Действующий
15. Все ПДн работников администрации и прочих физических лиц следует получать у них самих. Если ПДн возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо администрации должно сообщить о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа субъекта дать письменное согласие на их получение (приложение 2 к Правилам).
16. Администрация не имеет права получать и обрабатывать ПДн работников администрации и прочих физических лиц об их расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, интимной жизни.
17. Администрация вправе обрабатывать ПДн физических лиц по их запросу, а также при регистрации субъекта ПДн на едином или региональном портале государственных и муниципальных услуг, без их письменного согласия в соответствии с требованиями статьи 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
18. Все меры конфиденциальности при сборе, обработке и хранении ПДн распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
19. Информация о субъектах ПДн, зафиксированная в автоматизированных системах и на бумажных носителях, должна храниться в условиях, исключающих несанкционированный доступ к ней.
Правила обработки ПДн субъектов ПДн, осуществляемой с использованием средств автоматизации, содержание ПДн
20. Безопасность ПДн, обрабатываемых с использованием средств автоматизации, достигается путем исключения несанкционированного, в том числе случайного доступа к ПДн.
21. Уполномоченными должностными лицами при обработке ПДн в ИСПДн должна быть обеспечена их безопасность с помощью системы защиты, включающей организационные меры и средства защиты информации, в том числе шифровальные (криптографические) средства.
22. Обмен ПДн при их обработке в ИСПДн осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
23. Самостоятельное подключение средств вычислительной техники, применяемых для хранения, обработки или передачи ПДн к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к информационно-телекоммуникационной сети Интернет, не допускается.
24. Доступ пользователей (операторов ИСПДн) к ПДн в ИСПДн должен требовать обязательного прохождения процедуры идентификации и аутентификации.
25. Структурными подразделениями администрации (должностными лицами), ответственными за обеспечение безопасности ПДн при их обработке в ИСПДн, должно быть обеспечено:
1) своевременное обнаружение фактов несанкционированного доступа к ПДн и немедленное доведение этой информации до руководства;
2) недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
3) возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
5) знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
6) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей ПДн;
7) при обнаружении нарушений правил предоставления ПДн незамедлительное приостановление предоставления ПДн пользователям ИСПДн до выявления причин нарушений и устранения этих причин;
8) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
26. В случае выявления нарушений правил обработки ПДн в ИСПДн уполномоченными должностными лицами принимаются меры по установлению причин нарушений и их устранению.
28. При разработке и использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее - типовая форма), должны соблюдаться следующие условия:
1) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации, фамилию, имя, отчество и адрес субъекта ПДн, чьи ПДн вносятся в указанную типовую форму, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки;
2) типовая форма должна предусматривать поле, в котором субъекты ПДн могут поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации, при необходимости получения согласия на обработку ПДн;
3) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, чьи ПДн содержатся в типовой форме, при ознакомлении со своими ПДн, не имел возможности доступа к ПДн иных лиц, содержащимся в указанной типовой форме;
4) типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.
29. Уничтожение или обезличивание ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
30. Уточнение ПДн при осуществлении их обработки без использования средств автоматизации производится путем изготовления нового материального носителя с уточненными ПДн.
31. Обработка ПДн работников администрации осуществляется с их письменного согласия, которое действует со дня их поступления на работу в администрацию в течение трудовой деятельности в администрации (приложение 3 к Правилам).
32. Лицо, уполномоченное на обработку ПДн работников администрации (далее - специалист) обеспечивает защиту ПДн работников администрации, содержащихся в личных делах, от неправомерного их использования или утраты.
33. Обработка ПДн работников администрации осуществляется как с использованием средств автоматизации, так и без использования таких средств.
1) объем и характер обрабатываемых ПДн, способы обработки ПДн должны соответствовать целям обработки ПДн;
2) защита ПДн работников администрации от неправомерного их использования или уничтожения обеспечивается в порядке, установленном нормативными правовыми актами Российской Федерации;
3) передача ПДн работников администрации не допускается без письменного согласия работника администрации (приложение 4 к Правилам), за исключением случаев, установленных федеральными законами. В случае если лицо, обратившееся с запросом, не обладает соответствующими полномочиями на получение ПДн работников администрации, либо отсутствует письменное согласие работника администрации на передачу его ПДн, специалист вправе отказать в предоставлении ПДн. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации;
4) обеспечение конфиденциальности ПДн работников администрации, за исключением случаев обезличивания ПДн и в отношении общедоступных ПДн;
5) хранение ПДН должно осуществляться в форме, позволяющей определить работников администрации и иное лицо, являющееся субъектом ПДн, не дольше, чем этого требуют цели их обработки. Указанные сведения подлежат уничтожению по достижении цели обработки или в случае утраты необходимости в их достижении, если иное не установлено законодательством Российской Федерации. Факт уничтожения ПДн оформляется соответствующим актом;
6) опубликование и распространение ПДн работников администрации допускается в случаях, установленных законодательством Российской Федерации.
1) получать полную информацию о своих ПДн и способе обработки этих данных (в том числе автоматизированной);
2) осуществлять свободный бесплатный доступ к своим ПДн, включая право получать копии любой записи, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 г. N 152-ФЗ "О персональных данных";
3) требовать внесения необходимых изменений, уничтожения или блокирования соответствующих ПДн, которые являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
4) обжаловать в порядке, установленном законодательством Российской Федерации, действия (бездействие) уполномоченных должностных лиц.
36. Администрация в соответствии со статьей 33 Федерального закона от 02.03.2007 г. N 25-ФЗ "О муниципальной службе в Российской Федерации" вправе осуществлять обработку ПДн муниципальных служащих при формировании кадрового резерва.
37. Администрация в соответствии со статьей 17 Федерального закона от 02.03.2007 г. N 25-ФЗ "О муниципальной службе в Российской Федерации" вправе осуществлять обработку ПДн кандидатов на замещение вакантных должностей муниципальной службы.