1. Общие положения
В соответствии с Федеральными законами от 27.07.2006 №152-ФЗ "О персональных данных", от 02.03.2007 № 25-ФЗ "О муниципальной службе в Российской Федерации", постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Трудовым кодексом Российской Федерации, Постановлением Правительства Российской Федерации от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных", распоряжением администрации Калачеевского сельского поселения от 29.12.2023 № 46 "Об утверждении документов, определяющих политику в отношении обработки персональных данных в администрации Калачеевского сельского поселения Калачеевского муниципального района Воронежской области"
ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В АДМИНИСТРАЦИИ КАЛАЧЕЕВСКОГО СЕЛЬСКОГО ПОСЕЛЕНИЯ КАЛАЧЕЕВСКОГО МУНИЦИПАЛЬНОГО РАЙОНА ВОРОНЕЖСКОЙ ОБЛАСТИ
1. Общие положения
1.1. Правила обработки персональных данных в администрации Калачеевского сельского поселения Калачеевского муниципального района Воронежской области (далее - Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют политику администрации Калачеевского сельского поселения Калачеевского муниципального района Воронежской области (далее - Администрации) как оператора, осуществляющего обработку персональных данных, и для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.
1.2. Обработка персональных данных в Администрации выполняется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных субъектов, персональные данные которых обрабатываются в Администрации.
Обезличивание персональных данных в Администрации не осуществляется.
Администрация не поручает обработку персональных данных третьим лицам и не осуществляет трансграничную передачу персональных данных.
1.3. Обработка персональных данных в Администрации осуществляется с соблюдением принципов и условий, предусмотренных настоящими Правилами и законодательством Российской Федерации в области персональных данных.
1.4. В Администрации к работе с персональными данными допускаются лица, замещающие должности муниципальной службы, а также лица, замещающие должности, не являющиеся должностями муниципальной службы в Администрации, в должностные обязанности которых входит обработка персональных данных либо осуществление доступа к персональным данным.
Правовым актом Администрации утверждается перечень должностей работников администрации, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (далее - Перечень должностей).
Работники Администрации, замещающие должности, включенные в Перечень должностей, уполномочены осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Администрации. Обработка персональных данных либо доступ к персональным данным, за исключением своих собственных, работниками Администрации, не уполномоченными на совершение таких действий с персональными данными в порядке, предусмотренном настоящими Правилами, в Администрации запрещена.
Работником Администрации, ответственным за обеспечение безопасности персональных данных (далее - Администратор безопасности) осуществляется ведение перечня лиц, которые уполномочены осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Администрации.
Ответственность за наличие полномочий осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Администрации у лиц, замещающих муниципальные должности в Администрации, несет лицо, ответственное за организацию обработки персональных данных в Администрации. Ответственность за наличие полномочий осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Администрации у остальных работников несет лицо, ответственное за организацию обработки персональных данных в Администрации.
Работники Администрации, уполномоченные осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Администрации, могут осуществлять обработку персональных данных как неавтоматизированным, так и автоматизированным способами.
1.5. Действие настоящих Правил не распространяется на отношения, возникающие при:
- организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с Федеральным законом от 22 октября 2004 года № 125-ФЗ "Об архивном деле в Российской Федерации";
- обработке персональных данных, отнесенных в порядке, установленном Законом Российской Федерации от 21 июля 1993 года № 5485-1 "О государственной тайне", к сведениям, составляющим государственную тайну.
2. Меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных.
Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в Администрации предпринимаются следующие меры:
2.1. В администрации назначен ответственный за организацию обработки персональных данных.
2.2. Осуществляется внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных.
2.3. Проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения положений Федерального закона, соотношение указанного вреда и принимаемых администрацией мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;
2.4. Работники Администрации, которые уполномочены осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Администрации, ознакомляются с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), правовыми актами Администрации по вопросам обработки персональных данных.
2.5. Перед началом обработки персональных данных работники Администрации, которые уполномочены осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Администрации, подписывают обязательство работника Администрации, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей (далее - обязательство прекратить обработку персональных данных).
Запрещается обработка персональных данных, за исключением своих собственных, работниками Администрации до момента подписания обязательства прекратить обработку персональных данных.
Подписание лицами, замещающими муниципальные должности в Администрации и остальными работниками администрации обязательства прекратить обработку персональных данных, предусмотренного настоящими Правилами, обеспечивает глава администрации поселения.
В случае если работник Администрации, который уполномочен осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Администрации, переведен или назначен на другую должность, включенную в Перечень должностей, то он перед началом обработки персональных данных на новой должности повторно подписывает обязательство прекратить обработку персональных данных.
Подписанные обязательства прекратить обработку персональных данных приобщаются к личным делам работников Администрации.
2.6. Ограничение обработки персональных данных достижением цели обработки.
2.7. Соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки.
2.8. Осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленными законодательством Российской Федерации в сфере персональных данных.
2.9. Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.10. Обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях - актуальности по отношению к целям обработки персональных данных.
2.11. Соблюдение условий при хранении носителей персональных данных, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним посредством принятия мер обеспечения безопасности, включающих:
2.11.1. Хранение бумажных и машинных носителей информации (магнитные и оптические диски, флеш-накопители, накопители на жестких магнитных дисках, твердотельные накопители и другие), содержащих персональные данные (далее - машинные носители персональных данных), только в помещениях, включенных в перечень помещений, в которых осуществляется обработка, в том числе хранение, персональных данных (носителей персональных данных) в Администрации, утвержденный правовым актом Администрации, в условиях, исключающих возможность доступа посторонних лиц к персональным данным, в закрываемых сейфах или шкафах (ящиках).
2.11.2. Резервное копирование персональных данных, содержащихся в информационных системах персональных данных, применяемых в Администрации, на резервные машинные носители персональных данных, которое осуществляется операторами соответствующих информационных систем персональных данных.
2.11.3. Раздельное хранение персональных данных, обработка которых осуществляется в различных целях, определенных настоящими Правилами, на разных материальных носителях, которое обеспечивается структурными подразделениями Администрации, осуществляющими обработку персональных данных неавтоматизированным способом (без использования средств вычислительной техники).
2.11.4. Уничтожение персональных данных на машинных носителях персональных данных в случае их передачи (в том числе в составе технических средств) для их дальнейшей эксплуатации в иные организации, а также при передаче таких машинных носителей персональных данных (в том числе в составе технических средств) на ремонт в сторонние организации, не имеющие права доступа к персональным данным, содержащимся на соответствующих машинных носителях персональных данных, или при выводе из эксплуатации (списании) указанных машинных носителей персональных данных (в том числе в составе технических средств), осуществляется главой администрации поселения.
2.12. Запрет на передачу работниками администрации персональных данных, за исключением персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральными законами, по незащищенным каналам связи, в том числе средствами факсимильной связи и электронной почты, а также на вынос носителей персональных данных из служебных помещений Администрации в целях, не связанных со служебной необходимостью.
2.13. Принятие других мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, установленных статьями 18.1 и 19 Федерального закона.
3. Цели и правовые основания обработки персональных данных
3.1. В Администрации обработка персональных данных осуществляется в следующих целях:
3.1.1. Реализация кадровой политики в Администрации.
3.1.2. Реализация задач в Администрации, по профилактике коррупционных и иных правонарушений.
3.1.3. Ведение воинского учета и бронирования граждан Российской Федерации, пребывающих в запасе Вооруженных Сил Российской Федерации и работающих в Администрации.
3.1.4. Обеспечение рассмотрения обращений граждан, поступивших в Администрацию, в том числе организация личного приема граждан.
3.1.5. Награждение наградами Калачеевского муниципального района, поощрения главой администрации Калачеевского муниципального района Воронежской области и администрацией Калачеевского муниципального района Воронежской области и согласованию награждения государственными и ведомственными наградами Российской Федерации
3.1.6. Оказание государственных и (или) муниципальных услуг, предусмотренных законодательством РФ.
3.1.7. Осуществление полномочий Администрации в различных областях, предусмотренных Федеральным законом от 06.10.2003 №131-ФЗ "Об общих принципах организации местного самоуправления в Российской Федерации", Уставом Калачеевского сельского поселения Калачеевского муниципального района Воронежской области сельского поселения, а также переданных государственных полномочий.
Правовым основанием обработки персональных данных Администрацией являются: Конституция Российской Федерации, Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Налоговый кодекс Российской Федерации, Устав Калачеевского сельского поселения Калачеевского муниципального района Воронежской области, Федеральный закон от 02.03.2007 №25-ФЗ "О муниципальной службе в Российской Федерации", согласие на обработку персональных данных.
4. Содержание обрабатываемых персональных данных
4.1. Работниками Администрации, которые уполномочены осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Администрации, допускается обработка персональных данных всех категорий, которые обрабатываются в Администрации.
4.2. Содержание обрабатываемых персональных данных для каждой цели обработки персональных данных определено Перечнями персональных данных, обрабатываемых в Администрации в связи с реализацией служебных или трудовых отношений, а также в связи с осуществлением государственных и иных функций.
5. Категории субъектов персональных данных
5.1. В Администрации обрабатываются персональные данные следующих субъектов персональных данных:
5.1.1. Лиц, замещающих или ранее замещавших должности муниципальной службы в Администрации, а также лиц, замещающих или ранее замещавших должности, не являющиеся должностями муниципальной службы в Администрации.
5.1.2. Лиц, претендующих на замещение вакантных должностей муниципальной службы, и иных вакантных должностей в Администрации.
5.1.3. Близких родственников (отец, мать, братья, сестры и дети) лиц, замещающих или ранее замещавших должности муниципальной службы, лиц, замещающих или ранее замещавших должности, не являющиеся должностями муниципальной службы в Администрации.
5.1.4. Физических лиц, состоящих в договорных и иных гражданско-правовых отношениях с Администрацией.
5.1.5. Лиц из числа работников Администрации, подлежащих воинскому учету и бронированию граждан РФ, пребывающих в запасе.
5.1.6. Физических лиц в рамках рассмотрения обращений и запросов граждан.
5.1.7. Физических лиц, обратившихся в Администрацию за получением муниципальных или государственных услуг.
5.1.8. Лиц, в отношении которых рассматриваются дела об административных правонарушениях.
5.1.9. Иных физических лиц, обработка персональных данных которых производится в целях, установленных настоящими Правилами.
5.2. Категории субъектов персональных данных для каждой цели обработки персональных данных определяются Перечнями персональных данных, обрабатываемых в Администрации в связи с реализацией служебных или трудовых отношений, а также в связи с осуществлением муниципальных и иных функций.
5.3. В случаях, предусмотренных Федеральным законом, получение согласий субъектов персональных данных на обработку их персональных данных обеспечивается работниками Администрации, в должностные обязанности которых входит обработка персональных данных либо осуществление доступа к персональным данным, которые осуществляют сбор персональных данных у субъектов персональных данных.
Согласия субъектов персональных данных на обработку их персональных данных, полученные в письменной форме, хранятся у работников Администрации, в должностные обязанности которых входит обработка персональных данных либо осуществление доступа к персональным данным, которые осуществляют сбор персональных данных, в течение трех лет с даты прекращения обработки персональных данных соответствующих субъектов персональных данных.
Ответственность за наличие согласия субъектов персональных данных на обработку их персональных данных в Администрации несут работники Администрации, которыми осуществляется сбор персональных данных.
6. Сроки обработки и хранения персональных данных
6.1. Сроки обработки и хранения персональных данных в Администрации определяются правовыми актами, регламентирующими порядок их сбора и обработки. В случае если правовыми актами конкретный срок обработки и хранения персональных данных не установлен, то их обработка осуществляется до достижения цели обработки персональных данных или утраты необходимости в достижении цели обработки персональных данных.
6.2. Срок хранения персональных данных в электронном виде должен соответствовать сроку хранения персональных данных на бумажных носителях, если иное не установлено законодательством Российской Федерации.
6.3. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Администрацией обработка соответствующих персональных данных в Администрации должна быть прекращена, если Администрация не вправе осуществлять обработку таких персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.
7. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований
7.1. Уничтожению подлежат обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
Срок уничтожения персональных данных не должен превышать 30 дней с даты достижения цели обработки персональных данных (утраты необходимости в достижении цели обработки персональных данных), если иное не предусмотрено законодательством Российской Федерации.
7.2. Администрацией осуществляется контроль и отбор по истечении срока хранения, установленного законодательством Российской Федерации, обрабатываемых персональных данных, содержащихся на бумажных и машинных носителях персональных данных, в том числе в информационных системах персональных данных, подлежащих уничтожению.
Уничтожение персональных данных, срок хранения которых истек, производится работниками Администрации, которые уполномочены осуществлять обработку персональных данных либо осуществлять доступ к персональным данным в Администрации, а также оператором информационной системы персональных данных (в случае внесения персональных данных в информационную систему) по решению главы администрации сельского поселения.
7.3. В случае отсутствия возможности уничтожения персональных данных Администрация осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.
7.4. Уничтожение персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
7.5. В Администрации уничтожение бумажных носителей персональных данных осуществляется с использованием уничтожителей бумаги.
Уничтожение персональных данных на машинных носителях персональных данных осуществляется с использованием средств гарантированного удаления информации или путем физического разрушения машинного носителя персональных данных, исключающего дальнейшее восстановление информации.
Уничтожение персональных данных, внесенных в информационные системы персональных данных, применяемые в Администрации, осуществляется оператором соответствующей информационной системы.
7.6. В целях реализации меры, предусмотренной подпунктом 2.11.4. настоящих Правил, работники Администрации направляют письменную заявку на уничтожение персональных данных на машинном носителе персональных данных (физическое разрушение машинного носителя персональных данных).
В срок, не превышающий 10 рабочих дней с даты поступления заявки, заявителю направляется уведомление в письменной форме, содержащее результаты уничтожения персональных данных на машинном носителе персональных данных (физического разрушения машинного носителя персональных данных), к которому прилагается соответствующий машинный носитель персональных данных (в случае если машинный носитель персональных данных не подвергался физическому разрушению).
Подтверждение уничтожения персональных данных в случаях, предусмотренных настоящим разделом, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.
8. Условия обработки персональных данных без использования средств автоматизации
8.1. Обработка персональных данных без использования средств автоматизации в администрации осуществляется в соответствии с «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденным постановлением Правительства РФ от 15.09.2008 № 687.
8.2. Неавтоматизированная обработка персональных данных может осуществляться в виде работы с документами на бумажных носителях (дела, книги и журналы учета), и в электронном виде (файлы) на электронных носителях информации.
8.3. Неавтоматизированная обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ.
8.4. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
8.5. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
8.6. При неавтоматизированной обработке персональных данных на бумажных носителях:
- не допускается фиксация на одном бумажном носителе персональных данных, цели, обработки которых заведомо не совместимы;
- персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
- документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
- дела с документами, содержащими персональные данные, должны иметь внутренние описи документов.
8.7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, наименование и адрес организации, осуществляющей обработку персональных данных, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки их обработки, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых способов обработки персональных данных;
б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на их обработку, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели, обработки которых заведомо не совместимы.
8.8. Материальные носители, содержащие персональные данные, могут находиться на рабочем месте работника Администрации в течение времени, необходимого для обработки персональных данных. При этом должна быть исключена возможность просмотра персональных данных посторонними лицами. В конце рабочего дня все материальные носители, содержащие персональные данные, должны быть убраны в запираемые на ключ шкафы или сейфы. Черновики и редакции документов, испорченные бланки, листы со служебными записями в конце рабочего дня уничтожаются.
8.9. Электронные носители информации, содержащие персональные данные, учитываются в журнале учета электронных носителей персональных данных.
8.10. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
8.11. Документы и съемные электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в запираемых на ключ шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
8.12. Уничтожение части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим их дальнейшую обработку с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
8.13. Уточнение персональных данных при неавтоматизированной обработке производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.