Распоряжение Об утверждении Правил обработки персональных данных в Совете народных депутатов Каширского муниципального района Воронежской областиСОВЕТ НАРОДНЫХ ДЕПУТАТОВ Р А С П О Р Я Ж Е Н И Е от 25.07.2018 №7-рОД Об утверждении Правил обработки В целях исполнения Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов:
Глава Каширского муниципального района А.П. Воронов Приложение № 1 Правила 1. Общие положения 1,1 Настоящие Правила обработки персональных данных в Совете народных депутатов Каширского муниципального района Воронежской области (далее - Правила) разработаны в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных») и другими нормативными правовыми актами. 1.2 Настоящие Правила определяют основные требования к порядку обработки (как с использованием средств автоматизации, так и без использования таковых) и обеспечения безопасности персональных данных, а также обязанности должностных лиц Совета народных депутатов Каширского муниципального района Воронежской области (далее - Совет) в процессе обработки персональных данных. Под субъектами персональных данных (далее - ПДн) в настоящих Правилах понимаются работники (должностные лица), депутаты Совета, а также иные субъекты ПДн, в том числе получатели муниципальных (государственных) услуг, заявители и т.д. 1.3 Организационно-распорядительные документы Совета, касающиеся вопросов обработки персональных данных, должны соответствовать настоящим Правилам. 1.4 Требования настоящих Правил являются обязательными для выполнения всеми должностными лицами Совета и иными лицами, имеющими договорные отношения с Советом. 1.5 В соответствии с требованиями нормативных правовых актов о персональных данных документы, определяющие политику Совета в отношении обработки персональных данных и реализуемые общие требования к обработке и защите персональных данных, размещаются на официальном сайте Совета. 1.6 С целью снижения уровня требований по обеспечению безопасности персональных данных, обрабатываемых в Совете, может проводиться процедура обезличивания персональных данных, т. е. действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту ПДн. Обезличивание обрабатываемых персональных данных осуществляется в соответствии с Правилами работы с обезличенными персональными данными (п.14 настоящих Правил). 2. Цели и принципы обработки персональных данных 2.1. Совет осуществляет обработку персональных данных в следующих целях: а) при осуществлении основной деятельности Совета, связанной с необходимостью обработки ПДн, обусловленной требованиями действующего законодательства и нормативных правовых актов, регламентирующих деятельность Совета; б) при прохождении работы, обучении и служебного продвижения должностных лиц Совета, формирования кадрового резерва, учета результатов исполнения ими своих должностных обязанностей, обеспечения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций и других целей, связанных с осуществлением трудовых отношений; в) статистической обработки информации (при условии обязательного обезличивания персональных данных); г) опубликования информации о деятельности Совета согласно требованиям действующего законодательства Российской Федерации. 2.2. Обработка персональных данных в вышеуказанных целях осуществляется в Совете на основе следующих принципов: а) обработка персональных данных должна осуществляться на законной и справедливой основе; б) обработка персональных данных должна ограничиваться достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных; в) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; г) обработке подлежат только персональные данные, которые отвечают целям их обработки; д) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки; е) при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных; оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных; ж) хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом; обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. 3. Категории физических лиц, персональные данные которых могут обрабатываться в Совете 3.1. В качестве субъектов ПДн, персональные данные которых могут обрабатываться в Совете с использованием средств автоматизации или без использования таковых, понимаются нижеперечисленные категории физических лиц: 3.1.1 Физические лица – депутаты Совета; 3.1.2 Физические лица, замещающие в Совете должности муниципальной службы; 3.1.3 Физические лица, замещающие в Совете должности, не являющиеся должностями муниципальной службы; 3.1.4 Физические лица, участвующие в конкурсах на замещение вакантных должностей муниципальной службы, состоящие в кадровом резерве Совета; 3.1.5 Физические лица, заключающие договоры гражданско-правового характера с Советом; 3.1.6 Физические лица, представляющие интересы юридических лиц - организаций, предприятий, учреждений; 3.1.7 Физические лица - заявители, направляющие свои обращения (письма) в бумажной и электронной форме в адрес Главы района; 3.1.8 Физические лица - заявители, направляющие свои обращения (письма) в бумажной и электронной форме в федеральные и региональные органы власти, и обращения которых переданы для рассмотрения в Совет. 3.2. Иные субъекты ПДн, которые не вошли в вышеперечисленные категории и обработка персональных данных которых не противоречит законодательству Российской Федерации. 4. Категории персональных данных 4.1. В Совете в соответствии с Федеральным законом «О персональных данных» выделяются следующие категории персональных данных: а) специальные категории персональных данных; б) персональные данные общей категории, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным персональным данным (иные категории персональных данных); в) обезличенные и/или общедоступные персональные данные. 5. Содержание обрабатываемых персональных данных 5.1. Содержание обрабатываемых персональных данных определяется исходя из возложенных на Совет функций и выполняемых задач согласно законодательству Российской Федерации, Воронежской области, муниципальным правовым актам. В состав персональных данных субъектов ПДн, обрабатываемых в Совете могут входить: 5.1.1 Фамилия, имя, отчество (в т. ч. прежние), дата и место рождения. 5.1.2 Паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ) и гражданство. 5.1.3 Адрес места жительства (по паспорту и фактический) и дата регистрации по месту жительства или по месту пребывания. 5.1.4 Номера телефонов (мобильного и домашнего), в случае их регистрации на имя субъекта персональных данных или по адресу его места жительства (по паспорту). 5.1.5 Сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки (серия, номер, дата выдачи диплома, свидетельства, аттестата или другого документа об окончании образовательного учреждения, наименование и местоположение образовательного учреждения, дата начала и завершения обучения, факультет или отделение, квалификация и специальность по окончании образовательного учреждения, ученая степень, учёное звание, владение иностранными языками и другие сведения). 5.1.6 Сведения о повышении квалификации и переподготовке (серия, номер, дата выдачи документа о повышении квалификации или о переподготовке, наименование и местоположение образовательного учреждения, дата начала и завершения обучения, квалификация и специальность по окончании образовательного учреждения и другие сведения). 5.1.7 Сведения о трудовой деятельности (данные о трудовой занятости на текущее время с полным указанием должности, подразделения, наименования, адреса и телефона организации, а также реквизитов других организаций с полным наименованием занимаемых ранее в них должностей и времени работы в этих организациях, а также другие сведения). 5.1.8 Сведения о номере, серии и дате выдачи трудовой книжки (вкладыша в нее) и записях в ней. 5.1.9 Содержание и реквизиты служебного контракта (трудового договора). 5.1.10 Сведения о заработной плате (номера счетов для расчёта с работниками, данные по окладу, надбавкам, налогам и другие сведения). 5.1.11 Сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу (серия, номер, дата выдачи, наименование органа, выдавшего военный билет, военно-учётная специальность, воинское звание, данные о принятии/снятии на(с) учет(а) и другие сведения). 5.1.12 Сведения о семейном положении (состояние в браке, данные свидетельства о заключении брака, фамилия, имя, отчество супруга (и), паспортные данные супруга (и), данные брачного контракта, данные справки по форме 2НДФЛ супруга(и), данные документов по долговым обязательствам, степень родства, фамилии, имена, отчества и даты рождения других членов семьи, иждивенцев и другие сведения). 5.1.13 Сведения об имуществе (имущественном положении):
5.1.14 Сведения о номере и серии страхового свидетельства государственного пенсионного страхования (СНИЛС). 5.1.15 Сведения об идентификационном номере налогоплательщика. 5.1.16 Сведения из страховых полисов обязательного (добровольного) медицинского страхования (в том числе данные соответствующих карточек медицинского страхования). 5.1.17 Сведения, указанные в оригиналах и копиях распоряжений по личному составу Совета и материалах к ним. 5.1.18 Сведения о государственных и ведомственных наградах, почётных и специальных званиях, поощрениях (в том числе наименование или название награды, звания или поощрения, дата и вид нормативного акта о награждении или дата поощрения). 5.1.19 Материалы по аттестации и квалификационному экзамену муниципальных служащих Совета. 5.1.20 Документы о служебных проверках, проводимых в отношении муниципальных служащих. 5.1.21 Материалы по расследованию и учёту профессиональных заболеваний и несчастных случаев на производстве в соответствии с Трудовым кодексом Российской Федерации, другими федеральными законами. 5.1.22 Сведения о временной нетрудоспособности. 5.1.23 Данные документов об инвалидности (при наличии). 5.1.24 Данные медицинского заключения (при необходимости). 5,1,25 Сведения о социальных льготах и о социальном статусе (серия, номер, дата выдачи, наименование органа, выдавшего документ, являющийся основанием для предоставления льгот и статуса, и другие сведения). 6. Назначение ответственных лиц 6.1 В Совете распорядительным документом назначается лицо, ответственное за организацию обработки персональных данных, как с использованием средств автоматизации, так и без использования таковых. 6.2 Ответственными за выполнение требований организационно- распорядительных документов Совета по вопросам обработки персональных данных и их защите являются лица, уполномоченные в установленном порядке обрабатывать в Совете персональные данные. 7 Должностные лица, уполномоченные обрабатывать персональные данные 7.1 Должностные лица, уполномоченные обрабатывать в Совете персональные данные, как с использованием средств автоматизации, так и без использования таковых, подразделяются на следующие группы: а) обрабатывающие персональные данные сотрудников Совета; б) обрабатывающие персональные данные депутатов и заявителей (представителей юридических лиц), обращающихся в Совет. Должностные лица, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с требованиями законодательства Российской Федерации о персональных данных, организационно- распорядительными документами Совета, определяющими политику в отношении обработки персональных данных. 7.2 С должностными лицами, непосредственно осуществляющими обработку персональных данных, должны быть в установленном порядке оформлены обязательства о выполнении требований организационно-распорядительных документов Совета по обработке, защите и неразглашении информации ограниченного доступа (в т. ч. персональных данных).
8. Сроки обработки и хранения обрабатываемых персональных данных 8.1 Сроки обработки персональных данных должны ограничиваться достижением конкретных, заранее определенных и законных целей. 8.2 Хранение персональных данных в Совете осуществляется в форме, позволяющей определить субъект ПДн не дольше, чем этого требуют цели обработки персональных данных, если срок их хранения не установлен федеральным законом. 8.3 Сроки хранения персональных данных в Совете, в общем случае, определяются в соответствии со сроками, установленными требованиями законодательства Российской Федерации. 9. Допуск к обработке персональных данных 9.1 После выполнения процедур, изложенных в разделе 7 настоящих Правил, должностные лица, уполномоченные обрабатывать в Совете персональные данные, могут быть допущены к обработке персональных данных. 9.2 Для должностных лиц, обрабатывающих персональные данные с использованием средств автоматизации в соответствии со своими должностными обязанностями и (или) в рамках договорных отношений, допуск производится в соответствии с перечнями должностей работников Совета, замещение которых предусматривает осуществление обработки персональных данных, утверждаемых распоряжением Совета. 10. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных 10.1. С целью предотвращения нарушений законодательства Российской Федерации в сфере персональных данных ответственный за обработку персональных данных обязан организовать и провести следующие процедуры (мероприятия, работы): 10.1.1 Направление уведомления об обработке персональных данных в контролирующий орган (Роскомнадзор). 10.1.2 Оформление в установленном порядке согласий субъектов ПДн на обработку их персональных данных. 10.1.3 Документирование информационной системы персональных данных (далее - ИСПДн) (определение назначения и состава ИСПДн, категории ПДн и правовые основания и цели их обработки, перечни лиц, имеющих доступ к обрабатываемым персональным данным). 10.1.4 Разработку организационно-распорядительных документов, регламентирующих порядок обработки и защиты ПДн; 10.1.5 Обеспечение защиты персональных данных техническими (программными, аппаратными) и организационными методами, независимо от характера обработки ПДн от всех видов утраты (утечки), в том числе от несанкционированного доступа, изменения, разглашения или уничтожения данных, в том числе непреднамеренных; 10.1.6 Обеспечение физической защиты информационных ресурсов (система контроля доступа в здание (помещения), где происходит обработка и хранение ПДн). 10.1.7 Обеспечение квалифицированного информирования (обучения, подготовки, повышения квалификации) исполнителей, ответственных за обработку ПДн. 10.2 С целью выявления возможных нарушений законодательства Российской Федерации в сфере персональных данных при обработке ПДн в Совете осуществляется контроль соответствия реального состояния работ с персональными данными требованиям нормативных актов. Мероприятия по внутреннему контролю в Совете организуются должностным лицом, ответственным за организацию обработки персональных данных. Меры по внутреннему контролю должны отражаться в соответствующем разделе годового плана мероприятий по обеспечению безопасности персональных данных в Совете, утверждаемого Советом на очередной календарный год, и представляют собой проверки соответствия нормативным требованиям, как периодические, осуществляемые не реже одного раза в год, так и внеплановые, проводящиеся в случае выявления нарушений законодательства в сфере обращения и защиты персональных данных. 10.3 Предметом плановых (внеплановых) внутренних проверок состояния работ по обработке персональных данных являются: 10.3.1 Наличие и содержание (полнота сведений) уведомления об обработке персональных данных; 10.3.2 Соответствие обработки персональных данных заявленным целям; 10.3.3 Соблюдение требований по уничтожению ПДн после достижения цели их обработки; 10.3.4 Соответствие установленного законом порядка сбора, хранения, использования или распространения информации о гражданах в части обработки персональных данных без согласия субъекта ПДн; 10.3.5 Соответствие типовых форм документов, содержащих персональные данные, требованиям законодательства; 10.3.6 Наличие перечня должностных лиц, осуществляющих обработку персональных данных с использованием средств автоматизации и без таковых, либо имеющих к ним доступ. 10.3.7 Обеспечение безопасного хранения персональных данных (их материальных носителей). 11. Взаимодействие Совета с субъектами персональных данных при обработке персональных данных 11.1. Согласие субъекта персональных данных. Согласие на обработку персональных данных может быть дано субъектом ПДн или его представителем в любой форме, позволяющей подтвердить факт его получения, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором 11.1.1 В случаях, предусмотренных действующим законодательством Российской Федерации, обработка персональных данных осуществляется только с согласия в письменной форме субъекта ПДн. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с действующим законодательством Российской Федерации электронной подписью. Обработка персональных данных муниципальных служащих Совета, соискателей, подавших документы на замещение вакантных должностей муниципальной службы в Совете, а также лиц, включенных в кадровый резерв Совета, не требует получения согласия указанных лиц, при условии, что объем обрабатываемых персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством, законодательством Российской Федерации и Воронежской области о муниципальной службе. Обработка персональных данных иных работников Совета также не требует согласия, если она осуществляется в соответствии с нормами главы 14 Трудового кодекса Российской Федерации. 11.1.2 Согласие субъекта ПДн на обработку его персональных данных, оформленное в письменной форме, подписывается субъектом ПДн или его представителем. 11.1.3 Субъект ПДн вправе отозвать свое согласие в установленном порядке. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ от 27.06.2006 года «О персональных данных». 11.1.4. Согласие на обработку персональных данных работников Совета находится в их личных делах, хранящихся в Совете. 11.2 Доступ субъектов ПДн к обрабатываемым персональным данным. 11.2.1 Субъект ПДн имеет право на получение информации, касающейся обработки его персональных данных. Совет обязан сообщить субъекту ПДн или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта ПДн или его представителя либо в течение тридцати дней с даты получения запроса субъекта ПДн или его представителя. 11.2.2 Выбор формы запроса для реализации своего права на получение сведений зависит от воли субъекта ПДн. 11.3 Отказ в предоставлении персональных данных. 11.3.1. В случае отказа в предоставлении информации о наличии персональных данных субъекту ПДн или его представителю при их обращении либо при получении запроса субъекта ПДн или его представителя, Совет обязан дать в письменной форме мотивированный ответ в срок, не превышающий 30 дней со дня обращения субъекта ПДн или его представителя либо с даты получения запроса субъекта ПДн или его представителя. 11.4 Прекращение обработки, уточнение, блокирование и уничтожение персональных данных. 11.4.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта ПДн или его представителя, либо по запросу субъекта ПДн или его представителя, либо уполномоченного органа по защите прав субъектов ПДн, Совет обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Совета) с момента такого обращения или получения указанного запроса на период проверки. Решение о блокировании персональных данных в случае неправомерной обработки соответствующего субъекта ПДн принимает ответственный за организацию обработки персональных данных. 11.4.2 В случае выявления неточных (неполных, устаревших) персональных данных при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Совет обязан осуществить блокирование персональных данных, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Совета) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъектов ПДн или третьих лиц. Решение о блокировании предположительно неточных персональных данных соответствующего субъекта ПДн принимает ответственный за организацию обработки персональных данных. 11.4.3 В случае достижения цели обработки персональных данных или в случае утраты необходимости в достижении этих целей Совет обязан прекратить обработку персональных данных или обеспечить её прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Совета) и уничтожить персональные данные (либо провести обезличивание) или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Совета) в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральным законодательством. 11.4.4 В случае отзыва субъектом ПДн согласия на обработку его персональных данных Совет обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Совета) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Совета) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено федеральным законодательством. 11.4.5 В случае отсутствия возможности уничтожения персональных данных в течение срока, определённого настоящими Правилами, Совет осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Совета), и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами. 11.4.6 Об устранении допущенных нарушений, в результате которых персональные данные были неполными, неточными или неактуальными и подлежали изменению, или об уничтожении персональных данных (в случае неправомерной обработки персональных данных, т. е. когда они являются незаконно полученными или не являются необходимыми для заявленной цели обработки), Совет обязан уведомить субъекта ПДн или его представителя. 11.4.7 Совет также обязан принять разумные меры для уведомления третьих лиц, которым были переданы персональные данные субъекта ПДн в случае, когда с целью устранения допущенных нарушений было необходимо обеспечить изменение переданных персональных данных ввиду их неполноты, неточности или неактуальности. 12. Уведомление об обработке персональных данных 12.1 Совет обязан уведомить уполномоченный орган по защите прав субъектов ПДн об осуществлении обработки персональных данных. 12.2 В случае изменения сведений, указанных в уведомлении, Совет обязан уведомить об изменениях уполномоченный орган по защите прав субъектов ПДн в течение 10 рабочих дней с даты возникновения таких изменений. 12.3 Необходимость внесения изменений в ранее поданное уведомление в уполномоченный орган по защите прав субъектов ПДн определяет ответственный за организацию обработки персональных данных. 13. Взаимодействие с третьими лицами при обработке персональных данных 13.1 Передача персональных данных третьим лицам должна осуществляться с согласия субъекта ПДн, если иное не предусмотрено действующим законодательством. 13.2 Совет вправе поручить обработку персональных данных другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (муниципального контракта). Лицо, осуществляющее обработку персональных данных по поручению Совета, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных». Лицо, осуществляющее обработку персональных данных на основании договора с Советом, не обязано получать согласие субъекта ПДн на обработку его персональных данных. При этом ответственность перед субъектом ПДн за действия указанного лица несёт Совет. Лицо, осуществляющее обработку персональных данных по поручению Совета, несёт ответственность перед Советом. 13.3 В случае если Совет поручает обработку персональных данных другому лицу, субъект обрабатываемых ПДн вправе иметь доступ к информации об этом. 14. Правила работы с обезличенными персональными данными 14.1 С целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных в Совете осуществляется обезличивание персональных данных. 14.2 Способами обезличивания персональных данных при условии необходимости их дальнейшей обработки являются:
14.3 Способом обезличивания персональных данных в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных. 14.4 Ответственный за организацию обработки персональных данных принимает решение о необходимости обезличивания персональных данных, готовит предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания. 14.5 Непосредственное обезличивание персональных данных осуществляют работники Совета, должности которых включены в перечень должностей, замещение которых предусматривает проведение мероприятий по обезличиванию персональных данных в Совете. 14.6 Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности. 15. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации 15.1 Обработка персональных данных, осуществляемая без использования средств автоматизации, строится на принципах, изложенных в Положении об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденном Постановлением Правительства Российской Федерации от 15.09.2008 № 687. 15.2 Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители). 15.3 При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель. 15.4 Работники Совета, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть ознакомлены с организационно-распорядительными документами Совета, регламентирующими обработку персональных данных. 15.5 При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности: а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных; б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию. 15.6 Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). 15.7 Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными. 15.8 Должностные лица Совета, ответственные за проведение мероприятий по обезличиванию обрабатываемых персональных данных, должны обеспечить выполнение следующих мероприятий: 15.8.1 Определение места хранения обрабатываемых персональных данных (материальных носителей), исключающие несанкционированный доступ к ним. 15.8.2 Обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях. 16. Особенности обработки персональных данных, осуществляемой с использованием средств автоматизации 16.1 Обеспечение безопасности персональных данных при их обработке с использованием средств автоматизации должно производиться в соответствии с федеральными нормативными правовыми актами об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, иными нормативными актами, а также Положением по организации и проведению работ по защите персональных данных при их обработке в информационных системах персональных данных в Совете. 16.2 Автоматизированные технологические процессы, в рамках которых обрабатываются персональные данные в информационных системах Совета, должны быть документированы. 16.3 В ИСПДн, эксплуатируемых Советом, наряду с необходимостью обеспечения конфиденциальности персональных данных требуется обеспечить следующие характеристики безопасности персональных данных: защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий, что в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным совместным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 № 55/86/20, оформляется Актом классификации ИСПДн. 16.4 В целях обеспечения безопасности персональных данных при их обработке в ИСПДн, на основе оценки рисков нарушения безопасности персональных данных, в Совете разрабатывается частная модель угроз безопасности персональных данных, содержащая актуальные для Совета угрозы информационной безопасности (т. е. угрозы, риск реализации которых является недопустимым), на основе которой вырабатываются требования, учитывающие особенности обработки персональных данных в Совете. 16.5. Необходимость использования средств криптографической защиты информации или шифровальных (криптографических) средств, предназначенных для защиты персональных данных при их обработке, хранении и передаче по каналам связи определяется Советом на основе результатов классификации и разработанной модели угроз информационной безопасности. 17. Ответственность за нарушения норм в сфере законодательства о персональных данных 17.1. За нарушения требований Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ должностные лица Совета несут дисциплинарную, административную и уголовную ответственность согласно действующему законодательству. |
Защита персональных данных