УТВЕРЖДЕНЫ
постановлением администрации
Грязовецкого муниципального округа
от 03.02.2023 № 188
(приложение 1)
ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В АДМИНИСТРАЦИИ ГРЯЗОВЕЦКОГО МУНИЦИПАЛЬНОГО ОКРУГА
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящие Правила обработки персональных данных в администрации Грязовецкого муниципального округа (далее - Правила) определяют цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в администрации Грязовецкого муниципального округа, в том числе в отраслевых (функциональных) и территориальных органах администрации Грязовецкого муниципального округа (далее - администрация).
1.2. Настоящие Правила определяют политику администрации как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных. В соответствии с требованиями Федерального закона "О персональных данных" настоящие Правила или выписка из них в части вопросов, определяющих политику администрации в отношении обработки персональных данных и о реализуемых общих требованиях к защите персональных данных, размещаются на официальном сайте администрации https://35gryazovetskij.gosuslugi.ru для обеспечения неограниченного доступа к ним.
1.3. В настоящих Правилах используются понятия, применяемые в значениях, определенных в Федеральном законе от 27.07.2006 № 152-ФЗ "О персональных данных".
1.4. Положения данных Правил не распространяются на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов, имеющих статус архивных документов в соответствии с действующим законодательством об архивном деле в РФ.
1.5. Требования, изложенные в Правилах, являются обязательными для выполнения всеми служащими (работниками) отраслевых (функциональных) и территориальных органов, структурных подразделений администрации и иными лицами, имеющими договорные отношения с администрацией, при этом срочность и важность выполняемых работ не должны являться основанием для нарушения настоящих Правил и других документов, регламентирующих в администрации вопросы обработки и защиты персональных данных.
1.6. В целях информационного обеспечения граждан в администрации могут создаваться общедоступные источники персональных данных работников, служащих администрации (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, адрес места работы, рабочий номер телефона, рабочий адрес электронной почты, должность и иные персональные данные (в случае необходимости), сообщаемые субъектом персональных данных.
Сведения о субъекте персональных данных исключаются из общедоступных источников персональных данных в случае прекращения между субъектом персональных данных и администрацией трудовых правоотношений.
Сведения о субъекте персональных данных должны быть в любое время исключены их общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
2. НОРМАТИВНЫЕ ССЫЛКИ
2.1. При разработке настоящих Правил учитывались требования следующих федеральных законов, нормативных правовых актов, нормативных актов:
- Трудовой кодекс Российской Федерации (далее - Трудовой кодекс);
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных");
- Федеральный закон от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации";
- Федеральный закон от 02.03.2007 № 25-ФЗ "О муниципальной службе в Российской Федерации" (далее - Федеральный закон "О муниципальной службе в РФ");
- Федеральный закон от 25.12.2008 № 273-ФЗ "О противодействии коррупции" (далее - Федеральный закон "О противодействии коррупции");
- Федеральный закон от 27.07.2010 № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" (далее - Федеральный закон "Об организации предоставления государственных и муниципальных услуг");
- Федеральный закон от 02.05.2006 № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (далее - Федеральный закон "О порядке рассмотрения обращений граждан Российской Федерации");
- Федеральный закон от 06.12.2011 № 402-ФЗ "О бухгалтерском учете";
- Указ Президента Российской Федерации от 01.02.2005 № 112 "О конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации";
- Указ Президента Российской Федерации от 30.05.2005 № 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела";
- Распоряжение Правительства Российской Федерации от 26.05.2005 № 667-р "Об утверждении формы анкеты, представляемой гражданином Российской Федерации, поступающим на государственную гражданскую службу Российской Федерации или на муниципальную службу в Российской Федерации";
- Постановление Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
- Постановление Правительства Российской Федерации от 27.11.2006 № 719 "Об утверждении Положения о воинском учете";
- Постановление Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";
- Постановление Правительства Российской Федерации от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (далее - Постановление № 1119);
- Приказ Федеральной службы по техническому и экспертному контролю от 11.02.2013 № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";
- Постановление Правительства Вологодской области от 28.03.2016 № 288 "О создании единой централизованной информационной системы бюджетного (бухгалтерского) учета и отчетности".
2.2. Обработка персональных данных в администрации осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных, а также настоящими Правилами.
3. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. В целях реализации Правил в качестве субъектов персональных данных, персональные данные которых могут обрабатываться в администрации с использованием средств автоматизации или без использования таковых, понимаются ниже перечисленные категории, условно именуемые далее:
3.1.1. Служащие (работники) администрации, в состав которых включаются:
- лица, замещающие муниципальные должности и должности муниципальной службы (далее - служащие администрации);
- граждане, претендующие на замещение муниципальных должностей и должностей муниципальной службы в администрации;
- лица, замещающие должности, не отнесенные к муниципальным должностям и должностям муниципальной службы администрации Грязовецкого муниципального района (далее - работники администрации);
- граждане, претендующие на замещение должностей, не отнесенные к муниципальным должностям и должностям муниципальной службы;
- граждане, имевшие ранее служебные (трудовые) отношения с администрацией;
3.1.2. Лица, состоящие в родстве (свойстве) со служащими (работниками) администрации: родители, дети, сестры, братья, супруги (в том числе бывшие);
3.1.3. Лица, представляемые к награждению, наградные материалы по которым представлены в администрацию;
3.1.4. физические лица и представители организаций, обратившиеся в администрацию:
- в связи с предоставлением государственной или муниципальной услуги;
- в связи с исполнением государственной или муниципальной функции;
3.1.5. Граждане, обратившиеся в администрацию в соответствии с Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации";
3.1.6. Граждане, подлежащие воинскому учету, на территории Грязовецкого муниципального округа;
3.1.7. Иные субъекты персональных данных, которые не вошли в вышеперечисленные категории и обработка персональных данных которых не противоречит законодательству РФ, включая, но не ограничиваясь:
- физические лица, в том числе индивидуальные предприниматели, руководители, представители и работники юридических лиц, имеющие (имеющих) договорные отношения с администрацией гражданско-правового характера, отличные от отношений, связанных с оказанием администрацией государственных или муниципальных услуг, государственных функций и служебных (трудовых) отношений, или находящихся на преддоговорном этапе установления отношений подобного характера;
- физические лица, представители юридических лиц, индивидуальные предприниматели, заключившие или намеревающиеся заключить с администрацией договорные отношения в связи с осуществлением администрацией административно-хозяйственной деятельности;
- иные граждане, не вошедшие в вышеуказанные категории.
4. УСЛОВИЯ И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ В СВЯЗИ С РЕАЛИЗАЦИЕЙ СЛУЖЕБНЫХ ИЛИ ТРУДОВЫХ ОТНОШЕНИЙ
4.1. Персональные данные субъектов персональных данных (далее - персональные данные) служащих (работников) обрабатываются в целях обеспечения задач кадровой работы, в том числе кадрового учета, делопроизводства, содействия в осуществлении служебной (трудовой) деятельности, формирования кадрового резерва, обучения и должностного роста, учета результатов исполнения должностных обязанностей, обеспечения личной безопасности субъектов персональных данных, обеспечения установленных законодательством Российской Федерации условий труда, оплаты труда, гарантий и компенсаций, а также в целях противодействия коррупции.
4.2. Перечень персональных данных, обрабатываемых в целях, указанных в пункте 4.1 настоящих Правил, утверждается распоряжением администрации и соответствует данным, утвержденным Распоряжением Правительства Российской Федерации от 26.05.2005 № 667-р.
4.3. Обработка персональных данных осуществляется с письменного согласия субъекта персональных данных на обработку его персональных данных. Согласие на обработку персональных данных субъекта персональных данных, чьи данные обрабатываются в целях, определенных пунктом 4.1 настоящих Правил, не требуется при обработке персональных данных в соответствии с пунктом 2 части 1 статьи 6 Федерального закона "О персональных данных".
4.4. Согласие на обработку специальных категорий персональных данных, а также биометрических персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 4.1 настоящих Правил, не требуется при обработке персональных данных в соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 и частью 2 статьи 11 Федерального закона "О персональных данных" и положениями Трудового кодекса, за исключением случаев получения персональных данных работника у третьей стороны.
4.5. Необходимо получить согласие субъекта персональных данных на обработку его персональных данных в следующих случаях:
- при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации о муниципальной службе и о противодействии коррупции;
- при трансграничной передаче персональных данных;
- при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
4.6. В случаях, предусмотренных пунктом 4.5. настоящих Правил, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом "О персональных данных".
4.7. Обработка персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 4.1 настоящих Правил, осуществляется служащими отдела организационной и кадровой работы, отдела бухгалтерского учета и отчетности (в части своей компетенции), уполномоченными на обработку персональных данных (далее - служащие, уполномоченные на обработку персональных данных).
4.8. Обработка персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 4.1 настоящих Правил, включает в себя следующие действия: сбор (получение), запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
4.9. Сбор (получение), запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 4.1 настоящих Правил, осуществляется путем:
- получения оригиналов необходимых документов;
- копирования оригиналов документов;
- внесения сведений в учетные формы (на бумажных и электронных носителях);
- формирования персональных данных в ходе кадровой работы;
- внесения персональных данных в автоматизированные информационные системы, оператором которых является администрация (далее - автоматизированные информационные системы), используемые в целях, определенных пунктом 4.1 настоящих Правил.
4.10. Сбор (получение), запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 4.1 настоящих Правил.
4.11. В случае возникновения необходимости получения персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 4.1 настоящих Правил, у третьей стороны, следует известить об этом субъектов персональных данных заранее, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.
4.12. Запрещается получать, обрабатывать и приобщать к личным делам служащих администрации, работников администрации персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, частной жизни, членства в общественных объединениях.
4.13. При сборе персональных данных служащий, уполномоченный на обработку персональных данных, осуществляющий сбор (получение) персональных данных непосредственно от субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 4.1 настоящих Правил, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.
4.14. Передача (распространение, предоставление) и использование персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 4.1 настоящих Правил, осуществляется лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации.
4.15. Для лиц, состоящих в родстве (свойстве) со служащими (работниками) обработке подлежат следующие персональные данные:
1) фамилия, имя, отчество (при наличии) (в том числе прежние фамилии, имена и отчества (при наличии) в случае их изменения;
2) дата рождения;
3) место рождения;
4) место работы (службы);
5) домашний адрес;
6) сведения о проживании за границей и (или) оформлении документов для выезда на постоянное место жительства в другое государство, с какого времени проживают за границей.
4.16. Обработка персональных данных лиц, состоящих в родстве (свойстве) со служащими (работниками) администрации, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 2 части 1 статьи 6 Федерального закона "О персональных данных", Распоряжением Правительства Российской Федерации от 26.05.2005 № 667-р, статьей 218 налогового кодекса Российской Федерации, а также в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат).
4.17. Персональные данные, предоставляемые в отношении лиц, состоящих в родстве (свойстве) со служащими (работниками) обрабатываются только в целях осуществления и выполнения функций, возложенных законодательством Российской Федерации на администрацию.
5. УСЛОВИЯ И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ В СВЯЗИ С ПРЕДСТАВЛЕНИЕМ ИХ К НАГРАЖДЕНИЮ
5.1. В администрации персональные данные граждан, представленных к награждению, обрабатываются в целях реализации полномочий главы Грязовецкого муниципального округа по подготовке наградных документов и учета граждан, награжденных муниципальными наградами в соответствии с Положениями, утверждаемыми главой Грязовецкого муниципального округа и администрацией округа.
5.2. В целях, указанных в пункте 5.1 настоящих Правил, обработка персональных данных осуществляется с письменного согласия субъекта персональных данных на обработку его персональных данных.
5.3. В связи с рассмотрением поступивших в администрацию документов на граждан, представленных к награждению, обработке подлежат следующие персональные данные:
1) фамилия, имя, отчество (при наличии), в том числе прежние фамилия, имя, отчество в случае их изменения;
2) дата рождения (число, месяц, год рождения)
3) сведения об образовании;
4) занимаемая должность;
5) информация, содержащаяся в трудовой книжке (копия раздела «Сведения о награждении(при наличии));
6) данные, указанные в характеристике награждаемого;
7) иные сведения, которые награждаемый пожелал(а) сообщить о себе;
8) реквизиты идентификационного номера налогоплательщика и сведения о регистрации в системе индивидуального (персонифицированного) учета (в случае награждения ценным подарком главы округа).
5.4. Обработка персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 5.1 настоящих Правил, включает в себя следующие действия: сбор (получение), запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление), обезличивание, блокирование, удаление, уничтожение персональных данных.
5.5. Передача (распространение, предоставление) и использование персональных данных, указанных в пункте 5.3 настоящих Правил, осуществляется лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации.
6. УСЛОВИЯ И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ В СВЯЗИ С ПРЕДОСТАВЛЕНИЕМ ГОСУДАРСТВЕННЫХ И (ИЛИ) МУНИЦИПАЛЬНЫХ УСЛУГ, ИСПОЛНЕНИЕМ ГОСУДАРСТВЕННЫХ И (ИЛИ) МУНИЦИПАЛЬНЫХ ФУНКЦИЙ
6.1. В администрации обработка персональных данных заявителей либо их уполномоченных представителей, обратившихся в администрацию в устной, письменной или электронной форме в целях получения государственной или муниципальной услуги, осуществляется в порядке, установленном Федеральным законом "Об организации предоставления государственных и муниципальных услуг".
6.2. В соответствии с частями 1, 6 статьи 7 Федерального закона "Об организации предоставления государственных и муниципальных услуг", заявитель представляет документы и информацию или осуществляет действия, представление или осуществление которых предусмотрено нормативными правовыми актами, регулирующими отношения, возникающие в связи с предоставлением государственных и муниципальных услуг.
6.3. Обработка персональных данных, необходимых в связи с предоставлением государственных и муниципальных услуг, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 4 части 1 статьи 6 Федерального закона "О персональных данных" и частью 4 статьи 7 Федерального закона "Об организации предоставления государственных и муниципальных услуг".
6.4. Согласно части 3 статьи 7 Федерального закона "Об организации предоставления государственных и муниципальных услуг" в случае, если для предоставления государственной или муниципальной услуги необходима обработка персональных данных лица, не являющегося заявителем, и если в соответствии с федеральным законом обработка таких персональных данных может осуществляться с согласия указанного лица, при обращении за получением государственной или муниципальной услуги заявитель дополнительно представляет документы, подтверждающие получение согласия указанного лица или его законного представителя на обработку персональных данных указанного лица. Документы, подтверждающие получение согласия, могут быть представлены, в том числе в форме электронного документа. Действие настоящей части не распространяется на лиц, признанных безвестно отсутствующими, и на разыскиваемых лиц, место нахождения которых не установлено уполномоченным федеральным органом исполнительной власти.
6.5. Обработка персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 6.1 настоящих Правил, включает в себя следующие действия: сбор (получение), запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление), обезличивание, блокирование, удаление, уничтожение персональных данных.
6.6. Передача (распространение, предоставление) и использование персональных данных, указанных в пункте 6.2 настоящих Правил, осуществляется лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации.
7. УСЛОВИЯ И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ В СВЯЗИ С РАССМОТРЕНИЕМ ОБРАЩЕНИЙ ГРАЖДАН
7.1. В администрации обработка персональных данных граждан осуществляется в целях обеспечения своевременного и в полном объеме рассмотрения их устных и письменных обращений в порядке, установленном Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации".
7.2. Персональные данные граждан, обратившихся в администрацию лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением граждан о результатах рассмотрения.
В соответствии с законодательством Российской Федерации в администрации подлежат рассмотрению обращения граждан Российской Федерации, иностранных граждан и лиц без гражданства.
7.3. В соответствии со статьями 7 и 13 Федерального закона "О порядке рассмотрения обращений граждан Российской Федерации" в связи с рассмотрением поступивших в администрацию обращений граждан обработке подлежат следующие персональные данные:
1) фамилия, имя, отчество (при наличии);
2) почтовый адрес;
3) адрес электронной почты;
4) указанный в обращении контактный телефон;
5) иные персональные данные, указанные в обращении, а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения.
7.4. Обработка персональных данных, необходимых в связи с рассмотрением обращений граждан, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 2 части 1 статьи 6 Федерального закона "О персональных данных" и Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации".
7.5. Передача (распространение, предоставление) и использование персональных данных, указанных в пункте 7.3 настоящих Правил, осуществляется лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации.
8. УСЛОВИЯ И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ В СВЯЗИ С ВЕДЕНИЕМ ПЕРВИЧНОГО ВОИНСКОГО УЧЕТА
8.1. В администрации персональные данные граждан, подлежащих воинскому учету, обрабатываются в целях реализации полномочий по осуществлению первичного воинского учета граждан, проживающих на территории Грязовецкого муниципального округа, в порядке, установленном Федеральным законом от 28.03.1998 № 53-ФЗ "О воинской обязанности и военной службе".
8.2. Перечень персональных данных, обрабатываемых в целях, указанных в пункте 8.1 настоящих Правил, утверждается распоряжением администрации и соответствует данным, утвержденным постановлением Правительства Российской Федерации от 27.11.2006 № 719 "Об утверждении Положения о воинском учете".
8.3. Обработка персональных данных, необходимых в связи с ведением первичного воинского учета, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 2 части 1 статьи 6 Федерального закона "О персональных данных".
8.4. Обработка персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 8.1 настоящих Правил, включает в себя следующие действия: сбор (получение), запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление), обезличивание, блокирование, удаление, уничтожение персональных данных.
8.5. Передача (распространение, предоставление) и использование персональных данных, указанных в пункте 8.2 настоящих Правил, осуществляется лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации.
9. УСЛОВИЯ И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ИНЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. В администрации обработка персональных данных иных субъектов персональных данных осуществляется в целях своевременного обеспечения и в полном объеме договорных отношений с администрацией гражданско-правового характера, в связи с осуществлением администрацией административно-хозяйственной деятельности, иных услуг, отличных от отношений, связанных с оказанием администрацией государственных или муниципальных услуг, государственных функций и служебных (трудовых) отношений.
9.2. В целях, указанных в пункте 9.1 настоящих Правил, обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
9.3. Согласие на обработку персональных данных субъекта персональных данных, чьи данные обрабатываются в целях, определенных пунктом 9.1 настоящих Правил, не требуется при обработке персональных данных в соответствии с пунктом 5 части 1 статьи 6 Федерального закона "О персональных данных".
9.4. Обработка персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 9.1 настоящих Правил, осуществляется служащими (работниками), уполномоченными на обработку персональных данных в части своей компетенции.
9.5. В целях, указанных в п.9.1. обработке подлежат следующие персональные данные:
1) фамилия, имя, отчество (при наличии);
2) вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, наименование органа и код подразделения органа (при наличии), выдавшего его, дата выдачи;
3) идентификационный номер налогоплательщика (ИНН);
4) страховой номер индивидуального лицевого счета, указанный в страховом свидетельстве обязательного пенсионного страхования (СНИЛС);
5) данные документа, подтверждающие полномочия представителя юридического лица;
6) номера городских и мобильных телефонов, номера факсов;
7) адреса электронной почты;
8) прочая информация, запрашиваемая администрацией в целях выполнения договорных отношений, оказания соответствующей услуги.
9.6. Обработка персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 8.1 настоящих Правил, включает в себя следующие действия: сбор (получение), хранение, обезличивание, блокирование, удаление, уничтожение персональных данных.
9.7. Передача (распространение, предоставление) и использование персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 9.1 настоящих Правил, осуществляется лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации.
10. ОСОБЕННОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, РАЗРЕШЕННЫХ СУБЪЕКТОМ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ РАСПРОСТРАНЕНИЯ
10.1. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона «О персональных данных».
10.2. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
10.3. Форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждена постановлением администрации от 01.01.2023 № 2 «об утверждении организационно-распорядительной документации в сфере обработки персональных данных» в соответствии с требованиями, установленными приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».
11. ОСОБЕННОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМЫХ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ
11.1. Порядок обработки персональных данных, осуществляемых без использования средств автоматизации, строится на принципах, изложенных в Положении об особенностях обработки персональных данных, осуществляемой без средств автоматизации, утвержденном Постановлением Правительства РФ от 15.09.2008 № 687.
11.2. Служащие, работники администрации должны быть проинформированы о факте обработки ими персональных данных без использования средств автоматизации.
11.3. При разработке типовых форм, содержащих персональные данные, ответственные за разработку этих форм должны учитывать следующие положения:
1) фиксация на одном материальном носителе персональных данных субъекта, цели обработки которых не совместимы, не допускается;
2) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать следующие сведения - цель обработки персональных данных, наименование и адрес администрации, Ф.И.О. и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки и общее описание используемых администрацией способов обработки персональных данных;
3) типовая форма должна предусматривать поле, в котором субъект персональных данных может собственноручно поставить отметку о своем согласии на обработку персональных данных «согласен/не согласен»;
4) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных.
11.4. При не совместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
1) осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется копия персональных данных;
2) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
11.5. При необходимости уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
11.6. В случае принятия администрацией решения о необходимости ведения журналов (реестров, книг), содержащих персональные данные, используемые для однократного пропуска субъекта персональных данных на территорию (в здание и помещения), на которой размещаются подразделения администрации, или в иных аналогичных целях, должны соблюдаться следующие условия:
1) необходимость ведения такого журнала (реестра, книги) должна определяться соответствующим внутренним нормативным документом администрации, в котором должны содержаться сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию (в здание и помещения) администрации, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;
2) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;
3) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более раза в каждом случае пропуска субъекта персональных данных на территорию (в здание, помещения) администрации.
11.7. Для решения задачи обеспечения безопасности администрации, связанной с физическим доступом субъектов персональных данных (граждан, работников, служащих, иных субъектов персональных данных) на территорию администрации, в здание и помещения администрации, в которых осуществляется обработка персональных данных, возможно применение системы видеонаблюдения. При этом материалы видеозаписи системы видеонаблюдения не являются биометрическими персональными данными, поскольку технические характеристики применяемого оборудования не позволяют получать видеозаписи с привязкой к конкретному физическому лицу и использоваться в администрации для установления личности субъекта персональных данных.
12. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
12.1. Обработка персональных данных в администрации может осуществляться с использованием автоматизированных информационных систем. Перечень автоматизированных информационных систем утверждается распоряжением администрации.
12.2. Доступ к автоматизированным информационным системам служащих (работников) администрации, осуществляющих обработку персональных данных в автоматизированных информационных системах, реализуется посредством учетной записи, состоящей из имени пользователя и пароля.
12.3. Доступ к автоматизированным информационным системам предоставляется в соответствии с функциями, предусмотренными должностными обязанностями служащих (работников) администрации.
12.4. Информация может размещаться в автоматизированных информационных системах как в автоматическом, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
12.5. В соответствии с требованиями Постановления № 1119 от 01.11.2012 для каждой автоматизированной информационной системы составляется акт классификации и определяются уровни защищенности персональных данных.
12.6. Обеспечение безопасности персональных данных, обрабатываемых в автоматизированных информационных системах, осуществляется Комитетом информационных технологий администрации и достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также иных неправомерных действий в отношении персональных данных согласно статье 19 Федерального закона "О персональных данных".
13. ОРГАНИЗАЦИЯ ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
13.1. Порядок хранения персональных данных в администрации позволяет осуществлять хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок их хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Данный порядок соответствует определенному в части 7 статьи 5 Федерального закона "О персональных данных" принципу обработки персональных данных.
13.2. Сроки хранения персональных данных в администрации, в общем случае, определяются в соответствии со сроками, установленными Приказом Федерального архивного агентства от 20.12.2019 № 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения", а также иными требованиями законодательства РФ (по срокам исковой давности, по оформлению трудовых отношений и т.д.), документов, фиксирующих договорные отношения администрации с субъектами персональных данных, и согласий субъектов на обработку персональных данных.
13.3. Персональные данные хранятся на бумажном носителе в отраслевых (функциональных) и территориальных органах администрации, структурных подразделениях администрации, в функции которых входит обработка персональных данных в соответствии с положениями.
13.4. Персональные данные хранятся в электронном виде в автоматизированных электронных системах.
13.5. Сроки хранения персональных данных на бумажном носителе определяются нормативными правовыми актами, регламентирующими порядок их сбора (получения) и обработки.
13.6. Срок хранения персональных данных, внесенных в автоматизированные информационные системы, должен соответствовать сроку хранения персональных данных на бумажных носителях.
13.7. В администрации определен порядок не архивного хранения документов (материальных носителей), содержащих персональные данные, который предусматривает раздельное, по возможности, хранение документов по соответствующим категориям персональных данных и исключением несанкционированного доступа к ним, а также определением мер контроля обеспечения безопасности персональных данных при хранении их материальных носителей.
14. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ДОСТИЖЕНИИ ЦЕЛЕЙ ОБРАБОТКИ ИЛИ ПРИ НАСТУПЛЕНИИ ЗАКОННЫХ ОСНОВАНИЙ
14.1. Документы, содержащие персональные данные, сроки хранения которых истекли, подлежат уничтожению.
14.2. Документы, содержащие персональные данные, на бумажном носителе передаются в архив администрации для уничтожения в порядке, установленном законодательством Российской Федерации об архивном деле.
14.3. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
14.4. В случае достижения цели обработки персональных данных (ст.21 ч.4), утраты необходимости достижения цели (ст.5 ч.7), отзыва субъектом персональных данных согласия на обработку его персональных данных (ст.21 ч.5) администрация обязана прекратить их обработку или обеспечить ее прекращение. В случае если сохранение персональных данных более не требуется для целей обработки, уничтожить персональные данные в срок, не превышающий 30 дней с даты достижения цели, поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между администрацией и субъектом персональных данных либо если администрация не вправе осуществлять обработку персональных данных без согласия на основаниях, предусмотренных федеральными законами РФ.
14.5. В случае обращения субъекта персональных данных с требованием о прекращении обработки персональных данных администрация обязана в срок, не превышающий десяти рабочих дней с даты получения требования, прекратить обработку, за исключением случаев установленных законодательством РФ. Указанный срок может быть продлен, но не более чем на пять дней в случае направления администрацией мотивированного уведомления в адрес заявителя с указанием причин продления срока предоставляемой информации.
14.6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п.13.4. настоящих Правил, администрация осуществляет блокировку таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
14.7. Уничтожение персональных данных осуществляется комиссионно в структурном подразделении, в отраслевых (функциональных) и территориальных органах администрации, осуществляющих обработку персональных данных. Акт об уничтожении документов, содержащих персональные данные, оформляется по факту уничтожения и должен соответствовать Требованиям к подтверждению уничтожения персональных данных, утвержденных приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 № 179.
15. ПОРЯДОК ДОСТУПА В ПОМЕЩЕНИЯ, В КОТОРЫХ ВЕДЕТСЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
15.1. В соответствии с Постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" в администрации утверждается Порядок доступа служащих (работников) администрации Грязовецкого муниципального округа в помещения, в которых ведется обработка персональных данных.
15.2. Списки лиц, имеющих доступ в помещения, в которых осуществляется обработка персональных данных, утверждаются руководителями отраслевых (функциональных) и территориальных органов, структурных подразделений администрации, за которыми закреплены данные помещения.
15.3. Пребывание лиц, не имеющих право на осуществление обработки персональных данных либо на осуществление доступа к персональным данным в помещениях, в которых ведется обработка персональных данных, возможно только в сопровождении служащего (работника) из списка лиц согласно п.15.2 настоящих Правил.
16. ОТВЕТСТВЕННЫЙ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
16.1. Ответственный за организацию обработки персональных данных в администрации (далее - ответственный за обработку персональных данных), назначается главой администрации из числа служащих (работников) администрации.
16.2. Ответственный за обработку персональных данных в своей работе руководствуется законодательством Российской Федерации в области персональных данных и настоящими Правилами.
16.3. Ответственный за обработку персональных данных обязан:
16.3.1. организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
16.3.2. осуществлять внутренний контроль за соблюдением служащими (работниками), уполномоченными на обработку персональных данных, требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
16.3.3. доводить до сведения служащих (работников), уполномоченных на обработку персональных данных, положения законодательства Российской Федерации в области персональных данных, локальные акты по вопросам обработки персональных данных, требования к защите персональных данных;
16.3.4. организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в администрации;
16.3.5. в случае нарушения требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
16.4. Ответственный за обработку персональных данных вправе:
16.4.1. иметь доступ к информации, касающейся обработки персональных данных в администрации и включающей:
цели обработки персональных данных;
категории обрабатываемых персональных данных;
категории субъектов персональных данных, персональные данные которых обрабатываются;
правовые основания обработки персональных данных;
перечень действий с персональными данными, общее описание используемых в администрации способов обработки персональных данных;
описание мер, предусмотренных статьями 18.1 и 19 Федерального закона "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
дату начала обработки персональных данных;
срок или условия прекращения обработки персональных данных;
сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, установленными Постановлением № 1119;
16.4.2. привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в администрации, иных служащих (работников) администрации с возложением на них соответствующих обязанностей и закреплением ответственности.
16.5. Ответственный за обработку персональных данных несет ответственность за ненадлежащее выполнение функций по организации обработки персональных данных в администрации в соответствии с законодательством Российской Федерации в области персональных данных.
17. ПОРЯДОК ДЕЙСТВИЙ ПРИ ВЫЯВЛЕНИИ НЕПРАВОМЕРНОЙ ИЛИ СЛУЧАЙНОЙ ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ
17.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - инцидент), лицо, ответственное за организацию обработки персональных данных незамедлительно организует внутреннее расследование.
17.2. Внутреннее расследование проводится комиссией по внутреннему расследованию по поручению лица, ответственного за организацию обработки персональных данных в администрации, которым устанавливаются сроки проведения внутреннего расследования. Персональный состав комиссии по внутреннему расследованию утверждается распоряжением главы округа.
17.3. Результаты внутреннего расследования инцидента оформляются заключением комиссии по внутреннему расследованию, которое подписывается всеми членами комиссии.
17.4. Комиссия по внутреннему расследованию инцидента обеспечивает подготовку и представление в уполномоченный орган по защите прав субъектов персональных данных в сроки, установленные частью 3.1 статьи 21 Федерального закона "О персональных данных", следующих уведомлений, подписанных лицом, ответственным за организацию обработки персональных данных:
17.4.1. уведомление, содержащее информацию об обстоятельствах инцидента, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также сведения о лице, уполномоченном на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
17.4.2. уведомление о результатах внутреннего расследования выявленного инцидента, содержащее информацию об обстоятельствах инцидента, об установленных причинах, повлекших нарушение прав субъектов персональных данных, и установленном вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, мерах, направленных на предотвращение возникновения подобных инцидентов, а также сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии), о привлечении к ответственности должностных лиц администрации, действия которых стали причиной выявленного инцидента (при наличии).
17.5. Лицо, ответственное за организацию обработки персональных данных в администрации:
- в течение 1 рабочего дня со дня подписания заключения комиссии по внутреннему расследованию информирует главу округа о результатах внутреннего расследования произошедшего инцидента, в том числе для решения главой округа вопроса привлечения к ответственности должностных лиц администрации, действия которых стали причиной выявленного инцидента;
- по результатам внутреннего расследования вправе принять решение о проведении внеплановой проверки соответствия обработки персональных данных в администрации установленным требованиям к защите персональных данных;
- осуществляет контроль исполнения предписанных комиссией по внутреннему расследованию мер по устранению последствий соответствующего инцидента, мер направленных на предотвращение возникновения подобных инцидентов.
18. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И БЕЗОПАСНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
18.1. Администрация, ее работники, служащие, уполномоченные обрабатывать персональные данные, виновные в нарушении требований Федерального закона "О персональных данных", несут предусмотренную законодательством РФ ответственность.
18.2. Если субъект персональных данных считает, что администрация как оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона "О персональных данных" или иным образом нарушает его права и свободы, то он вправе обжаловать действия или бездействие администрации в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
18.3. Администрация не несет гражданско-правовую ответственность за распространение информации ограниченной или запрещенной к распространению федеральными законами, если она действует как лицо, оказывающее услуги: либо по передаче информации, предоставленным другим лицом, при условии ее передачи без изменений и исправлений; либо по хранению информации и обеспечению доступа к ней при условии, что администрация не могла знать о незаконности распространения информации.
18.4. Администрация, как лицо, права и законные интересы которого были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, защите деловой репутации.
Требование о возмещении убытков не может быть удовлетворено в случае, если администрация не приняла мер по соблюдению конфиденциальности информации или нарушила установленные законодательством РФ требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями администрации.
18.5. Все работники, служащие администрации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной ответственности в порядке, установленном Трудовым кодексом.
18.6. Лица, виновные в нарушении требований Федерального закона "О персональных данных", требований настоящих Правил несут ответственность, предусмотренную действующим законодательством (гражданско-правовую, административную, уголовную).