Политика обработки и защиты персональных данных в Администрации городского округа Домодедово Московской области

Утверждена распоряжением Администрации городского округа Домодедово от 01.07.2025г. №127

1. Общие положения 

1.1. Настоящая Политика обработки и защиты персональных данных (далее - Политика) в Администрации городского округа Домодедово Московской области Московской области (далее - Администрация) определяет цели, условия, порядок обработки и меры защиты персональных данных, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области обработки и защиты персональных данных.

1.2. Политика в Администрации разработана в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ "О персональных данных" (далее - Федеральный закон) и рекомендациями по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31.07.2017, а также для обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.3. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в информационных системах персональных данных Администрации с применением средств автоматизации и без применения таких средств.

1.4. К настоящей Политике должен иметь доступ любой субъект персональных данных.

1.5. В Политике используются следующие основные понятия:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.6. Администрация обязана соблюдать конфиденциальность персональных данных, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.

1.7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

-        подтверждение факта обработки персональных данных Администрацией;

-        правовые основания и цели обработки персональных данных;

-        цели и применяемые Администрацией способы обработки персональных данных;

-        наименование и место нахождения Администрации, сведения о лицах (за исключением работников), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Администрацией или Федерального закона;

-        обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок предоставления таких данных не предусмотрен Федеральным законом;

-        сроки обработки и хранения персональных данных;

-        порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;

-        информацию об осуществленной или о предполагаемой трансграничной передаче данных;

-        наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Администрации, если обработка поручена или будет поручена такому лицу.

1.8. Субъект персональных данных вправе требовать от Администрации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Федеральным законом меры по защите своих прав.

1.9. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

1.10. Администрация имеет право:

отстаивать свои интересы в суде;

предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством Российской Федерации;

отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством Российской Федерации;

использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством Российской Федерации. 

2. Цели, порядок и условия обработки персональных данных 

2.1. К целям обработки персональных данных Администрации относятся:

-        обеспечение прав граждан, организаций, органов государственной власти и органов местного самоуправления на поиск, получение, передачу, производство и распространение информации;

-        внедрение информационно-телекоммуникационных услуг населению и организациям;

-        реализация возложенных на Администрацию задач, исполнение государственных функций и его полномочий;

-        контроль за предоставлением государственных и муниципальных услуг на территории;

-        заключение и выполнение договорных обязательств Администрации;

-        ведение и организация кадрового делопроизводства;

-        исполнение требований налогового законодательства и пенсионного законодательства;

-        ведение статистики и анализа работы официального сайта и сайтов информационных систем и ресурсов Администрации.

2.2. Правили обработки персональных данных, осуществления внутреннего контроля соответствия их обработки требованиям законодательства Российской Федерации, а также обработки обращений субъектов персональных данных в Администрации, утверждается распоряжением Администрации.

Обработка персональных данных в информационных системах персональных данных Администрации осуществляется на основе следующих принципов:

-        законности и справедливой основы;

-        ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;

-        недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;

-        недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

-        обработки только тех персональных данных, которые отвечают целям их обработки;

-        соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;

-        недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки;

-        обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;

-        уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения в информационных системах персональных данных Администрации допущенных нарушений персональных данных, если иное не предусмотрено Федеральным законом.

2.3. В информационных системах персональных данных Администрации обрабатываются персональные данные при наличии хотя бы одного из следующих условий:

обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Администрацию функций, полномочий и обязанностей;

обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

обработка персональных данных необходима для исполнения полномочий Администрации, предусмотренных Федеральным законом от 27.07.2010 №210-ФЗ "Об организации предоставления государственных и муниципальных услуг";

обработка персональных данных необходима для исполнения договора (муниципального контракта), стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора (муниципального контракта), по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

обработка персональных данных необходима для осуществления прав и законных интересов Администрации или третьих лиц, либо для достижения общественно значимых целей при условии, что не нарушаются права и свободы субъекта персональных данных;

обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Федерального закона;

осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с Федеральным законом.

2.4. Пользователи информационных систем персональных данных Администрации и лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

2.5. В целях информационного обеспечения в Администрации могут создаваться общедоступные источники персональных данных работников, в том числе справочники и адресные книги. В общедоступные источники персональных данных с согласия работника могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

Сведения о работнике должны быть в любое время исключены из общедоступных источников персональных данных по требованию работника, решению суда или иных уполномоченных органов государственной власти.

2.6. Администрация вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия Администрацией акта, оформленного в соответствии с ч. 3 ст. 6 Федерального закона.

Лицо, осуществляющее обработку персональных данных по поручению Администрации, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом.

2.7. Администрация обязана прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, действующим по его поручению:

в случае выявления неправомерной обработки персональных данных, осуществляемой Администрацией или лицом, действующим по его поручению;

в случае отзыва субъектом персональных данных согласия на обработку его персональных данных;

в случае достижения цели обработки персональных данных и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Администрации). 

3. Правовые основания обработки персональных данных 

Правовым основанием обработки персональных данных в Администрации являются:

Конституция Российской Федерации;

Трудовой кодекс Российской Федерации;

Налоговый кодекс Российской Федерации;

Уголовный кодекс Российской Федерации;

Гражданский кодекс Российской Федерации;

Федеральный закон от 27.07.2010 №210-ФЗ "Об организации предоставления государственных и муниципальных услуг";

Федеральный закон от 27.07.2004 № 79-ФЗ "О государственной гражданской службе Российской Федерации";

Федеральный закон от 15.11.1997 № 143-ФЗ "Об актах гражданского состояния";

Федеральный закон от 07.07.2003 № 126-ФЗ "О связи";

Федеральный закон от 06.03.2006 № 35-ФЗ "О противодействии терроризму";

Федеральный закон от 05.04.2013 № 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд";

Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных";

требования других нормативных правовых актов Российской Федерации;

Устав городского округа Домодедово Московской области;

согласие на обработку персональных данных (в случаях, если его наличие требуется в соответствии с законодательством Российской Федерации). 

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных 

4.1. К категориям субъектов персональных данных относятся:

4.1.1. Работники Администрации, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников.

В данной категории субъектов Администрации обрабатываются персональные данные в связи с реализацией трудовых отношений:

-        фамилия, имя, отчество;

-        пол;

-        гражданство;

-        дата и место рождения;

-        адрес места проживания;

-        сведения о регистрации по месту жительства или пребывания;

-        номера телефонов, адрес электронной почты;

-        замещаемая должность;

-        сведения о трудовой деятельности;

-        страховой номер индивидуального лицевого счета;

-        идентификационный номер налогоплательщика;

-        данные паспорта или иного удостоверяющего личность документа;

-        данные паспорта, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации;

-        данные трудовой книжки, вкладыша в трудовую книжку;

-        сведения о воинском учете;

-        сведения об образовании;

-        сведения о получении дополнительного профессионального образования;

-        сведения о владении иностранными языками;

-        сведения о занятии предпринимательской деятельностью;

-        сведения, содержащиеся в медицинском заключении установленной формы об отсутствии у гражданина заболевания, препятствующего поступлению на гражданскую службу или ее прохождению;

-        сведения о наградах, иных поощрениях и знаках отличия;

-        сведения о дисциплинарных взысканиях;

-        сведения о семейном положении;

-        сведения о близких родственниках;

-        сведения, содержащиеся в справках о доходах, расходах;

-        номер расчетного счета;

-        информация об оформленных допусках к государственной тайне;

-        фотографии.

4.1.2. Представители/работники клиентов и контрагентов.

В данной категории субъектов Администрациям обрабатываются персональные данные, полученные в связи с заключением муниципального контракта или договора, стороной которого являются клиент/контрагент (юридическое лицо), и используемые исключительно для исполнения указанного договора:

-        фамилия, имя, отчество;

-        пол;

-        номера телефонов, адрес электронной почты;

-        замещаемая должность;

-        адрес места проживания и регистрации;

-        идентификационный номер налогоплательщика;

-        номер расчетного счета;

-        данные паспорта или иного удостоверяющего личность документа.

4.1.3. Жители Московской области.

В данной категории субъектов Администрации обрабатываются персональные данные в связи с возложенными на нее государственными функциями, полномочиями и обязанностями:

-        фамилия, имя, отчество;

-        пол;

-        гражданство;

-        дата и место рождения;

-        адрес места проживания;

-        сведения о регистрации по месту жительства или пребывания;

-        номера телефонов, адрес электронной почты;

-        замещаемая должность;

-        сведения о трудовой деятельности;

-        страховой номер индивидуального лицевого счета;

-        идентификационный номер налогоплательщика;

-        данные паспорта или иного удостоверяющего личность документа;

-        данные паспорта, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации;

-        данные трудовой книжки, вкладыша в трудовую книжку;

-        сведения о воинском учете;

-        сведения об образовании;

-        сведения о наградах, иных поощрениях и знаках отличия;

-        сведения о семейном положении;

-        сведения о близких родственниках;

-        сведения, содержащиеся в справках о доходах, расходах, об имуществе;

-        номер расчетного счета;

-        фотографии;

-        сведения полиса обязательного медицинского страхования;

-        сведения о состоянии здоровья;

-        сведения, указанные при оказании медицинских услуг;

-        другие персональные данные субъекта, необходимые для получения государственных и муниципальных услуг.

4.1.4. Посетители официального сайта и сайтов информационных систем и ресурсов Администрации.

В данной категории субъектов Администрации обрабатываются персональные данные в связи с ведением статистики и анализа работы официального сайта, сайтов информационных систем и ресурсов:

данные из файлов cookie, IP-адрес, сведения, собираемые посредством метрических программ.

4.2. Обработка в информационных системах персональных данных Администрации специальных категорий персональных данных допускается в случаях, если:

субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Федерального закона;

обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;

обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц в связи с осуществлением правосудия;

обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации.

Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено Федеральным законом.

4.3. Обработка биометрических персональных данных в Администрации не осуществляется.

4.4. Трансграничная передача персональных данных на территорию иностранных государств Администрацией не осуществляется. 

5. Обеспечение безопасности персональных данных 

5.1. Безопасность персональных данных, обрабатываемых в информационных системах персональных данных Администрации, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения требований законодательства Российской Федерации в области защиты персональных данных.

5.2. Для целенаправленного создания в информационных системах персональных данных Администрации неблагоприятных условий и труднопреодолимых препятствий для нарушителей, пытающихся осуществить несанкционированный доступ к персональным данным в целях получения, видоизменения, уничтожения, заражения вредоносной компьютерной программой, подмены и совершения иных несанкционированных действий в информационных системах персональных данных Администрации могут применяться следующие организационно-технические меры:

-        назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;

-        ограничение и регламентация состава работников, имеющих доступ к персональным данным;

-        ознакомление работников с требованиями законодательства Российской Федерации и локальных нормативных документов Администрации по обработке и защите персональных данных;

-        обеспечение учета, хранения материальных носителей информации и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;

-        определение угроз безопасности персональных данных при их обработке в информационных системах, формирование на их основе моделей угроз и нарушителя;

-        разработка на основе модели угроз и нарушителя системы защиты персональных данных для соответствующего класса информационных систем персональных данных;

-        проверка и контроль эффективности использования средств защиты информации;

-        идентификация и аутентификация субъектов доступа и объектов доступа;

-        управление доступом субъектов доступа к объектам доступа;

-        ограничение программной среды;

-        защита машинных носителей персональных данных;

-        регистрация событий информационной безопасности;

-        средства антивирусной защиты информации;

-        средства обнаружения и предотвращения вторжений;

-        контроль (анализ) защищенности персональных данных;

-        обеспечение целостности информационной системы и персональных данных;

-        обеспечение доступности персональных данных;

-        защита технических средств;

-        защита информационной системы, ее средств, систем связи и передачи персональных данных;

-        средства криптографической защиты персональных данных, передаваемых по незащищенным каналам связи;

-        управление системой защиты персональных данных;

-        обучение работников, использующих средства защиты информации, применяемые в информационных системах персональных данных, правилам работы с ними;

-        учет применяемых сертифицированных средств защиты информации, эксплуатационной и технической документации к ним;

-        проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;

-        размещение технических средств обработки персональных данных, в пределах охраняемой территории;

-        допуск в помещения, в которых обрабатываются персональные данные, в соответствии со списком допущенных работников;

-        поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности. 

6. Заключительные положения 

6.1. Иные права и обязанности Администрации, как оператора персональных данных, определяются законодательством Российской Федерации в области обработки и защиты персональных данных.

Должностные лица Администрации, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут ответственность в порядке, установленном законодательством Российской Федерации.