Действующий
7) при обнаружении нарушений правил предоставления ПДн незамедлительное приостановление предоставления ПДн пользователям ИСПДн до выявления причин нарушений и устранения этих причин;
8) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей ПДн, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
26. В случае выявления нарушений правил обработки ПДн в ИСПДн уполномоченными должностными лицами принимаются меры по установлению причин нарушений и их устранению.
28. При разработке и использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее - типовая форма), должны соблюдаться следующие условия:
1) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации, фамилию, имя, отчество и адрес субъекта ПДн, чьи ПДн вносятся в указанную типовую форму, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки;
2) типовая форма должна предусматривать поле, в котором субъекты ПДн могут поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации, при необходимости получения согласия на обработку ПДн;
3) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, чьи ПДн содержатся в типовой форме, при ознакомлении со своими ПДн, не имел возможности доступа к ПДн иных лиц, содержащимся в указанной типовой форме;
4) типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.
29. Уничтожение или обезличивание ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
30. Уточнение ПДн при осуществлении их обработки без использования средств автоматизации производится путем изготовления нового материального носителя с уточненными ПДн.
31. Обработка ПДн работников администрации осуществляется с их письменного согласия, которое действует со дня их поступления на работу в администрацию в течение трудовой деятельности в администрации (приложение 3 к Правилам).
32. Лицо, уполномоченное на обработку ПДн работников администрации (далее - специалист) обеспечивает защиту ПДн работников администрации, содержащихся в личных делах, от неправомерного их использования или утраты.
33. Обработка ПДн работников администрации осуществляется как с использованием средств автоматизации, так и без использования таких средств.
1) объем и характер обрабатываемых ПДн, способы обработки ПДн должны соответствовать целям обработки ПДн;
2) защита ПДн работников администрации от неправомерного их использования или уничтожения обеспечивается в порядке, установленном нормативными правовыми актами Российской Федерации;
3) передача ПДн работников администрации не допускается без письменного согласия работника администрации (приложение 4 к Правилам), за исключением случаев, установленных федеральными законами. В случае если лицо, обратившееся с запросом, не обладает соответствующими полномочиями на получение ПДн работников администрации, либо отсутствует письменное согласие работника администрации на передачу его ПДн, специалист вправе отказать в предоставлении ПДн. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации;
4) обеспечение конфиденциальности ПДн работников администрации, за исключением случаев обезличивания ПДн и в отношении общедоступных ПДн;
5) хранение ПДН должно осуществляться в форме, позволяющей определить работников администрации и иное лицо, являющееся субъектом ПДн, не дольше, чем этого требуют цели их обработки. Указанные сведения подлежат уничтожению по достижении цели обработки или в случае утраты необходимости в их достижении, если иное не установлено законодательством Российской Федерации. Факт уничтожения ПДн оформляется соответствующим актом;
6) опубликование и распространение ПДн работников администрации допускается в случаях, установленных законодательством Российской Федерации.
1) получать полную информацию о своих ПДн и способе обработки этих данных (в том числе автоматизированной);
2) осуществлять свободный бесплатный доступ к своим ПДн, включая право получать копии любой записи, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 г. N 152-ФЗ "О персональных данных";
3) требовать внесения необходимых изменений, уничтожения или блокирования соответствующих ПДн, которые являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
4) обжаловать в порядке, установленном законодательством Российской Федерации, действия (бездействие) уполномоченных должностных лиц.
36. Администрация в соответствии со статьей 33 Федерального закона от 02.03.2007 г. N 25-ФЗ "О муниципальной службе в Российской Федерации" вправе осуществлять обработку ПДн муниципальных служащих при формировании кадрового резерва.
37. Администрация в соответствии со статьей 17 Федерального закона от 02.03.2007 г. N 25-ФЗ "О муниципальной службе в Российской Федерации" вправе осуществлять обработку ПДн кандидатов на замещение вакантных должностей муниципальной службы.
1) не сообщать ПДн субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника, а также в случаях, установленных федеральным законом;
2) предупредить лиц, получивших ПДн субъектов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие ПДн субъектов, обязаны соблюдать режим конфиденциальности. Данные Правила не распространяются на обмен ПДн субъектов в порядке, установленном федеральными законами;
3) осуществлять передачу ПДн субъектов в пределах администрации в соответствии с настоящим Правилами;
4) разрешать доступ к ПДн субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПДн субъектов, которые необходимы для выполнения конкретной функции;
5) передавать ПДн субъектов представителям в порядке, установленном законодательством Российской Федерации, и ограничивать эту информацию только теми ПДн субъектов, которые необходимы для выполнения указанными представителями их функции;
39. ПДн субъектов обрабатываются и хранятся на бумажных носителях в помещениях администрации и на учтённых машинных носителях в соответствии с Инструкцией по учёту машинных носителей.
40. ПДн субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде - в локальной компьютерной сети, в компьютерных программах и электронных базах данных.
41. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого является субъект ПДн. ПДн субъектов должны удаляться из ИСПДн администрации по достижении целей обработки, при этом допускается хранить документы, содержащие ПДн, срок хранения которых регулирует Федеральный закон от 22 октября 2004 г. N 125-ФЗ "Об архивном деле в Российской Федерации".
42. При получении ПДн не от субъекта (за исключением случаев, если ПДн были предоставлены администрации на основании федеральных законов или если ПДн являются общедоступными), администрация до начала обработки таких ПДн обязана предоставить субъекту ПДн следующую информацию:
4) установленные Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" права субъекта ПДн.
43. В случае выявления неправомерной обработки ПДн, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению оператора. В случае если обеспечить правомерность обработки ПДн невозможно, оператор в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПДн, обязан уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн оператор обязан уведомить субъект ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.
44. В случае достижения цели обработки ПДн оператор обязан прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого является субъект ПДн, иным соглашением между оператором и субъектом ПДн либо если оператор не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных федеральными законами.
45. В случае отзыва субъектом ПДн согласия на обработку своих ПДн оператор обязан прекратить обработку ПДн и уничтожить ПДн в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом ПДн. Об уничтожении ПДн оператор обязан уведомить субъекта ПДн.