Действующий
7.5 В случае смерти субъекта согласие на обработку его ПД дают наследники субъекта ПД, если такое согласие не было дано субъектом при его жизни.
7.6 В случае недееспособности субъекта ПД согласие на обработку его ПД дает законный представитель субъекта ПД.
• не сообщать ПД субъекта третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым Кодексом Российской Федерации или иными федеральными законами;
• предупреждать лица, получающие ПД субъектов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц обеспечения конфиденциальности полученных ПД;
• не сообщать ПД субъекта в коммерческих целях без его письменного согласия;
• передавать ПД субъекта представителям субъектов в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивать эту информацию только теми ПД субъекта, которые необходимы для выполнения указанными представителями их функций;
• не отвечать на вопросы, связанные с передачей ПД субъекта по телефону или факсу, за исключением случаев, связанных с выполнением соответствующими работниками своих непосредственных должностных обязанностей, адресатам, в чью компетенцию входит получение такой информации.
• предупреждать лица, получающие ПД субъектов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц обеспечения конфиденциальности полученных ПД;
• не сообщать ПД субъекта в коммерческих целях без его письменного согласия;
• передавать ПД субъекта представителям субъектов в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивать эту информацию только теми ПД субъекта, которые необходимы для выполнения указанными представителями их функций;
• не отвечать на вопросы, связанные с передачей ПД субъекта по телефону или факсу, за исключением случаев, связанных с выполнением соответствующими работниками своих непосредственных должностных обязанностей, адресатам, в чью компетенцию входит получение такой информации.
9.1.1 Безопасность ПД достигается путем исключения несанкционированного, в том числе случайного, доступа к ПД, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПД, а также иных несанкционированных действий.
9.1.2 ПД защищаются от несанкционированного доступа в соответствии с нормативно-правовыми актами РФ, нормативно-распорядительными актами и рекомендациям регулирующих органов в области защиты информации, а также утвержденными регламентами и инструкциями Оператора.
9.1.3 Защита персональных данных от неправомерного использования или утраты обеспечивается Оператором за счет средств Оператора в порядке, установленном федеральным законом.
• ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют конфиденциальных знаний;
• распределение документов и информации между сотрудниками избирательно и обоснованно;
• рациональное размещение рабочих мест сотрудников для исключения бесконтрольного использования защищаемой информации;
• знание сотрудниками требований нормативно – методических документов по защите информации и сохранении тайны;
• наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
• определение и регламентация состава сотрудников, имеющих право доступа в помещение, в котором находятся носители с персональными данными;
• своевременное выявление нарушения требования разрешительной системы доступа работниками подразделения;
• воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
• иные меры, направленные на обеспечение защиты персональных данных.
• распределение документов и информации между сотрудниками избирательно и обоснованно;
• рациональное размещение рабочих мест сотрудников для исключения бесконтрольного использования защищаемой информации;
• знание сотрудниками требований нормативно – методических документов по защите информации и сохранении тайны;
• наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
• определение и регламентация состава сотрудников, имеющих право доступа в помещение, в котором находятся носители с персональными данными;
• своевременное выявление нарушения требования разрешительной системы доступа работниками подразделения;
• воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
• иные меры, направленные на обеспечение защиты персональных данных.
9.2 Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных.
• Администрация;
• Управление разработки программного обеспечения;
• Отдел разработки систем учета;
• Отдел развития проектного управления;
• Отдел сопровождения баз данных ресурсов.
• Управление разработки программного обеспечения;
• Отдел разработки систем учета;
• Отдел развития проектного управления;
• Отдел сопровождения баз данных ресурсов.
9.4 Для обеспечения защиты персональных данных, обрабатываемыми Оператором, применяются следующие меры:
• издание внутренних нормативных документов по вопросам обработки персональных данных;
• осуществление внутреннего контроля соответствия обработки персональных данных требованиям законодательства и внутренним нормативным документам Оператора;
• использование для электронного документооборота Оператора аттестованной автоматизированной системы класса защищенности 2Б;
• осуществление доступа сотрудников в систему электронного документооборота Оператора с использованием индивидуальных логинов и паролей;
• разграничение прав доступа по категориям в зависимости от выполняемых функциональных обязанностей по принципу минимизации прав в соответствии с приложениями СТО СМК 70.22.17 «Управление каталогом лиц»;
• обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе Оператора;
• использование сертифицированных СКЗИ;
• ознакомление работников Оператора, непосредственно осуществляющих обработку персональных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, внутренними нормативными документами Оператора по вопросам обработки персональных данных, а также обучение указанных сотрудников.
• осуществление внутреннего контроля соответствия обработки персональных данных требованиям законодательства и внутренним нормативным документам Оператора;
• использование для электронного документооборота Оператора аттестованной автоматизированной системы класса защищенности 2Б;
• осуществление доступа сотрудников в систему электронного документооборота Оператора с использованием индивидуальных логинов и паролей;
• разграничение прав доступа по категориям в зависимости от выполняемых функциональных обязанностей по принципу минимизации прав в соответствии с приложениями СТО СМК 70.22.17 «Управление каталогом лиц»;
• обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе Оператора;
• использование сертифицированных СКЗИ;
• ознакомление работников Оператора, непосредственно осуществляющих обработку персональных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, внутренними нормативными документами Оператора по вопросам обработки персональных данных, а также обучение указанных сотрудников.
10.1 Оператор обеспечивает уничтожение обрабатываемых ПД, которое осуществляется другим лицом, действующим по поручению Оператора в следующих случаях:
• в случае достижения цели обработки ПД - в срок, не превышающий тридцати дней с даты достижения цели обработки ПД;
• в случае отзыва субъектом ПД согласия на обработку своих ПД и в случае, если сохранение ПД более не требуется для целей обработки ПД - в срок, не превышающий тридцати дней с даты поступления указанного отзыва;
• в случае выявления неправомерной обработки с ПД и невозможности устранения допущенных нарушений - в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПД.
• в случае отзыва субъектом ПД согласия на обработку своих ПД и в случае, если сохранение ПД более не требуется для целей обработки ПД - в срок, не превышающий тридцати дней с даты поступления указанного отзыва;
• в случае выявления неправомерной обработки с ПД и невозможности устранения допущенных нарушений - в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПД.
10.2 Документы, содержащие ПД, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
10.3 В случае отсутствия возможности уничтожения ПД в течении, указанных выше сроков, Оператор обеспечивает блокирование ПД, которое осуществляется другим лицом, действующим по поручению Оператора и обеспечивает уничтожение ПД в срок не более, чем шесть месяцев, если иной срок не установлен федеральными законами.
11.1 Под обезличиванием ПД понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному субъекту Оператора.
11.2 Обезличивание ПД при обработке ПД с использованием средств автоматизации осуществляется с целью выполнения требований по предоставлению отчетности по результатам деятельности в соответствии с нормативными документами органов государственной власти и управления, а также в связи с достижением целей обработки ПД.
11.3 Допускается обезличивание ПД при обработке ПД без использования средств автоматизации производить способом, исключающим дальнейшую обработку этих ПД с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
12.1 Работниками Оператора, получающими доступ к ПД, должна обеспечиваться конфиденциальность таких данных, а именно Работники обязаны не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД.
12.2 Лицо, осуществляющее обработку ПД по поручению Оператора, обязано соблюдать принципы и правила обработки ПД, предусмотренные соответствующими Федеральными законами. В поручении Оператора должны быть определены перечень действий (операций) с ПД, которые будут совершаться лицом, осуществляющим обработку ПД, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке, а также должны быть указаны требования к защите обрабатываемых ПД в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
12.3 В случае, если Оператор поручает обработку ПД другому лицу, ответственность перед субъектом ПД за действия указанного лица несет Оператор. Во всех договорах с третьими лицами должно соблюдаться существенное условие обеспечения конфиденциальности.
13.1 Субъект ПД вправе требовать от Оператора уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
13.2 Сведения предоставляются субъекту ПД или его представителю Оператором при обращении либо при получении запроса субъекта ПД или его представителя.
13.3 Сведения должны быть предоставлены субъекту ПД Оператором в доступной форме, и в них не должны содержаться ПД, относящиеся к другим субъектам ПД, за исключением случаев, если имеются законные основания для раскрытия таких ПД.
13.4 Оператор вправе отказать субъекту ПД в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
13.5 Субъект ПД имеет право на получение информации, касающейся обработки его ПД, в том числе содержащей:
• подтверждение факта обработки ПД оператором;
• правовые основания и цели обработки ПД;
• цели и применяемые оператором способы обработки ПД;
• наименование и место нахождения оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с оператором или на основании федерального закона;
• обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
• сроки обработки ПД, в том числе сроки их хранения;
• порядок осуществления субъектом ПД прав, предусмотренных 152-ФЗ;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка поручена или будет поручена такому лицу.
• правовые основания и цели обработки ПД;
• цели и применяемые оператором способы обработки ПД;
• наименование и место нахождения оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с оператором или на основании федерального закона;
• обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
• сроки обработки ПД, в том числе сроки их хранения;
• порядок осуществления субъектом ПД прав, предусмотренных 152-ФЗ;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка поручена или будет поручена такому лицу.
13.6 Если субъект ПД считает, что Оператор осуществляет обработку его ПД с нарушением требований 152-ФЗ или иным образом нарушает его права и свободы, субъект ПД вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов ПД или в судебном порядке.
• подтверждение факта обработки ПД Оператором;
• правовые основания и цели обработки ПД;
• цели и применяемые Оператором способы обработки ПД;
• наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона; обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
• сроки обработки ПД, в том числе сроки их хранения;
• порядок осуществления субъектом ПД прав, предусмотренных 152-ФЗ;
• иные сведения, предусмотренные настоящим Федеральным законом или другими Федеральными законами.
• правовые основания и цели обработки ПД;
• цели и применяемые Оператором способы обработки ПД;
• наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона; обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
• сроки обработки ПД, в том числе сроки их хранения;
• порядок осуществления субъектом ПД прав, предусмотренных 152-ФЗ;
• иные сведения, предусмотренные настоящим Федеральным законом или другими Федеральными законами.
14.2 Если предоставление ПД является обязательным в соответствии с Федеральным законом, Оператор обязан разъяснить субъекту ПД юридические последствия отказа предоставить его ПД.
14.3 Если ПД получены не от субъекта ПД, Оператор, за исключением случаев, предусмотренных в пункте 14.4. положения, до начала обработки таких ПД обязан предоставить субъекту ПД следующую информацию:
• наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
• цель обработки ПД и ее правовое основание;
• предполагаемые пользователи ПД;
• установленные настоящим Федеральным законом права субъекта ПД;
• источник получения ПД.
• цель обработки ПД и ее правовое основание;
• предполагаемые пользователи ПД;
• установленные настоящим Федеральным законом права субъекта ПД;
• источник получения ПД.
14.4 Оператор освобождается от обязанности предоставить субъекту ПД сведения, предусмотренные в пункте 14.3, в случаях, если:
• субъект ПД уведомлен об осуществлении обработки его ПД соответствующим Оператором;
• ПД получены Оператором на основании Федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД;
• ПД сделаны общедоступными субъектом ПД или получены из общедоступного источника;
• предоставление субъекту ПД сведений, предусмотренных в пункте 14.З., нарушает права и законные интересы третьих лиц.
• ПД получены Оператором на основании Федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД;
• ПД сделаны общедоступными субъектом ПД или получены из общедоступного источника;
• предоставление субъекту ПД сведений, предусмотренных в пункте 14.З., нарушает права и законные интересы третьих лиц.
14.5 Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено 152-ФЗ или другими Федеральными законами.
14.6 Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД. Оператор, осуществляющий сбор ПД с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки ПД, и сведения о реализуемых требованиях к защите ПД, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.