ПРАВИЛА
обработки персональных данных в Администрации
Калининского сельского поселения
Общие положения
1.1. Настоящие Правила определяют порядок обработки персональных данных в Администрации Калининского сельского поселения, устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
1.2. Целью настоящих Правил является обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных в Администрации сельского поселения.
1.3. Основаниями для разработки настоящих Правил являются Конституция Российской Федерации, Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановление Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другие действующие нормативные правовые акты Российской Федерации по обеспечению защиты персональных данных.
1.4. Все работники, муниципальные служащие Администрации Калининского сельского поселения (далее Администрация), допущенные к обработке персональных данных, должны быть ознакомлены с настоящими Правилами.
1.5. Настоящие Правила и изменения к ним подлежат размещению на официальном сайте Администрации Калининского сельского поселения.
2. Основные понятия
В настоящих Правилах используются следующие понятия:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
- персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
(в ред. постановления от 08.02.2022 № 09)
2.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.4. Содержание и объем обрабатываемых персональных данных должны соответствовать целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
2.5. Персональные данные по достижении целей их обработки или в случае утраты необходимости в достижении этих целей должны уничтожаться.
2.6. Сведения, указанные в части 7 статьи 14 Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных", предоставляются субъекту персональных данных или его представителю оператором в течение десяти рабочих дней с момента обращения либо получения оператором запроса субъекта персональных данных или его представителя в соответствии с частью 3 статьи 14 указанного Федерального закона.
(в ред. постановления от 02.08.2023 № 91)
3. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных
3.1. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в области персональных данных, в Администрации используются следующие процедуры:
1) издание муниципальных нормативных правовых актов по вопросам обработки и обеспечения безопасности персональных данных;
2) назначение ответственных за организацию обработки и обеспечение безопасности персональных данных в Администрации;
3) определение работников Администрации, допущенных к обработке персональных данных и несущих в соответствии с действующим законодательством Российской Федерации ответственность за нарушение требований по обеспечению безопасности персональных данных;
4) ознакомление работников Администрации, перед началом обработки персональных данных, под роспись:
а) с положениями законодательства Российской Федерации о персональных данных;
б) с требованиями к защите персональных данных в Администрации;
5) получение персональных данных лично у субъекта персональных данных, или в случаях, установленных действующим законодательством у его законных представителей;
6) при получении персональных данных у третьей стороны извещение об этом субъекта персональных данных заранее, получение его письменного согласия и сообщение ему о целях, предполагаемых источниках и способах получения персональных данных;
7) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
8) размещение настоящих Правил на официальном сайте Администрации;
9) осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
4. Цели обработки персональных данных
Обработка персональных данных осуществляется в Администрации в следующих целях:
-ведения бухгалтерского учета;
-ведения кадрового учета, реализация трудовых отношений;
-выполнения требований федерального закона от 06.10.2003 № 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации»;
-оказания муниципальных услуг и осуществление муниципальных функций;
-рассмотрения обращений граждан.
5. Содержание обрабатываемых персональных данных
5.1. В Администрации персональные данные обрабатываются в связи с реализацией целей, указанных в пункте 4 настоящих Правил.
5.2. Перечень персональных данных, обрабатываемых в Администрации, и Перечень персональных данных, обрабатываемых при выполнении муниципальных услуг, утверждаются постановлением Администрации сельского поселения.
5.3. Формирование перечня персональных данных, обрабатываемых в Администрации, и внесение предложений по его корректировке осуществляется лицом, ответственным за организацию обработки персональных данных.
6. Категории субъектов, персональные данные которых обрабатываются в соответствии с целями обработки персональных данных, указанными в пункте 4 настоящих Правил, Администрацией осуществляется обработка следующих категорий субъектов персональных данных:
муниципальные служащие;
служащие, работники, осуществляющие трудовую деятельность по трудовому договору;
граждане, осуществляющие деятельность по договорам гражданско-правового характера;
депутаты Совета депутатов Калининского сельского поселения;
лица, претендующие на замещение вакантных должностей муниципальной службы в Администрации;
лица, состоящие в кадровом резерве;
граждане, персональные данные которых необходимы для рассмотрения обращений граждан;
физические лица-участники судопроизводства, участники рассмотрения дел;
супруг (супруга), несовершеннолетние дети лиц, включенных в Перечень должностей муниципальной службы, при назначении на которые (замещении которых) граждане (муниципальные служащие) обязаны ежегодно предоставлять сведения о доходах, расходах, обязательствах имущественного характера;
заявители при предоставлении муниципальных услуг;
лица, замещающие муниципальные должности.
7. Получение персональных данных
7.1. Все персональные данные получаются непосредственно от субъекта персональных данных.
7.2. Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает письменное согласие на их обработку.
7.3. Типовая форма согласия на обработку персональных данных работников Администрации, иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные утверждаются постановлением Администрации сельского поселения.
Форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждена согласно приложению 1 к настоящему постановлению.
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. При этом молчание или бездействие субъекта персональных данных не может считаться согласием.
Требования к содержанию согласия утверждены приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций 24 февраля 2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
(в ред. постановления от 08.02.2022 № 09)
7.4. В случае недееспособности либо несовершеннолетия субъекта все персональные данные субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и дает согласие на их обработку.
7.5. В случаях, когда необходимые персональные данные субъекта могут быть получены только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении необходимо сообщить о целях, правовых основаниях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение.
8. Допуск к персональным данным
8.1. Перечень должностей работников Администрации, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным и лиц их замещающих, утверждается постановлением Администрации.
8.2. Каждый работник, непосредственно осуществляющий обработку персональных данных, обязан подписать обязательство, в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей. Типовая форма обязательства утверждается постановлением Администрации сельского поселения.
8.3. Формирование перечня должностей работников Администрации, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным и лиц их замещающих, а также внесение предложений по его корректировке, осуществляет лицо, ответственное за организацию обработки персональных данных.
9. Обязанности работников Администрации, допущенных к обработке персональных данных
9.1. Работники Администрации, допущенные к обработке персональных данных, обязаны:
1) знать и выполнять требования законодательства Российской Федерации в области персональных данных и по вопросам обработки и обеспечения безопасности персональных данных настоящих Правил;
2) соблюдать правила обработки персональных данных (машинных носителей персональных данных), порядок их учета и хранения, исключать доступ к ним посторонних лиц;
3) обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей;
4) не разглашать третьим лицам персональные данные, ставшие известными в связи с выполнением должностных обязанностей, информировать непосредственное руководство о фактах нарушения установленного порядка обработки персональных данных, о попытках несанкционированного доступа к персональным данным;
5) в случае попытки третьих лиц получить от них персональные данные, сообщать непосредственному руководителю;
6) после прекращения права на допуск к персональным данным (расторжения трудового договора) прекратить обработку персональных данных, не разглашать и не передавать персональные данные третьим лицам, ставшие известными в связи с исполнением должностных обязанностей.
9.2. Работникам Администрации, допущенным к обработке персональных данных, запрещается:
1) использовать персональные данные в неслужебных целях, а так-же в служебных целях – при ведении телефонных переговоров, в открытой переписке, статьях и выступлениях;
2) передавать персональные данные по незащищенным каналам связи (факсимильная связь, электронная почта);
3) использовать для обработки и хранения персональных данных не учтенные машинные носители информации;
4) снимать копии с документов и машинных носителей информации, содержащих персональные данные, или производить выписки из них, а равно использовать различные технические средства (фото-, видео- и звуко-записывающую аппаратуру) для фиксации персональных данных;
5) передавать документы и машинные носители информации, со-держащие персональные данные другим работникам, не допущенным к обработке персональных данных;
6) выполнять на дому работы, связанные с использованием персональных данных, выносить документы и машинные носители информации, содержащие персональные данные, из служебных помещений.
10. Сроки обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований
10.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
10.2. Персональные данные, связанные с реализацией трудовых отношений обрабатываются и хранятся в течение действия трудового договора и в течение 75 (семидесяти пяти) лет после его прекращения.
10.3. Персональные данные, связанные с оказанием муниципальных услуг и осуществлением муниципальных функций обрабатываются и хранятся до достижения цели их обработки или до момента прекращения необходимости в достижении заранее заявленных целей обработки персональных данных.
10.4. В случае достижения цели обработки персональных данных или при наступлении иных законных оснований обработка персональных данных прекращается и они уничтожаются в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено трудовым договором или соглашением, стороной которого является субъект персональных данных, либо если администрация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
10.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных их обработка прекращается и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, они уничтожаются в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено трудовым договором или соглашением, стороной которого является субъект персональных данных, либо если Администрация не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
10.6. Персональные данные подлежат уничтожению в течение 30 дней по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством Российской Федерации.
10.7. В случае отсутствия возможности уничтожения персональных данных в течение вышеуказанного срока, оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев.
10.8. Уничтожение бумажных носителей должно осуществляться сотрудниками, допущенными к обработке персональных данных, путем, не допускающим дальнейшую возможность ознакомления с данными документами (сожжение или размол на бумагорезательной машине). Уничтожение информации на автоматизированных рабочих местах должно осуществляться комиссией способами, не позволяющими восстановить персональные данные.
10.9. При уничтожении данных составляется акт с указанием, какие документы и файлы были уничтожены.
10.10. Решение о стирании записей, содержащих персональные данные, в электронных базах данных принимается работниками Администрации, допущенными к обработке персональных данных, самостоятельно в срок, не превышающий тридцати дней по достижении целей обработки или с момента утраты необходимости в достижении этих целей.
10.11. Уничтожение машинных носителей персональных данных, выведенных из эксплуатации, производится на основании акта уничтожения.
10.12. В случае если обработка персональных данных осуществлялась без использования средств автоматизации, составляется протокол и акт о выделении к уничтожению документов, которые подтверждают уничтожение персональных данных субъектов персональных данных.
В случае если обработка персональных данных осуществлялась оператором с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных субъектов персональных данных, являются актом об уничтожении персональных данных, и выгрузка из журнала регистрации событий в информационной системе персональных данных (далее - выгрузка из журнала).