АДМИНИСТРАЦИЯ

Большелуцкого сельского поселения

Кингисеппского муниципального района

Ленинградской области

РАСПОРЯЖЕНИЕ

от 08 августа 2025 года № 21

О работе с персональными данными

в Администрации Большелуцкого сельского поселения

Кингисеппского муниципального района

Ленинградской области

В соответствии с постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", пунктом 2 постановления Правительства Ленинградской области от 11 сентября 2015 года N 358 "Об утверждении типовых организационно-распорядительных документов операторов персональных данных" приказываю:

1. Утвердить организационно-распорядительные документы Администрации Большелуцкого сельского поселения Кингисеппского муниципального района Ленинградской области (далее – Администрация) по работе с персональными данными:

1.1. Правила обработки персональных данных в Администрации согласно приложению 1.

1.2. Правила рассмотрения запросов субъектов персональных данных или их представителей в Администрации согласно приложению 2.

1.3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Администрации согласно приложению 3.

1.4. Правила работы с обезличенными данными в Администрации согласно приложению 4.

1.5. Перечень персональных данных, обрабатываемых в Администрации, согласно приложению 5.

1.6. Перечень должностей муниципальных служащих Администрации, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, согласно приложению 6.

1.7. Перечень должностей в Администрации, замещение которых предусматривает организацию обработки персональных данных, осуществление обработки персональных данных либо осуществление доступа к персональным данным, согласно приложению 7.

1.8. Перечень должностных обязанностей ответственного за организацию обработки персональных данных, ответственных за организацию обработки персональных данных в отделах, ответственных за сбор, обработку, хранение персональных данных в Администрации согласно приложению 8.

1.9. Типовое обязательство муниципального служащего, непосредственно осуществляющего обработку персональных данных, прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, в случае расторжения с ним служебного контракта согласно приложению 9.

1.10. Типовую форму согласия на обработку персональных данных субъектов персональных данных согласно приложению 10.

1.11. Порядок доступа муниципальных служащих Администрации в помещения, в которых ведется обработка персональных данных, согласно приложению 11.

1.12. Типовой план правовых, организационных и технических мер по обеспечению безопасности персональных данных в Администрации по форме согласно приложению 12.

1.13. Порядок проведения проверок соответствия обработки персональных данных установленным требованиям в Администрации по форме согласно приложению 13.

2. Ответственным за организацию обработки персональных данных в Администрации назначить заместителя главы Администрации.

3. Ответственными за организацию обработки персональных данных в отделах Администрации назначить начальников отделов Администрации.

4. Приказ довести до работников Администрации под роспись.

6. Контроль за исполнением приказа оставляю за собой.

 

Глава Администрации

О.В. Петров

Утверждены Распоряжением
Главы Администрации
Большелуцкого сельского поселения
от 08.08.2025 N 21
(приложение 1)

Правила
обработки персональных данных в Администрации Большелуцкого сельского поселения Кингисеппского муниципального района Ленинградской области

1. Настоящие Правила обработки персональных данных в Администрации Большелуцкого сельского поселения Кингисеппского муниципального района Ленинградской области (далее - Администрация), устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения либо обезличивания по достижении целей обработки или при наступлении иных законных оснований, разработаны в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (далее - Правила).

2. Правила устанавливают порядок действий Администрации, совершаемых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов.

3. Целью Правил является обеспечение защиты прав и свобод при обработке персональных данных граждан, обратившихся в Администрацию, установление ответственности муниципальных служащих Администрации за невыполнение норм, регулирующих обработку и защиту персональных данных.

4. В Правилах используются основные понятия, установленные статьей 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных").

5. Субъектами персональных данных являются физические лица, в отношении которых у Администрации имеются персональные данные, в том числе направившие в Администрацию письменное предложение, заявление или жалобу либо лично обратившиеся в соответствии с Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации".

6. Должностными лицами Администрации, ответственными за сбор, использование, хранение персональных данных, содержащихся в документах, предоставляемых в Администрацию субъектами персональных данных, являются работники Администрации (далее - муниципальные служащие Администрации), которые в соответствии с резолюцией главы Администрации осуществляют рассмотрение поступивших обращений граждан, проводят проверки иной информации, направленной в Администрацию.

7. Муниципальные служащие Администрации, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных или его представителя, если иное не предусмотрено федеральным законом.

8. Обработка персональных данных допускается в случаях, предусмотренных Федеральным законом "О персональных данных":

с согласия субъекта персональных данных на обработку его персональных данных;

когда это необходимо для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Администрацию функций, полномочий и обязанностей;

в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

когда это необходимо для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.

9. Обработка персональных данных Администрацией осуществляется с соблюдением принципов, установленных статьей 5 Федерального закона "О персональных данных".

10. Мерами, направленными на выявление и предотвращение нарушений, предусмотренных законодательством в сфере персональных данных, являются:

назначение Администрацией ответственного (ответственных) за организацию обработки персональных данных;

издание Администрацией правовых актов по вопросам обработки персональных данных, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона "О персональных данных";

осуществление внутреннего контроля соответствия обработки персональных данных нормам Федерального закона "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами;

оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", соотношение указанного вреда и принимаемых Администрацией мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным Федеральным законом;

ознакомление муниципальных служащих Администрации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, нормативными правовыми актами Ленинградской области по вопросам обработки персональных данных и(или) обучение ответственных муниципальных служащих Администрации.

11. Обработка персональных данных осуществляется муниципальными служащими Администрации в соответствии с требованиями, установленными постановлениями Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

12. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители) - на бумажных носителях в виде документов и в электронном виде (файлы, базы данных) на электронных носителях информации.

13. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

14. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

15. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

16. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.

В случае достижения цели обработки персональных данных обработка персональных данных прекращается, и осуществляется их уничтожение в срок, не превышающий 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Администрацией и субъектом персональных данных либо если Администрацию не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.

17. Персональные данные (материальные носители), обработка которых осуществляется в различных целях, хранятся раздельно.

18. Для хранения документов, содержащих персональные данные, используются помещения Администрации.

19. Внутренний доступ к персональным данным субъекта персональных данных имеют муниципальные служащие Администрации, которым эти данные необходимы для выполнения должностных обязанностей.

20. Внешний доступ со стороны третьих лиц к персональным данным субъекта персональных данных осуществляется только с письменного согласия субъекта персональных данных, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта персональных данных или других лиц, и иных случаев, установленных законодательством.

21. Для защиты персональных данных субъектов персональных данных Администрацию:

избирательно и обоснованно распределяет документы и информацию между муниципальными служащими Администрации;

рационально размещает рабочие места муниципальных служащих Администрации, исключая бесконтрольное использование защищаемой информации;

обеспечивает ознакомление муниципальных служащих Администрации с требованиями документов по защите персональных данных;

обеспечивает соответствие необходимых условий в помещении для работы с персональными данными.

22. Администрацию при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, копирования, распространения персональных данных, а также от иных неправомерных действий.

23. Нарушение установленного законом порядка сбора, хранения, обработки или распространения персональных данных влечет ответственность муниципальных служащих Администрации в соответствии с законодательством Российской Федерации.

24. Лица, ответственные за организацию обработки персональных данных, обязаны:

осуществлять внутренний контроль за соблюдением муниципальными служащими Администрации законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

доводить до сведения муниципальных служащих Администрации положения законодательства Российской Федерации, Ленинградской области о персональных данных, правовых актов Администрации по вопросам обработки персональных данных, требований к защите персональных данных;

осуществлять контроль за обработкой запросов субъектов персональных данных или их представителей.

25. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных неправомерно обрабатываемые персональные данные, относящиеся к этому субъекту персональных данных, блокируются с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных персональные данные, относящиеся к этому субъекту персональных данных, блокируются с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

26. В случае подтверждения факта неточности персональных данных Администрацию на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

27. В случае выявления неправомерной обработки персональных данных в срок, не превышающий трех рабочих дней с даты выявления, неправомерная обработка персональных данных прекращается. В случае если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, такие персональные данные уничтожаются.

Об устранении допущенных нарушений или об уничтожении персональных данных Администрация уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также в указанный орган.

Утверждены
Распоряжением
Контрольного Администрации
Губернатора Ленинградской области
от 08.08.2025 N 21

(приложение 2)

Правила
рассмотрения запросов субъектов персональных данных или их представителей Администрацию Большелуцкого сельского поселения Кингисеппского муниципального района Ленинградской области

1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных; правовые основания и цели обработки персональных данных; цели и применяемые способы обработки персональных данных; наименование и место нахождения Администрации, сведения о лицах (за исключением муниципальных служащих Администрации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Администрацией или на основании федерального закона;

обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных, если обработка поручена или будет поручена такому лицу;

иные сведения, предусмотренные Федеральным законом "О персональных данных" или другими федеральными законами.

2. Субъект персональных данных вправе требовать от Администрации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

3. Сведения предоставляются субъекту персональных данных Администрацией в доступной форме без содержания персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

4. Сведения предоставляются субъекту персональных данных или его представителю Администрацией при обращении либо при получении запроса субъекта персональных данных или его представителя.

Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Администрацией, либо сведения, иным образом подтверждающие факт обработки персональных данных Администрацией, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

5. В случае если обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Администрацию или направить повторный запрос в целях ознакомления с такими персональными данными не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом "О персональных данных", принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

6. Субъект персональных данных вправе обратиться повторно в Администрацию или направить повторный запрос в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 5 настоящих Правил, в случае, если такие сведения и(или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 4 настоящих Правил, должен содержать обоснование направления повторного запроса.

7. Администрация вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 5 и 6 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса возлагается на Администрацию.

Утверждены
Распоряжением
Контрольного Администрации
Губернатора Ленинградской области
от 08.08.2025 N 21

(приложение 3)

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Администрации Большелуцкого сельского поселения Кингисеппского муниципального района Ленинградской области

1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Администрации организуется проведение периодических проверок условий обработки персональных данных.

2. Проверки осуществляются должностным лицом, ответственным за организацию обработки персональных данных в Администрации.

3. В проведении проверки не может участвовать муниципальный служащий Администрации, прямо или косвенно заинтересованный в ее результатах.

4. Проверки соответствия обработки персональных данных установленным требованиям проводятся на основании утвержденного ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего в Администрацию письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.

5. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне определены:

порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

порядок и условия применения средств защиты информации;

эффективность принимаемых мер по обеспечению безопасности персональных данных;

состояние учета машинных носителей персональных данных;

соблюдение правил доступа к персональным данным;

наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

мероприятия по обеспечению целостности персональных данных.

6. Должностное лицо, ответственное за организацию обработки персональных данных, имеет право:

запрашивать у муниципальных служащих Администрации информацию, необходимую для исполнения своих обязанностей;

требовать от муниципальных служащих Администрации, уполномоченных на обработку персональных данных, уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

представлять председателю Администрации предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

представлять председателю Администрации предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в части обработки персональных данных.

7. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.

8. Проверка должна быть завершена не позднее чем через десять дней со дня принятия решения о ее проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, главе Администрации докладывает должностное лицо, ответственное за организацию обработки персональных данных, в форме письменного заключения.