Настоящие Правила обработки персональных данных в Администрации Кривошеинского района (далее – Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в Администрации Кривошеинского района и его органах (далее – Администрация Кривошеинского района).
2. Настоящие Правила определяют политику Администрации Кривошеинского района как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.
3. Настоящие правила разработаны в соответствии с Федеральным законом от 27.06.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»), Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
4. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без использования таких средств.
5. Цели обработки персональных данных, содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются в Администрации Кривошеинского района, сроки их обработки, хранения и порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований устанавливаются в соответствии с Приложением 1 к настоящим Правилам.
6. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных (Приложение 2).
7. Сотрудники Администрации Кривошеинского района должны быть ознакомлены с настоящими Правилами под роспись.
8. При обработке персональных данных в целях реализации возложенных на Администрацию Кривошеинского района функций уполномоченные на обработку персональных данных должностные лица (Приложение 3) обязаны соблюдать следующие требования:
1) объем и характер обрабатываемых персональных данных, способы обработки персональных данных должны соответствовать целям обработки персональных данных;
2) защита персональных данных от неправомерного их использования или уничтожения обеспечивается в порядке, установленном нормативными правовыми актами Российской Федерации;
3) передача персональных данных третьим лицам не допускается без письменного согласия субъекта персональных данных (Приложение 4), за исключением случаев, установленных федеральными законами;
4) обеспечение конфиденциальности персональных данных;
5) хранение персональных данных должно осуществляться в форме, позволяющей определить лицо, являющееся субъектом персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Персональные данные подлежат уничтожению по достижении цели обработки или в случае утраты необходимости в их достижении, если иное не установлено законодательством Российской Федерации. Факт уничтожения материальных носителей персональных данных оформляется соответствующим Актом об уничтожении носителей, содержащих персональные данные, по форме согласно приложению 5 к настоящим Правилам;
6) опубликование и распространение персональных данных допускается в случаях, установленных законодательством Российской Федерации.
9. В целях обеспечения защиты персональных данных субъекты персональных данных вправе:
1) получать информацию о своих персональных данных и способе обработки этих данных (в том числе автоматизированной) в соответствии с законодательством Российской Федерации;
2) осуществлять свободный, безвозмездный доступ к своим персональным данным, за исключением случаев, предусмотренных Федеральным законом «О персональных данных»;
3) требовать от Администрации Кривошеинского района уточнения, уничтожения или блокирования соответствующих персональных данных, которые являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
4) обжаловать в порядке, установленном законодательством Российской Федерации, действия (бездействие) уполномоченных должностных лиц.
10. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в Администрации Кривошеинского района используются следующие процедуры:
1) назначение ответственного за организацию обработки персональных данных;
2) осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных Федеральным законом «О персональных данных»;
3) проведение периодических проверок условий обработки персональных данных;
4) оценка вреда, который может быть причинен субъектам персональных данных, соотношение указанного вреда и принимаемых Администрацией Кривошеинского района мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
5) ознакомление работников Администрации Кривошеинского района, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Администрации Кривошеинского района в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;
6) ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;
7) недопущение обработки персональных данных, несовместимых с целями сбора персональных данных;
8) недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
9) соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
10) обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.
Обеспечение безопасности персональных данных при их обработке осуществляется в соответствии с мерами, указанными в статье 19 Федерального закона «О персональных данных».