Действующий
9.1.3 Защита персональных данных от неправомерного использования или утраты обеспечивается Оператором за счет средств Оператора в порядке, установленном федеральным законом.
• ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют конфиденциальных знаний;
• распределение документов и информации между сотрудниками избирательно и обоснованно;
• рациональное размещение рабочих мест сотрудников для исключения бесконтрольного использования защищаемой информации;
• знание сотрудниками требований нормативно – методических документов по защите информации и сохранении тайны;
• наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
• определение и регламентация состава сотрудников, имеющих право доступа в помещение, в котором находятся носители с персональными данными;
• своевременное выявление нарушения требования разрешительной системы доступа работниками подразделения;
• воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
• иные меры, направленные на обеспечение защиты персональных данных.
• распределение документов и информации между сотрудниками избирательно и обоснованно;
• рациональное размещение рабочих мест сотрудников для исключения бесконтрольного использования защищаемой информации;
• знание сотрудниками требований нормативно – методических документов по защите информации и сохранении тайны;
• наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
• определение и регламентация состава сотрудников, имеющих право доступа в помещение, в котором находятся носители с персональными данными;
• своевременное выявление нарушения требования разрешительной системы доступа работниками подразделения;
• воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
• иные меры, направленные на обеспечение защиты персональных данных.
9.2 Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных.
• Администрация;
• Управление разработки программного обеспечения;
• Отдел разработки систем учета;
• Отдел развития проектного управления;
• Отдел сопровождения баз данных ресурсов.
• Управление разработки программного обеспечения;
• Отдел разработки систем учета;
• Отдел развития проектного управления;
• Отдел сопровождения баз данных ресурсов.
9.4 Для обеспечения защиты персональных данных, обрабатываемыми Оператором, применяются следующие меры:
• издание внутренних нормативных документов по вопросам обработки персональных данных;
• осуществление внутреннего контроля соответствия обработки персональных данных требованиям законодательства и внутренним нормативным документам Оператора;
• использование для электронного документооборота Оператора аттестованной автоматизированной системы класса защищенности 2Б;
• осуществление доступа сотрудников в систему электронного документооборота Оператора с использованием индивидуальных логинов и паролей;
• разграничение прав доступа по категориям в зависимости от выполняемых функциональных обязанностей по принципу минимизации прав в соответствии с приложениями СТО СМК 70.22.17 «Управление каталогом лиц»;
• обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе Оператора;
• использование сертифицированных СКЗИ;
• ознакомление работников Оператора, непосредственно осуществляющих обработку персональных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, внутренними нормативными документами Оператора по вопросам обработки персональных данных, а также обучение указанных сотрудников.
• осуществление внутреннего контроля соответствия обработки персональных данных требованиям законодательства и внутренним нормативным документам Оператора;
• использование для электронного документооборота Оператора аттестованной автоматизированной системы класса защищенности 2Б;
• осуществление доступа сотрудников в систему электронного документооборота Оператора с использованием индивидуальных логинов и паролей;
• разграничение прав доступа по категориям в зависимости от выполняемых функциональных обязанностей по принципу минимизации прав в соответствии с приложениями СТО СМК 70.22.17 «Управление каталогом лиц»;
• обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе Оператора;
• использование сертифицированных СКЗИ;
• ознакомление работников Оператора, непосредственно осуществляющих обработку персональных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, внутренними нормативными документами Оператора по вопросам обработки персональных данных, а также обучение указанных сотрудников.
10.1 Оператор обеспечивает уничтожение обрабатываемых ПД, которое осуществляется другим лицом, действующим по поручению Оператора в следующих случаях:
• в случае достижения цели обработки ПД - в срок, не превышающий тридцати дней с даты достижения цели обработки ПД;
• в случае отзыва субъектом ПД согласия на обработку своих ПД и в случае, если сохранение ПД более не требуется для целей обработки ПД - в срок, не превышающий тридцати дней с даты поступления указанного отзыва;
• в случае выявления неправомерной обработки с ПД и невозможности устранения допущенных нарушений - в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПД.
• в случае отзыва субъектом ПД согласия на обработку своих ПД и в случае, если сохранение ПД более не требуется для целей обработки ПД - в срок, не превышающий тридцати дней с даты поступления указанного отзыва;
• в случае выявления неправомерной обработки с ПД и невозможности устранения допущенных нарушений - в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПД.
10.2 Документы, содержащие ПД, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
10.3 В случае отсутствия возможности уничтожения ПД в течении, указанных выше сроков, Оператор обеспечивает блокирование ПД, которое осуществляется другим лицом, действующим по поручению Оператора и обеспечивает уничтожение ПД в срок не более, чем шесть месяцев, если иной срок не установлен федеральными законами.
11.1 Под обезличиванием ПД понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному субъекту Оператора.
11.2 Обезличивание ПД при обработке ПД с использованием средств автоматизации осуществляется с целью выполнения требований по предоставлению отчетности по результатам деятельности в соответствии с нормативными документами органов государственной власти и управления, а также в связи с достижением целей обработки ПД.
11.3 Допускается обезличивание ПД при обработке ПД без использования средств автоматизации производить способом, исключающим дальнейшую обработку этих ПД с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
12.1 Работниками Оператора, получающими доступ к ПД, должна обеспечиваться конфиденциальность таких данных, а именно Работники обязаны не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД.
12.2 Лицо, осуществляющее обработку ПД по поручению Оператора, обязано соблюдать принципы и правила обработки ПД, предусмотренные соответствующими Федеральными законами. В поручении Оператора должны быть определены перечень действий (операций) с ПД, которые будут совершаться лицом, осуществляющим обработку ПД, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке, а также должны быть указаны требования к защите обрабатываемых ПД в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
12.3 В случае, если Оператор поручает обработку ПД другому лицу, ответственность перед субъектом ПД за действия указанного лица несет Оператор. Во всех договорах с третьими лицами должно соблюдаться существенное условие обеспечения конфиденциальности.
13.1 Субъект ПД вправе требовать от Оператора уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
13.2 Сведения предоставляются субъекту ПД или его представителю Оператором при обращении либо при получении запроса субъекта ПД или его представителя.
13.3 Сведения должны быть предоставлены субъекту ПД Оператором в доступной форме, и в них не должны содержаться ПД, относящиеся к другим субъектам ПД, за исключением случаев, если имеются законные основания для раскрытия таких ПД.
13.4 Оператор вправе отказать субъекту ПД в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
13.5 Субъект ПД имеет право на получение информации, касающейся обработки его ПД, в том числе содержащей:
• подтверждение факта обработки ПД оператором;
• правовые основания и цели обработки ПД;
• цели и применяемые оператором способы обработки ПД;
• наименование и место нахождения оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с оператором или на основании федерального закона;
• обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
• сроки обработки ПД, в том числе сроки их хранения;
• порядок осуществления субъектом ПД прав, предусмотренных 152-ФЗ;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка поручена или будет поручена такому лицу.
• правовые основания и цели обработки ПД;
• цели и применяемые оператором способы обработки ПД;
• наименование и место нахождения оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с оператором или на основании федерального закона;
• обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
• сроки обработки ПД, в том числе сроки их хранения;
• порядок осуществления субъектом ПД прав, предусмотренных 152-ФЗ;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка поручена или будет поручена такому лицу.
13.6 Если субъект ПД считает, что Оператор осуществляет обработку его ПД с нарушением требований 152-ФЗ или иным образом нарушает его права и свободы, субъект ПД вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов ПД или в судебном порядке.
• подтверждение факта обработки ПД Оператором;
• правовые основания и цели обработки ПД;
• цели и применяемые Оператором способы обработки ПД;
• наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона; обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
• сроки обработки ПД, в том числе сроки их хранения;
• порядок осуществления субъектом ПД прав, предусмотренных 152-ФЗ;
• иные сведения, предусмотренные настоящим Федеральным законом или другими Федеральными законами.
• правовые основания и цели обработки ПД;
• цели и применяемые Оператором способы обработки ПД;
• наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона; обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
• сроки обработки ПД, в том числе сроки их хранения;
• порядок осуществления субъектом ПД прав, предусмотренных 152-ФЗ;
• иные сведения, предусмотренные настоящим Федеральным законом или другими Федеральными законами.
14.2 Если предоставление ПД является обязательным в соответствии с Федеральным законом, Оператор обязан разъяснить субъекту ПД юридические последствия отказа предоставить его ПД.
14.3 Если ПД получены не от субъекта ПД, Оператор, за исключением случаев, предусмотренных в пункте 14.4. положения, до начала обработки таких ПД обязан предоставить субъекту ПД следующую информацию:
• наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
• цель обработки ПД и ее правовое основание;
• предполагаемые пользователи ПД;
• установленные настоящим Федеральным законом права субъекта ПД;
• источник получения ПД.
• цель обработки ПД и ее правовое основание;
• предполагаемые пользователи ПД;
• установленные настоящим Федеральным законом права субъекта ПД;
• источник получения ПД.
14.4 Оператор освобождается от обязанности предоставить субъекту ПД сведения, предусмотренные в пункте 14.3, в случаях, если:
• субъект ПД уведомлен об осуществлении обработки его ПД соответствующим Оператором;
• ПД получены Оператором на основании Федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД;
• ПД сделаны общедоступными субъектом ПД или получены из общедоступного источника;
• предоставление субъекту ПД сведений, предусмотренных в пункте 14.З., нарушает права и законные интересы третьих лиц.
• ПД получены Оператором на основании Федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД;
• ПД сделаны общедоступными субъектом ПД или получены из общедоступного источника;
• предоставление субъекту ПД сведений, предусмотренных в пункте 14.З., нарушает права и законные интересы третьих лиц.
14.5 Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено 152-ФЗ или другими Федеральными законами.
14.6 Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД. Оператор, осуществляющий сбор ПД с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки ПД, и сведения о реализуемых требованиях к защите ПД, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
15.1 При поступлении запроса от уполномоченного органа по защите прав субъектов ПД (Роскомнадзор) Оператор сообщает информацию, необходимую для осуществления деятельности указанного органа, в течение установленного срока в запросе.
15.2 В случае выявления недостоверных ПД или неправомерных действий с ними по запросу уполномоченного органа по защите прав субъектов ПД Оператор обязан осуществить блокирование неправомерно обрабатываемых ПД, относящихся к этому субъекту ПД, или обеспечить их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки.
15.3 В случае выявления неточных ПД по запросу уполномоченного органа по защите прав субъектов ПД Оператор обязан осуществить блокирование ПД, относящихся к этому субъекту ПД, или обеспечить их блокирование (если обработка ПД осуществляется другим лицом, действующим по поручению Оператора) с момента получения указанного запроса на период проверки, если блокирование ПД не нарушает права и законные интересы субъекта ПД или третьих лиц.
15.4 В случае подтверждения факта неточности ПД Оператора на основании сведений, представленных уполномоченным органом по защите прав субъектов ПД, или иных необходимых документов обязан уточнить ПД либо обеспечить их уточнение (если обработка ПД осуществляется другим лицом, действующим по поручению Оператора) в течении установленного срока в представлении таких сведений и снять блокирование ПД.
15.5 В случае выявления неправомерной обработки ПД, осуществляемой Оператором или лицом, действующим по поручению Оператора, в срок, не превышающий трех рабочих дней с даты этого выявления, Оператор обязан прекратить неправомерную обработку ПД или обеспечить прекращение неправомерной обработки ПД лицом, действующим по поручению Оператора.
15.6 В случае, если обеспечить правомерность обработки ПД невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПД, обязан уничтожить такие ПД или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПД Оператор обязан уведомить по запросу Роскомнадзор.
15.7 При проведении контрольно-надзорных мероприятий за выполнением требований к обеспечению безопасности ПД при их обработке в информационных системах ПД, требований к материальным носителям биометрических ПД и технологиям хранения таких данных вне информационных систем ПД, осуществляемых федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России) и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), представители вышеуказанных контрольно-надзорных органов не имеют права на ознакомление с ПД, обрабатываемыми в информационных системах ПД Оператора.
15.8 При проведении контрольно-надзорных мероприятий в отношении Оператора контрольно-надзорными органами, не осуществляющими контроль и надзор в сфере обработки ПД, представители вышеуказанных контрольно-надзорных органов имеют право на доступ к ПД только в сфере своей компетенции и в пределах своих полномочий в соответствии с законодательством Российской Федерации.
16.1 Доступ со стороны третьих лиц к персональных данным осуществляется только с письменного согласия субъекта ПД, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью работника или других лиц, и иных случаев, установленных законодательством Российской Федерации.