данных и её правовое основание;

предполагаемые пользователи персональных данных;

установленные Федеральным законом "О персональных данных" права субъекта персональных данных;

источник получения персональных данных.

3.4.4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные подпунктом 3.4.3 настоящего пункта, в случаях, если:

субъект персональных данных уведомлён об осуществлении обработки его персональных данных Оператором;

персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

обработка персональных данных осуществляется Оператором для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

предоставление субъекту персональных данных сведений, предусмотренных подпунктом 3.4.3 настоящего пункта, нарушает права и законные интересы третьих лиц.

3.4.5. Субъект персональных данных может отказаться от предоставления его персональных данных. В этом случае, если предоставление персональных данных является обязательным в соответствии с федеральным законодательством, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные по форме согласно приложению № 4 к настоящему Положению.

3.5. Получение Оператором согласия субъекта персональных данных на обработку его персональных данных.

3.5.1. В случаях, предусмотренных Федеральным законом "О персональных данных", обработка персональных данных Оператором осуществляется только с согласия в письменной форме субъекта персональных данных.

Субъект персональных данных принимает решение о предоставлении его персональных данных и даёт согласие на их обработку свободно, своей волей и в своём интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признаётся согласие субъекта персональных данных в форме электронного документа, подписанного электронной подписью, соответствующей требованиям статьи 6 Федерального закона от 06.04.2011 N 63-ФЗ "Об электронной подписи".

Типовая форма согласия на обработку персональных данных субъекта персональных данных определена приложением № 3 к настоящему Положению.

Согласие на обработку персональных данных вступает в силу с момента его подписания субъектом персональных данных и действует до достижения целей обработки персональных данных, а также в течение периода времени, необходимого для соблюдения Оператором требований законодательства Российской Федерации о порядке хранения отдельных видов документов, содержащих персональные данные.

3.5.2. Обработка персональных данных, необходимых для организации приёма и рассмотрения обращений граждан, объединений граждан и юридических лиц, может осуществляться без согласия субъектов персональных данных в соответствии с пунктом 2 части 1 статьи 6 Федерального закона "О персональных данных", Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации".

3.6. Соблюдение Оператором конфиденциальности при обработке персональных данных.

3.6.1. Персональные данные являются конфиденциальной информацией. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным законодательством Российской Федерации.

В случае, если третье лицо, обратившееся к Оператору с запросом на получение персональных данных, не уполномочено федеральным законодательством на получение персональных данных либо отсутствует письменное согласие субъекта персональных данных, Оператор обязан отказать в предоставление персональных данных. Лицу, обратившемуся с запросом на получение персональных данных, выдаётся письменное уведомление об отказе в предоставлении персональных данных.

3.6.2. Перечень должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, определён приложением № 2 к настоящему Положению.

Перечень лиц, имеющих доступ к персональным данным, обрабатываемым Оператором, утверждается распоряжением председателя Контрольно-счётной палаты. Указанные лица имеют право получать только те персональные данные, которые необходимы для выполнения их должностных обязанностей.

Лица, имеющие допуск к персональным данным, предупреждаются Оператором о том, что обрабатываемые ими персональные данные могут быть использованы лишь в целях, для которых они обрабатываются, и подписывают обязательство о неразглашении информации, содержащей персональные данные, по форме согласно  приложению № 5 к настоящему Положению.

3.7. Меры, направленные на выполнение Оператором обязанностей, предусмотренных Федеральным законом "О персональных данных".

3.7.1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам относятся:

1) назначение Оператором ответственного за организацию обработки персональных данных;

2) издание Оператором документов, определяющих политику Оператора в отношении обработки персональных данных, нормативных правовых актов Контрольно-счётной палаты по вопросам обработки персональных данных, а также нормативных правовых актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации о персональных данных, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

4) осуществление внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных;

5) ознакомление лиц, имеющих допуск к персональным данным и непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных.

3.7.2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор при осуществлении сбора персональных данных с использованием информационно-телекоммуникационной сети "Интернет" обязан опубликовать в информационно-телекоммуникационной сети "Интернет" документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием информационно-телекоммуникационной сети "Интернет".

3.8. Меры по обеспечению Оператором безопасности персональных данных при их обработке.

3.8.1. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных.

3.8.2. Обеспечение безопасности персональных данных в информационных системах персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищённости персональных данных;

3) применением прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учётом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечением регистрации и учёта всех действий, совершаемых с персональными данными в информационных системах персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных.

3.8.3. Обеспечение безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации, достигается, в частности:

1) определением мест хранения персональных данных (материальных носителей) в отношении каждой категории персональных данных и утверждением перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;

2) обеспечением раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;

3) определением перечня мер, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ, к которым в том числе относятся:

а) хранение материальных носителей в специальных шкафах, сейфах;

б) опечатывание (опломбирование) шкафов и сейфов, в которых хранятся персональные данные, хранение ключей от сейфов и шкафов, печатей и пломбиров в местах, недоступных для посторонних лиц;

в) сдача под охрану помещений, где осуществляется работа с персональными данными;

г) запрет доступа к персональным данным (материальным носителям) иных лиц, кроме указанных в подпункте 3.6.2 пункта 3.6 настоящего раздела;

д) контроль доступа в помещения, где осуществляется работа с персональными данными, иных лиц, включая соблюдение пропускного режима;

е) запрет нахождения посторонних лиц в служебных помещениях, где располагаются шкафы, сейфы, персональные компьютеры, в которых находятся персональные данные;

ж) запрет на обработку персональных данных в присутствии лиц, не допущенных к их обработке;

з) осуществление ответственным лицом за обработку персональных данных, контроля за хранением и использованием материальных носителей персональных данных.

3.9. Осуществление Оператором хранения персональных данных.

3.9.1. Не допускается хранение персональных данных дольше, чем это необходимо для достижения целей их обработки либо чем это определено законодательством Российской Федерации.

3.9.2. Персональные данные субъектов персональных данных на материальных носителях формируются в дела в соответствии с номенклатурой дел Контрольно-счётной палаты и хранятся у ответственных за обработку персональных данных лиц, к полномочиям которых относится обработка персональных данных в соответствии с утверждёнными должностными инструкциями, и в архиве Контрольно-счётной палаты.

3.9.3. Сроки хранения персональных данных субъектов персональных данных на материальных носителях в Контрольно-счётной палате определены в соответствии с законодательством Российской Федерации в номенклатуре дел Контрольно-счётной палаты, в частности:

1) персональные данные, содержащиеся в личных делах лиц, замещающих муниципальные должности, муниципальных служащих Контрольно-счётной палаты хранятся в Контрольно-счётной палате в течение периода прохождения службы (работы) и 10 лет после увольнения с последующим формированием и передачей указанных документов в Ульяновский городской архив, где хранятся в течение установленного законодательством Российской Федерации срока;

2) персональные данные, содержащиеся в распоряжениях о предоставлении отпусков, о краткосрочных командировках, о дисциплинарных взысканиях, подлежат хранению в Контрольно-счетной палате в течение пяти лет с последующим уничтожением;

3) персональные данные, содержащиеся в распоряжениях по личному составу (о приеме, о переводе, об увольнении, о надбавках и т.п.), подлежат хранению в Контрольно-счётной палате в течение срока и порядке, установленных законодательством Российской Федерации;

4) персональные данные, собираемые для проведения конкурсов на замещение вакантных должностей муниципальной службы в Контрольно-счётной палате, хранятся в Контрольно-счётной палате, в течение 3 лет со дня завершения конкурса;

5) персональные данные, обработка которых ведётся в целях осуществления начислений на выплаты по оплате труда, выплат и компенсаций в Контрольно-счётной палате, формирования налоговой, бюджетной отчётности, отчётности во внебюджетные фонды Российской Федерации по начисленным и уплаченным страховым взносам, хранятся в Контрольно-счётной палате в течение срока и порядке, установленных законодательством Российской Федерации;

6) персональные данные, обрабатываемые в целях организации приёма граждан, обеспечения объективного всестороннего и своевременного рассмотрения устных и письменных обращений граждан, а также обращений в форме электронного документа, хранятся в Контрольно-счётной палате, в течение одного года с последующим формированием и передачей указанных документов в архив Контрольно-счётной палаты, где они хранятся в течение 5 лет после достижения целей обработки персональных данных;

7) персональные данные, обрабатываемые при организации производства по делам об административных правонарушениях, хранятся в Контрольно-счётной палате, в течение 5 лет после достижения целей обработки персональных данных;

8) персональные данные, подлежащие обработке при оформлении допуска к сведениям, составляющим государственную тайну, хранятся в Контрольно-счётной палате, в течении всего срока действия допуска и 5 лет после его окончания;

9) персональные данные, обрабатываемые в целях обеспечения деятельности судов общей юрисдикции в Российской Федерации при рассмотрении дел об административных правонарушениях, хранятся в Контрольно-счётной палате, в течение 5 лет после достижения целей обработки персональных данных.

3.9.4. Персональные данные субъектов персональных данных, внесённые в информационные системы персональных данных Оператора, хранятся в базах данных на сервере, расположенном по адресу: 432600, Ульяновская область, город Ульяновск, улица Кузнецова, дом 7.

3.9.5. Срок хранения персональных данных, внесённых в информационные системы персональных данных Контрольно-счётной палаты, должен соответствовать сроку хранения на материальных носителях.

3.10. Актуализация, исправление и блокирование Оператором персональных данных.

3.10.1. В процессе обработки персональных данных субъектов персональных данных Оператору необходимо обеспечивать контроль за актуальностью, достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.

Актуализация и исправление персональных данных осуществляются также на основании заявления субъекта персональных данных. Заявления субъектов персональных данных рассматриваются в соответствии с разделом 4 настоящего Положения.

3.10.2. Блокирование персональных данных осуществляется Оператором на основании заявления субъекта персональных данных в следующих случаях:

1) предоставления субъектом персональных данных сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту персональных данных и обработку которых осуществляет Оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

2) выявления неправомерных действий с персональными данными Оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных.

3.11. Уничтожение Оператором персональных данных.

3.11.1. Персональные данные подлежат уничтожению в следующих случаях:

1) при достижении целей обработки персональных данных и по истечении сроков их хранения;

2) при выявлении несоответствия содержания и объёма персональных данных заявленным целям обработки;

3) предоставления субъектом персональных данных сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту персональных данных и обработку которых осуществляет Оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

3.11.2. Уничтожение персональных данных осуществляется экспертной комиссией по уничтожению персональных данных (далее - комиссия), состав которой утверждается председателем Контрольно-счётной палаты. В состав комиссии в обязательном порядке включаются работники, которые обрабатывали уничтожаемые персональные данные, а также работники по усмотрению председателя Контрольно-счётной палаты.

Комиссия состоит из председателя комиссии, заместителя председателя комиссии, секретаря комиссии и членов комиссии.

Заседания комиссии инициируются должностным лицом, ведущим обработку персональных данных, при возникновении необходимости уничтожения персональных данных. Факт уничтожения персональных данных или носителей персональных данных фиксируется в акте об уничтожении персональных данных субъектов персональных данных.

3.11.3. Уничтожение персональных данных на электронных носителях производится путём механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

Уничтожение персональных данных на бумажных носителях производится путём сжигания или измельчения.

При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

Уничтожение части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных на данном материальном носителе (удаление, вымарывание).

3.11.4. Уполномоченным лицом, ответственным за работу с архивом Контрольно-счётной палаты, осуществляется выделение архивных документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.

4. Порядок рассмотрения запросов субъектов персональных данных или их представителей

 

4.1. Субъект персональных данных может направить Оператору запрос или обращение для получения информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных Оператором;

правовые основания и цели обработки персональных данных;

цели и применяемые Оператором способы обработки персональных данных;

наименование и местонахождение Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

сроки обработки персональных данных, в том числе сроки их хранения;

порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом "О персональных данных";

информацию об осуществлённой или о предполагаемой трансграничной передаче данных;

наименование или фамилию, имя, отчество (при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

иные сведения, предусмотренные Федеральным законом "О персональных данных" или другими федеральными законами.

4.2. Субъект персональных данных может направить запрос или обращение Оператору в случае, если персональные данные, касающиеся данного субъекта, являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, при этом субъект персональных данных вправе требовать от Оператора уточнения, блокирования, уничтожения таких персональных данных.

4.3. Субъект персональных данных может направить Оператору запрос, содержащий отзыв согласия на обработку персональных данных. При наличии оснований, указанных в пункте 3.5 раздела 3 настоящего Положения, Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных.

4.4. При предоставлении персональных данных, указанных в пункте 4.1 настоящего раздела, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

4.5. Право субъекта персональных данных может быть ограничено в соответствии с Федеральным законом "О персональных данных" и другими федеральными законами.

4.6. Информация, указанная в пункте 4.1 настоящего раздела, предоставляется субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью, соответствующей требованиям статьи 6 Федерального закона от 06.04.2011 N 63-ФЗ "Об электронной подписи".

4.7. Запросы и обращения субъектов персональных данных о предоставлении, изменении, блокировании или уничтожении их персональных данных рассматриваются уполномоченным лицом Контрольно-счётной палаты, осуществляющих обработку данных субъекта персональных данных, направившего запрос или обращение.

4.9. В случае, если информация, указанная в пункте 4.1 настоящего раздела, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения информации, указанной в пункте 4.1 настоящего раздела, и ознакомления с такими персональными данными не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса. Субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения информации, указанной в пункте 4.1 настоящего раздела, а также в целях ознакомления с обрабатываемыми персональными данными до истечения указанного срока в случае, если такие сведения и обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объёме по результатам рассмотрения первоначального обращения. Повторный запрос также должен содержать обоснование направления повторного запроса.

Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса в случае его несоответствия требованиям, предусмотренным для направления повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.

4.10. В случае, если в ходе рассмотрения запроса, обращения субъектом персональных данных Оператору предоставлены сведения, подтверждающие, что персональные данные, относящиеся к этому субъекту персональных данных, являются неполными, неточными или неактуальными, Оператор вносит в них необходимые изменения в срок, не превышающий 7 рабочих дней со дня предоставления таких сведений. При предоставлении субъектом персональных данных сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные в срок, не превышающий 7 рабочих дней со дня предоставления таких сведений.

4.11. При получении запроса от уполномоченного органа по защите прав субъектов персональных данных Оператор обязан предоставить запрашиваемую информацию в этот орган в течение 30 дней с даты получения такого запроса.

5. Ответственный за организацию обработки персональных данных

 
5.1. Ответственным за организацию обработки персональных данных в Контрольно-счётной палате (далее - ответственный за организацию обработки персональных данных) является должностное лицо, уполномоченное в соответствии с распоряжением председателя Контрольно-счётной палаты.

5.2. Ответственный за организацию обработки персональных данных в своей работе руководствуется законодательством Российской Федерации в области персональных данных и Правилами.

5.3. Ответственный за организацию обработки персональных данных обязан:

1) организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в Контрольно-счётной палате, от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;

2) осуществлять внутренний контроль за соблюдением уполномоченными должностными лицами, осуществляющими обработку персональных данных, требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;

3) организовывать доведение до сведения уполномоченных должностных лиц, осуществляющих обработку персональных данных, положений законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

4) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в Контрольно-счётной палате;

5) в случае нарушения в Контрольно-счётной палате требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

5.4. Ответственный за организацию обработки персональных данных вправе иметь доступ к информации, касающейся обработки персональных данных в Контрольно-счётной палате и включающей:

цели обработки персональных данных;

категории обрабатываемых персональных данных;

категории субъектов персональных данных, персональные данные которых обрабатываются;

правовые основания обработки персональных данных;

перечень действий с персональными данными;

дату начала обработки персональных данных;

срок или условия прекращения обработки персональных данных;

сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

5.5. Ответственный за организацию обработки персональных данных несет ответственность за надлежащее выполнение функций по организации обработки персональных данных в Контрольно-счётной палате в соответствии с законодательством Российской Федерации в области персональных данных.

                                                                                                                 Приложение № 2

                                                  к распоряжению председателя Контрольно-счётной палаты

                                                                  муниципального образования «город Ульяновск»

                                                                                                     от 18 января 2022 г. № 2

Перечень должностей Контрольно-счётной палаты, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным

Приложение № 3

к распоряжению председателя Контрольно-счётной палаты

муниципального образования «город Ульяновск»

                                                                                              от 18 января 2022 г. № 2

ТИПОВАЯ ФОРМА

согласия на обработку персональных данных лица, замещающего муниципальную должность, муниципального служащего, лица, замещающего должность в Контрольно-счётной палате муниципального образования «город Ульяновск», не относящуюся к должностям муниципальной службы
(txt)

Приложение № 4

к распоряжению председателя Контрольно-счётной палаты

муниципального образования «город Ульяновск»

от 18 января 2022 г. № 2

ТИПОВАЯ ФОРМА

разъяснения субъекту персональных данных юридических

последствий отказа предоставить свои персональные данные
(txt)

Приложение № 5

к распоряжению председателя Контрольно-счётной палаты

муниципального образования «город Ульяновск»

                                                                                                    от 18 января 2022 г. № 2

Типовое обязательство

работника Контрольно-счётной палаты о неразглашении информации, содержащей персональные данные, ставшей доступной на период исполнения должностных обязанностей
(txt)

Приложение № 6

к распоряжению председателя Контрольно-счётной палаты

муниципального образования «город Ульяновск»

                                                                                       от 18 января 2022 г. № 2

 Типовое обязательство должностного лица
Контрольно-счётной палаты, непосредственно осуществляющего
обработку персональных данных, в случае расторжения с ним
трудового договора прекратить обработку персональных данных, ставших
известными ему в связи с исполнением должностных
(трудовых) обязанностей
(txt)