Действующий
- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
- определение и регламентация состава сотрудников, имеющих право доступа в помещение, в котором находятся носители с персональными данными;
- своевременное выявление нарушения требования разрешительной системы доступа работниками подразделения;
- воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
9.2. Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных.
9.4. Для обеспечения защиты персональных данных, обрабатываемыми Оператором, применяются следующие меры:
- хранение в управлении документационного обеспечения документов на бумажных носителях на стеллажах, размещенных в зоне ограниченного доступа под видеонаблюдением;
- хранение в архиве документов на бумажных носителях в делах, размещенных в специально выделенном и оборудованном помещении, которое опечатывается и сдается на сигнализацию;
- хранение источников персональных данных в отделе по защите информации с использованием СКЗИ в зоне ограниченного доступа (документы на бумажных носителях хранятся в закрытом шкафу, электронные носители – в металлическом сейфе с классом Н0 устойчивости к взлому);
- организация работы отдела по защите информации с использованием СКЗИ в соответствии с требованиями ФСБ;
- осуществление внутреннего контроля соответствия обработки персональных данных требованиям законодательства и внутренним нормативным документам Оператора;
- использование для электронного документооборота Оператора аттестованной автоматизированной системы класса защищенности 2Б;
- осуществление доступа сотрудников в систему электронного документооборота Оператора с использованием индивидуальных логинов и паролей;
- разграничение прав доступа по категориям в зависимости от выполняемых функциональных обязанностей по принципу минимизации прав в соответствии с приложениями СТО СМК 70.22.17 Управление каталогом лиц;
- обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе Оператора;
- использование технических средств защиты персональных данных: ПАК защиты от несанкционированного доступа «Соболь, версия 3.0» (сертификат ФСТЭК России № 1967 от 07.12.2009 г.), а также Устройства защиты объектов информатизации от утечки информации по техническим каналам «Соната – Р1» (сертификат ФСТЭК России № 2156 от 12.08.2010 г.);
- ознакомление работников Оператора, непосредственно осуществляющих обработку персональных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, внутренними нормативными документами Оператора по вопросам обработки персональных данных, а также обучение указанных сотрудников.
10.1. Оператор обеспечивает уничтожение обрабатываемых ПД, которое осуществляется другим лицом, действующим по поручению Оператора в следующих случаях:
в случае достижения цели обработки ПД - в срок, не превышающий тридцати дней с даты достижения цели обработки ПД;
в случае отзыва субъектом ПД согласия на обработку своих ПД и в случае, если сохранение ПД более не требуется для целей обработки ПД - в срок, не превышающий тридцати дней с даты поступления указанного отзыва;
в случае выявления неправомерной обработки с ПД и невозможности устранения допущенных нарушений - в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПД.
Документы, содержащие ПД, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
В случае отсутствия возможности уничтожения ПД в течении, указанных выше сроков, Оператор обеспечивает блокирование ПД, которое осуществляется другим лицом, действующим по поручению Оператора и обеспечивает уничтожение ПД в срок не более, чем шесть месяцев, если иной срок не установлен федеральными законами.
11.1. Под обезличиванием ПД понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному субъекту Оператора.
11.2. Обезличивание ПД при обработке ПД с использованием средств автоматизации осуществляется с целью выполнения требований по предоставлению отчетности по результатам деятельности в соответствии с нормативными документами органов государственной власти и управления, а также в связи с достижением целей обработки ПД.
11.3. Допускается обезличивание ПД при обработке ПД без использования средств автоматизации производить способом, исключающим дальнейшую обработку этих ПД с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
12.1. Работниками Оператора, получающими доступ к ПД, должна обеспечиваться конфиденциальность таких данных, а именно Работники обязаны не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД.
12.2. Лицо, осуществляющее обработку ПД по поручению Оператора, обязано соблюдать принципы и правила обработки ПД, предусмотренные соответствующими Федеральными законами. В поручении Оператора должны быть определены перечень действий (операций) с ПД, которые будут совершаться лицом, осуществляющим обработку ПД, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПД и обеспечивать безопасность ПД при их обработке, а также должны быть указаны требования к защите обрабатываемых ПД в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О ПД».
12.3. В случае, если Оператор поручает обработку ПД другому лицу, ответственность перед субъектом ПД за действия указанного лица несет Оператор. Во всех договорах с третьими лицами должно соблюдаться существенное условие обеспечения конфиденциальности.
13.1. Субъект ПД вправе требовать от Оператора уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
13.2. Сведения предоставляются субъекту ПД или его представителю Оператором при обращении либо при получении запроса субъекта ПД или его представителя.
13.3. Сведения должны быть предоставлены субъекту ПД Оператором в доступной форме, и в них не должны содержаться ПД, относящиеся к другим субъектам ПД, за исключением случаев, если имеются законные основания для раскрытия таких ПД.
13.4. Оператор вправе отказать субъекту ПД в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
13.5. Субъект ПД имеет право на получение информации, касающейся обработки его ПД, в том числе содержащей: