Положение об обработке и защите персональных данных в аппарате ФНПР 1
Приложение
к распоряжению Аппарата ФНПР
от 21.12.2022 № 51
I.Общие положения
1.1. Положение об обработке и защите персональных данных в Негосударственном учреждении «Аппарат Федерации Независимых Профсоюзов России»2 определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных.
Настоящее Положение определяет политику негосударственного учреждения «Аппарат Федерации Независимых Профсоюзов России» как оператора, осуществляющего обработку и защиту персональных данных в ФНПР и Аппарате ФНПР.
1.2. Аппарат ФНПР осуществляет обработку персональных данных субъектов персональных данных, руководствуясь:
Трудовым кодексом Российской Федерации;
Федеральным законом от 27 июля 2006 года № 152-ФЗ
«О персональных данных»3;
Федеральным законом от 27 июля 2006 года №149-ФЗ
«Об информации, информационных технологиях и о защите информации»;
Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
Приказом Роскомнадзора от 5 сентября 2013 года № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
Приказом Роскомнадзора от 24 февраля 2021 года №18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»;
Приказом Росархива от 20 декабря 2019 года № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения».
другими подзаконными нормативными правовыми актами в области обработки и защиты персональных данных;
положением о работе с обращениями граждан в ФНПР и ее членских организациях;
инструкцией по делопроизводству в Аппарате ФНПР;
локальными нормативными актами;
договорами, заключаемыми между Аппаратом ФНПР и субъектами персональных данных;
соглашениями по информационному взаимодействию;
соглашениями о конфиденциальности;
согласиями на обработку персональных данных.
1.3. Обработка персональных данных в Аппарате ФНПР осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом о персональных данных, а также Политики Федерации Независимых Профсоюзов России в отношении обработки персональных данных.
1.4. В целях обеспечения защиты персональных данных субъекты персональных данных имеют право:
1.4.1. получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
1.4.2. осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные субъекта персональных данных, за исключением случаев, предусмотренных действующим законодательством;
1.4.3. требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением действующего законодательства;
1.4.4. требовать уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них изменениях или исключениях из них;
1.4.5. обжаловать любые неправомерные действия или бездействие при обработке и защите персональных данных.
II. Условия и порядок обработки персональных данных
2.1. Субъектами персональных данных являются:
2.1.1. Должностные лица ФНПР, работники Аппарата ФНПР.
2.1.2. Граждане, претендующие на замещение выборных должностей ФНПР, руководящих должностей в учрежденных ФНПР организациях,
а также вакантных должностей в Аппарате ФНПР.
2.1.3. Физические лица (их представители), обратившиеся в ФНПР, Аппарат ФНПР в письменной форме или в форме электронного документа за консультацией, с предложением, заявлением или жалобой.
2.1.4. Члены коллегиальных органов управления ФНПР, Контрольно-ревизионной комиссии ФНПР; делегаты, приглашенные Съезда ФНПР, а также участники совещаний и конференций, семинаров и иных мероприятий, проводимых ФНПР.
Заместители руководителей членских организаций ФНПР, кандидаты в состав кадрового резерва на должность руководителя членской организации ФНПР, абитуриенты Академии труда и социальных отношений, Санкт-Петербургского гуманитарного университета профсоюзов по квоте ФНПР, лица, представляемые к наградам ФНПР.
2.1.5. Физические лица, являющиеся стороной гражданско-правовых договоров, или представителями/работниками юридических лиц - стороны гражданско-правовых договоров, заключаемых (заключенных) с ФНПР или Аппаратом ФНПР.
2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.3. Персональные данные субъектов персональных данных, указанных в пункте 2.1.1 настоящего Положения, обрабатываются в целях:
содействия в осуществлении деятельности ФНПР;
ведения кадровой работы;
содействия работникам Аппарата ФНПР в осуществлении их деятельности, получении образования и должностного роста, контроля количества и качества выполняемой работы;
пенсионного, медицинского обеспечения и оформления соответствующих документов;
реализации мер социального обеспечения;
подачи сведений в Пенсионный фонд Российской Федерации, Федеральную налоговую службу Российской Федерации, Федеральный фонд обязательного медицинского страхования Российской Федерации, Фонд социального страхования Российской Федерации;
обработки запросов судебных органов, государственных органов по различным вопросам;
охраны труда;
обеспечения контрольно-пропускного режима;
ведения бухгалтерского учета;
обеспечения выплата заработной платы в рамках банковской услуги «Зарплатный проект»;
обеспечения стационарной и мобильной связью;
обеспечения хозяйственной деятельности;
воинского учета.
2.4. Персональные данные субъектов персональных данных, указанных в пункте 2.1.2 настоящего Положения, обрабатываются в целях осуществления процедур, связанных с выборами и утверждением в должности должностных лиц ФНПР, а также с поступлением на работу в Аппарат ФНПР.
2.5. Персональные данные субъектов персональных данных, указанных в пункте 2.1.3 настоящего Положения, обрабатываются в целях рассмотрения в Аппарате ФНПР обращений, поступивших в ФНПР и Аппарат ФНПР по вопросам, относящимся к компетенции ФНПР и Аппарата ФНПР.
2.6. Персональные данные субъектов персональных данных, указанных в пункте 2.1.4 настоящего Положения, обрабатываются в целях осуществления уставной деятельности ФНПР.
2.7. Персональные данные субъектов персональных данных, указанных в пункте 2.1.5 настоящего Положения, обрабатываются в целях обеспечения хозяйственной деятельности ФНПР, Аппарата ФНПР.
III. Обрабатываемые персональные данные
3.1. Под обработкой персональных данных в Аппарате ФНПР понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
3.2. В целях, определенных в пунктах 2.3 и 2.4 настоящего Положения, обрабатываются следующие категории персональных данных:
фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества в случае их изменения, дата, место и причина их изменения);
дата и место рождения;
документ, удостоверяющий личность (вид, серия, номер, кем и когда выдан);
паспорт, удостоверяющий личность гражданина Российской Федерации за пределами Российской Федерации (серия, номер, кем и когда выдан);
идентификационный номер налогоплательщика;
адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
номер контактного телефона, сведения о других способах связи;
реквизиты свидетельства о государственной регистрации актов гражданского состояния;
отношение к воинской обязанности, сведения о воинском учете, реквизиты документа о воинском учете (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
реквизиты документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета;
реквизиты страхового медицинского полиса обязательного медицинского страхования;
сведения об отчислениях в Федеральную налоговую службу, Пенсионный фонд Российской Федерации;
сведения об отчислениях в Фонд социального страхования;
сведения о гражданстве (включая изменения гражданства, дату и причину, наличие гражданства (подданства), вида на жительство иностранного государства);
сведения об образовании (когда и какие образовательные, научные и иные организации окончил, номера документов об образовании, направление подготовки или специальность по документу об образовании, квалификация);
сведения о трудовой деятельности;
сведения о профессиональной переподготовке и (или) повышении квалификации;
сведения об ученой степени, ученом звании;
фотография;
сведения о государственных наградах, иных наградах и знаках отличия;
сведения о ежегодных оплачиваемых отпусках и иных отпусках;
номер расчетного счета, банковской карты;
иные персональные данные, обработка которых необходима для реализации целей, предусмотренных, соответственно, пунктами 2.3 и 2.4 настоящего Положения.
3.3. В целях, определенных в пункте 2.5 настоящего Положения, обрабатываются следующие категории персональных данных:
фамилия, имя, отчество (последнее при наличии);
почтовый адрес;
адрес электронной почты;
указанный в обращении контактный телефон;
иные персональные данные, указанные заявителем в обращении (жалобе), а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения.
3.4. В целях, определенных в пункте 2.6 настоящего Положения, обрабатываются следующие категории персональных данных:
фамилия, имя, отчество (последнее при наличии);
дата и место рождения;
документ, удостоверяющий личность (вид, серия, номер, кем и когда выдан).
место работы (службы) и должность;
иные данные, необходимость обработки которых будет обусловлена особенностями организации работы Съезда ФНПР, а также совещаний и конференций, проводимых ФНПР.
3.5. В целях, определенных в пункте 2.7 настоящего Положения, обрабатываются следующие категории персональных данных:
фамилию, имя, отчество субъекта персональных данных;
дату рождения субъекта персональных данных;
место рождения субъекта персональных данных;
серию и номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе;
адрес места жительства субъекта персональных данных;
почтовый адрес субъекта персональных данных;
телефон субъекта персональных данных;
ИНН субъекта персональных данных.
3.6. Субъект персональных данных обязан предоставлять точную и достоверную информацию и своевременно извещать Аппарат ФНПР об изменении своих персональных данных.
IV. Обработка персональных данных
Общий порядок обработки
4.1. Обработка персональных данных осуществляется в объеме, необходимом для исполнения должностных обязанностей должностными лицами ФНПР и работниками Аппарата ФНПР.
4.2. Должностные лица ФНПР и работники Аппарата ФНПР допускаются к обработке персональных данных, после процедуры допуска, которая включает в себя:
- ознакомление под роспись с локальными нормативными актами Аппарата ФНПР, регламентирующими порядок и процедуры работы с персональными данными;
- подписание обязательства о неразглашении информации, содержащей персональные данные, типовая форма которого определена в Приложении №1 к настоящему Положению;
- получение индивидуальных атрибутов права доступа в информационные системы Аппарата ФНПР, содержащие персональные данные.
Иным лицам обработка персональных данных, собранных в соответствии с настоящим Положением, не поручается.
4.3. Перечень должностей работников Аппарата ФНПР, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, определен в Приложении №2 к настоящему Положению.
4.5. Обработка персональных данных субъектов персональных данных, указанных в пункте 2.1.1 настоящего Положения, осуществляется в соответствии с пунктом 2 части 1 статьи 6 Федерального закона о персональных данных, при этом в случаях, когда в соответствии с указанным законом, иными федеральными законами для обработки их персональных данных требуется письменное согласие, - с их письменного согласия (Приложения №3 и №4).
4.6. Обработка персональных данных субъектов персональных данных, указанных в пункте 2.1.2 настоящего Положения, осуществляется с их письменного согласия (Приложение №5).
4.7. В случае отказа субъектов персональных данных, указанных в пунктах 2.1.1 и 2.1.2 настоящего Положения, предоставить свои персональные данные им под роспись разъясняются юридические последствия отказа предоставить свои персональные данные (Приложение №6).
4.8. Обработка персональных данных субъектов персональных данных, указанных в пунктах 2.1.3 и 2.1.4 настоящего Положения, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 7 части 1 статьи 6 Федерального закона о персональных данных при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
4.9. Обработка персональных данных субъектов персональных данных, указанных в пункте 2.1.5 настоящего Положения, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 5 части 1 статьи 6 Федерального закона о персональных данных.
Получение (сбор) персональных данных
4.10. Сбор персональных данных осуществляется путем получения их непосредственно от субъекта персональных данных.
В случае возникновения необходимости получения персональных данных у третьей стороны следует заранее известить об этом субъекта персональных данных, получить его письменное согласие и сообщить о целях, предполагаемых источниках и способах получения персональных данных (за исключением случаев, установленных частью 4 статьи 18 Федерального закона о персональных данных.
4.11. Сбор, запись, систематизация, накопление и уточнение персональных данных осуществляются путем:
получения оригиналов необходимых документов;
копирования оригиналов документов;
внесения сведений в учетные формы (на бумажных и электронных носителях);
формирования персональных данных в ходе их обработки;
внесения персональных данных в информационные системы Аппарата ФНПР.
4.12. Получение письменных согласий на обработку персональных данных должностных лиц ФНПР и работников Аппарата ФНПР в случаях, когда в соответствии с федеральными законами для обработки персональных данных требуется письменное согласие, осуществляется структурным подразделением Аппарата ФНПР, в полномочия которого входит решение вопроса, в связи с которым требуется получение такого согласия.
Получение письменных согласий на обработку персональных данных граждан, претендующих на замещение вакантных должностей, осуществляется Отделом кадров и режима Аппарата ФНПР.
Данные в указанных случаях письменные согласия должностных лиц ФНПР и работников Аппарата ФНПР хранятся в их личном деле. Письменные согласия граждан, претендовавших на замещение вакантных должностей, но не принятых на работу, хранятся в Отделе кадров и режима Аппарата ФНПР.
Обработка персональных данных
без использования средств автоматизации
4.13. При обработке персональных данных, осуществляемой без использования средств автоматизации, руководителями структурных подразделений Аппарата ФНПР определяются места хранения персональных данных (материальных носителей) для исключения несанкционированного доступа к ним.
4.14. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).
4.15. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
типовая форма (бланк) или связанные с ней документы (инструкции по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых способов обработки персональных данных;
типовая форма (бланк) должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения письменного согласия на обработку персональных данных;
типовая форма (бланк) должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
типовая форма (бланк) не должна допускать фиксацию на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.
4.16. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, предпринимаются меры по обеспечению раздельной обработки персональных данных, в частности:
при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
4.17. Данные правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
4.18. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
Порядок обработки персональных данных
в информационных системах персональных данных
4.19. Обработка персональных данных в Аппарате ФНПР осуществляется в информационных системах персональных данных по обеспечению финансово-экономической деятельности, электронного документооборота, внутренней электронной почты, а также в информационной системе официального сайта ФНПР на аттестованных под обработку персональных данных автоматизированных рабочих местах.
Конкретный перечень используемых в Аппарате ФНПР информационных систем, позволяющих осуществлять обработку персональных данных с использованием средств автоматизации, утверждается Руководителем Аппарата ФНПР.
4.20. Политика в отношении обработки персональных данных на официальном сайте ФНПР, а также сведения о требованиях, реализуемых на данном сайте к защите персональных данных, дополнительно определяется Соглашением о пользовании официальным сайтом ФНПР и должна соответствовать настоящему Положению.
4.21. Работникам структурных подразделений Аппарата ФНПР, имеющим право осуществлять обработку персональных данных в информационных системах Аппарата ФНПР, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ к прикладным программным подсистемам предоставляется указанным лицам в соответствии с их должностными инструкциями.
4.22. Сведения в информационные системы могут вноситься как в автоматическом режиме, при получении персональных данных из других информационных систем, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
Порядок работы с обезличенными данными
4.23. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
4.24. Обезличивание персональных данных может быть проведено с целью ведения статистического учета и отчетности, снижения ущерба от разглашения персональных данных.
4.25. Обезличивание персональных данных в Аппарате ФНПР осуществляется по аналогии с «Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ», утвержденными приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 года № 996.
4.26. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
4.27. Перечень лиц, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, утверждается Руководителем Аппарата ФНПР.
Передача персональных данных
4.28. Передача (распространение, предоставление, доступ) и использование персональных данных субъектов персональных данных осуществляются в случаях и порядке, предусмотренных законодательством Российской Федерации.
4.29. Передача персональных данных субъекта персональных данных третьей стороне (не состоящей с субъектом персональных данных в каких-либо договорных отношениях) не допускается без письменного согласия субъекта персональных, за исключением случаев, установленных федеральным законом.
V. Сроки обработки, хранения персональных данных
и порядок уничтожения персональных данных
5.1. Обработка персональных данных прекращается в следующих случаях:
по достижении целей обработки персональных данных или при утрате необходимости в их достижении;
по истечении срока обработки персональных данных, установленного при сборе персональных данных;
по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
при невозможности устранения допущенных нарушений при обработке персональных данных;
при изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
при отзыве субъектом персональных данных согласия, если в соответствии с Федеральным законом о персональных данных обработка персональных данных допускается только с его согласия.
Обработка персональных данных прекращается в сроки, установленные законодательством Российской Федерации.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.2. Персональные данные хранятся в электронном виде и на бумажных носителях. В электронном виде персональные данные хранятся в информационных системах персональных данных, а также в архивных копиях баз данных информационных систем персональных данных. В бумажном виде персональные данные хранятся в составе документов и их копий, содержащих информацию о субъектах персональных данных.
5.3. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящим Положением.
5.4. Персональные данные субъектов персональных данных на бумажных носителях хранятся в течение сроков их хранения, установленных федеральным законодательством, иными нормативными правовыми актами Российской Федерации, а также Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденным приказом Федерального архивного агентства от 20 декабря 2019 года № 236, с последующим формированием и передачей на постоянное хранение в Государственный архив Российской Федерации в случаях и порядке, предусмотренных законодательством Российской Федерации.
Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
5.5. Работник, ответственный за ведение делопроизводства в структурном подразделении Аппарата ФНПР, осуществляющий обработку персональных данных, ежегодно проводит экспертизу ценности документов, в результате которой выделяет документы, содержащие персональные данные с истекшими сроками хранения, подлежащие уничтожению.
Результаты отбора документов к уничтожению оформляются актами о выделении к уничтожению документов с истекшими сроками хранения.
5.6. Под уничтожением персональных данных понимаются действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
5.7. Работник, ответственный за ведение делопроизводства в структурном подразделении Аппарата ФНПР, осуществляет контроль за процедурой уничтожения документов, содержащих персональные данные.
5.8. Уничтожение документов, содержащих персональные данные, производится термическим или механическим (шредирование) способом.
Уничтожение персональных данных на электронных носителях производится под контролем работника структурного подразделения, ответственного за защиту информации, путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации.
Сведения об уничтожении вносятся в акт о выделении к уничтожению документов, не подлежащих хранению.
VI. Обеспечение безопасности персональных данных
Меры по обеспечению безопасности
6.1. Меры по обеспечению информационной безопасности персональных данных при их обработке распространяются как на персональные данные, зафиксированные на бумажных носителях, так и на персональные данные в электронном виде.
6.2. Организацию защиты персональных данных в подразделениях обеспечивают руководители структурных подразделений, а персональных данных, находящихся в информационных системах, - совместно со структурным подразделением Аппарата ФНПР, отвечающим за обеспечение информационной безопасности в Аппарате ФНПР
6.3. Защита персональных данных субъектов персональных данных от неправомерного их использования или утраты обеспечивается в установленном действующим законодательством Российской Федерации в сфере персональных данных порядке путем выполнения комплекса организационных и технических мер, обеспечивающих их безопасность.
К указанным мерам относятся:
определение угроз безопасности персональных данных при их обработке;
организация режима обеспечения безопасности помещений, в которых размещены информационные системы персональных данных, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
учет всех информационных систем, машинных носителей, а также архивных копий персональных данных;
обнаружение фактов несанкционированного доступа к персональным данным;
восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
контроль за принимаемыми мерами по обеспечению безопасности персональных данных.
6.4. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, достигается также путем принятия таких мер как:
обнаружение, предупреждение и ликвидация последствий компьютерных атак на информационные системы;
- применение средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;
- учет машинных носителей персональных данных;
- установление правил доступа к персональным данным, обрабатываемым в информационных системах, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах.
6.5. Структурное подразделение Аппарата ФНПР, ответственное за обеспечение информационной безопасности в Аппарате ФНПР, организует и контролирует ведение учета материальных носителей персональных данных.
6.6. Структурное подразделение Аппарата ФНПР, ответственное за обеспечение безопасности персональных данных при их обработке в информационных системах, должно обеспечить:
6.6.1. своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных в Аппарате ФНПР и руководителя Аппарата ФНПР;
6.6.2. недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
6.6.3. возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
6.6.4. постоянный контроль за обеспечением уровня защищенности персональных данных;
6.6.5. знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
6.6.6. учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
6.6.7. при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин;
6.6.8. разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
6.6.9. Структурное подразделение Аппарата ФНПР ответственное за обеспечение функционирования информационной системы, принимает все необходимые меры по восстановлению персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.
6.7. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
6.8. Доступ должностных лиц ФНПР и работников Аппарата ФНПР к персональным данным, находящимся в информационных системах Аппарата ФНПР, предусматривает обязательное прохождение процедуры идентификации и аутентификации.
6.9. В случае выявления нарушений порядка обработки персональных данных в информационных системах уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.
Порядок доступа лиц в помещения,
в которых ведется обработка персональных данных
6.10. Обеспечение безопасности персональных данных от уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных достигается соблюдением правил доступа в помещения, где обрабатываются персональные данные в информационных системах персональных данных и без использования средств автоматизации.
6.11. Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.
6.12. При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
6.13. Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, проводится лицом, ответственным за организацию обработки персональных данных.
VII. Рассмотрение запросов субъектов персональных данных
или их представителей
7.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных;
правовые основания и цели обработки персональных данных;
применяемые способы обработки персональных данных;
сведения о лицах, имевших доступ к персональным данным;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством Российской Федерации в области персональных данных;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;
иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.
7.2. Информация, касающаяся обработки персональных данных, предоставляется в доступной форме, в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
7.3. Информация, касающаяся обработки персональных данных, предоставляется субъектам персональных данных, указанным в пунктах 3.2, 3.3 и 3.4 настоящего Положения, или их представителям по письменному запросу, который должен содержать следующие данные:
номер, серию документа, удостоверяющего личность субъекта персональных данных или его представителя, дату выдачи, наименование выдавшего органа;
сведения, подтверждающие факт обработки персональных данных в Аппарате ФНПР, подпись заинтересованного субъекта персональных данных или его представителя.
К запросу, направленному представителем субъекта персональных данных, должен прилагаться документ (надлежащим образом заверенная копия), подтверждающий его полномочия.
7.4. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Письменный запрос подлежит регистрации в информационной системе по делопроизводству. При регистрации запроса о получении информации, касающейся обработки персональных данных, делается отметка, что соответствующий запрос направлен на получение такой информации.
7.5. В случае если информация, касающаяся обработки персональных данных, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен законодательством Российской Федерации в области персональных данных.
7.6. Субъект персональных данных вправе обратиться повторно или направить повторный запрос в целях получения информации, касающейся обработки персональных данных, а также для ознакомления с обрабатываемыми персональными данными до истечения указанного срока в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.
7.7. Субъекту персональных данных может быть отказано в выполнении повторного запроса, не соответствующего установленным требованиям. Такой отказ должен быть мотивированным.
7.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с пунктом 8 статьи 14 Федерального закона о персональных данных.
7.9. В случае отказа в предоставлении информации дается мотивированный ответ, содержащий ссылку на положение законодательства Российской Федерации, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения заинтересованного субъекта персональных данных или его представителя, либо с даты получения запроса.
VIII. Права и обязанности лиц, ответственных за организацию
обработки персональных данных
8.1. Ответственный за организацию обработки персональных данных в Аппарате ФНПР назначается Руководителем Аппарата ФНПР из числа руководителей структурных подразделений Аппарата ФНПР.
Ответственными за организацию обработки персональных данных в структурных подразделениях Аппарата ФНПР являются руководители структурных подразделений Аппарата ФНПР.
Ответственные за организацию обработки персональных данных в своей работе руководствуются законодательством Российской Федерации в области персональных данных и настоящим Положением.
8.2. Ответственные за организацию обработки персональных данных вправе:
8.2.1. Требовать от работников Аппарата ФНПР, обрабатывающих персональные данные, знания и выполнения требований положений законодательства Российской Федерации о персональных данных и организационно-распорядительных документов Аппарата ФНПР по вопросам обработки и защиты персональных данных.
8.2.2. Иметь доступ к информации, касающейся обработки персональных данных, включающей цели обработки персональных данных, перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, правовые основания обработки персональных данных, перечень действий с персональными данными, общее описание используемых способов обработки персональных данных, дату начала обработки персональных данных, срок или условия прекращения обработки персональных данных, сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных.
8.2.3. Требовать от работников Аппарата ФНПР прекращения обработки персональных данных в случае нарушения требований по защите персональных данных.
8.2.4. Участвовать в анализе ситуаций, касающихся нарушений требований к защите персональных данных и фактов несанкционированного доступа к персональным данным.
8.3. Ответственные за организацию обработки персональных данных обязаны:
8.3.1. Осуществлять принятие организационных мер для обеспечения защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.3.2. Осуществлять текущий контроль за соблюдением работниками Аппарата ФНПР требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных.
8.3.4. Доводить до сведения работников Аппарата ФНПР положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных.
8.3.5. Организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов.
8.4. В случае нарушения требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
8.5. Ответственный за организацию обработки персональных данных в Аппарата ФНПР в дополнение к указанному в пункте 8.3 настоящего Положения обязан:
8.5.1. Организовывать принятие правовых и технических мер для обеспечения защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.5.2. Организовывать и осуществлять внутренний контроль за соблюдением работниками Аппарата ФНПР требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных, в соответствии с разделом 9 настоящего Положения.
8.5.3. Доводить до сведения ответственных за организацию обработки персональных данных в структурных подразделениях Аппарата ФНПР положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных.
8.6. Ответственные за организацию обработки персональных данных в соответствии с законодательством Российской Федерации в области персональных данных несут ответственность за надлежащее выполнение возложенных на них функций.
IX. Внутренний контроль выполнения требований к обработке
и защите персональных данных
9.1. Внутренний контроль соответствия обработки персональных данных в подразделениях Аппарата ФНПР требованиям к защите персональных данных (далее - внутренний контроль) проводится в целях выявления и предотвращения нарушений законодательства Российской Федерации в области персональных данных.
9.2. Внутренний контроль подразделяется на плановый и внеплановый.
9.3. Плановый контроль условий обработки персональных данных проводится не реже 1 раза в год на основании плана, утвержденного распоряжением Руководителя Аппарата ФНПР. Срок проведения планового внутреннего контроля составляет не более 10 рабочих дней.
В ежегодном плане проверок по каждой проверке устанавливаются: объект внутреннего контроля, проверяемый период, срок проведения проверки, члены комиссии.
9.4. Внеплановый контроль проводится по решению Руководителя Аппарата ФНПР, в том числе принятому по представлению лица, ответственного за организацию обработки персональных данных в Аппарате ФНПР, на основании поступившего письменного или устного обращения от субъекта персональных данных о нарушении законодательства в области персональных данных. Внеплановый внутренний контроль должен быть завершен не позднее 30 дней со дня принятия решения о его проведении. О результатах внепланового внутреннего контроля информируется заинтересованное лицо.
9.5. Внутренний контроль проводится комиссией. В состав комиссии включаются:
- лицо, ответственное за организацию обработки персональных данных в Аппарате ФНПР;
- не менее двух работников Аппарата ФНПР, определяемых, соответственно, ежегодным планом проверок при плановом контроле или решением Руководителя Аппарата ФНПР о проведении внепланового контроля (в качестве членов комиссии).
9.6. Контроль осуществляется непосредственно на месте обработки персональных данных путем опроса либо при необходимости путем осмотра рабочих мест лиц, участвующих в процессе обработки персональных данных.
9.7. Результаты внутреннего контроля оформляются в виде справки, подписываемой членами комиссии, предусмотренной пунктом 9.5 настоящего Положения.
9.8. При выявлении в ходе внутреннего контроля нарушений в справке отражается перечень мероприятий по устранению нарушений и срок их исполнения.
9.9. В отношении персональных данных, ставших известными в ходе проведения внутреннего контроля лицам, ответственным за проведение внутреннего контроля, соблюдается конфиденциальность и обеспечивается безопасность при их обработке.
1 далее - Положение;
2 далее - Аппарат ФНПР;
3 далее - Федеральный закон о персональных данных.