Приказ Управления Росреестра по МО от 29.04.2015 N 131-Пр "Об утверждении Положения о защите персональных данных в Управлении Федеральной службы государственной регистрации, кадастра и картографии по Московской области"
УПРАВЛЕНИЕ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ГОСУДАРСТВЕННОЙ РЕГИСТРАЦИИ,
КАДАСТРА И КАРТОГРАФИИ ПО МОСКОВСКОЙ ОБЛАСТИ
ПРИКАЗ
от 29 апреля 2015 г. № 131-Пр
ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В УПРАВЛЕНИИ ФЕДЕРАЛЬНОЙ СЛУЖБЫ ГОСУДАРСТВЕННОЙ РЕГИСТРАЦИИ,
КАДАСТРА И КАРТОГРАФИИ ПО МОСКОВСКОЙ ОБЛАСТИ
В соответствии с Федеральным законом от 27.07.2004 № 79-ФЗ "О государственной гражданской службе Российской Федерации", Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", Указом Президента Российской Федерации от 30.05.2005 № 609 "Об утверждении Положения о персональных данных государственного гражданского служащего и ведении его личного дела", постановлением Правительства от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" приказываю:
1. Утвердить Положение об организации работы с персональными данными работников (федеральных государственных гражданских служащих и граждан, замещающих должности, не являющиеся должностями государственной гражданской службы) Управления Федеральной службы государственной регистрации, кадастра и картографии по Московской области (далее - Управление) и граждан, персональные данные которых необходимы Управлению в целях оказания государственных услуг и исполнения государственных функций.
2. Контроль за исполнением настоящего приказа оставляю за собой.
И.о. руководителя
С.И. Богданов
Приложение
к приказу Управления
Федеральной службы государственной
регистрации, кадастра и картографии
по Московской области
от 29 апреля 2015 г. № 131-Пр
ПОЛОЖЕНИЕ
О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В УПРАВЛЕНИИ ФЕДЕРАЛЬНОЙ СЛУЖБЫ
ГОСУДАРСТВЕННОЙ РЕГИСТРАЦИИ, КАДАСТРА И КАРТОГРАФИИ
ПО МОСКОВСКОЙ ОБЛАСТИ
1. Общие положения
1.1. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (далее - Закон о персональных данных), Федеральным законом от 27 июля 2004 г. № 79-ФЗ "О государственной гражданской службе Российской Федерации" (далее - Закон о службе), постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", разъяснениями Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по вопросам, касающимся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве (опубликованы на официальном сайте 24 декабря 2012 г.).
1.2. Положение определяет порядок сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения персональных данных, обрабатываемых в Управлении Федеральной службы государственной регистрации, кадастра и картографии по Московской области (далее - Управление), и установление ответственности должностных лиц Управления, непосредственно осуществляющих обработку персональных данных и (или) имеющих доступ к персональным данным, за невыполнение требований законодательства Российской Федерации в сфере обработки и защиты персональных данных.
1.3. Настоящее Положение вступает в силу с момента его утверждения.
1.4. Настоящее Положение является обязательным для исполнения всеми сотрудниками Управления, имеющими доступ к персональным данным субъектов персональных данных.
1.5. Настоящее Положение подлежит корректировке при изменении законодательных и нормативно-правовых актов, по рекомендациям надзорных органов, по результатам проверок в рамках государственного контроля (надзора).
1.6. Лицо, ответственное за организацию обработки персональных данных, назначается приказом руководителя Управления.
1.7. В настоящем Положении используются следующие понятия, термины и сокращения:
Персональные данные (ПДн) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация (пункт 1 статьи 3 Закона о персональных данных).
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка (использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных) содержащихся в информационной системе персональных данных либо извлеченных из такой системы персональных данных, осуществляемая при непосредственном участии человека.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2. Состав персональных данных
2.1. Персональные данные, обрабатываемые в целях соблюдения
требований трудового законодательства Российской Федерации
и законодательства о государственной гражданской службе
Российской Федерации
2.1.1. Персональные данные субъектов персональных данных, указанных в пункте 2.1.2 настоящего Положения, обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия в прохождении гражданской службы (работы), содействия в выполнении осуществляемой работы, формирования кадрового резерва, обучения и должностного роста, учета результатов должностных обязанностей, обеспечения личной безопасности работников Управления и членов их семей, обеспечения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества, а также в целях противодействия коррупции, предоставляемых Управлением, и исполнения государственных функций.
2.1.2. В Управлении обрабатываются персональные данные следующих категорий субъектов персональных данных:
- государственных гражданских служащих;
- работников, замещающих должности, не являющиеся должностями государственной гражданской службы;
- граждан, включенных в кадровый резерв;
- граждан, не допущенных к участию в конкурсах на замещение вакантных должностей и конкурсах на включение в кадровый резерв;
- граждан, участвовавших в конкурсах на замещение вакантных должностей и в конкурсах на включение в кадровый резерв, но не прошедших конкурсный отбор.
2.1.3. Под персональными данными понимается любая информация, относящаяся к определенному или определяемому на основании такой информации гражданскому служащему (работнику, замещающему должность, не являющуюся должностью государственной гражданской службы, гражданину), в том числе:
- фамилия, имя, отчество;
- информация о смене фамилии, имени, отчества, реквизиты документа об изменении фамилии, имени, отчества;
- пол;
- дата рождения;
- место рождения;
- сведения о гражданстве (в том числе ранее имевшихся и иных гражданствах);
- документ, удостоверяющий личность (серия, номер, когда и кем выдан);
- место жительства и дата регистрации по месту жительства;
- номера контактных телефонов;
- семейное положение;
- состав семьи;
- сведения о наличии детей, их возрасте, месте учебы (работы);
- отношение к воинской обязанности, воинское звание, состав рода войск, военный билет, приписное свидетельство, сведения о постановке на воинский учет и прохождении службы в Вооруженных Силах;
- сведения о получении профессионального и дополнительного образования (наименование образовательного учреждения, специальность и квалификация по документу об образовании; документ об образовании, квалификации, наименование документа об образовании, его серия и номер, дата выдачи);
- сведения об уровне специальных знаний (работа на компьютере, знание иностранного языка);
- сведения о профессиональной переподготовке, повышении квалификации, стажировке;
- сведения о трудовой деятельности, общем трудовом стаже и стаже государственной гражданской службы;
- сведения о классных чинах, военных и специальных званиях;
- сведения о состоянии здоровья и его соответствии выполняемой работе, наличии группы инвалидности и степени ограничения способности к трудовой деятельности;
- сведения об отпусках и командировках;
- сведения о прохождении аттестации и сдаче квалификационного экзамена;
- сведения о награждениях (поощрениях);
- сведения о проведенных проверках и примененных взысканиях;
- реквизиты идентификационного номера налогоплательщика;
- реквизиты страхового номера индивидуального лицевого счета в Пенсионном фонде Российской Федерации (СНИЛС);
- реквизиты полиса обязательного медицинского страхования;
- сведения о доходах, имуществе и обязательствах имущественного характера государственного гражданского служащего и членов его семьи;
- сведения о социальных льготах;
- информация о доходах, расходах, выплатах и удержаниях;
- номера банковских счетов;
- фотография;
- иные документы и сведения, обработка которых необходима в целях исполнения заключенного с работником служебного контракта (договора), приема его на работу (службу) или исполнения возложенных на Управление обязанностей, функций и полномочий.
2.1.4. К документам (в бумажном и (или) электронном виде), содержащим персональные данные государственных гражданских служащих Управления, работников, замещающих должности, не являющиеся должностями государственной гражданской службы, граждан, включенных в кадровый резерв, граждан, не допущенных к участию в конкурсах, граждан, участвовавших в конкурсах, но не прошедших конкурсный отбор (далее - Работники), относятся:
- личное дело государственного гражданского служащего (работника, замещающего должность, не являющуюся должностью государственной гражданской службы), в состав которого входят личная карточка, анкета, заявление о приеме на службу (работу), служебный контракт (трудовой договор), приказы, документы по военному учету, справки о доходах, об имуществе и обязательствах имущественного характера, аттестационные документы и др.;
- трудовая книжка;
- документы, необходимые для расчета и начисления заработной платы и иных выплат сотрудникам Управления (табель учета использования рабочего времени, заявление, командировочное удостоверение и др.);
- документы, необходимые для ведения расчетно-кассовой деятельности (расходно-кассовый ордер, платежные поручения, счета на оплату и др.);
- документы, необходимые для расчета с Федеральной налоговой службой, Пенсионным фондом Российской Федерации, иными фондами (регистр налогового учета, листок нетрудоспособности, сведения о начисленных и уплаченных страховых взносах на обязательное пенсионное страхование и страховом стаже застрахованного лица и др.);
- договор о полной материальной ответственности;
- справки (по форме 2-НДФЛ, о зарплате, с места работы и др.);
- документы по учету отпусков (заявление на предоставление отпуска, приказ о предоставлении отпуска, график отпусков);
- документы о формировании кадрового резерва (отчеты, сведения, анкеты, списки);
- документы гражданских служащих (граждан), поданные в целях участия в конкурсах на замещение вакантных должностей и на включение в кадровый резерв (заявления, анкеты, копии документов);
- документы, связанные с противодействием коррупции;
- журналы учета, регистрации;
- электронные документы (в том числе базы данных, кадровые справки, автоматизированные информационные системы управления персоналом и т.д.);
- иные документы, обработка которых необходима в целях исполнения заключенного с работником служебного контракта (договора), приема его на работу (службу) или исполнения возложенных на Управление обязанностей, функций и полномочий.
2.1.5. В целях информационного обеспечения в Управлении могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться:
- фамилия, имя, отчество;
- дата и место рождения;
- замещаемая должность с указанием структурного подразделения;
- контактный телефон (рабочий);
- сведения об образовании;
- сведения о профессиональной деятельности;
- сведения о наградах;
- адрес электронной почты (рабочий);
- фотография.
2.2. Персональные данные, обрабатываемые в целях
предоставления государственных услуг, исполнения
государственных функций и рассмотрения обращений граждан
2.2.1. В целях предоставления государственных услуг, исполнения возложенных на Управление государственных функций и рассмотрения обращений граждан в Управлении обрабатываются персональные данные следующих категорий субъектов персональных данных:
- граждан, персональные данные которых необходимы Управлению в целях оказания государственных услуг и исполнения государственных функций.
2.2.2. К персональным данным граждан, персональные данные которых необходимы Управлению в целях оказания государственных услуг и исполнения государственных функций, относятся следующие сведения:
- фамилия, имя, отчество;
- информация о смене фамилии, имени, отчества;
- пол;
- дата, место рождения;
- гражданство;
- документ, удостоверяющий личность (серия, номер, когда и кем выдан);
- место жительства;
- место, дата регистрации;
- контактный телефон;
- реквизиты идентификационного номера налогоплательщика;
- реквизиты страхового номера индивидуального лицевого счета в Пенсионном фонде Российской Федерации (СНИЛС);
- реквизиты доверенности;
- сведения о регистрации в качестве индивидуального предпринимателя;
- сведения об объекте наследования, о наследнике, наследодателе;
- сведения об объекте недвижимого имущества;
- вид права, код сделки, вид ограничения права, номер регистрационного свидетельства или записи Единого государственного реестра прав на недвижимое имущество и сделок с ним (далее - ЕГРП);
- номер лицевого счета;
- иные сведения, необходимые для оказания государственной услуги.
2.2.3. К документам (в бумажном и (или) электронном виде), содержащим персональные данные граждан, персональные данные которых необходимы Управлению в целях оказания государственных услуг и исполнения государственных функций, могут относиться:
- документы, необходимые для государственной регистрации прав на недвижимое имущество и сделок с ним;
- свидетельства (о государственной регистрации права, о праве на наследство, иные свидетельства);
- документы по вопросам предоставления сведений из ЕГРП;
- документы в отношении деятельности кадастровых инженеров (заявления, уведомления, запросы, справки и т.д.);
- единый государственный реестр саморегулируемых организаций арбитражных управляющих;
- сводный государственный реестр арбитражных управляющих, протоколы о результатах сдачи единого теоретического экзамена арбитражными управляющими;
- единый государственный реестр саморегулируемых организаций оценщиков, документы оценщиков - членов саморегулируемых организаций оценщиков, копии;
- ксерокопии документов: документ, удостоверяющий личность; свидетельство о рождении; свидетельство о смерти; свидетельство о браке; документ, подтверждающий смену фамилии; иные документы;
- книги учета входящей документации, выданной информации, иные книги учета;
- иные документы, необходимые в целях оказания государственных услуг и исполнения государственных функций.
2.2.4. В Управлении обрабатываются персональные данные в целях рассмотрения обращений граждан следующей категории субъектов персональных данных:
- граждан, персональные данные которых необходимы для рассмотрения обращений граждан.
2.2.5. К персональным данным граждан, персональные данные которых необходимы для рассмотрения обращений граждан, относятся:
- фамилия, имя, отчество;
- адрес места жительства;
- иные персональные данные, содержащиеся в обращениях граждан.
2.2.6. К документам (в бумажном и (или) электронном виде), содержащим персональные данные граждан, персональные данные которых необходимы для рассмотрения обращений граждан, могут относиться:
- обращения граждан и документы по их рассмотрению.
3. Получение и обработка персональных данных
3.1. Общие положения
3.1.1. Управление в соответствии с Законом о персональных данных является оператором, организующим и осуществляющим обработку персональных данных (включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных), а также определяющим цели и содержание их обработки.
3.1.2. Обработка персональных данных в Управлении осуществляется только специально уполномоченными лицами, перечень которых утверждается приказом Управления, при этом указанные в приказе сотрудники должны иметь право получать только те персональные данные субъекта, которые необходимы для выполнения непосредственных должностных обязанностей.
3.1.3. Работники, уполномоченные на обработку персональных данных, обеспечивают их обработку в соответствии с требованиями действующего законодательства и несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.
3.1.4. В целях обеспечения прав и свобод человека и гражданина сотрудники Управления при обработке персональных данных обязаны соблюдать следующие общие требования:
- обработке подлежат только те персональные данные, которые отвечают целям их обработки. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации их прав и свобод. Обработка персональных данных, не совместимая с целями сбора персональных данных, не допускается;
- обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, личной жизни, не допускается, за исключением случаев, предусмотренных действующим законодательством;
- при принятии решений, затрагивающих интересы субъекта персональных данных, работники Управления не имеют права основываться на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки.
3.1.5. Все персональные данные субъекта персональных данных следует получать у него самого. Если персональные данные субъекта персональных данных возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие с указанием целей получения таких данных, предполагаемых источников и способов их получения, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
Персональные данные могут быть получены Управлением от лица, не являющегося субъектом персональных данных, при условии предоставления Управлению подтверждения наличия оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона о персональных данных.
3.1.6. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
3.1.7. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных подлежат проверке.
3.1.8. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона о персональных данных.
3.1.9. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование и адрес Управления;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
В уведомлении также необходимо сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение.
3.1.10. В соответствии с п. 2 ч. 2 ст. 6 Закона о персональных данных для обработки персональных данных, осуществляемой на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, согласие субъекта персональных данных не требуется.
3.1.11. Обработка персональных данных для статистических или иных научных целей при условии обязательного обезличивания персональных данных не требует согласия субъекта персональных данных на основании п. 2 ч. 2 ст. 6 Закона о персональных данных.
3.2. Получение и обработка персональных данных,
обрабатываемых в целях соблюдения требований трудового
законодательства Российской Федерации и законодательства
о государственной гражданской службе Российской Федерации
3.2.1. Обработка персональных данных (в том числе биометрических персональных данных) Работников не требует получения соответствующего согласия указанных лиц при условии, что объем обрабатываемых Управлением персональных данных не превышает установленные перечни, а также соответствует целям обработки, определенным пунктом 2.1.1 настоящего Положения, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Закона о персональных данных и положениями Закона о службе, Федерального закона от 5 декабря 2008 г. № 273-ФЗ "О противодействии коррупции", Трудовым кодексом Российской Федерации, иными нормами трудового законодательства и законодательства Российской Федерации о государственной гражданской службе.
3.2.2. Сведения о доходах и расходах, об имуществе и обязательствах имущественного характера, а также о доходах, об имуществе и обязательствах имущественного характера государственного гражданского служащего Управления и членов его семьи обрабатываются без получения согласия государственного гражданского служащего и членов его семьи в соответствии с Законом о службе, Указами Президента Российской Федерации от 18 мая 2009 г. № 559 "О предоставлении гражданами, претендующими на замещение должностей федеральной государственной службы, и федеральными государственными служащими сведений о доходах, об имуществе и обязательствах имущественного характера", от 23 июня 2014 г. № 460 "Об утверждении формы справки о доходах, расходах, об имуществе и обязательствах имущественного характера и внесении изменений в некоторые акты Президента Российской Федерации".
3.2.3. Сведения о доходах и расходах, об имуществе и обязательствах имущественного характера, а также о доходах, об имуществе и обязательствах имущественного характера государственного гражданского служащего Управления и членов его семьи в информационно-телекоммуникационной сети "Интернет" на официальном сайте Управления (государственных служащих номенклатуры Росреестра - на официальном сайте Росреестра) и предоставление этих сведений общероссийским средствам массовой информации для опубликования в связи с их запросами осуществляются во исполнение Указа Президента Российской Федерации от 8 июля 2013 г. № 613 "Вопросы противодействия коррупции" без получения согласия государственного гражданского служащего и членов его семьи.
3.2.4. Управление без получения письменного согласия субъекта персональных данных обеспечивает доступ к информации о своей деятельности, в том числе к сведениям о руководстве Управления, его структурных подразделений (фамилии, имена, отчества, должности, рабочие телефоны), во исполнение Федерального закона от 9 февраля 2009 г. № 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления".
Иная информация может указываться только при согласии указанных лиц.
3.2.5. Обработка персональных данных близких родственников Работников в объеме, предусмотренном унифицированной формой № Т-2 (Т-2ГС), утвержденной постановлением Госкомстата Российской Федерации от 5 января 2004 г. № 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты", либо в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат), осуществляется без получения согласия субъектов персональных данных.
В иных случаях получение согласия близких родственников работника является обязательным условием обработки их персональных данных.
3.2.6. Обработка специальных категорий персональных данных Работников, в том числе сведений о состоянии здоровья, относящихся к вопросу о возможности выполнения ими трудовой функции, осуществляется без получения согласия Работника на основании положений п. 2.3 ч. 2 ст. 10 Закона о персональных данных в рамках и объемах, определяемых нормами трудового законодательства и законодательства о государственной гражданской службе Российской Федерации.
3.2.7. Согласие Работников не требуется при передаче их персональных данных третьим лицам в случаях:
- когда это необходимо в целях предупреждения угрозы их жизни и здоровью;
- при исполнении Управлением обязанности по осуществлению обязательного социального страхования Работников;
- при передаче Управлением персональных данных Работников в налоговые органы, военные комиссариаты, профсоюзные органы;
- при передаче персональных данных в случаях, связанных с выполнением Работником должностных обязанностей, в том числе при командировании;
- в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.
3.2.8. Согласие Работника не требуется при предоставлении его персональных данных в связи с получением, в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о Работниках в соответствии с компетенцией, предусмотренной законодательством Российской Федерации.
Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.
В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, необходимо получить согласие Работника на предоставление его персональных данных и предупредить лиц, получающих персональные данные Работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.
3.2.9. Передача персональных данных Работника кредитным организациям, открывающим и обслуживающим платежные карты для начисления заработной платы, осуществляется без его согласия в следующих случаях:
- договор на выпуск банковской карты заключался напрямую с Работником и в его тексте предусмотрены положения, предусматривающие передачу Управлением персональных данных Работника;
- наличие у Управления доверенности на представление интересов Работника при заключении договора с кредитной организацией на выпуск банковской карты и ее последующее обслуживание;
- соответствующая форма и система оплаты труда прописаны в коллективном договоре.
3.2.10. Обработка персональных данных Работника при осуществлении пропускного режима на территорию служебных зданий и помещений Управления не требует его согласия.
3.2.11. Согласие Работника может быть оформлено как в виде отдельного документа, так и закреплено в тексте служебного контракта (трудового договора), при этом оно должно отвечать требованиям, предъявляемым к содержанию согласия, установленным пунктом 3.1.10 настоящего Положения.
3.2.12. Управление вправе обрабатывать персональные данные уволенного работника в случаях и в сроки, предусмотренные федеральным законодательством. К таким случаям в том числе относится обработка персональных данных в рамках бухгалтерского и налогового учета. При этом с учетом положений п. 2 ч. 1 ст. 6 Закона о персональных данных согласие уволенных работников на обработку их персональных данных в вышеуказанных случаях не требуется.
По истечении сроков, определенных законодательством Российской Федерации, личные дела работников и иные документы передаются на архивное хранение на срок 75 лет. При этом на организацию архивного хранения, комплектования, учет и использование архивных документов, содержащих персональные данные работников, действие Закона о персональных данных не распространяется и соответственно обработка указанных сведений не требует соблюдения условий, связанных с получением согласия на обработку персональных данных.
3.2.13. Обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом Российской Федерации и Законом о службе, предполагает получение согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия Управлением решения о приеме либо отказе в приеме на службу (работу).
Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым данное лицо заключило соответствующий договор, а также при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц.
При этом в случае получения резюме соискателя по каналам электронной почты, факсимильной связи необходимо дополнительное проведение мероприятий, направленных на подтверждение факта направления указанного резюме самим соискателем (например, приглашение соискателя на личную встречу с уполномоченными сотрудниками Управления, обратная связь посредством электронной почты и т.д.).
В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней, за исключением случаев, предусмотренных законодательством о государственной гражданской службе, где срок хранения персональных данных соискателя определен в течение 3 лет.
3.2.14. Получение согласия Работника является обязательным при направлении Управлением запросов в иные организации, в том числе по прежним местам работы, для уточнения или получения дополнительной информации о Работнике.
3.2.15. Не требуется согласия на обработку персональных данных соискателей, подавших документы для участия в конкурсе на замещение вакантных должностей государственной гражданской службы Управления, т.к. перечень предоставляемых документов определен Законом о службе и Положением о конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации, утвержденным Указом Президента Российской Федерации от 01.02.2005 № 112, а форма анкеты - распоряжением Правительства Российской Федерации от 26.05.2005 № 667-р.
3.2.16. Обработка персональных данных граждан, включенных в кадровый резерв, граждан, не допущенных к участию в конкурсах на включение в кадровый резерв, граждан, участвовавших в конкурсах на включение в кадровый резерв, но не прошедших конкурсный отбор, может осуществляться только с их согласия.
Кроме того, обязательным условием обработки персональных данных указанных граждан является ознакомление их с условиями ведения кадрового резерва в Управлении, сроком хранения их персональных данных, а также порядком исключения их из кадрового резерва.
Получение такого согласия является необходимым до урегулирования вопросов проведения конкурсов на включение в кадровый резерв и порядка ведения кадрового резерва, сформированного на конкурсной основе, в порядке, установленном п. 3.1.11 настоящего Положения.
3.3. Получение и обработка персональных данных,
обрабатываемых в целях предоставления государственных услуг,
исполнения государственных функций и рассмотрения
обращений граждан
3.3.1. Для осуществления обработки персональных данных граждан, персональные данные которых необходимы в целях оказания государственных услуг и исполнения государственных функций, согласие на обработку их персональных данных не требуется в соответствии с ч. 4 ст. 7 Федерального закона от 27 июля 2010 г. № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг".
Исключение составляет согласие лица, не являющегося заявителем на получение государственной услуги, но чьи данные необходимы для получения такой услуги. При обращении за получением государственной услуги заявителю необходимо представить документы, подтверждающие получение согласия физического лица, не являющегося заявителем, или его законного представителя на обработку персональных данных. Документы, подтверждающие получение согласия, могут быть представлены в том числе в форме электронного документа.
Согласие не требуется от лиц, признанных безвестно отсутствующими, и разыскиваемых лиц, место нахождения которых не установлено уполномоченным федеральным органом исполнительной власти.
3.3.2. Для осуществления обработки персональных данных граждан, персональные данные которых необходимы для рассмотрения обращений граждан, согласие заявителя не требуется в соответствии с ч. 4 ст. 7 Федерального закона от 27 июля 2010 г. № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг".
3.3.3. Для осуществления обработки персональных данных в целях исполнения договора, одной из сторон которого является субъект персональных данных, согласие субъекта не требуется на основании п. 2 ст. 6 Закона о персональных данных.
3.3.4. В случае когда Управление получает персональные данные субъекта от третьего лица, субъект, персональные данные которого были получены, должен быть уведомлен об этом.
3.3.5. Управление освобождается от обязанности предоставить субъекту персональных данных уведомление о получении его персональных данных от третьего лица в случаях, если:
- субъект персональных данных уведомлен об осуществлении обработки его персональных данных Управлением;
- персональные данные получены Управлением на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
- персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
- Управление осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
- предоставление субъекту персональных данных уведомления о получении его персональных данных от третьего лица нарушает права и законные интересы третьих лиц.
3.3.6. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться в Управлении только при наличии согласия субъекта в письменной форме.
3.3.7. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию зданий, помещений Управления или в иных аналогичных целях, должны соблюдаться следующие условия:
- необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом Управления, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;
- копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;
- персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.
3.3.8. При передаче персональных данных субъекта персональных данных сотрудники Управления обязаны соблюдать следующие требования:
- не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Гражданским кодексом Российской Федерации или иными федеральными законами;
- предупреждать лиц, получающих персональные данные субъектов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц обеспечения конфиденциальности полученных персональных данных;
- не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;
- передавать персональные данные субъекта представителям субъектов в порядке, установленном Гражданским кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций;
- не отвечать на вопросы, связанные с передачей персональных данных субъекта по телефону или факсу, за исключением случаев, связанных с выполнением соответствующими сотрудниками своих непосредственных должностных обязанностей, адресатам, в чью компетенцию входит получение такой информации.
3.3.9. В целях обеспечения контроля правомерности использования переданных по запросам персональных данных лицами, их получившими, сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также состав переданной информации фиксируются в журнале учета передачи персональных данных.
Организацию и контроль за ведением вышеуказанного журнала осуществляет лицо, ответственное за организацию обработки персональных данных в Управлении.
3.4. Доступ к персональным данным
3.4.1. Доступ сотрудников, осуществляющих обработку персональных данных как в бумажном, так и в электронном виде и (или) имеющих доступ к персональным данным, регламентируется настоящим Положением.
3.4.2. Для получения работником Управления (из перечня уполномоченных лиц, утверждаемого в соответствии с п. 3.1.2 настоящего Положения) доступа к персональным данным необходимо:
- ознакомление работника с настоящим Положением, Инструкцией пользователя информационных систем персональных данных и другими нормативными актами, регулирующими обработку и защиту персональных данных в Управлении, под подпись;
- подписание работником Управления обязательства о соблюдении конфиденциальности персональных данных;
- подписание работником Управления, непосредственно осуществляющим обработку персональных данных, обязательства о прекращении обработки персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, в случае прекращения служебного контракта (трудового договора).
Указанные обязательства могут быть оформлены в виде отдельного документа или внесены в должностной регламент (инструкцию) работника, осуществляющего в Управлении обработку персональных данных.
3.5. Порядок доступа к эталонным сведениям (персональным
данным), содержащимся в базовом ресурсе, включая порядок
доступа к общедоступным сведениям, порядок доступа
к сведениям, доступ к которым ограничен федеральным законом,
и порядок доступа с использованием технических средств
автоматизированного обмена данными
3.5.1. Доступ к эталонным сведениям (персональным данным), содержащимся в базовом ресурсе, включая доступ к общедоступным сведениям, к сведениям, доступ к которым ограничен федеральным законом, и доступ с использованием технических средств автоматизированного обмена данными осуществляется в соответствии с общим порядком доступа к персональным данным, определенным в п. 3.4 настоящего Положения.
3.6. Порядок обработки персональных данных с использованием
средств автоматизации и без использования
средств автоматизации
3.6.1. Обработка персональных данных в Управлении может проводиться с использованием средств автоматизации и без использования средств автоматизации. Конкретный способ обработки персональных данных определяется на основании процедур использования данных, определенных внутренними документами Управления.
3.6.2. Обработка персональных данных с использованием средств автоматизации осуществляется в информационных системах персональных данных. Перечень информационных систем, в которых обрабатываются персональные данные, их классификация, требования по обеспечению безопасности обрабатываемых в них персональных данных субъектов персональных данных описаны в отдельных актах Управления.
3.6.3. Исключительно автоматизированная обработка персональных данных в Управлении не осуществляется. Во всех процессах обработки персональных данных с использованием средств автоматизации принимают участие ответственные сотрудники Управления.
3.6.4. Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на внешних электронных носителях информации.
3.6.5. При неавтоматизированной обработке персональных данных на бумажных носителях выполняются следующие требования:
- персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах;
- не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
3.6.6. При несовместимости целей неавтоматизированной обработки персональных данных, зафиксированных на одном электронном носителе, если электронный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
- при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
- при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
3.6.7. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
3.6.8. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
3.6.9. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
3.6.10. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
3.7. Обеспечение конфиденциальности персональных данных
3.7.1. Персональные данные, обрабатываемые Управлением в целях соблюдения требований трудового законодательства Российской Федерации и законодательства о государственной гражданской службе Российской Федерации, относятся к сведениям конфиденциального характера (за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации, подлежат размещению в информационно-телекоммуникационной сети "Интернет", а также сведений, включенных в установленном порядке в общедоступные источники персональных данных), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - к сведениям, составляющим государственную тайну.
3.7.2. Персональные данные, обрабатываемые Управлением в целях предоставления государственных услуг, исполнения государственных функций и рассмотрения обращений граждан, относятся к категории конфиденциальной информации.
3.7.3. Защита персональных данных от неправомерного их использования или утраты обеспечивается за счет средств Управления в порядке, установленном действующим законодательством Российской Федерации.
3.7.4. Безопасность персональных данных при их обработке в информационных системах Управления обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и (или) средства защиты информации, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Закона о персональных данных.
Обработка персональных данных в информационных системах обеспечивается с учетом требований, установленных постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
3.7.5. Реализация требований по обеспечению безопасности персональных данных в информационных системах возлагается на структурное подразделение Управления по вопросам применения информационных технологий, эксплуатации систем, технических средств и каналов связи совместно со структурными подразделениями Управления, эксплуатирующими эти системы.
3.7.6. Контроль за выполнением требований по обеспечению безопасности персональных данных в информационных системах организуется и проводится Управлением (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации, не реже 1 раза в 3 года в сроки, определяемые Управлением.
3.7.7. Управление вправе поручить обработку персональных данных субъектов персональных данных другим юридическим или физическим лицам на основании договора (далее - поручение Управления) с согласия субъекта персональных данных, если иное не предусмотрено Законом о персональных данных.
Лицо, осуществляющее обработку персональных данных по поручению Управления, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных.
В поручении Управления должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных.
3.7.8. Сотрудники Управления и иные лица, имеющие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3.8. Права и обязанности сторон при обработке
персональных данных
3.8.1. Работники обязаны предоставлять Управлению только достоверные, документированные персональные данные и своевременно сообщать об изменении своих персональных данных.
3.8.2. Каждый субъект персональных данных имеет право:
- на получение полной информации о своих персональных данных и на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных действующим законодательством;
- требовать в соответствии с действующим законодательством от сотрудников Управления уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- обратиться повторно в Управление или направить повторный запрос в целях получения информации, касающейся обработки его персональных данных, а также в целях ознакомления с обрабатываемыми персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
- обратиться повторно в Управление или направить повторный запрос в целях получения информации, касающейся обработки его персональных данных, а также в целях ознакомления с обрабатываемыми персональными данными до истечения тридцати дней после первоначального обращения или направления первоначального запроса, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения;
- заявить о своем несогласии при отказе сотрудников Управления исключить или исправить персональные данные (в письменной форме с соответствующим обоснованием такого несогласия).
3.8.3. Управление обязано предоставить субъекту персональных данных возможность ознакомления с персональными данными, относящимися к этому субъекту, а также внести в них необходимые изменения при предоставлении субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными. О внесенных изменениях и предпринятых мерах Управление обязано уведомить субъекта или его представителя и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
3.8.4. Все обращения субъектов персональных данных по вопросам, касающимся обработки персональных данных, фиксируются в журнале учета обращений субъектов персональных данных.
Ведение указанного журнала осуществляется лицом, ответственным за организацию обработки персональных данных в Управлении.
3.9. Хранение персональных данных
3.9.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Хранение персональных данных субъектов персональных данных в Управлении может осуществляться на бумажных и машинных носителях, доступ к которым ограничен списком лиц, допущенных к обработке персональных данных.
3.9.2. Все отчуждаемые машинные носители персональных данных подлежат строгому учету и фиксируются в Журнале учета носителей информации.
Организацию и контроль за ведением указанного журнала осуществляет лицо, ответственное за организацию обработки персональных данных в Управлении.
3.9.3. Все защищаемые носители информации для информационных систем персональных данных 1 класса подлежат строгому учету.
3.9.4. Все хранимые или используемые СЗИ (средства защиты информации), эксплуатационная и техническая документация к ним подлежат поэкземплярному учету и выдаются под расписку в Журнале учета СЗИ пользователям СЗИ, несущим персональную ответственность за их сохранность.
3.9.5. Все хранимые или используемые криптосредства (средства криптографической защиты информации), эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету и выдаются под расписку в журнале поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов ответственным пользователем криптосредств пользователям криптосредств, несущим персональную ответственность за их сохранность. Ответственный пользователь криптосредств заводит и ведет на каждого пользователя криптосредств лицевой счет, в котором регистрирует числящиеся за ним криптосредства, эксплуатационную и техническую документацию к ним, ключевые документы.
3.9.6. Хранение персональных данных субъектов персональных данных должно происходить в порядке, исключающем их утрату или неправомерное использование.
3.9.7. Все меры, направленные на соблюдение конфиденциальности при сборе, обработке и хранении персональных данных субъекта, распространяются как на бумажные, так и на машинные носители информации.
3.10. Архивирование и обезличивание персональных данных
3.10.1. Персональные данные, не используемые в деятельности Управления и цель обработки которых не достигнута, могут быть переведены на архивное хранение с соблюдением всех необходимых требований, предусмотренных Федеральным законом от 22 октября 2004 г. № 125-ФЗ "Об архивном деле в Российской Федерации" и иными нормативными актами в сфере организации хранения, комплектования, учета и использования архивных документов независимо от их форм собственности.
3.10.2. Архивирование персональных данных производится в рамках действующих в Управлении систем документооборота и работы с архивными документами с соблюдением принципов, изложенных в настоящем Положении. Обязательным условием архивирования персональных данных является обеспечение их конфиденциальности и безопасности.
3.10.3. Начальники структурных подразделений Управления, хранящие архивные персональные данные на бумажных носителях, обязаны обеспечить доступ к указанным данным только тех сотрудников, деятельность которых непосредственно связана с обработкой хранимого типа архивных персональных данных. Доступ к архивным персональным данным, хранение которых осуществляется на электронных носителях, должен быть ограничен исходя из требований информационной безопасности, указанных в нормативных актах Управления и настоящем Положении.
3.10.4. Обезличивание персональных данных субъектов персональных данных Управления осуществляется в целях уменьшения объема персональных данных, подлежащих защите в соответствии с требованиями Закона о персональных данных, подзаконных актов и методических указаний, предоставления статистической отчетности, агрегированной информации о деятельности Управления, а также в иных целях, предусмотренных действующим законодательством, например по достижении целей их обработки или в случае утраты необходимости в достижении этих целей в соответствии со статьей 5 Закона о персональных данных.
3.10.5. Обезличенные персональные данные должны представлять собой информацию на бумажном или магнитном носителе, принадлежность которой к конкретному физическому лицу невозможно определить без использования дополнительной информации в силу произведенных при обработке персональных данных действий.
3.10.6. Решение о необходимости обезличивания персональных данных принимает руководитель Управления.
3.11. Прекращение обработки и уничтожение
персональных данных
3.11.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Управление обязано осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) с момента такого обращения или получения указанного запроса на период проверки.
В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Управление обязано осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
3.11.2. В случае подтверждения факта неточности персональных данных Управление на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязано уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
3.11.3. В случае выявления неправомерной обработки персональных данных, осуществляемой Управлением или лицом, действующим по поручению Управления, Управление в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Управления. В случае если обеспечить правомерность обработки персональных данных невозможно, Управление в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Управление обязано уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.
3.11.4. В случае достижения цели обработки персональных данных Управление обязано прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Управлением и субъектом персональных данных, либо, если Управление не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных, на основаниях, предусмотренных федеральными законами.
3.11.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Управление обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Управлением и субъектом персональных данных, либо, если Управление не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных, на основаниях, предусмотренных федеральными законами.
3.11.6. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока Управление осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) и уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
3.11.7. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
3.11.8. Машинные и бумажные носители, утратившие практическое значение и непригодные для перезаписи, уничтожаются, о чем составляется акт на списание и уничтожение машинных (бумажных) носителей информации.
4. Взаимодействие с контрольно-надзорными органами
4.3. При поступлении запроса от уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) Управление обязано сообщить информацию, необходимую для осуществления деятельности указанного органа, в течение тридцати рабочих дней с даты получения такого запроса.
4.4. В случае выявления неправомерной обработки персональных данных по запросу уполномоченного органа по защите прав субъектов персональных данных Управление обязано осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) с момента получения указанного запроса на период проверки. В случае выявления неточных персональных данных по запросу уполномоченного органа по защите прав субъектов персональных данных Управление обязано осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) с момента получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
4.5. В случае подтверждения факта неточности персональных данных Управление на основании сведений, представленных уполномоченным органом по защите прав субъектов персональных данных, обязано уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Управления) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
4.6. При проведении контрольно-надзорных мероприятий за выполнением требований к обеспечению безопасности персональных данных при их обработке в государственных информационных системах персональных данных, а также в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных (по решению Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных), осуществляемых федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России), и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), представители вышеуказанных контрольно-надзорных органов не имеют права на ознакомление с персональными данными, обрабатываемыми в информационных системах персональных данных.
4.7. Проверки, проводимые органами государственного контроля и надзора, подлежат строгому учету.
4.8. При проведении контрольно-надзорных мероприятий в отношении Управления контрольно-надзорными органами, не осуществляющими контроль и надзор в сфере обработки персональных данных, представители вышеуказанных контрольно-надзорных органов имеют право на доступ к персональным данным только в сфере своей компетенции и в пределах своих полномочий в соответствии с законодательством Российской Федерации.
5. Ответственность за разглашение конфиденциальной
информации, содержащей персональные данные
5.3. Каждый сотрудник Управления, получающий доступ к информации, содержащей персональные данные, несет персональную ответственность за сохранность конфиденциальности информации.
5.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов персональных данных Управления, несут ответственность в порядке, установленном федеральными законами, и полную материальную ответственность в случае причинения их действиями ущерба в соответствии с пунктом 7 статьи 243 Трудового кодекса Российской Федерации.
------------------------------------------------------------------