Постановление Администрации Тамбовской области от 24.12.2012 № 1644
Об утверждении документов по организации работ по защите персональных данных в администрации области
АДМИНИСТРАЦИЯ ТАМБОВСКОЙ ОБЛАСТИ ПОСТАНОВЛЕНИЕ24.12.2012 г. Тамбов N 1644Об утверждении документов по организации работ по защите персональныхданных в администрации области В соответствии с постановлением Правительства РоссийскойФедерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер,направленных на обеспечение выполнения обязанностей, предусмотренныхФедеральным законом "О персональных данных" и принятыми в соответствиис ним нормативными правовыми актами, операторами, являющимисягосударственными или муниципальными органами" администрация областипостановляет: 1. Утвердить Правила обработки персональных данных вадминистрации области согласно приложению N 1. 2. Утвердить Правила осуществления внутреннего контролясоответствия обработки персональных данных требованиям к защитеперсональных данных в администрации области согласно приложению N 2. 3. Утвердить Правила рассмотрения запросов субъектов персональныхданных или их представителей согласно приложению N 3. 4. Утвердить типовые формы документов по запросу субъектовперсональных данных или их представителей согласно приложению N 4. 5. Утвердить Правила работы с обезличенными персональными даннымив администрации области согласно приложению N 5. 6. Утвердить типовое обязательство государственного гражданскогослужащего области, замещающего должность государственной гражданскойслужбы в администрации области, непосредственно осуществляющегообработку персональных данных, в случае расторжения с ним служебногоконтракта прекратить обработку персональных данных, ставших известнымиему в связи с исполнением должностных обязанностей, согласноприложению N 6. 7. Утвердить типовую форму разъяснения субъекту персональныхданных юридических последствий отказа предоставить свои персональныеданные согласно приложению N 7. 8. Утвердить Порядок доступа государственных гражданских служащихобласти, замещающих должности государственной гражданской службы вадминистрации области, в помещения администрации области, в которыхведется обработка персональных данных, согласно приложению N 8. 9. Настоящее постановление разместить на информационном порталеорганов государственной власти области http://www.tambov.gov.ru. Глава администрации области О.И.Бетин ПРИЛОЖЕНИЕ N 1 УТВЕРЖДЕНЫ постановлением администрации области от 24.12.2012 N 1644 Правила обработки персональных данных в администрации области 1. Общие положения Настоящие Правила обработки персональных данных в администрацииобласти (далее - Правила) устанавливают процедуры, направленные навыявление и предотвращение нарушений законодательства РоссийскойФедерации в сфере персональных данных (ПДн), а также определяющие длякаждой цели обработки ПДн содержание обрабатываемых ПДн, категориисубъектов, ПДн которых обрабатываются, сроки их обработки и хранения;порядок уничтожения при достижении целей обработки или при наступлениииных законных оснований. Правила разработаны в соответствии со статьей 42 Федеральногозакона от 27 июля 2004 г. N 79-ФЗ "О государственной гражданскойслужбе Российской Федерации", Федеральным законом от 27 июля 2006 г. N152-ФЗ "О персональных данных" (далее - Федеральный закон), Трудовымкодексом Российской Федерации, постановлением Правительства РоссийскойФедерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер,направленных на обеспечение выполнения обязанностей, предусмотренныхФедеральным законом "О персональных данных" и принятыми в соответствиис ним нормативными правовыми актами, операторами, являющимисягосударственными или муниципальными органами" и другими нормативнымиправовыми актами. При организации обработки и защиты ПДн необходиморуководствоваться следующими документами: Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации,информационных технологиях и о защите информации"; Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональныхданных"; Требованиями к защите персональных данных при их обработке винформационных системах персональных данных (утверждены постановлениемПравительства Российской Федерации от 01 ноября 2012 г. N 1119); Положением об особенностях обработки персональных данных,осуществляемой без использования средств автоматизации (утвержденопостановлением Правительства Российской Федерации от 15 сентября2008 г. N 687); Положением по аттестации объектов информатизации по требованиямбезопасности информации (утверждено председателем Государственнойтехнической комиссии при Президенте Российской Федерации 25 ноября1994 г.); Специальными требованиями и рекомендациями по технической защитеконфиденциальной информации (утверждены приказом председателяГостехкомиссии России от 30 августа 2002 г. N 282); нормативными и методическими документами по технической защитеинформации Гостехкомиссии России, ФСТЭК России и ФСБ России. 2. Категории субъектов персональных данных В администрации области осуществляется обработка ПДн следующихкатегорий лиц (далее - субъект персональных данных): государственных гражданских служащих (далее - служащие) области; депутатов областной Думы; глав муниципальных образований области; руководителей предприятий, учреждений и организаций области; кандидатов, участвующих в конкурсе на замещение вакантныхдолжностей государственной гражданской службы области, на включение вкадровый резерв области; граждан, включенных в кадровый резерв на государственнойгражданской службе области; лиц, рекомендованных для включения в резерв управленческих кадровобласти; лиц, включенных в резерв управленческих кадров области; лиц, участвующих в конкурсном отборе в рамках государственногоплана подготовки управленческих кадров для организаций народногохозяйства Российской Федерации; граждан, направляющих обращения в администрацию области; награждаемых юридических и физических лиц; посетителей администрации области; участников форумов и фестивалей; добровольцев и руководителей отрядов. Обработка персональных данных служащих администрации области икандидатов на замещение вакантных должностей администрации областиосуществляется в соответствии с законодательством о государственнойгражданской службе и трудовым законодательством Российской Федерации. 3. Принципы обработки персональных данных Обработка ПДн в администрации области должна осуществляться наоснове следующих принципов: обработки ПДн на законной и справедливой основе; ограничения обработки ПДн при достижении конкретных, заранееопределенных и законных целей; недопущения объединения баз данных, содержащих ПДн, обработкакоторых осуществляется в целях, несовместимых между собой; обработки ПДн субъектов персональных данных, которые отвечаютцелям их обработки; соответствия содержания и объема обрабатываемых ПДн заявленнымцелям обработки; исключения избыточности обрабатываемых ПДн по отношению кзаявленным целям их обработки; обеспечения точности, достаточности и актуальности ПДн поотношению к целям обработки ПДн; обеспечения принятия необходимых мер оператором при удалении илиуточнении неполных или неточных данных; осуществления хранения ПДн оператором в форме, позволяющейопределить субъекта персональных данных, не дольше, чем этого требуютцели обработки ПДн, если срок хранения ПДн не установлен федеральнымзаконом или договором, стороной которого, выгодоприобретателем илипоручителем по которому является субъект персональных данных; уничтожения либо обезличивания ПДн по достижению целей обработкиили в случае утраты необходимости в достижении этих целей, если иноене предусмотрено федеральным законом; обеспечения защиты прав и свобод человека и гражданина приобработке его ПДн, в том числе защиты прав на неприкосновенностьчастной жизни, личную и семейную тайну; обязанности лица, осуществляющего обработку ПДн по поручениюоператора, соблюдать принципы и правила обработки ПДн; соблюдения принципов и правил обработки ПДн при поручении такойобработки другому лицу; соблюдения конфиденциальности ПДн; обработки ПДн (в том числе при обработке общедоступных ПДн,специальных категорий ПДн, биометрических ПДн, при принятии решений наосновании исключительно автоматизированной обработки ПДн, притрансграничной передаче ПДн) с письменного согласия субъектовперсональных данных либо на ином законном основании; соблюдения законности при осуществлении трансграничной передачиПДн; соблюдения обязанностей, возлагаемых на администрацию областидействующим законодательством и иными нормативными актами по обработкеПДн; принятия мер, необходимых и достаточных для обеспечениявыполнения обязанностей, предусмотренных законодательством в областиПДн; принятия необходимых правовых, организационных и технических мерили обеспечение их принятия для защиты ПДн от неправомерного илислучайного доступа к ним, уничтожения, изменения, блокирования,копирования, предоставления, распространения ПДн, а также от иныхнеправомерных действий в отношении ПДн; недопустимости ограничения прав и свобод человека и гражданина помотивам, связанным с использованием различных способов обработки ПДнили обозначения принадлежности ПДн, содержащихся в государственныхинформационных системах персональных данных (ИСПДн), конкретномусубъекту персональных данных; недопустимости использования оскорбляющих чувства граждан илиунижающих человеческое достоинство способов обозначения принадлежностиПДн, содержащихся в государственных ИСПДн, конкретному субъектуперсональных данных; личной ответственности должностных лиц, осуществляющих обработкуПДн; документального оформления всех принятых решений по обработке иобеспечению безопасности ПДн. 4. Цели обработки персональных данных Администрация области, являясь оператором ПДн, должна определятьцели обработки ПДн. Цели обработки ПДн должны быть четко определены исоответствовать: заявленным в Уставе (Основном Законе) области, регламентеадминистрации области и положениях о структурных подразделенияхадминистрации области основным полномочиям и правам; задачам и функциям структурных подразделений (должностных лиц)администрации области, указанным в положениях о таких структурныхподразделениях (должностных регламентах). Цели обработки ПДн определяют: содержание и объем обрабатываемых ПДн; категории субъектов, персональные данные которых обрабатываются; сроки их обработки и хранения; порядок уничтожения при достижении целей обработки или принаступлении иных законных оснований. Цели обработки ПДн должны быть: конкретны; заранее определены; законны; заявлены. Обработка ПДн в администрации области осуществляется дляследующих целей: исполнения государственных полномочий по ведению кадровой работы,содействия государственному гражданскому служащему администрацииобласти в прохождении государственной гражданской службы РоссийскойФедерации, в обучении и должностном росте, обеспечения личнойбезопасности гражданского служащего и членов его семьи, финансовогообеспечения его трудовой деятельности, учета результатов исполнения имдолжностных обязанностей; учета документов кандидатов на замещение вакантных должностейгосударственной гражданской службы области в администрации области; формирования и подготовки кадрового резерва; систематизации данных о гражданах, направляющих обращения вадминистрацию области; обеспечения полномочий главы администрации области по вопросамнаградной работы; отрешения от должности, удаления в отставку главы муниципальногообразования в случаях, предусмотренных федеральным законодательством. Не допускается объединение баз данных, содержащих персональныеданные, обработка которых осуществляется в целях, несовместимых междусобой. Совместимость целей определяется по наличию общей цели, связаннойс заявленными в Уставе (Основном Законе) области, регламентеадминистрации области и положениях о структурных подразделенияхадминистрации области основными полномочиями и правами администрацииобласти или по наличию общей цели, определяемой действующимзаконодательством Российской Федерации. 5. Способы и правила обработки персональных данных в ИСПДн в зависимости от применения средств автоматизации Способы обработки ПДн в ИСПДн: обработка ПДн без использования средств автоматизации; обработка ПДн с использованием средств автоматизации. 5.1. Правила обработки персональных данных без использования средств автоматизации Для обработки различных категорий ПДн, осуществляемой безиспользования средств автоматизации, для каждой категории ПДн должениспользоваться отдельный материальный носитель. При фиксации ПДн на материальных носителях не допускаетсяфиксация на одном материальном носителе ПДн, цели обработки которыхзаведомо не совместимы. При несовместимости целей обработки ПДн, зафиксированных на одномматериальном носителе, если материальный носитель не позволяетосуществлять обработку ПДн отдельно от других зафиксированных на томже носителе ПДн, должны быть приняты меры по обеспечению раздельнойобработки ПДн, в частности, при необходимости использования илираспространения определенных ПДн отдельно от находящихся на том жематериальном носителе других ПДн, осуществляется копирование ПДн,подлежащих распространению или использованию, способом, исключающимодновременное копирование ПДн, не подлежащих распространению ииспользованию, и используется (распространяется) копия ПДн. При использовании типовых форм документов, характер информации вкоторых предполагает или допускает включение в них ПДн, должнысоблюдаться следующие условия: типовая форма или связанные с ней документы (инструкция по еезаполнению, карточки, реестры и журналы) должны содержать: сведения о цели обработки ПДн, осуществляемой без использованиясредств автоматизации; имя (наименование) и адрес оператора; фамилию, имя, отчество и адрес субъекта персональных данных,источник получения ПДн; сроки обработки ПДн; перечень действий с персональными данными, которые будутсовершаться в процессе их обработки; общее описание используемых оператором способов обработки ПДн; типовая форма должна предусматривать поле, в котором субъектперсональных данных может поставить отметку о своем согласии наобработку ПДн, осуществляемую без использования средств автоматизации,при необходимости получения письменного согласия на обработку ПДн; типовая форма должна быть составлена таким образом, чтобы каждыйиз субъектов персональных данных, содержащихся в документе, имелвозможность ознакомиться со своими персональными данными,содержащимися в документе, не нарушая прав и законных интересов иныхсубъектов персональных данных; типовая форма должна исключать объединение полей, предназначенныхдля внесения ПДн, цели обработки которых заведомо не совместимы. Уточнение ПДн при осуществлении их обработки без использованиясредств автоматизации производится путем обновления или измененияданных на материальном носителе, а если это не допускаетсятехническими особенностями материального носителя, - путем фиксации натом же материальном носителе сведений о вносимых в них изменениях,либо путем изготовления нового материального носителя с уточненнымиперсональными данными. 5.2. Правила обработки персональных данных средствами автоматизации Обработка ПДн средствами автоматизации в администрации областидопускается в следующих случаях: обработка ПДн осуществляется с согласия субъекта персональныхданных на обработку его персональных данных; обработка ПДн необходима для достижения целей, предусмотренныхзаконом, для осуществления и выполнения возложенных законодательствомРоссийской Федерации на администрацию области функций, полномочий иобязанностей; обработка ПДн необходима для исполнения договора, сторонойкоторого либо выгодоприобретателем или поручителем по которомуявляется субъект персональных данных, а также для заключения договорапо инициативе субъекта персональных данных или договора, по которомусубъект персональных данных будет являться выгодоприобретателем илипоручителем; обработка ПДн необходима для осуществления прав изаконных интересов администрации области или третьих лиц либо длядостижения общественно значимых целей при условии, что при этом ненарушаются права и свободы субъекта персональных данных; обработка ПДн осуществляется в статистических или иныхисследовательских целях при условии обязательного обезличивания ПДн; осуществляется обработка ПДн, доступ неограниченного круга лиц ккоторым предоставлен субъектом персональных данных либо по его просьбе(персональные данные, сделанные общедоступными субъектом персональныхданных); осуществляется обработка ПДн, подлежащих опубликованию илиобязательному раскрытию в соответствии с Федеральным законом. Обработка ПДн средствами автоматизации должна осуществляться наосновании правил, инструкций, руководств, регламентов и иныхдокументов, определяющих технологический процесс обработки информации,содержащей такие данные, определенных для выполнения конкретныхопераций с заранее определенными целями, с учетом требований настоящихПравил. 6. Обработка персональных данных с согласия субъекта персональных данных В случае если обработка ПДн субъекта персональных данных в ИСПДносуществляется на основании согласия и не имеется оснований дляобработки таких ПДн без получения согласия, должны выполнятьсяуказанные в настоящем пункте правила. Субъект персональных данных принимает решение о предоставленииего ПДн и дает согласие на их обработку свободно, своей волей и всвоем интересе. Согласие на обработку ПДн должно быть: конкретным; информированным; сознательным. Согласие на обработку ПДн администрации области может быть даносубъектом персональных данных или его представителем только вписьменной форме. Равнозначным содержащему собственноручную подписьсубъекта персональных данных согласию в письменной форме на бумажномносителе признается согласие в форме электронного документа,подписанного в соответствии с Федеральным законом электроннойподписью. Получение согласия субъекта персональных данных в формеэлектронного документа на обработку его ПДн в целях предоставлениягосударственных услуг, а также услуг, которые являются необходимыми иобязательными для предоставления государственных услуг, осуществляетсяв порядке, установленном Правительством Российской Федерации. В случае получения согласия на обработку ПДн от представителясубъекта персональных данных полномочия данного представителя на дачусогласия от имени субъекта персональных данных проверяются оператором. В случае недееспособности субъекта персональных данных согласиена обработку его ПДн дает законный представитель субъекта персональныхданных. В случае смерти субъекта персональных данных согласие наобработку его ПДн дают наследники субъекта персональных данных, еслитакое согласие не было дано субъектом персональных данных при егожизни. В случае получения согласия от законного представителя субъектаперсональных данных или наследников субъекта персональных данных ониобязаны представить документы, подтверждающие их полномочия. Допускается включение согласия в типовые формы (бланки)материальных носителей ПДн и в договор с субъектом персональныхданных. Письменные согласия субъектом персональных данных должныхраниться в администрации области. Согласие на обработку ПДн может быть отозвано субъектомперсональных данных путем направления запроса в администрацию области. 7. Обработка персональных данных без согласия субъекта персональных данных Обработка ПДн без получения согласия на такую обработку отсубъекта персональных данных может осуществляться при наличииоснований, предусмотренных пунктами 2 - 11 части 1 статьи 6, части 2статьи 10 и части 2 статьи 11 Федерального закона. 8. Правила обработки персональных данных средствами автоматизации при поручении обработки персональных данных 8.1. Правила обработки персональных данных средствами автоматизации при поручении обработки персональных данных другому лицу Администрация области вправе поручить обработку ПДн другому лицу(поручение оператора): с согласия субъекта персональных данных; если иное не предусмотрено Федеральным законом; на основании заключаемого с этим лицом договора, в том числегосударственного контракта; путем принятия соответствующего акта. Лицо, осуществляющее обработку персональных данных по поручениюадминистрации области, обязано соблюдать принципы и правила обработкиперсональных данных. В поручении оператора: должен быть определен перечень действий (операций) сперсональными данными, которые будут совершаться лицом, осуществляющимобработку персональных данных; должны быть определены цели обработки персональных данных; должна быть установлена обязанность такого лица соблюдатьконфиденциальность персональных данных; должна быть установлена обязанность такого лица обеспечиватьбезопасность персональных данных при их обработке; должны быть указаны требования к защите обрабатываемых ПДн всоответствии с настоящими Правилами и техническим заданием на созданиесистемы защиты ПДн; установлена ответственность такого лица перед администрациейобласти в случаях нарушений установленных требований изаконодательства Российской Федерации в области ПДн; при необходимости получения согласия на обработку ПДн от субъектаперсональных данных предусмотрен порядок сбора и передачи вадминистрацию области такого согласия. В случае если администрация области поручает обработку ПДндругому лицу, ответственность перед субъектом персональных данных задействия указанного лица несет администрация области. В случае необходимости получения согласия на обработку ПДн отсубъекта персональных данных обязанность получения такого согласиявозлагается на администрацию области. 8.2. Правила обработки персональных данных средствами автоматизации при поручении обработки персональных данных другим лицом В случае поручения обработки ПДн средствами автоматизацииадминистрации области другим лицом, такое лицо своим поручениемоператору обязано: определить перечень действий (операций) с персональными данными; определить цели обработки ПДн; установить обязанность соблюдать конфиденциальность персональныхданных и обеспечивать безопасность персональных данных при ихобработке; указать требования к защите обрабатываемых ПДн. В случае неопределения такой информации и требований другимлицом, администрация области обязана добиться их определения идокументального оформления. В случае принятия поручения на обработку ПДн администрациейобласти от другого лица без указанной информации и требований, такаяобработка не считается обработкой, осуществляемой по поручениюоператора, и оператором ПДн будет являться администрация области. Администрация области обязана выполнить все требования,установленные другим лицом в поручении оператора, и за все нарушения вобработке ПДн несет ответственность перед таким лицом. Администрация области при осуществлении обработки ПДн попоручению оператора не обязана получать согласие субъекта персональныхданных на обработку его ПДн. 9. Правила обработки персональных данных в ИСПДн в зависимости от категории обрабатываемых персональных данных В администрации области устанавливаются следующие особые правилаобработки ПДн в зависимости от категории обрабатываемых ПДн: обработка специальных категорий ПДн; обработка биометрических ПДн; обработка общедоступных ПДн. 9.1. Правила обработки специальных категорий персональных данных К специальным категориям ПДн относятся сведения, касающиеся: расовой принадлежности; национальной принадлежности; политических взглядов; религиозных убеждений; философских убеждений; состояния здоровья; интимной жизни; судимости. В администрации области разрешается обработка сведенийспециальных категорий ПДн в минимально необходимом объеме приобязательном соблюдении любого из следующих условий: субъект персональных данных дал согласие в письменной форме наобработку своих ПДн; обработка ПДн осуществляется в соответствии с законодательством огосударственной социальной помощи, трудовым законодательством,законодательством Российской Федерации о пенсиях по государственномупенсионному обеспечению, о трудовых пенсиях; обработка ПДн необходима для защиты жизни, здоровья или иныхжизненно важных интересов субъекта персональных данных либо жизни,здоровья или иных жизненно важных интересов других лиц и получениесогласия субъекта персональных данных невозможно; обработка ПДн необходима для установления или осуществления правсубъекта персональных данных или третьих лиц; обработка ПДн осуществляется в соответствии с законодательствомоб обязательных видах страхования, страховым законодательством; обработка ПДн о судимости осуществляется в пределах полномочий,предоставленных администрации области в соответствии сзаконодательством Российской Федерации. Обработка специальных категорий ПДн в остальных случаях вадминистрации области не допускается. Обработка специальных категорий ПДн должна быть незамедлительнопрекращена, если устранены причины, вследствие которых осуществляласьобработка, если иное не установлено Федеральным законом. 9.2. Правила обработки биометрических персональных данных К биометрическим персональным данным относятся (обязательноевыполнение всех трех условий одновременно): сведения, которые характеризуют физиологические и биологическиеособенности человека; сведения, на основании которых можно установить его личность; сведения, которые используются администрацией области дляустановления личности субъекта ПДн. В случае принятия решения об обработке биометрических ПДн, такиеданные могут обрабатываться только при наличии согласия в письменнойформе субъекта персональных данных. 9.3. Правила обработки общедоступных персональных данных Общедоступные персональные данные физических лиц, полученные изсторонних общедоступных источников ПДн, в администрации областиобрабатываются в исключительных случаях в сроки, не превышающиенеобходимые для их использования. При этом совместно с такими даннымидолжны собираться реквизиты их источника и подтверждение согласиясубъекта персональных данных на включение такой информации вобщедоступные источники ПДн, так как в случае обработки общедоступныхПДн обязанность доказывания того, что обрабатываемые персональныеданные являются общедоступными, возлагается на администрацию области.По достижении целей обработки общедоступных ПДн они подлежатнемедленному уничтожению. С целью информационного обеспечения и осуществлениявзаимодействия как внутри администрации области, так и со стороннимифизическими и юридическими лицами в администрации области могутсоздаваться общедоступные источники ПДн. Создание общедоступногоисточника ПДн осуществляется по решению главы администрации области. Врешении о создании общедоступного источника ПДн должны быть указаны: цель создания общедоступного источника ПДн; ссылка на нормативный акт, устанавливающий необходимость созданияобщедоступного источника ПДн (при наличии); перечень ПДн, которые вносятся в общедоступный источник ПДн; порядок включения ПДн в общедоступный источник ПДн; порядок уведомления пользователей общедоступного источника ПДн обисключении из него ПДн либо внесении в него изменений; порядок получения письменного согласия субъекта персональныхданных на включение ПДн в общедоступный источник ПДн; ссылка на нормативный акт, устанавливающий порядок исключения ПДниз общедоступного источника ПДн. В общедоступный источник ПДн с письменного согласия субъектаперсональных данных могут включаться: должность, фамилия, имя,отчество, абонентский номер рабочего телефона, место полученияобразования, достигнутые результаты и другая информация. Включение в общедоступные источники персональных данных ПДнсубъекта персональных данных допускается только на основании егописьменного согласия. Исключение ПДн из указанного общедоступного источникаосуществляется при утрате необходимости в обработке таких данных, либона основании заявления субъекта персональных данных в соответствии сдействующим законодательством Российской Федерации. 10. Правила обработки персональных данных в ИСПДн в зависимости от цели обработки персональных данных В администрации области устанавливаются следующие особые правилаобработки ПДн в зависимости от цели обработки ПДн: правила обработки ПДн с целью однократного пропуска субъектаперсональных данных на охраняемую территорию; правила обработки ПДн при трансграничной передаче ПДн; правила работы с обезличенными данными. 10.1. Правила обработки персональных данных с целью однократного пропуска субъекта персональных данных на охраняемую территорию При ведении журналов (реестров, книг), содержащих персональныеданные, необходимые для однократного пропуска субъекта персональныхданных на территорию администрации области, должны соблюдатьсяследующие условия: необходимость ведения такого журнала (реестра, книги) должна бытьпредусмотрена правовым актом администрации области, содержащимсведения о цели обработки ПДн, осуществляемой без использованиясредств автоматизации, способы фиксации и состав информации,запрашиваемой у субъектов персональных данных, перечень лиц (подолжностям), имеющих доступ к материальным носителям и перечень лиц,ответственных за ведение и сохранность журнала (реестра, книги), срокиобработки ПДн, а также сведения о порядке пропуска субъектаперсональных данных на территорию администрации области, безподтверждения подлинности ПДн, сообщенных субъектом персональныхданных; копирование содержащейся в таких журналах (реестрах, книгах)информации не допускается; персональные данные каждого субъекта персональных данных могутзаноситься в такой журнал (книгу, реестр) не более одного раза вкаждом случае пропуска субъекта персональных данных на охраняемуютерриторию. 10.2. Правила обработки персональных данных при трансграничной передаче персональных данных Трансграничная передача ПДн администрацией области неосуществляется. В случае принятия администрацией области решения о трансграничнойпередаче ПДн такие данные могут обрабатываться только в следующихслучаях: при наличии согласия в письменной форме субъекта персональныхданных на трансграничную передачу его ПДн; предусмотренных международными договорами Российской Федерации; предусмотренных федеральными законами, если это необходимо вцелях защиты основ конституционного строя Российской Федерации,обеспечения обороны страны и безопасности государства, а такжеобеспечения безопасности, устойчивого и безопасного функционированиятранспортного комплекса, защиты интересов личности, общества игосударства в сфере транспортного комплекса от актов незаконноговмешательства; исполнения договора, стороной которого является субъектперсональных данных; защиты жизни, здоровья, иных жизненно важных интересов субъектаперсональных данных или других лиц при невозможности получениясогласия в письменной форме субъекта персональных данных. Администрация области до начала осуществления трансграничнойпередачи ПДн обязана убедиться в том, что иностранным государством, натерриторию которого осуществляется передача ПДн, обеспечиваетсяадекватная защита прав субъекта персональных данных. 10.3. Правила работы с обезличенными данными Обезличиванием ПДн называются действия, в результате которыхстановится невозможным без использования дополнительной информацииопределить принадлежность ПДн конкретному субъекту персональныхданных. Порядок обезличивания в администрации области установленПравилами работы с обезличенными персональными данными администрацииобласти. 11. Правовое основание обработки персональных данных Правовое основание обработки ПДн включает в себя: определение законности целей обработки ПДн; оценку вреда, который может быть причинен субъекту персональныхданных в случае нарушения требований по обработке и обеспечениюбезопасности ПДн; определение заданных характеристик безопасности ПДн; определение сроков обработки, в том числе хранения ПДн,осуществление контроля за соблюдением сроков обработки ПДн и фактовдостижения целей обработки ПДн. 11.1. Определение законности целей обработки персональных данных Заявляемые цели обработки ПДн должны быть законны, причем, кромесамого факта обработки ПДн, должны рассматриваться и соответственноиметь правовое основание особые правила обработки определенных наборовПДн (таких как специальные категории ПДн, биометрические персональныеданные и др.), особые способы обработки ПДн (обработка безиспользования средств автоматизации, исключительно автоматизированнаяобработка ПДн и др.), а также особые цели обработки ПДн (однократныйпропуск на охраняемую территорию, трансграничная передача ПДн и др.). При определении правовых оснований обработки ПДн должныопределяться реквизиты федеральных законов, а также иных подзаконныхактов и документов органов государственной власти, которые требуютобработки ПДн или иных документов, являющихся такими основаниями. Обработка ПДн без документально определенного и оформленногоправового основания обработки ПДн не допускается. 11.2. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных Оценкой вреда, который может быть причинен субъекту персональныхданных в случае нарушения требований по обработке и обеспечениюбезопасности ПДн, является определение юридических или иным образомзатрагивающих права и законные интересы последствий в отношениисубъекта персональных данных, которые могут возникнуть в случаенарушения требований по обработке и обеспечению безопасности ПДн. К юридическим последствиям относятся случаи возникновения,изменения или прекращения личных либо имущественных прав граждан илииным образом затрагивающих его права, свободы и законные интересы. При обработке ПДн должны определяться и документально оформлятьсявсе возможные юридические или иным образом затрагивающие права изаконные интересы последствия в отношении субъекта персональныхданных, которые могут возникнуть в случае нарушения требований пообработке и обеспечению безопасности ПДн при выполнении заявленных вУставе (Основном законе) Тамбовской области основных полномочий иправ, либо в рамках перечня задач и функций структурных подразделений(должностных лиц) администрации области, указанных в положениях отаких структурных подразделениях (должностных регламентах) с учетомособых правил и способов обработки ПДн. Определение таких юридических последствий необходимо длянедопущения нарушения и обеспечения защиты прав и свобод человека игражданина при обработке его ПДн, в том числе защиты прав нанеприкосновенность частной жизни, личную и семейную тайну, а такжеопределения соотношения вреда, который может быть причинен субъектамперсональных данных в случае нарушения требований по обработке иобеспечению безопасности ПДн и принимаемых мер. Обработка ПДн без оценки вреда, который может быть причиненсубъектам персональных данных в случае нарушения требований пообработке и обеспечению безопасности ПДн, не допускается. 11.3. Заданные характеристики безопасности персональных данных Всеми лицами, получающими доступ к персональным данным, должнаобеспечиваться конфиденциальность таких данных. Конфиденциальность ПДн это обязательное для соблюдения операторомили иным получившим доступ к ПДн лицом требование не раскрыватьтретьим лицам и не распространять ПДн без согласия субъектаперсональных данных, если иное не предусмотрено Федеральным законом. Вне зависимости от необходимости обеспечения конфиденциальностиПДн, при обработке ПДн должно определяться наличие требований пообеспечению иных характеристик безопасности ПДн, отличных от нее. К таким характеристикам относятся: требование по обеспечению защищенности от уничтожения ПДн; требование по обеспечению защищенности от изменения ПДн; требование по обеспечению защищенности от блокирования ПДн; требование по обеспечению защищенности от иныхнесанкционированных действий. Обеспечение указанных характеристик безопасности ПДнустанавливается федеральными законами и иными нормативными правовымиактами. При определении правовым актом администрации областинеобходимости обеспечения характеристик безопасности ПДн, отличных отконфиденциальности, основным критерием должна служить оценка вреда,который может быть причинен субъекту персональных данных, с чьим ПДнпроизошло нарушение таких характеристик безопасности. Обработка ПДн без документально определенного и оформленногорешения по определению характеристик безопасности ПДн не допускается. 11.4. Определение сроков обработки, в том числе хранения персональных данных, осуществление контроля за соблюдением сроков обработки персональных данных и фактов достижения целей обработки персональных данных На основании определенных целей обработки ПДн, способов обработкии образующихся в процессе такой обработки различных видов документовустанавливаются сроки такой обработки ПДн, в том числе хранения. Определение сроков хранения осуществляется в соответствии стребованиями законодательства об архивном деле Российской Федерации, втом числе в соответствии с перечнями типовых архивных документов суказанием сроков их хранения. При использовании документов, содержащих ПДн, в различных целях,определение сроков обработки, в том числе хранения, таких документовустанавливается по максимальному сроку, предусмотренному Федеральнымзаконом. При этом в случае наличия ПДн в таких документах, обработкакоторых более не требуется, производятся действия по уничтожению такихданных. Включение в состав Архивного фонда Российской Федерациидокументов, содержащих персональные данные, осуществляется наосновании экспертизы ценности документов и оформляется договором междуадминистрацией области и государственным архивом. При этом объемпередаваемых документов и условия передачи определяются условиямитакого договора и действующими требованиями законодательства обархивном деле Российской Федерации. На документы, включенные в состав Архивного фонда РоссийскойФедерации, действие настоящих Правил не распространяется. Обработка ПДн без документально определенных и оформленных сроковобработки, в том числе хранения ПДн, не допускается. С целью выполнения требования по уничтожению либо обезличиваниюПДн по достижении целей обработки или в случае утраты необходимости вдостижении этих целей, если иное не предусмотрено Федеральным законом,в администрации области создается комиссия, определяющая фактдостижения целей обработки ПДн и достижение предельных сроков хранениядокументов, содержащих персональные данные. 12. Действия (операции) с персональными данными Обработкой ПДн называется любое действие (операция) илисовокупность действий (операций), совершаемых с использованием средствавтоматизации или без использования таких средств ПДн, включая: сбор ПДн; запись ПДн; систематизацию ПДн; накопление ПДн; хранение ПДн; уточнение (обновление) ПДн; уточнение (изменение) ПДн; извлечение ПДн; использование ПДн; передачу (распространение) ПДн; передачу (предоставление) ПДн; передачу (доступ) ПДн; обезличивание ПДн; блокирование ПДн; удаление ПДн; уничтожение ПДн. Обработка ПДн без определенных и документально оформленныхдействий (операций), совершаемых с персональными данными, недопускается. 13. Осуществление сбора персональных данных 13.1. Способы сбора персональных данных и источники их получения В администрации области применяются следующие способы полученияПДн субъектов персональных данных: заполнение субъектом персональных данных соответствующих форм (втом числе для заключения договора); получение ПДн от третьих лиц; получение данных на основании запроса третьим лицам; сбор данных из общедоступных источников. Получение ПДн в администрации области допускается только: непосредственно от субъекта персональных данных; из общедоступных источников; от третьих лиц. Получение ПДн из иных источников не допускается. В связи с необходимостью постоянного контроля за наличием ПДн вобщедоступных источниках ПДн, получение и использование таких данныхявляется не рекомендуемым и должно осуществляться только висключительных случаях в сроки, не превышающие необходимых дляпринятия соответствующего решения. 13.2. Правила сбора персональных данных Если предоставление ПДн является обязательным в соответствии сФедеральным законом, администрация области обязана разъяснить субъектуперсональных данных юридические последствия отказа предоставить егоперсональные данные. Если основания на обработку ПДн без согласия отсутствуют, тонеобходимо получение согласия субъекта персональных данных наобработку его ПДн. Обработка ПДн без получения такого согласиякатегорически запрещается. Если персональные данные получены не от субъекта персональныхданных, администрация области до начала обработки таких ПДн обязанапредоставить субъекту персональных данных: наименование либо фамилию, имя, отчество и адрес оператора илиего представителя; сведения о цели обработки ПДн и ее правовое основание; сведения о предполагаемых пользователях ПДн; сведения об установленных правах субъекта персональных данных; сведения об источниках получения ПДн. Администрация области освобождается от обязанности предоставлятьсубъекту персональных данных сведения в случаях, если: субъект персональных данных уведомлен об осуществлении обработкиего ПДн соответствующим оператором; персональные данные получены администрацией области на основанииФедерального закона или в связи с исполнением договора, сторонойкоторого либо выгодоприобретателем или поручителем по которомуявляется субъект персональных данных; персональные данные сделаны общедоступными субъектом персональныхданных или получены из общедоступного источника; администрация области осуществляет обработку ПДн длястатистических или иных исследовательских целей, если при этом ненарушаются права и законные интересы субъекта персональных данных; предоставление субъекту ПДн сведений нарушает права и законныеинтересы третьих лиц. 14. Осуществление систематизации, накопления, уточнения и использования персональных данных Систематизация, накопление, уточнение, использование ПДн могутосуществляться любыми законными способами в соответствии с правилами,инструкциями, руководствами, регламентами и иными документами,определяющими технологический процесс обработки информации. В администрации области могут быть установлены особенности учетаПДн в ИСПДн, в том числе использование различных способов обозначенияпринадлежности ПДн, содержащихся в соответствующей информационнойсистеме ПДн, конкретному субъекту персональных данных. Права и свободы человека и гражданина не могут быть ограничены помотивам, связанным с использованием различных способов обработки ПДнили обозначения принадлежности ПДн, содержащихся в ИСПДн, конкретномусубъекту персональных данных. Не допускается использование оскорбляющих чувства граждан илиунижающих человеческое достоинство способов обозначения принадлежностиПДн, содержащихся в ИСПДн, конкретному субъекту персональных данных. Уточнение ПДн должно производиться только на основании законнополученной в установленном порядке информации. Решение об уточнении ПДн субъекта персональных данных принимаетсялицом, ответственным за организацию обработки ПДн в администрацииобласти. Использование ПДн должно осуществляться исключительно взаявленных целях. Использование ПДн в заранее не определенных и неоформленных установленным образом целях категорически не допускается. 15. Осуществление записи и извлечения персональных данных Запись ПДн в ИСПДн администрации области может осуществляться слюбых носителей информации или из других ИСПДн. Извлечение ПДн из ИСПДн может осуществляться с целью: вывода ПДн на бумажный или иной носитель информации, непредназначенный для его обработки средствами вычислительной техники; вывода ПДн на носители информации, предназначенные для ихобработки средствами вычислительной техники. 16. Осуществление передачи персональных данных Передача ПДн в администрации области должна осуществляться ссоблюдением настоящих Правил и действующего законодательстваРоссийской Федерации. В администрации области приняты следующие способы передачи ПДнсубъектов персональных данных: передача ПДн на электронных и бумажных носителях информациинарочным; передача ПДн на электронных и бумажных носителях посредствомпочтовой связи; передача ПДн по каналам электрической связи. Перед осуществлением передачи ПДн проверяется основание наосуществление такой передачи и наличие согласия на передачу ПДн всогласии субъекта персональных данных на обработку ПДн или наличиеиных законных оснований. Передача ПДн должна осуществляться на основании: договора с третьей стороной, которой осуществляется передача ПДн; запроса, полученного от третьей стороны, которой осуществляетсяпередача ПДн; исполнения возложенных законодательством Российской Федерации наадминистрацию области функций, полномочий и обязанностей. Передача ПДн без согласия субъекта персональных данных или иныхзаконных оснований категорически запрещается. 17. Осуществление хранения персональных данных Хранение ПДн в администрации области допускается только в формедокументов - зафиксированной на материальном носителе информации(содержащей персональные данные) с реквизитами, позволяющими ееидентифицировать и определить субъекта персональных данных. При этомпредусматриваются следующие виды документов: изобразительный документ - документ, содержащий информацию,выраженную посредством изображения какого-либо объекта; фотодокумент - изобразительный документ, созданныйфотографическим способом; текстовый документ - документ, содержащий речевую информацию,зафиксированную любым типом письма или любой системой звукозаписи; письменный документ - текстовой документ, информация которогозафиксирована любым типом письма; рукописный документ - письменный документ, при создании которогознаки письма наносят от руки; машинописный документ - письменный документ, при созданиикоторого знаки письма наносят техническими средствами; документ на машинном носителе - документ, созданный сиспользованием носителей и способов записи, обеспечивающих обработкуего информации электронно-вычислительной машиной. Хранение ПДн в администрации области осуществляется в форме,позволяющей определить субъекта персональных данных, не дольше, чемэтого требуют цели обработки ПДн, если срок хранения ПДн не установленФедеральным законом, договором, стороной которого,выгодоприобретателем или поручителем по которому является субъектперсональных данных. Хранение ПДн в ИСПДн и вне таких систем в администрации областиосуществляется только на таких материальных носителях информации и сприменением такой технологии ее хранения, которые обеспечивают защитуэтих данных от неправомерного или случайного: доступа к ним; их уничтожения; изменения; блокирования; копирования; предоставления; распространения. 18. Осуществление блокирования персональных данных Блокированием ПДн называется временное прекращение обработки ПДн(за исключением случаев, если обработка необходима для уточнения ПДн). Блокирование ПДн конкретного субъекта персональных данных должноосуществляться во всех ИСПДн администрации области, включая архивы базданных, содержащих такие персональные данные. Блокирование ПДн в администрации области осуществляется: в случае выявления неправомерной обработки ПДн при обращениисубъекта персональных данных или его представителя либо по запросусубъекта персональных данных или его представителя либоуполномоченного органа по защите прав субъектов персональных данных смомента такого обращения или получения указанного запроса на периодпроверки; в случае отсутствия возможности уничтожения ПДн в установленныесроки до их уничтожения. После устранения выявленной неправомерной обработки ПДнадминистрация области осуществляет снятие блокирования ПДн. Решение о блокировании и снятии блокирования ПДн субъектаперсональных данных принимается ответственным за организацию обработкиПДн в администрации области. 19. Осуществление обезличивания персональных данных Обезличивание ПДн в администрации области при обработке ПДн сиспользованием средств автоматизации осуществляется на основаниинормативных правовых актов, правил, инструкций, руководств,регламентов и иных документов для достижения заранее определенных изаявленных целей. Допускается обезличивание ПДн при обработке ПДн без использованиясредств автоматизации производить способом, исключающим дальнейшуюобработку этих ПДн с сохранением возможности обработки иных данных,зафиксированных на материальном носителе (удаление, вымарывание). 20. Осуществление удаления и уничтожения персональных данных Уничтожение ПДн - это действия, в результате которых становитсяневозможным восстановить содержание ПДн в информационной системе ПДн и(или) в результате которых уничтожаются материальные носители ПДн. Уничтожение ПДн в администрации области производится только вследующих случаях: обрабатываемые персональные данные подлежат уничтожению либообезличиванию по достижении целей обработки или в случае утратынеобходимости в достижении этих целей, если иное не предусмотреноФедеральным законом; персональные данные являются незаконно полученными или неявляются необходимыми для заявленной цели обработки; в случае выявления неправомерной обработки ПДн, если обеспечитьправомерность обработки ПДн невозможно; в случае достижения цели обработки ПДн; в случае отзыва субъектом персональных данных согласия наобработку его ПДн и в случае, если сохранение ПДн более не требуетсядля целей обработки ПДн. По факту уничтожения ПДн обязательно проверяется необходимостьуведомления об этом и в случае наличия такого требованияосуществляется уведомление указанных в таком требовании лиц. При уничтожении ПДн необходимо: убедиться в необходимости уничтожения ПДн; убедиться в том, что уничтожаются те персональные данные, которыепредназначены для уничтожения; уничтожить персональные данные подходящим способом в соответствиис настоящими Правилами или способом, указанным в соответствующемтребовании или распорядительном документе; проверить необходимость уведомления об уничтожении ПДн; при необходимости уведомить об уничтожении ПДн требуемых лиц. При уничтожении ПДн применяются следующие способы: измельчение в бумагорезательной (бумагоуничтожительной) машине -для документов, исполненных на бумаге; тщательное вымарывание (с проверкой тщательности вымарывания) -для сохранения возможности обработки иных данных, зафиксированных наматериальном носителе, содержавшем персональные данные; физическое уничтожение частей носителей информации - разрушениеили сильная деформация - для носителей информации на жестком магнитномдиске (уничтожению подлежат внутренние диски и микросхемы); СD(DVD)-дисках, USB- и Flash-носителях (уничтожению подлежат модули имикросхемы долговременной памяти); стирание с помощью сертифицированных средств уничтоженияинформации - для записей в базах данных и отдельных документов намашинном носителе. При уничтожении ПДн необходимо учитывать их наличие в архивныхбазах данных и производить уничтожение во всех копиях базы данных,если иное не установлено действующим законодательством РоссийскойФедерации. При необходимости уничтожения части ПДн допускается уничтожатьматериальный носитель одним из указанных в настоящем Положенииспособов, с предварительным копированием сведений, не подлежащихуничтожению, способом, исключающим одновременное копирование ПДн,подлежащих уничтожению. Уничтожение ПДн производится лицами, обрабатывающими персональныеданные в соответствующей ИСПДн, в которой производится уничтожениеПДн, только в присутствии лица, ответственного за организациюобработки ПДн в администрации области. По факту уничтожения ПДн составляется акт об уничтожении ПДн,который подписывается лицами, производившими уничтожение, заверяетсялицом, ответственным за организацию обработки ПДн в администрацииобласти, присутствовавшим при уничтожении, и утверждается главойадминистрации области (первым заместителем главы администрацииобласти). Хранение актов об уничтожении ПДн осуществляется в течение срокаисковой давности, если иное не установлено нормативными правовымиактами Российской Федерации. 21. Способы обозначения документов, содержащих персональные данные С целью доведения до служащих администрации области фактов работыс документами, содержащими персональные данные, все такие документы (втом числе машинные носители и документы в электронном виде) подлежатспециальному обозначению (маркированию или визуальному выделению). На документах в правом верхнем углу проставляется: в первой строке: "Содержит персональные данные"; во второй строке: Экз. N ___. В третьей строке при необходимости дополнительно могутпроставляться иные реквизиты документа, в том числе егорегистрационный номер по журналам учета. В конце документа проставляется фамилия и инициалы лица (лиц)исполнившего и отпечатавшего документ, количество отпечатанныхэкземпляров, дата печати. Ответственным за специальное обозначение документов является ихисполнитель. Специальное обозначение осуществляется при печати документовмашинным способом или путем проставления штампа (клише) на ранеесозданных документах и машинных носителях (в свободном месте наимеющихся наклейках или на специально наклеенном листе или корпусеносителя). Специальное обозначение ранее созданных документов должнопроизводиться при обращении к ним. 22. Права и обязанности субъекта персональных данных и администрации области при обработке персональных данных 22.1. Права субъекта персональных данных Субъект персональных данных, чьи персональные данныеобрабатываются в администрации области, имеет право: на получение сведений о подтверждении факта обработки ПДнадминистрацией области; на получение сведений о правовых основаниях и цели обработки ПДн; на получение сведений о цели и применяемых администрацией областиспособах обработки ПДн; на получение сведений о наименовании и месте нахожденияадминистрации области, сведений о лицах (за исключением сведений ослужащих администрации области), которые имеют доступ к персональнымданным или которым могут быть раскрыты персональные данные наосновании договора с администрацией области или на основанииФедерального закона; на получение сведений о обрабатываемых ПДн, относящихся ксоответствующему субъекту персональных данных, источник их получения,если иной порядок представления таких данных не предусмотренФедеральным законом; на получение сведений о сроках обработки ПДн, в том числе срокахих хранения; на получение сведений о порядке осуществления субъектомперсональных данных своих прав, предусмотренных законодательством вобласти ПДн; на получение информации об осуществленной или о предполагаемойтрансграничной передаче данных; на получение сведений о наименовании и адресе лица,осуществляющего обработку ПДн по поручению администрации области, еслиобработка поручена или будет поручена такому лицу; на получение иных сведений, предусмотренных законодательством вобласти ПДн и другими федеральными законами; требовать от администрации области уточнения его ПДн, ихблокирования или уничтожения в случае, если персональные данныеявляются неполными, устаревшими, неточными, незаконно полученными илине являются необходимыми для заявленной цели обработки; принимать предусмотренные законом меры по защите своих прав; требовать от администрации области предоставления ему ПДн вдоступной форме; повторного обращения и запроса в целях получения сведений иознакомления с его персональными данными; требовать разъяснения порядка принятия решения на основанииисключительно автоматизированной обработки его ПДн; заявить возражение против принятия решения на основанииисключительно автоматизированной обработки ПДн решений, порождающихюридические последствия в отношении субъекта персональных данных илииным образом затрагивающих его права и законные интересы; требовать разъяснения порядка принятия и возможные юридическиепоследствия принятия решения на основании исключительноавтоматизированной обработки ПДн решений, порождающих юридическиепоследствия в отношении субъекта персональных данных или иным образомзатрагивающих его права и законные интересы, а также разъясненияпорядка защиты субъектом персональных данных своих прав и законныхинтересов; обжаловать действия или бездействие администрации области вуполномоченный орган по защите прав субъектов персональных данных илив судебном порядке, если субъект персональных данных считает, чтоадминистрация области осуществляет обработку его ПДн с нарушениемтребований Федерального закона или иным образом нарушает его права исвободы; на защиту своих прав и законных интересов, в том числе навозмещение убытков и (или) компенсацию морального вреда в судебномпорядке; требовать предоставления безвозмездно субъекту персональныхданных или его представителю возможности ознакомления с персональнымиданными, относящимися к этому субъекту персональных данных; принимать решение о предоставлении его ПДн и давать согласие наих обработку свободно, своей волей и в своем интересе; отзывать согласие на обработку ПДн. Кроме указанных прав в вопросах обработки его ПДн субъектперсональных данных обладает другими правами, предоставляемыми емудействующим законодательством Российской Федерации. 22.2. Обязанности субъекта персональных данных Субъект персональных данных, чьи персональные данныеобрабатываются в администрации области, обязан: предоставлять свои персональные данные в случаях, когдафедеральными законами предусматриваются случаи обязательногопредоставления субъектом персональных данных своих ПДн; с целью соблюдения его законных прав и интересов подавать толькодостоверные персональные данные. Кроме указанных обязанностей в вопросах обработки его ПДн насубъекта персональных данных налагаются иные обязанности,предусмотренные действующим законодательством Российской Федерации. 22.3. Права администрации области при обработке персональных данных субъектов персональных данных Администрация области при обработке ПДн субъектов персональныхданных имеет право: обрабатывать персональные данные в соответствии с действующимзаконодательством Российской Федерации; поручить обработку ПДн другому лицу с согласия субъектаперсональных данных, если иное не предусмотрено Федеральным законом,на основании заключаемого с этим лицом договора, в том числегосударственного или муниципального контракта, либо путем принятиягосударственным или муниципальным органом соответствующего акта; мотивированно отказать субъекту персональных данных в выполненииповторного запроса в целях получения сведений, касающихся обработкиего ПДн, при нарушении субъектом персональных данных своихобязанностей по подаче такого запроса; ограничить право субъекта персональных данных на доступ к егоперсональным данным в соответствии с федеральными законами, в томчисле, если обработка ПДн осуществляется в соответствии сзаконодательством о противодействии легализации (отмыванию) доходов,полученных преступным путем, и финансированию терроризма; ограничить право субъекта персональных данных на доступ к егоперсональным данным в соответствии с федеральными законами, в томчисле, если доступ субъекта персональных данных к его персональнымданным нарушает права и законные интересы третьих лиц; отказать субъекту персональных данных в выполнении запроса вцелях получения сведений, касающихся обработки его ПДн, в случае, еслисубъект персональных данных уведомлен об осуществлении обработки егоПДн соответствующим оператором; отказать субъекту персональных данных в выполнении запроса вцелях получения сведений, касающихся обработки его ПДн, в случае, еслиперсональные данные получены на основании Федерального закона или всвязи с исполнением договора, стороной которого либовыгодоприобретателем или поручителем по которому является субъектперсональных данных; отказать субъекту персональных данных в выполнении запроса вцелях получения сведений, касающихся обработки его ПДн, в случае, еслиперсональные данные сделаны общедоступными субъектом персональныхданных или получены из общедоступного источника; отказать субъекту персональных данных в выполнении запроса вцелях получения сведений, касающихся обработки его ПДн, в случае, еслиоператор осуществляет обработку ПДн для статистических или иныхисследовательских целей, если при этом не нарушаются права и законныеинтересы субъекта персональных данных; отказать субъекту ПДн в выполнении запроса в целях получениясведений, касающихся обработки его ПДн, в случае, если предоставлениесубъекту персональных данных таких сведений нарушает права и законныеинтересы третьих лиц; самостоятельно определять состав и перечень мер, необходимых идостаточных для обеспечения выполнения обязанностей, предусмотренныхдействующим законодательством в области ПДн, если иное непредусмотрено федеральными законами; осуществлять или обеспечивать блокирование или уничтожение ПДн,если обеспечить правомерность обработки ПДн невозможно; осуществлять или обеспечивать уничтожение ПДн в случае достиженияцели обработки ПДн; в случае достижения цели обработки ПДн продолжить обработку ПДн,если обработка ПДн осуществляется без согласия субъекта персональныхданных на основании пункта 4 статьи 21 Федерального закона; в случае отзыва субъектом ПДн согласия на обработку его ПДнпродолжить обработку ПДн, если обработка ПДн осуществляется безсогласия субъекта персональных данных на основании пункта 5 статьи 21Федерального закона; в случае отсутствия возможности уничтожения ПДн осуществитьблокирование таких ПДн и обеспечить уничтожение ПДн в срок не болеечем шесть месяцев, если иной срок не установлен федеральными законами; осуществлять без уведомления уполномоченного органа по защитеправ субъектов персональных данных обработку ПДн, указанных в пункте 2статьи 22 Федерального закона. Кроме указанных прав в вопросах обработки ПДн субъектовперсональных данных администрация области обладает другими правами,предоставляемыми ему действующим законодательством РоссийскойФедерации. 22.4. Обязанности администрации области при обработке персональных данных субъектов персональных данных Администрация области при обработке ПДн субъектов персональныхданных обязана: строго соблюдать принципы и правила обработки ПДн; в случае если обработка ПДн осуществляется по поручениюоператора, строго соблюдать и выполнять требования порученияоператора; не раскрывать третьим лицам и не распространять персональныеданные без согласия субъекта персональных данных, если иное непредусмотрено Федеральным законом; по требованию субъекта персональных данных либо по решению судаили иных уполномоченных государственных органов исключить изобщедоступных источников ПДн сведения о субъекте персональных данных; обеспечить конкретность и информированность согласия на обработкуПДн; получать согласие на обработку ПДн; в случае получения согласия на обработку ПДн от представителясубъекта персональных данных проверять полномочия данногопредставителя на дачу согласия от имени субъекта персональных данных; предоставить доказательство получения согласия субъектаперсональных данных на обработку его ПДн или доказательство наличияоснований обработки ПДн без получения согласия; строго соблюдать требования к содержанию согласия в письменнойформе субъекта персональных данных на обработку его ПДн; незамедлительно прекратить обработку специальных категорий ПДн,если устранены причины, вследствие которых осуществлялась обработка,если иное не установлено Федеральным законом; убедиться в том, что иностранным государством, на территориюкоторого осуществляется передача ПДн, обеспечивается адекватная защитаправ субъектов персональных данных до начала осуществлениятрансграничной передачи ПДн; предоставить субъекту персональных данных сведения по запросусубъекта персональных данных в доступной форме, и в них не должнысодержаться персональные данные, относящиеся к другим субъектамперсональных данных, за исключением случаев, если имеются законныеоснования для раскрытия таких ПДн; мотивировать и представить доказательства обоснованности отказа ввыполнении повторного запроса субъекта персональных данных; разъяснить субъекту персональных данных порядок принятия решенияна основании исключительно автоматизированной обработки его ПДн ивозможные юридические последствия такого решения, предоставитьвозможность заявить возражение против такого решения, а такжеразъяснить порядок защиты субъектом персональных данных своих прав изаконных интересов; рассмотреть возражение против принятия решения на основанииисключительно автоматизированной обработки его ПДн и уведомитьсубъекта персональных данных о результатах рассмотрения такоговозражения; предоставить субъекту персональных данных по его просьбеинформацию, касающуюся обработки его ПДн; разъяснить субъекту персональных данных юридические последствияотказа предоставить его персональные данные, если предоставление ПДнявляется обязательным в соответствии с Федеральным законом; до начала обработки ПДн, полученных не от субъекта персональныхданных, предоставить субъекту персональных данных информацию о своемнаименовании и адресе, цели обработки ПДн и ее правовом основании,предполагаемых пользователей ПДн, установленные права субъектаперсональных данных, источник получения ПДн; принимать меры, необходимые и достаточные для обеспечениявыполнения своих обязанностей в области ПДн, если иное непредусмотрено федеральными законами; опубликовать или иным образом обеспечить неограниченный доступ кдокументу, определяющему его политику в отношении обработки ПДн, ксведениям о реализуемых требованиях к защите ПДн; по запросу уполномоченного органа по защите прав субъектовперсональных данных представить документы и локальные акты,определяющие политику в отношении обработки ПДн, и сведения ореализуемых требованиях к защите ПДн; принимать необходимые правовые, организационные и техническиемеры или обеспечивать их принятие для защиты ПДн от неправомерного илислучайного доступа к ним, уничтожения, изменения, блокирования,копирования, предоставления, распространения ПДн, а также от иныхнеправомерных действий в отношении ПДн; сообщить субъекту персональных данных или его представителюинформацию о наличии ПДн, относящихся к соответствующему субъектуперсональных данных, а также предоставить возможность ознакомления сэтими персональными данными при обращении субъекта персональных данныхили его представителя либо при получении запроса субъекта персональныхданных или его представителя; в случае отказа в предоставлении информации о наличии ПДн осоответствующем субъекте персональных данных или ПДн субъектуперсональных данных или его представителю при их обращении либо приполучении запроса субъекта персональных данных или его представителядать в письменной форме мотивированный ответ; предоставить безвозмездно субъекту персональных данных или егопредставителю возможность ознакомления с персональными данными,относящимися к этому субъекту персональных данных; внести в персональные данные необходимые изменения или уничтожитьтакие персональные данные в случае предоставления субъектомперсональных данных или его представителем сведений, подтверждающих,что персональные данные являются неполными, неточными илинеактуальными; строго соблюдать сроки по уведомлениям, блокированию иуничтожению ПДн; уведомить субъекта персональных данных или его представителя овнесенных изменениях и предпринятых мерах и принять разумные меры дляуведомления третьих лиц, которым персональные данные этого субъектабыли переданы; сообщить в уполномоченный орган по защите прав субъектовперсональных данных по запросу этого органа необходимую информацию; в случае выявления неправомерной обработки ПДн при обращениисубъекта персональных данных или его представителя либо по запросусубъекта персональных данных или его представителя либоуполномоченного органа по защите прав субъектов персональных данныхоператор обязан осуществить блокирование неправомерно обрабатываемыхПДн, относящихся к этому субъекту персональных данных, или обеспечитьих блокирование (если обработка ПДн осуществляется другим лицом,действующим по поручению оператора) с момента такого обращения илиполучения указанного запроса на период проверки; в случае выявления неточных ПДн при обращении субъектаперсональных данных или его представителя либо по их запросу или позапросу уполномоченного органа по защите прав субъектов персональныхданных оператор обязан осуществить блокирование ПДн, относящихся кэтому субъекту персональных данных, или обеспечить их блокирование(если обработка ПДн осуществляется другим лицом, действующим попоручению оператора) с момента такого обращения или полученияуказанного запроса на период проверки, если блокирование ПДн ненарушает права и законные интересы субъекта персональных данных илитретьих лиц; уточнить персональные данные либо обеспечить их уточнение (еслиобработка ПДн осуществляется другим лицом, действующим по поручениюоператора) и снять блокирование ПДн в случае подтверждения фактанеточности ПДн на основании сведений, представленных субъектомперсональных данных или его представителем либо уполномоченным органомпо защите прав субъектов персональных данных, или иных необходимыхдокументов; прекратить неправомерную обработку ПДн или обеспечить прекращениенеправомерной обработки ПДн лицом, действующим по поручению операторав случае выявления неправомерной обработки ПДн, осуществляемойоператором или лицом, действующим по поручению оператора; уничтожить персональные данные или обеспечить их уничтожение вслучае, если обеспечить правомерность обработки ПДн невозможно; уведомить субъекта персональных данных или его представителя, а вслучае если обращение субъекта персональных данных или егопредставителя либо запрос уполномоченного органа по защите правсубъектов персональных данных были направлены уполномоченным органомпо защите прав субъектов персональных данных, также указанный орган обустранении допущенных нарушений или об уничтожении ПДн; прекратить обработку ПДн или обеспечить ее прекращение (еслиобработка ПДн осуществляется другим лицом, действующим по поручениюоператора) и уничтожить персональные данные или обеспечить ихуничтожение (если обработка ПДн осуществляется другим лицом,действующим по поручению оператора): в случае достижения цели обработки ПДн, если обработка ПДносуществляется без согласия субъекта персональных данных наоснованиях, предусмотренных Федеральным законом; в случае отзыва субъектом персональных данных согласия наобработку его ПДн, если обработка ПДн осуществляется без согласиясубъекта персональных данных на основаниях, предусмотренныхФедеральным законом; уведомить уполномоченный орган по защите прав субъектовперсональных данных о своем намерении осуществлять обработку ПДн; уведомить уполномоченный орган по защите прав субъектовперсональных данных в случае изменения сведений, указанных вуведомлении о своем намерении осуществлять обработку ПДн; назначить лицо, ответственное за организацию обработки ПДн; предоставлять лицу, ответственному за организацию обработки ПДн,необходимые сведения; неукоснительно соблюдать все требования настоящих Правил; ознакомить служащих администрации области, непосредственноосуществляющих обработку ПДн, с положениями законодательстваРоссийской Федерации о ПДн, в том числе требованиями к защите ПДн,документами, определяющими политику в отношении обработки ПДн,локальными актами по вопросам обработки ПДн, и обучить таких служащих. Кроме указанных обязанностей в вопросах обработки ПДн субъектовперсональных данных на администрацию области налагаются иныеобязанности, предусмотренные действующим законодательством РоссийскойФедерации. 23. Процедуры, направленные на предотвращение и выявление нарушений законодательства в отношении обработки персональных данных и устранение таких последствий К процедурам, направленным на предотвращение и выявлениенарушений законодательства в отношении обработки ПДн и устранениетаких последствий, относятся: реализация мер, направленных на обеспечение выполнения операторомсвоих обязанностей; выполнение предусмотренных законодательством о ПДн обязанностей,возложенных на администрацию области; обеспечение личной ответственности служащих администрацииобласти, осуществляющих обработку либо доступ к персональным данным; организация рассмотрения запросов субъектов персональных данныхили их представителей и ответов на такие запросы; организация внутреннего контроля соответствия обработки ПДнтребованиям к защите ПДн, установленным действующим законодательствомв области ПДн и локальными актами администрации области; сокращение объема обрабатываемых данных; сокращение числа должностей служащих администрации области,замещение которых предусматривает осуществление обработки ПДн либоосуществление доступа к персональным данным; стандартизация операций осуществляемых с персональными данными; определение порядка доступа служащих администрации области впомещения, в которых ведется обработка ПДн; проведение необходимых мероприятий по обеспечению безопасностиПДн и носителей их содержащих; проведение периодических проверок условий обработки ПДн; повышение осведомленности служащих администрации области,занимающих должности, замещение которых предусматривает обработку ПДнлибо доступ к ПДн, путем их ознакомления с положениямизаконодательства Российской Федерации о ПДн (в том числе стребованиями к защите ПДн), локальными актами администрации области повопросам обработки ПДн и организация обучения указанных служащих; блокирование, внесение изменений и уничтожение ПДн впредусмотренных действующим законодательством в области ПДн случаях; оповещение субъектов персональных данных в предусмотренныхдействующим законодательством в области ПДн случаях; разъяснение прав субъекту персональных данных в вопросахобработки и обеспечения безопасности их ПДн; оказание содействия правоохранительным органам в случаяхнарушений законодательства в отношении обработки персональных; публикация на официальном сайте администрации области документов,определяющих политику в отношении обработки ПДн. Указанный перечень процедур, направленных на предотвращение ивыявление нарушений законодательства в отношении обработки ПДн иустранение таких последствий, является открытым и может дополнятьсямероприятиями в конкретных случаях. 24. Требования к служащим администрации области, осуществляющим доступ к персональным данным или их обработку Администрация области осуществляет ознакомление служащих,непосредственно осуществляющих обработку ПДн или доступ к ним, сположениями законодательства Российской Федерации о ПДн (в том числе стребованиями к защите ПДн), локальными актами администрации области повопросам обработки ПДн, включая настоящие Правила: при оформлении служебного контракта; после каждого перерыва в исполнении своих обязанностей на срокболее 28 рабочих дней; при первоначальном допуске к обработке ПДн в ИСПДн; при назначении на новую должность, связанную с обработкой ПДн илидоступом к ним; после внесения изменений в действующее законодательствоРоссийской Федерации о ПДн, локальные акты администрации области повопросам обработки ПДн, включая настоящие Правила. Служащие администрации области, непосредственно осуществляющиеобработку ПДн или доступ к ним обязаны: неукоснительно следовать принципам обработки ПДн; знать и строго соблюдать положения действующего законодательстваРоссийской Федерации в области ПДн; знать и строго соблюдать положения локальных актов администрацииобласти в области обработки и обеспечения безопасности ПДн; знать и строго соблюдать инструкции, руководства и иныеэксплуатационные документы на применяемые средства автоматизации, втом числе программное обеспечение, и средства защиты информации; соблюдать конфиденциальность ПДн, то есть не раскрывать третьимлицам и не распространять персональные данные без согласия субъектаперсональных данных, если иное не предусмотрено Федеральным законом; не допускать нарушений требований и правил обработки иобеспечения безопасности ПДн; обо всех подозрениях и ставших известными случаях нарушенийтребований и правил обработки и обеспечения безопасности ПДн сообщатьлицу, ответственному за обработку ПДн в администрации области. Служащие администрации области несут личную ответственность засоблюдение указанных обязанностей в предусмотренном действующимзаконодательством Российской Федерации объеме. 25. Конфиденциальность персональных данных Запрет раскрытия ПДн третьим лицам и распространения ПДн безсогласия субъекта персональных данных, если иное не предусмотреноФедеральным законом, администрацией области и иными лицами, получившимдоступ к ПДн, называется конфиденциальностью ПДн. 25.1. Режим ограниченного доступа к персональным данным С целью реализации требований действующего законодательстваРоссийской Федерации в области ПДн по обеспечению конфиденциальностиПДн в администрации области вводится режим ограниченного доступа кПДн. Создание режима ограниченного доступа к ПДн включает в себя: разработку и последующее уточнение настоящих Правил в части,касающейся обеспечения конфиденциальности ПДн и обеспечениябезопасности ПДн; разработку и корректировку Перечня помещений, предназначенных дляобработки ПДн; разработку и корректировку Перечня должностей служащихадминистрации области, замещение которых предусматривает осуществлениеобработки ПДн либо осуществление доступа к ПДн; разработку и корректировку Перечня должностей служащихадминистрации области, ответственных за проведение мероприятий пообезличиванию обрабатываемых персональных данных; разработку и корректировку Перечня информационных ресурсов,содержащих ПДн (мест расположения баз данных или иных документов имассивов, содержащих ПДн); оборудование помещений, предназначенных для обработки ПДн напредмет соответствия требованиям к инженерно-технической укрепленностипо защите объектов от преступных посягательств; проведение мероприятий по обследованию помещений, предназначенныхдля обработки ПДн, с составлением актов соответствия или проведением,при необходимости, доработок помещений по инженерно-техническойукрепленности по защите объектов от преступных посягательств; внесение изменений в должностные регламенты (дополнения вслужебные контракты) служащих администрации области, предусматривающиерегулирование отношений по использованию информации ограниченногодоступа; получение расписок в ознакомлении служащих администрации области,доступ которых к информации ограниченного доступа, обладателем которойявляется администрация области, необходим для выполнения ими своихтрудовых обязанностей, с перечнем информации ограниченного доступа,установленным режимом ограничения доступа к информации и мерамиответственности за его нарушение; передачу (возврат) служащими администрации области припрекращении или расторжении служебного контракта имеющихся впользовании такого служащего материальных носителей информации,содержащей ПДн; проведение занятий и иных мероприятий по повышению уровня знаний(квалификации) служащих администрации области, допущенных к обработкеПДн, по вопросам обработки и обеспечения безопасности ПДн; разработку и ведение Журнала учета машинных носителей информации; разработку и ведение Журнала учета сейфов, металлических шкафов,спецхранилищ и ключей от них; создание и ведение списков лиц, имеющих доступ в помещения, вкоторых обрабатываются ПДн; документирование и реализацию разрешительной системы доступа(матриц доступа) к информационным (программным) ресурсам в ИСПДнадминистрации области; разработку инструкций о действиях служащих администрации областив отношении носителей ПДн при возникновении чрезвычайных ситуаций(стихийных бедствий, техногенных катастроф, наводнений, пожаров,нарушениях правопорядка и др.); разработку инструкций для служащих администрации области повопросам обеспечения безопасности ПДн. 25.2. Порядок использования материальных (внешних) носителей информации Все материальные (внешние) носители информации (далее -носители), используемые для обработки ПДН, должны бытьзарегистрированы в установленном порядке. При необходимости они могутмаркироваться пометкой "Для служебного пользования" ("ДСП"), либолюбой другой, например: "Персональные данные" ("ПДн"), "Содержитперсональные данные". Учет (регистрация) носителей осуществляются структурнымподразделением администрации области, которому поручен учетнесекретной документации (отдел документационного обеспеченияуправления информационных технологий, связи и документооборотаадминистрации области). Автоматизированная обработка информации с использованием данныхносителей должна осуществляться на аттестованных по требованиямбезопасности автоматизированных рабочих местах или в защищенной ИСПДн. Носители передаются в структурные подразделения администрацииобласти (исполнителям) под расписку, пересылаются сторонниморганизациям фельдъегерской связью, заказными или ценными почтовымиотправлениями. Размножение (тиражирование) носителей осуществляется только списьменного разрешения исполнителя. Учет размноженных носителейосуществляется поэкземплярно. Носители хранятся в надежно запираемых и опечатываемых шкафах(ящиках, хранилищах). Места хранения носителей и лица, ответственныеза хранение, определяются и назначаются распоряжением главыадминистрации области. При необходимости направления носителя(ей) в несколько адресовсоставляется указатель рассылки, в котором поадресно проставляютсяномера экземпляров отправляемых носителей. Указатель рассылкиподписывается исполнителем и его руководителем. Уничтожение носителей, утративших свое практическое значение и неимеющих исторической ценности, производится по акту. В учетных формахоб этом делается отметка со ссылкой на соответствующий акт. Передача носителей от одного служащего другому осуществляется сразрешения соответствующего руководителя. При смене служащего, ответственного за учет, составляется актприема-сдачи, который утверждается главой администрации области(первым заместителем главы администрации области). Проверка наличия носителей проводится не реже одного раза в годкомиссией, назначаемой распоряжением главы администрации области. Всостав такой комиссии обязательно включаются лица, ответственные заучет и хранение этих носителей. Результаты проверки оформляются актом. По фактам утраты носителей назначается комиссия для расследованияобстоятельств утраты. Результаты расследования докладываютсяруководителю, назначившему комиссию. На утраченные носители составляется акт, на основании которогоделаются соответствующие отметки в учетных формах. 26. Обеспечение безопасности персональных данных при их обработке В соответствии с требованиями действующего законодательства вобласти ПДн при обработке ПДн администрация области обязана приниматьнеобходимые правовые, организационные и технические меры для защитыПДн от неправомерного или случайного доступа к ним, уничтожения,изменения, блокирования, копирования, распространения ПДн, а также отиных неправомерных действий. Безопасность ПДн достигается путем исключениянесанкционированного, в том числе случайного, доступа к ПДн,результатом которого может стать уничтожение, изменение, блокирование,копирование, распространение ПДн, а также иных несанкционированныхдействий. Для обеспечения безопасности ПДн при их обработке винформационных системах осуществляется защита речевой информации иинформации, обрабатываемой техническими средствами, а такжеинформации, представленной в виде информативных электрическихсигналов, физических полей, носителей на бумажной, магнитной,магнитно-оптической и иной основе. Работы по обеспечению безопасности ПДн при их обработке винформационных системах в администрации области являются неотъемлемойчастью работ по созданию информационных систем. 26.1. Принципы обеспечения безопасности персональных данных при их обработке Обеспечение безопасности ПДн в администрации области должноосуществляться на основе следующих принципов: соблюдение конфиденциальности ПДн и иных характеристик ихбезопасности; реализация права на доступ к персональным данным лиц, доступкоторых к таким данным разрешается в рамках действующегозаконодательства Российской Федерации и локальными нормативными актамиадминистрации области; обеспечение защиты информации, содержащей персональные данные, отнеправомерного доступа, уничтожения, модифицирования, блокирования,копирования, предоставления, распространения, а также от иныхнеправомерных действий в отношении такой информации; проведение мероприятий, направленных на предотвращениенесанкционированной передачи их лицам, не имеющим права доступа ктакой информации; своевременное обнаружение фактов несанкционированного доступа кперсональным данным; недопущение воздействия на технические средстваавтоматизированной обработки ПДн, в результате которого может бытьнарушено их функционирование; возможность незамедлительного восстановления ПДн,модифицированных или уничтоженных вследствие несанкционированногодоступа к ним; постоянный контроль за обеспечением уровня защищенности ПДн; применение средств защиты информации, прошедших в установленномпорядке процедуру оценки соответствия требованиям безопасности ПДн. Категорически запрещается нарушать указанные принципы пообеспечению безопасности ПДн. 26.2. Требования по уровню обеспечения безопасности С целью установления методов и способов защиты информации,необходимых для обеспечения безопасности ПДн, определяется уровеньзащищенности ПДн в зависимости от объема обрабатываемых ими ПДн иугроз безопасности жизненно важным интересам личности, общества игосударства. Определение уровня защищенности ПДн включает в себя следующиеэтапы: сбор и анализ исходных данных по ИСПДн; присвоение ИСПДн соответствующего уровня защищенности ПДн и егодокументальное оформление. При определении уровня защищенности ПДн учитываются следующиеисходные данные: категория обрабатываемых в ИСПДн ПДн; объем обрабатываемых ПДн (количество субъектов персональныхданных, ПДн которых обрабатываются ИСПДн); заданные характеристики безопасности ПДн, обрабатываемых в ИСПДн; структура ИСПДн; наличие подключений ИСПДн к сетям связи общего пользования и(или) сетям международного информационного обмена; режим обработки ПДн; режим разграничения прав доступа пользователей ИСПДн; местонахождение технических средств ИСПДн. В случае выделения в составе ИСПДн подсистем, каждая из которыхявляется информационной системой, ИСПДн в целом присваивается уровеньзащищенности ПДн, соответствующий наиболее высокому уровнюзащищенности ПДн входящих в нее подсистем. Определение уровня защищенности ПДн проводится на этапе еесоздания или в ходе эксплуатации (для ранее введенных в эксплуатацию и(или) модернизируемых ИСПДн). Результаты определения уровня защищенности ПДн оформляютсясоответствующим актом установки уровня защищенности ПДн. 26.3. Состав мероприятий по обеспечению безопасности персональных данных Мероприятия по обеспечению безопасности ПДн должны носитькомплексный характер и включать в себя правовые, организационные итехнические меры, описанные в настоящих Правилах. Порядок их принятия, а также перечень лиц, ответственных зареализацию указанных мер, устанавливаются настоящими Правилами. 26.4. Состав мероприятий по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации Обработка ПДн, осуществляемая без использования средствавтоматизации, должна осуществляться таким образом, чтобы в отношениикаждой категории ПДн можно было определить места хранения ПДн(материальных носителей) и установить перечень лиц, осуществляющихобработку ПДн либо имеющих к ним доступ. Необходимо обеспечивать раздельное хранение ПДн (материальныхносителей), обработка которых осуществляется в различных целях. При хранении материальных носителей должны соблюдаться условия,обеспечивающие сохранность ПДн и исключающие несанкционированный к нимдоступ. Ответственным за организацию и контроль за обеспечениембезопасности ПДн в администрации области при обработке ПДн,осуществляемой без использования средств автоматизации, являетсяструктурное подразделение администрации области, ответственное заорганизацию обработки ПДн. 26.5. Состав мероприятий по обеспечению безопасности персональных данных при их обработке, осуществляемой с использованием средств автоматизации Мероприятия по обеспечению безопасности ПДн при их обработке винформационных системах ПДн в администрации области включают в себя: определение угроз безопасности ПДн при их обработке, формированиена их основе модели угроз; разработку на основе модели угроз системы защиты ПДн,обеспечивающей нейтрализацию предполагаемых угроз с использованиемметодов и способов защиты ПДн, предусмотренных для соответствующегокласса информационных систем; проверку готовности средств защиты информации к использованию ссоставлением заключений о возможности их эксплуатации; установку и ввод в эксплуатацию средств защиты информации всоответствии с эксплуатационной и технической документацией; обучение лиц, использующих средства защиты информации,применяемые в информационных системах, правилам работы с ними; учет применяемых средств защиты информации, эксплуатационной итехнической документации к ним, носителей ПДн; учет лиц, допущенных к работе с персональными данными винформационной системе; контроль за соблюдением условий использования средств защитыинформации, предусмотренных эксплуатационной и техническойдокументацией; разбирательство и составление заключений по фактам несоблюденияусловий хранения носителей ПДн, использования средств защитыинформации, которые могут привести к нарушению конфиденциальности ПДнили другим нарушениям, приводящим к снижению уровня защищенности ПДн,разработку и принятие мер по предотвращению возможных опасныхпоследствий подобных нарушений; описание системы защиты ПДн. К методам и способам защиты информации в ИСПДн относятся: методы и способы защиты информации, обрабатываемой техническимисредствами информационной системы, от несанкционированного, в томчисле случайного, доступа к персональным данным, результатом которогоможет стать уничтожение, изменение, блокирование, копирование,распространение ПДн, а также иных несанкционированных действий (далее- методы и способы защиты информации от несанкционированного доступа); методы и способы защиты речевой информации, а также информации,представленной в виде информативных электрических сигналов, физическихполей, от несанкционированного доступа к персональным данным,результатом которого может стать копирование, распространение ПДн, атакже иных несанкционированных действий (далее - методы и способызащиты информации от утечки по техническим каналам). Методами и способами защиты информации от несанкционированногодоступа являются: реализация разрешительной системы допуска пользователей(обслуживающего персонала) к информационным ресурсам, информационнойсистеме и связанным с ее использованием работам, документам; ограничение доступа пользователей в помещения, где размещенытехнические средства, позволяющие осуществлять обработку ПДн, а такжехранятся носители информации; разграничение доступа пользователей и обслуживающего персонала кинформационным ресурсам, программным средствам обработки (передачи) изащиты информации; регистрация действий пользователей и обслуживающего персонала,контроль несанкционированного доступа и действий пользователей,обслуживающего персонала и посторонних лиц; учет и хранение съемных носителей информации и их использование,исключающее хищение, подмену и уничтожение; резервирование технических средств, дублирование массивов иносителей информации; использование средств защиты информации, прошедших вустановленном порядке процедуру оценки соответствия; использование защищенных каналов связи; размещение технических средств, позволяющих осуществлятьобработку ПДн, в пределах охраняемой территории; организация физической защиты помещений и собственно техническихсредств, позволяющих осуществлять обработку ПДн; предотвращение внедрения в информационные системы вредоносныхпрограмм (программ-вирусов) и программных закладок. В ИСПДн, имеющих подключение к информационно-телекоммуникационнымсетям международного информационного обмена (сетям связи общегопользования) или при функционировании которых предусмотреноиспользование съемных носителей информации, используются средстваантивирусной защиты. При взаимодействии информационных систем синформационно-телекоммуникационными сетями международногоинформационного обмена (сетями связи общего пользования) наряду суказанными методами и способами основными методами и способами защитыинформации от несанкционированного доступа являются: межсетевое экранирование с целью управления доступом, фильтрациисетевых пакетов и трансляции сетевых адресов для скрытия структурыинформационной системы; обнаружение вторжений в информационную систему, нарушающих илисоздающих предпосылки к нарушению установленных требований пообеспечению безопасности ПДн; анализ защищенности информационных систем, предполагающийприменение специализированных программных средств (сканеровбезопасности); защита информации при ее передаче по каналам связи; использование смарт-карт, электронных замков и других носителейинформации для надежной идентификации и аутентификации пользователей; использование средств антивирусной защиты; централизованное управление системой защиты ПДн информационнойсистемы. Защита речевой информации и информации, представленной в видеинформативных электрических сигналов и физических полей,осуществляется в случаях, когда при определении угроз безопасности ПДни формировании модели угроз применительно к информационной системеявляются актуальными угрозы утечки акустической речевой информации,угрозы утечки видовой информации и угрозы утечки информации по каналампобочных электромагнитных излучений и наводок. Для исключения утечки ПДн за счет побочных электромагнитныхизлучений и наводок в ИСПДн с установленным первым уровнемзащищенности ПДн могут применяться следующие методы и способы защитыинформации: использование технических средств в защищенном исполнении; использование средств защиты информации, прошедших вустановленном порядке процедуру оценки соответствия; размещение объектов защиты в соответствии с предписанием наэксплуатацию; размещение понижающих трансформаторных подстанций электропитанияи контуров заземления технических средств в пределах охраняемойтерритории; обеспечение развязки цепей электропитания технических средств спомощью защитных фильтров, блокирующих (подавляющих) информативныйсигнал; обеспечение электромагнитной развязки между линиями связи идругими цепями вспомогательных технических средств и систем,выходящими за пределы охраняемой территории, и информационными цепями,по которым циркулирует защищаемая информация. В ИСПДн с установленным вторым уровнем защищенности ПДн дляобработки информации используются средства вычислительной техники,удовлетворяющие требованиям национальных стандартов поэлектромагнитной совместимости, по безопасности и эргономическимтребованиям к средствам отображения информации, по санитарным нормам,предъявляемым к видеодисплейным терминалам средств вычислительнойтехники. При применении в информационных системах функции голосового вводаПДн в информационную систему или функции воспроизведения информацииакустическими средствами информационных систем для ИСПДн сустановленным первым уровнем защищенности ПДн реализуются методы испособы защиты акустической (речевой) информации. Методы и способы защиты акустической (речевой) информациизаключаются в реализации организационных и технических мер дляобеспечения звукоизоляции ограждающих конструкций помещений, в которыхрасположена информационная система, их систем вентиляции икондиционирования, не позволяющей вести прослушивание акустической(речевой) информации при голосовом вводе ПДн в информационной системеили воспроизведении информации акустическими средствами. Величина звукоизоляции определяется оператором исходя изхарактеристик помещения, его расположения и особенностей обработки ПДнв информационной системе. Размещение устройств вывода информации средств вычислительнойтехники, информационно-вычислительных комплексов, технических средствобработки графической, видео и буквенно-цифровой информации, входящихв состав ИСПДн, в помещениях, в которых они установлены,осуществляется таким образом, чтобы была исключена возможностьпросмотра посторонними лицами текстовой и графической видовойинформации, содержащей ПДн. Обмен ПДн при их обработке в ИСПДн осуществляется по каналамсвязи, защита которых обеспечивается путем реализации соответствующихорганизационных мер и (или) путем применения технических средств, втом числе средств криптографической защиты информации. 27. Требования к помещениям, в которых производится обработка персональных данных Размещение оборудования ИСПДн, специального оборудования и охранапомещений, в которых ведется работа с ПДн, организация режимаобеспечения безопасности в этих помещениях должны обеспечиватьсохранность носителей ПДн и средств защиты информации, а такжеисключать возможность неконтролируемого проникновения или пребывания вэтих помещениях посторонних лиц. Помещения, в которых располагаются технические средства ИСПДн илихранятся носители ПДн, должны соответствовать требованиям пожарнойбезопасности, установленным действующим законодательством РоссийскойФедерации. Определение уровня специального оборудования помещенияосуществляется специально создаваемой комиссией. По результатамопределения класса и обследования помещения на предмет егосоответствия такому классу составляются акты. Кроме указанных мер по специальному оборудованию и охранепомещений, в которых устанавливаются криптографические средства защитыинформации или осуществляется их хранение, реализуются дополнительныетребования, определяемые методическими документами Федеральной службыбезопасности России. 28. Мероприятия при возникновении обстоятельств непреодолимой силы (форс-мажор) В случае появления обстоятельств непреодолимой силы, возникших врезультате событий чрезвычайного характера, которые администрацияобласти не может предвидеть, за возникновение которых она не несетответственности и не может предотвратить разумными мерами, должностныелица администрации области обязаны принять все возможные меры понедопущению нарушения прав субъекта персональных данных. К обстоятельствам непреодолимой силы относятся события:землетрясение, наводнение, пожар, забастовки, насильственные иливоенные действия любого характера, решения органов государственнойвласти, препятствующие исполнению требований законодательства вобласти ПДн. Надлежащим доказательством наличия указанных выше обстоятельствбудут служить официальные документы администрации области и органовгосударственной власти Российской Федерации. Администрация области в случае возникновения указанных вышеобстоятельств и нарушения прав субъектов персональных данных,связанных с такими обстоятельствами, извещает субъекта персональныхданных всеми доступными способами. ПРИЛОЖЕНИЕ N 2 УТВЕРЖДЕНЫ постановлением администрации области от 24.12.2012 N 1644 Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации области 1. Общие положения Настоящие Правила осуществления внутреннего контроля соответствияобработки персональных данных требованиям к защите персональных данныхв администрации области (далее - Правила) относятся к основныморганизационно-распорядительным документам системы документовинформационной безопасности администрации области и разработаны всоответствии с требованиями постановления Правительства РоссийскойФедерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер,направленных на обеспечение выполнения обязанностей, предусмотренныхФедеральным законом "О персональных данных" и принятыми в соответствиис ним нормативными правовыми актами, операторами, являющимисягосударственными или муниципальными органами". В Правилах определен порядок организации и осуществлениявнутреннего контроля обработки персональных данных (ПДн) вадминистрации области с целью своевременного выявления ипредотвращения: хищения технических средств и носителей информации; утраты информации; преднамеренных программно-технических воздействий на информацию и(или) средства вычислительной техники, вызывающих нарушениецелостности информации и нарушение работоспособностиавтоматизированной системы; несанкционированного доступа к ПДн с целью уничтожения,искажения, модификации (подделки), копирования и блокирования; утечки информации по техническим каналам. Внутренний контроль состояния защиты информации включает в себя: контроль организации защиты информации; контроль эффективности защиты информации. 2. Порядок внутреннего контроля за соблюдением требований по обработке и обеспечению безопасности персональных данных В целях осуществления внутреннего контроля соответствия обработкиПДн установленным требованиям организуется проведение периодическихпроверок условий обработки ПДн. Проверки осуществляютсягосударственными гражданскими служащими структурного подразделенияадминистрации области, ответственного за организацию обработки ПДн вадминистрации области либо комиссией, образуемой главой администрацииобласти, не реже одного раза в год в соответствии с утвержденнымграфиком. При осуществлении внутреннего контроля соответствия обработки ПДнустановленным требованиям производится проверка: соблюдения принципов обработки ПДн; соответствия локальных актов в области ПДн администрации областидействующему законодательству Российской Федерации; выполнения служащими администрации области требований и правилобработки ПДн в информационных системах персональных данных (ИСПДн)администрации области; перечней ПДн, используемых для решения задач и функцийструктурными подразделениями администрации области и необходимостиобработки ПДн в ИСПДн администрации области; актуальности содержащихся в Правилах обработки ПДн вадминистрации области в каждой ИСПДн администрации области информациио законности целей обработки ПДн и оценке вреда, который может бытьпричинен субъектам персональных данных в случае нарушения требованийпо обработке и обеспечению безопасности ПДн; правильности осуществления сбора, систематизации, записи,накопления, хранения, уточнения (обновления, изменения), извлечения,использования, передачи (распространения, предоставления, доступа),обезличивания, блокирования, удаления, уничтожения ПДн в каждой ИСПДнадминистрации области; актуальности перечня должностей государственных гражданскихслужащих области, замещающих должности государственной гражданскойслужбы в администрации области, уполномоченных на обработку ПДн,имеющих доступ к ПДн; актуальности перечня должностей государственных гражданскихслужащих области, замещающих должности государственной гражданскойслужбы в администрации области, ответственных за проведениемероприятий по обезличиванию обрабатываемых ПДн; соблюдения прав субъектов персональных данных, чьи ПДнобрабатываются в ИСПДн администрации области; соблюдения обязанностей администрации области как оператора ПДн,предусмотренных действующим законодательством в области ПДн; порядка взаимодействия с субъектами персональных данных, ПДнкоторых обрабатываются в ИСПДн области, в том числе соблюдения сроков,предусмотренных действующим законодательством в области ПДн,соблюдения требований по уведомлениям, порядка разъяснения субъектамперсональных данных необходимой информации, порядка реагирования наобращения (запросы) субъектов персональных данных, порядка действийпри достижении целей обработки ПДн и отзыве согласий субъектамиперсональных данных; наличия необходимых согласий субъектов персональных данных, чьиПДн обрабатываются в ИСПДн администрации области; актуальности сведений, содержащихся в уведомлении об обработке (онамерении осуществлять обработку) персональных данных; актуальности перечня ИСПДн в администрации области; наличия и актуальности сведений, содержащихся в Правилахобработки ПДн администрации области для каждой ИСПДн администрацииобласти; знания и соблюдения государственными гражданскими служащимиобласти, замещающими должности государственной гражданской службы вадминистрации области (далее - служащие администрации области)положений действующего законодательства Российской Федерации в областиПДн; знания и соблюдения служащими администрации области положенийлокальных актов администрации области в области обработки иобеспечения безопасности ПДн; знания и соблюдения служащими администрации области инструкций,руководств и иных эксплуатационных документов на применяемые средстваавтоматизации, в том числе программное обеспечение, и средства защитыинформации; соблюдения служащими администрации области конфиденциальностиПДн; актуальности локальных актов администрации области в областиобеспечения безопасности ПДн, в том числе в Технических паспортахИСПДн; соблюдения служащими администрации области требований пообеспечению безопасности ПДн; наличия локальных актов администрации области, технической иэксплуатационной документации технических и программных средств ИСПДнадминистрации области; по иным вопросам. О результатах проведенной проверки и мерах, необходимых дляустранения выявленных нарушений, лицо, ответственное за проведениепроверки, докладывает главе администрации области. При проведении внутреннего контроля на ИСПДн (отдельноеавтоматизированное рабочее место) администрации области составляетсяпротокол контроля выполнения требований по обеспечению безопасностиинформации, содержащей сведения ограниченного доступа, при ееавтоматизированной обработке на автоматизированном рабочем месте поформе, приведенной в приложении к настоящим Правилам. 3. Оценка соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных Во время осуществления внутреннего контроля соответствияобработки ПДн установленным требованиям в администрации областипроизводится оценка соотношения вреда, который может быть причиненсубъектам персональных данных в случае нарушения требований пообработке и обеспечению безопасности ПДн и принимаемых мер пообработке и обеспечению безопасности ПДн в администрации области. При оценке соотношения вреда, который может быть причиненсубъектам персональных данных в случае нарушения требований пообработке и обеспечению безопасности ПДн, для каждой ИСПДнадминистрации области производится экспертное сравнение заявленнойадминистрацией области в своих локальных актах оценки вреда, которыйможет быть причинен субъектам персональных данных в случае нарушениятребований по обработке и обеспечению безопасности ПДн и применяемыхадминистрацией области мер, направленных на обеспечение выполненияобязанностей, предусмотренных действующим законодательством в областиПДн и изложенных в настоящих Правилах осуществления внутреннегоконтроля соответствия обработки ПДн в администрации области. По итогам сравнений принимается решение о достаточностиприменяемых администрацией области мер, направленных на обеспечениевыполнения обязанностей, предусмотренных действующим законодательствомв области ПДн и возможности или необходимости принятия дополнительныхмер или изменения установленного в администрации области порядкаобработки и обеспечения безопасности ПДн. Оценка соотношения вреда, который может быть причинен субъектамперсональных данных в случае нарушения требований по обработке иобеспечению безопасности ПДн и принимаемых мер по обработке иобеспечению безопасности ПДн, в администрации области оформляется ввиде отдельного документа, подписывается председателем комиссии иутверждается главой администрации области. По результатам принятых решений структурным подразделениемадминистрации области, ответственным за организацию обработки ПДн вадминистрации области, организуется работа по их реализации. ПРИЛОЖЕНИЕ к Правилам осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в администрации области Форма Протокол N ___ контроля выполнения требований по обеспечению безопасности информации, содержащей сведения ограниченного доступа, при ее автоматизированной обработке на автоматизированном рабочем месте______________________________________________________________________ (наименование структурного подразделения администрации области) 1. Объект контроля Указать: наименование автоматизированного рабочего места (АРМ); заводской (инвентарный) номер системного блока ПЭВМ АРМ; принадлежность к подразделению; адрес размещения АРМ. 2. Назначение объекта Указать: тип информации, обрабатываемой (хранимой) на АРМ; уровень защищенности персональных данных при их обработке винформационной системе. 3. Контролируемые вопросы Состояние организации технической защиты информации при обработке(хранении) информации ограниченного доступа. Контроль наличия руководящих документов, инструкций,документации, регламентирующей обработку (хранение) информацииограниченного доступа: перечня защищаемых ресурсов и уровня их конфиденциальности; перечня лиц, обслуживающих АРМ; перечня лиц, имеющих право самостоятельного доступа в помещение сАРМ; перечня лиц, имеющих право самостоятельного доступа к штатнымсредствам АРМ и уровень их полномочий; распоряжения о назначения комиссии для определении уровнязащищенности персональных данных; распоряжения о назначении администратора информационнойбезопасности; данных по уровню подготовки персонала; инструкции по обеспечению защиты информации, обрабатываемой наАРМ; перечня программного обеспечения; описания технологического процесса обработки информации; схемы информационных потоков; технического паспорта; матрицы доступа субъектов к защищаемым информационным ресурсам; акта установки системы активного зашумления (при наличии); акта установки системы защиты информации от несанкционированногодоступа (СЗИ НСД) (при наличии); описания системы разграничения доступа и настроек СЗИ НСД; инструкции администратору безопасности; инструкции пользователю; инструкции по антивирусному контролю; распоряжения о допуске служащих; распоряжения о вводе в эксплуатацию. Контроль соответствия настройки подсистемы управления доступом,подсистемы регистрации и учета, подсистемы обеспечения целостноститребованиям присвоенного класса защищенности от НСД. В соответствии с требованиями руководящего документа"Автоматизированные системы. Защита от несанкционированного доступа кинформации. Классификация автоматизированных систем и требования позащите информации", утвержденного решением Председателя Гостехкомиссииот 30.03.1992, в настройках подсистемы управления доступомпроверяется: наличие требований к длине и сложности пароля; ограничение максимального срока действия пароля; настройки блокировки учетных записей при попыткахнесанкционированного доступа; наличие административных прав у пользователей; выполнение требований мандатного разграничения прав доступа ккаталогам, программам, файлам. В настройках подсистемы регистрации и учета контролируется: отсутствие критических ошибок и несанкционированных запусковпроцессов, зарегистрированных в журнале приложений; отсутствие зарегистрированных критических системных ошибок всистемном журнале; отсутствие зарегистрированных изменений действующих политикбезопасности, прав доступа, настроек системы защиты информации вжурнале системы защиты информации; возможности несанкционированного доступа к информации, аудитыотказа, зарегистрированные в журнале безопасности. В настройках подсистемы обеспечения целостности контролируется: соответствие программного обеспечения, установленного на АРМ,аттестационным материалам; отсутствие программных средств разработки и отладки приложений; наличие средств антивирусного контроля, включая срок действиялицензии и периодичность обновления антивирусных баз. Контроль наличия лицензионного программного обеспечения,установленного в процессе проведенной аттестации по требованиямбезопасности информации. Контроль срока действия лицензии, порядка и периодичностиобновления баз антивирусной программы. Контроль наличия сетевых плат (в том числе интегрированных) ифизической возможности их использования. Контроль возможности и фактов подключения незарегистрированныхмагнитных и иных носителей информации. 4. Метод проведения контроля Экспертно-документальный 5. Средства контроля Программные возможности операционной системы, установленной наконтролируемом АРМ 6. Перечень документов, регламентирующих выполнение требований пообеспечению безопасности информации Контроль проводится в соответствии с требованиями: Указа Президента Российской Федерации "О мерах по обеспечениюинформационной безопасности Российской Федерации при использованииинформационно-телекоммуникационных сетей международногоинформационного обмена" от 17.03.2008 N 351; специальных требований и рекомендаций по технической защитеконфиденциальной информации (приказ Гостехкомиссии России от30.08.2002 N 282); руководящего документа "Автоматизированные системы. Защита отнесанкционированного доступа к информации. Классификацияавтоматизированных систем и требования по защите информации" (решениеПредседателя Гостехкомиссии от 30.03.1992); руководящего документа "Защита от несанкционированного доступа кинформации. Часть 1. Программное обеспечение средств защитыинформации. Классификация по уровню контроля отсутствиянедекларированных возможностей" (приказ Председателя ГостехкомиссииРоссии от 4.06.1999 N 114); нормативных и руководящих документов ФСТЭК России по защитеинформации. Контроль выполнили: ______________________ _________________ ___________________ должность подпись фамилия, инициалы ______________________ _________________ ___________________ должность подпись фамилия, инициалы При проведении контроля присутствовали: ______________________ _________________ ___________________ должность подпись фамилия, инициалы ______________________ _________________ ___________________ должность подпись фамилия, инициалы Дата проведения контроля: ______________________________. (число, месяц, год) ПРИЛОЖЕНИЕ N 3 УТВЕРЖДЕНЫ постановлением администрации области от 24.12.2012 N1644 Правила рассмотрения запросов субъектов персональных данных или их представителей 1. Общие положения Настоящие Правила рассмотрения запросов субъектов персональныхданных или их представителей (далее - Правила) регулируют отношения,возникающие при выполнении администрацией области (далее - Оператор)обязательств согласно требованиям статей 14, 20 и 21 Федеральногозакона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее -Федеральный закон N 152-ФЗ). Положения настоящих Правил распространяются на действия операторапри получении запроса от государственных гражданских служащих области,замещающих должности государственной гражданской службы вадминистрации области, иных лиц и их законных представителей (далее -субъект персональных данных) и Уполномоченного органа по защите правсубъектов персональных данных. Эти действия направлены на определение порядка учета(регистрации), рассмотрение запросов, а также на подтверждениеналичия, ознакомления, уточнения, уничтожения персональных данных(ПДн) или отзыв согласия на обработку ПДн, а также на устранениенарушений законодательства, допущенных при обработке ПДн. Настоящие Правила разработаны в соответствии с Федеральнымзаконом от 27 июля 2004 г. N 79-ФЗ "О государственной гражданскойслужбе Российской Федерации", Трудовым кодексом Российской Федерации,постановлением Правительства Российской Федерации от 21 марта 2012 г.N 211 "Об утверждении перечня мер, направленных на обеспечениевыполнения обязанностей, предусмотренных Федеральным законом"О персональных данных" и принятыми в соответствии с ним нормативнымиправовыми актами, операторами, являющимися государственными илимуниципальными органами" и другими нормативными правовыми актами. 2. Организация и проведение работ Оператором по запросу персональных данных Субъект персональных данных имеет право на получение информации,касающейся обработки его ПДн в соответствии с частью 7 статьи 14Федерального закона N 152-ФЗ. Право субъекта персональных данных на доступ к его ПДн может бытьограничено в соответствии с частью 8 статьи 14 Федерального законаN 152-ФЗ. Субъект персональных данных вправе требовать от Операторауточнения его ПДн, их блокирования или уничтожения в случае, если ПДнявляются неполными, устаревшими, неточными, незаконно полученными илине являются необходимыми для заявленной цели обработки, а такжепринимать предусмотренные законом меры по защите своих прав. Сведения, указанные в части 7 статьи 14 Федерального законаN 152-ФЗ, предоставляются субъекту персональных данных Оператором приполучении запроса от субъекта персональных данных. Сведения, указанные в части 7 статьи 14 Федерального законаN 152-ФЗ, должны быть предоставлены субъекту персональных данных вдоступной форме и в них не должны содержаться ПДн, относящиеся кдругим субъектам персональных данных, за исключением случаев, еслиимеются законные основания для раскрытия таких ПДн. Запрос субъекта персональных данных должен содержать номеросновного документа, удостоверяющего личность субъекта персональныхданных, сведения о дате выдачи указанного документа и выдавшем егооргане, сведения, подтверждающие участие субъекта персональных данныхв отношениях с Оператором (номер служебного контракта, дата заключенияслужебного контракта, условное словесное обозначение и (или) иныесведения), либо сведения, иным образом подтверждающие факт обработкиПДн Оператором, подпись субъекта персональных данных. Запрос можетбыть направлен в форме электронного документа и подписан электроннойподписью в соответствии с законодательством Российской Федерации. Рассмотрение запросов является служебной обязанностью должностныхлиц Оператора, в чьи обязанности входит обработка ПДн. Должностные лица Оператора обеспечивают: объективное, всестороннее и своевременное рассмотрения запроса; принятие мер, направленных на восстановление или защитунарушенных прав, свобод и законных интересов субъектов персональныхданных; направление письменных ответов по существу запроса. Ведение делопроизводства по запросам осуществляется управлениеминформационных технологий, связи и документооборота администрацииобласти. Все поступившие запросы регистрируются в день их поступления вжурнале учета запросов граждан (субъектов персональных данных) повопросам обработки ПДн. На запросе проставляется штамп, в которомуказывается входящий номер и дата регистрации. Запрос прочитывается, проверяется на повторность, принеобходимости сверяется с находящейся в архиве предыдущей перепиской. В случае подачи субъектом персональных данных повторного запроса,в целях получения сведений, указанных в части 7 статьи 14 Федеральногозакона N 152-ФЗ, необходимо руководствоваться частями 4 и 5 статьи 14Федерального закона N 152-ФЗ. Повторный запрос наряду со сведениями,указанными выше, должен содержать обоснование направления повторногозапроса. Оператор вправе отказать субъекту персональных данных ввыполнении повторного запроса, не соответствующего условиям,предусмотренным частями 4 и 5 статьи 14 Федерального закона N 152-ФЗ.Такой отказ должен быть мотивированным. Прошедшие регистрацию запросы в тот же день докладываются главеадминистрации области либо лицу, его заменяющему, который дает покаждому из них письменное указание исполнителям. Исполнители при рассмотрении и разрешении запроса обязаны: внимательно разобраться в их существе, в случае необходимостиистребовать дополнительные материалы или направить служащихадминистрации области на места для проверки фактов, изложенных взапросах, принять другие меры для объективного разрешения поставленныхзаявителями вопросов, выявления и устранения причин и условий,порождающих факты нарушения законодательства о ПДн; принимать по ним законные, обоснованные и мотивированные решенияи обеспечивать своевременное и качественное их исполнение; сообщать в письменной форме заявителям о решениях, принятых по ихзапросам, со ссылками на законодательство Российской Федерации, а вслучае отклонения запроса - разъяснять также порядок обжалованияпринятого решения. Оператор обязан сообщить субъекту персональных данных информациюо наличии ПДн, относящихся к соответствующему субъекту персональныхданных, а также предоставить возможность ознакомления с этими ПДн призапросе субъекта персональных данных либо в течение тридцати дней сдаты получения запроса субъекта персональных данных. В случае отказа в предоставлении информации о наличии ПДн осоответствующем субъекте персональных данных или ПДн субъектуперсональных данных при получении запроса субъекта персональных данныхОператор обязан руководствоваться частью 2 статьи 20 Федеральногозакона N 152-ФЗ. Оператор обязан: предоставить безвозмездно субъекту персональных данныхвозможность ознакомления с ПДн, относящимися к этому субъектуперсональных данных; уведомить субъекта персональных данных о внесенных изменениях ипредпринятых мерах и принять разумные меры для уведомления третьихлиц, которым ПДн этого субъекта были переданы. Запрос считается исполненным, если рассмотрены все поставленные внем вопросы, приняты необходимые меры и даны исчерпывающие ответызаявителю. Ответы на запросы печатаются на бланке установленной формы ирегистрируются за теми же номерами, что и запросы. Должностное лицо, назначенное главой администрация области,осуществляет непосредственный контроль за соблюдением установленногозаконодательством и настоящими Правилами порядка рассмотрениязапросов. На контроль берутся все запросы. При осуществлении контроля обращается внимание на срокиисполнения запроса и полноту рассмотрения поставленных вопросов,своевременность их исполнения и направления ответов заявителям. 3. Действия Оператора в ответ на запросы по персональным данным 3.1. В случае поступления запроса субъекта персональных данных поПДн необходимо выполнить следующие действия: при получении запроса субъекта персональных данных на наличие ПДннеобходимо в течение 30 дней с даты получения запроса (согласно части1 статьи 20 Федерального закона N 152-ФЗ) подтвердить обработку ПДн вслучае ее осуществления. Если обработка ПДн субъекта не ведется, то втечение 30 дней с даты получения запроса (согласно части 2 статьи 20Федерального закона N 152-ФЗ) необходимо отправить уведомление оботказе в предоставлении информации о наличии персональных данных; при получении запроса субъекта персональных данных наознакомление с ПДн необходимо в течение 30 дней с даты получениязапроса (согласно части 1 статьи 20 Федерального закона N 152-ФЗ)предоставить для ознакомления ПДн, в случае осуществления обработкиэтих ПДн. Если обработка ПДн субъекта не ведется, то в течение 30 днейс даты получения запроса (согласно части 2 статьи 20 Федеральногозакона N 152-ФЗ) необходимо отправить уведомление об отказе впредоставлении информации по ПДн. Субъект персональных данных имеет право на получение информации,касающейся обработки его персональных данных, в том числе содержащей: подтверждение факта обработки персональных данных Оператором; правовые основания и цели обработки персональных данных; цели и применяемые оператором способы обработки персональныхданных; наименование и место нахождения Оператора, сведения о лицах (заисключением работников Оператора), которые имеют доступ к персональнымданным или которым могут быть раскрыты персональные данные наосновании договора с Оператором или на основании Федерального законаN 152-ФЗ; обрабатываемые персональные данные, относящиеся ксоответствующему субъекту персональных данных, источник их получения,если иной порядок представления таких данных не предусмотренФедеральным законом N 152-ФЗ; сроки обработки персональных данных, в том числе сроки иххранения; порядок осуществления субъектом персональных данных прав,предусмотренных Федеральным законом N 152-ФЗ; информацию об осуществленной или о предполагаемой трансграничнойпередаче данных; наименование или фамилию, имя, отчество и адрес лица,осуществляющего обработку персональных данных по поручению Оператора,если обработка поручена или будет поручена такому лицу; иные сведения, предусмотренные Федеральным законом N 152-ФЗ илидругими федеральными законами; при получении запроса субъекта персональных данных или егопредставителя на уточнение ПДн необходимо внести в них необходимыеизменения в срок, не превышающий 7 рабочих дней со дня предоставлениясубъектом ПДн или его представителем сведений, подтверждающих, что ПДнявляются неполными, неточными или неактуальными, по предоставлениюсубъектом ПДн или его сведений, подтверждающих, что ПДн, которыеотносятся к соответствующему субъекту и обработку которых осуществляетОператор, являются неполными, неточными или неактуальными (согласночасти 3 статьи 20 Федерального закона N 152-ФЗ) и отправитьуведомление о внесенных изменениях. Если обработка ПДн субъекта неведется или не были предоставлены сведения, подтверждающие, что ПДн,которые относятся к соответствующему субъекту и обработку которыхосуществляет Оператор, являются неполными, неточными илинеактуальными, то необходимо в течение 30 дней с даты получениязапроса отправить уведомление об отказе в осуществлении изменения ПДн; при получении запроса субъекта персональных данных на уничтожениеПДн необходимо их уничтожить в срок, не превышающий 7 рабочих дней содня представления субъектом персональных данных или его представителемсведений, подтверждающих, что такие ПДн являются незаконно полученнымиили не являются необходимыми для заявленной цели обработки (согласночасти 3 статьи 20 Федерального закона N 152-ФЗ), и отправитьуведомление об уничтожении. Если обработка ПДн субъекта не ведется илине были предоставлены сведения, подтверждающие, что ПДн, которыеотносятся к соответствующему субъекту и обработку которых осуществляетОператор, являются незаконно полученными или не являются необходимымидля заявленной цели обработки, а также в силу необходимости обработкиПДн по требованиям иных законодательных актов, то необходимо в течение30 дней с даты получения запроса отправить уведомление об отказе вуничтожении ПДн; при получении запроса на отзыв согласия субъекта персональныхданных на обработку ПДн необходимо прекратить их обработку и, вслучае, если сохранение ПДн более не требуется для целей обработкиПДн, уничтожить ПДн в срок, не превышающий 30 дней с даты поступленияуказанного отзыва (согласно части 5 статьи 21 Федерального законаN 152-ФЗ), если иное не предусмотрено договором, стороной которого,выгодоприобретателем или поручителем по которому является субъектперсональных данных, иным соглашением между оператором и субъектомперсональных данных либо если Оператор не вправе осуществлятьобработку ПДн без согласия субъекта персональных данных на основаниях,предусмотренных настоящим Федеральным законом или другими федеральнымизаконами (согласно части 5 статьи 21 Федерального закона N 152-ФЗ); при выявлении недостоверности ПДн при обращении или по запросусубъекта ПДн необходимо их блокировать с момента такого обращения илиполучения такого запроса на период проверки (согласно части 1 статьи21 Федерального закона N 152-ФЗ). Если факт недостоверности ПДнподтвержден на основании сведений, представленных субъектомперсональных данных или его представителем либо уполномоченным органомпо защите прав субъектов персональных данных, или иных необходимыхдокументов, необходимо уточнить ПДн в течение 7 рабочих дней со дняпредставления таких сведений и снять блокирование ПДн (согласно части2 статьи 21 Федерального закона N 152-ФЗ). Если факт недостоверностиПДн не подтвержден, то необходимо отправить уведомление об отказе визменении ПДн; при выявлении неправомерных действий с ПДн Оператору по запросусубъекта ПДн необходимо в срок, не превышающий трех рабочих дней сдаты этого выявления, прекратить неправомерную обработку ПДн (согласночасти 3 статьи 21 Федерального закона N 152-ФЗ). В случае еслиобеспечить правомерность обработки ПДн невозможно, Оператор в срок, непревышающий 10 рабочих дней с даты выявления неправомерной обработкиПДн (согласно части 3 статьи 21 Федерального закона N 152-ФЗ), обязануничтожить такие ПДн. Об устранении допущенных нарушений или обуничтожении ПДн Оператор обязан уведомить субъекта персональныхданных, а в случае, если обращение субъекта персональных данных либозапрос уполномоченного органа по защите прав субъектов персональныхданных были направлены уполномоченным органом по защите прав субъектовперсональных данных, также указанный орган; при достижении целей обработки ПДн Оператор обязаннезамедлительно прекратить обработку ПДн и уничтожить соответствующиеПДн в течение 30 дней с даты достижения цели обработки ПДн (согласночасти 4 статьи 21 Федерального закона N 152-ФЗ), если иное непредусмотрено договором, стороной которого, выгодоприобретателем илипоручителем по которому является субъект персональных данных, инымсоглашением между оператором и субъектом персональных данных либо еслиОператор не вправе осуществлять обработку ПДн без согласия субъектаперсональных данных на основаниях, предусмотренных Федерального законаN 152-ФЗ или другими федеральными законами, и отправить уведомление обуничтожении ПДн. 3.2. В случае поступления запроса уполномоченного органа позащите прав субъекта персональных данных по ПДн необходимо выполнитьследующие действия: при получении запроса необходимо в течение 30 дней (согласночасти 4 статьи 20 Федерального закона N 152-ФЗ) предоставитьинформацию, необходимую для осуществления деятельности указанногооргана; при выявлении недостоверных ПДн по запросу уполномоченного органапо защите прав субъекта ПДн необходимо их блокировать с момента такогообращения или получения такого запроса на период проверки (согласночасти 1 статьи 21 Федерального закона N 152-ФЗ). Если фактнедостоверности ПДн подтвержден на основании документов,предоставленных субъектом ПДн, необходимо в течение 7 рабочих днейуточнить ПДн и снять их блокирование (согласно части 2 статьи 21Федерального закона N 152-ФЗ). Если факт недостоверности ПДн неподтвержден, то необходимо отправить уведомление об отказе изменения иснять блокирование ПДн; при выявлении неправомерных действий Оператора с ПДн по запросууполномоченного органа по защите прав субъекта ПДн необходимопрекратить неправомерную обработку ПДн в срок, не превышающий 3рабочих дней с момента такого обращения или получения такого запросана период проверки (согласно части 1 статьи 21 Федерального закона152-ФЗ). В случае невозможности обеспечения правомерности обработкиоператором ПДн в срок, не превышающий 10 рабочих дней с даты выявлениянеправомерности действий с ПДн, необходимо уничтожить ПДн и отправитьуведомление об уничтожении ПДн. 4. Ответственность Оператора Персональные данные не подлежат разглашению (распространению).Прекращение доступа к такой информации не освобождает работника отвзятых им обязательств по неразглашению информации ограниченногодоступа. Организация и проведение работ по ответам на запросы, устранениюнарушений, а также уточнению, блокированию и уничтожению ПДнвозлагается на начальников структурных подразделений администрацииобласти, обрабатывающих ПДн. Нарушение установленного порядка рассмотрения запросов влечет вотношении виновных должностных лиц ответственность в соответствии сзаконодательством Российской Федерации. Обобщенный алгоритм действий по запросу ПДн приведен в приложениик настоящим Правилам. ПРИЛОЖЕНИЕ к Правилам рассмотрения запросов субъектов персональных данных или их представителей Действия по запросу персональных данных-------------------------------------------------------------------------------- N | Запрос | Действия | Срок | Ответ---|------------------|----------------|--------------------|------------------- 1 | 2 | 3 | 4 | 5--------------------------------------------------------------------------------1. Запрос субъекта персональных данных или его представителя1.1. Наличие ПДн Подтверждение 30 дней (согласно Подтверждение обработки ПДн части 1 статьи 20 обработки ПДн Федерального закона N 152-ФЗ) Отказ в 30 дней (согласно Уведомление об предоставлении части 2 статьи 20 отказе в информации о Федерального предоставлении наличии ПДн закона N 152-ФЗ) информации о наличии ПДн1.2. Ознакомление с ПДн Предоставление 30 дней (согласно Подтверждение информации по части 1 статьи 20 обработки ПДн, а ПДн Федерального также правовые закона N 152-ФЗ) основания и цели такой обработки Способы обработки ПДн Сведения о лицах, которые имеют доступ к ПДн Перечень обрабатываемых ПДн и источник их получения Сроки обработки ПДн, в том числе сроки их хранения Информация об осуществленных или о предполагаемой трансграничной передаче Другое Отказ 30 дней (согласно Уведомление об предоставления части 2 статьи 20 отказе информации по Федерального предоставления ПДн закона N 152-ФЗ) информации по ПДн1.3. Уточнение ПДн Изменение ПДн 7 рабочих дней со Уведомление о дня предоставления внесенных уточняющих изменениях сведений (согласно части 3 статьи 20 Федерального закона N 152-ФЗ) Отказ изменения 30 дней Уведомление об ПДн отказе предоставления изменения ПДн1.4. Уничтожение ПДн Уничтожение ПДн 7 рабочих дней со Уведомление об дня предоставления уничтожении сведений о незаконном получении ПДн или отсутствии необходимости ПДн для заявленной цели обработки (согласно части 3 статьи 20 Федерального закона N 152-ФЗ) Отказ 30 дней Уведомление об уничтожения отказе ПДн уничтожения ПДн1.5. Отзыв согласия Прекращение 3 рабочих дня Уведомление о на обработку ПДн обработки и (согласно части 5 прекращении уничтожение ПДн статьи 21 обработки и Федерального уничтожении закона N 152-ФЗ) ПДн Отказ 30 дней Уведомление об прекращения отказе обработки и прекращения уничтожения ПДн обработки и уничтожения ПДн1.6. Недостоверность Блокировка ПДн С момента Уведомление о ПДн субъекта обращения субъекта внесенных ПДн о изменениях недостоверности или с момента получения запроса на период проверки (согласно части 1 статьи 21 Федерального закона N 152-ФЗ) Изменение ПДн 7 рабочих дней со дня предоставления уточненных Снятие сведений (согласно блокировки части 2 статьи 21 ПДн Федерального закона N 152-ФЗ) Отказ изменения 30 дней Уведомление об ПДн отказе изменения ПДн1.7. Неправомерность Прекращение 3 рабочих дня Уведомление об действий с ПДн неправомерной (согласно части 3 устранении субъекта обработки ПДн статьи 21 нарушений Федерального закона N 152-ФЗ) Уничтожение ПДн 10 рабочих дней Уведомление об в случае (согласно части 3 уничтожении невозможности статьи 21 ПДн обеспечения Федерального правомерности закона N 152-ФЗ) обработки1.8. Достижение целей Прекращение 30 дней (согласно Уведомление об обработки ПДн обработки ПДн. части 4 статьи 21 уничтожении субъекта Федерального ПДн Уничтожение ПДн закона N 152-ФЗ)2. Запрос уполномоченного органа по защите прав субъекта ПДн2.1. Информация для Предоставление 30 дней (согласно Предоставление осуществления затребованной части 4 статьи 20 затребованной деятельности информации по Федерального информации по уполномоченного ПДн закона N 152-ФЗ) ПДн органа2.2. Недостоверность Блокировка ПДн С момента Уведомление о ПДн обращения внесенных Уполномоченного изменениях органа о недостоверности или с момента получения запроса на период проверки (согласно части 1 статьи 21 Федерального закона N 152-ФЗ) Изменение ПДн 7 рабочих дней со дня предоставления Снятие уточненных блокировки сведений (согласно ПДн части 2 статьи 21 Федерального закона N 152-ФЗ) Отказ изменения 30 дней Уведомление об ПДн отказе изменения ПДн2.3. Неправомерность Прекращение 3 рабочих дня Уведомление об действий с ПДн неправомерной (согласно части 3 устранении обработки ПДн статьи 21 нарушений Федерального закона N 152-ФЗ) Уничтожение ПДн 10 рабочих дней Уведомление об в случае (согласно части 3 уничтожении невозможности статьи 21 ПДн обеспечения Федерального правомерности закона N 152-ФЗ) обработки2.4. Достижение целей Блокировка ПДн 30 дней (согласно Уведомление об обработки ПДн части 4 статьи 21 уничтожении Федерального ПДн закона N 152-ФЗ)-------------------------------------------------------------------------------- ПРИЛОЖЕНИЕ N 4 УТВЕРЖДЕНЫ постановлением администрации области от 24.12.2012 N 1644 Типовые формы документов по запросу субъектов персональных данных или их представителей Форма В администрацию области __________________________ (ф.и.о. заявителя) __________________________ __________________________ проживающего по адресу: __________________________ __________________________ __________________________ (наименование и реквизиты документа, удостоверяющего личность заявителя) __________________________ __________________________ Заявление В том случае, если администрация области обрабатывает моиперсональные данные, прошу предоставить мне сведения о Вашейорганизации. В противном случае прошу Вас уведомить меня об отсутствииобработки моих персональных данных. Ответ прошу направить в письменной форме по вышеуказанному адресув срок, предусмотренный Федеральным законом от 27 июля 2006 г. N152-ФЗ "О персональных данных". "___" __________ 20 ___г. _____________ _____________________ (подпись) (расшифровка подписи) Форма В администрацию области __________________________ (ф.и.о. заявителя) __________________________ __________________________ проживающего по адресу: __________________________ __________________________ __________________________ (наименование и реквизиты документа, удостоверяющего личность заявителя) __________________________ __________________________ Заявление В соответствии со статьей 14 Федерального закона от 27 июля2006 г. N 152-ФЗ "О персональных данных" прошу предоставить мне дляознакомления обрабатываемую Вами информацию, составляющую моиперсональные данные, указать: осуществляется ли обработка моих персональных данных; цели, способы и сроки ее обработки; перечень обрабатываемых вами моих персональных данных и источниких получения; какие лица имеют доступ или могут получить доступ к моимперсональным данным; срок хранения моих персональных данных; осуществлялась ли трансграничная передача моих персональныхданных, если нет, то предполагается ли такая передача; сведения о том, какие юридические последствия для меня можетповлечь ее обработка; другое. Ответ прошу направить в письменной форме по вышеуказанному адресув предусмотренный Законом срок. "___" __________ 20 ___г. _____________ _____________________ (подпись) (расшифровка подписи) Форма Уведомление субъекта ПДн об обработке ПДн Уважаемый(ая) __________________________________________________, (ф.и.о.)администрацией области производится обработка сведений, составляющихВаши персональные данные: ___________________________________________. (указать сведения)_________________________________________________________________________________________________________________________________________________________________________________________________________________. Цели обработки: ________________________________________________. Способы обработки:______________________________________________. Перечень лиц, которые имеют доступ к информации, содержащей Вашиперсональные данные или могут получить такой доступ:---------------------------------------------------------------------- Должность | Ф.И.О. | Вид доступа | Примечания---------------------------------------------------------------------- | | |---------------------------------------------------------------------- | | |---------------------------------------------------------------------- | | |---------------------------------------------------------------------- Другое. По результатам обработки указанной информации нами планируетсяпринятие следующих решений ______________________________________________________________________________________________________________________________________________________________________________________,которые будут доведены до Вашего сведения. Против принятого решения Вы имеете право заявить свои письменныевозражения в ____________________ срок. ____________________ __________________ _____________________ (должность) (подпись) (расшифровка подписи) "___" ____________ 20__г. Форма В администрацию области __________________________ (ф.и.о. заявителя) __________________________ __________________________ проживающего по адресу: __________________________ __________________________ __________________________ (наименование и реквизиты документа, удостоверяющего личность заявителя) __________________________ __________________________ Заявление Прошу уточнить обрабатываемые Вами мои персональные данные всоответствии со сведениями:__________________________________________, (указать уточненные персональные данные заявителя)__________________________________________________________________________________________________________________________________________________________________________________________________________________в связи с тем, что___________________________________________________. (указать причину уточнения персональных данных)_________________________________________________________________________________________________________________________________________________________________________________________________________________. Ответ прошу направить в письменной форме по вышеуказанному адресув срок, предусмотренный Федеральным законом от 27 июля 2006 г. N152-ФЗ "О персональных данных". "___" __________ 20 ___г. _____________ _____________________ (подпись) (расшифровка подписи) Форма Уведомление об уточнении ПДн субъекта ПДн Уважаемый(ая)___________________________________________________, (ф.и.о.)в связи с ________________________________________ сообщаем Вам, чтоВаши персональные данные уточнены в соответствии со сведениями:_____________________________________________________________________. ____________________ __________________ _____________________ (должность) (подпись) (расшифровка подписи) "___" ____________ 20__г. Форма В администрацию области __________________________ (ф.и.о. заявителя) __________________________ __________________________ проживающего по адресу: __________________________ __________________________ __________________________ (наименование и реквизиты документа, удостоверяющего личность заявителя) __________________________ __________________________ Заявление Прошу заблокировать обрабатываемые Вами мои персональные данные:______________________________________________________________________ (указать блокируемые персональные данные)__________________________________________________________________________________________________________________________________________________________________________________________________________________на срок: __________________________, в связи с тем, что_______________ (указать срок блокирования)_____________________________________________________________________. (указать причину блокирования персональных данных) Ответ прошу направить в письменной форме по вышеуказанному адресув срок, предусмотренный Федеральным законом от 27 июля 2006 г. N152-ФЗ "О персональных данных". "___" __________ 20 ___г. _____________ _____________________ (подпись) (расшифровка подписи) Форма Уведомление о блокировании ПДн субъекта ПДн Уважаемый(ая) __________________________________________________, (ф.и.о.)в связи с_____________________________________________________________сообщаем Вам, что Ваши персональные данные____________________________ (указать персональные данные)__________________________________________________________________________________________________________________________________________________________________________________________________________________заблокированы на срок ___________________. ____________________ __________________ _____________________ (должность) (подпись) (расшифровка подписи) "___" ____________ 20__г. Форма В администрацию области __________________________ (ф.и.о. заявителя) __________________________ __________________________ проживающего по адресу: __________________________ __________________________ __________________________ (наименование и реквизиты документа, удостоверяющего личность заявителя) __________________________ __________________________ Заявление Прошу Вас прекратить обработку и уничтожить мои персональныеданные:______________________________________________________________________ (указать уничтожаемые персональные данные)_________________________________________________________________________________________________________________________________________________________________________________________________________________,в связи с тем, что___________________________________________________. (указать причину уничтожения персональных данных)_________________________________________________________________________________________________________________________________________________________________________________________________________________. Ответ прошу направить в письменной форме по вышеуказанному адресув срок, предусмотренный Федеральным законом от 27 июля 2006 г. N152-ФЗ "О персональных данных". "___" __________ 20 ___г. _____________ _____________________ (подпись) (расшифровка подписи) Форма Уведомление о прекращении обработки и уничтожении ПДн субъекта ПДн Уважаемый(ая) __________________________________________________, (ф.и.о.)в связи с_______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________сообщаем Вам, что обработка Ваших персональных данных прекращена иВаши персональные данные______________________________________________ (указать персональные данные)________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________уничтожены. ____________________ __________________ _____________________ (должность) (подпись) (расшифровка подписи) "___" ____________ 20__г. Форма Запрос Уважаемый(ая) __________________________________________________, (ф.и.о.)в связи с ____________________________________________________________у администрации области возникла необходимость получения следующейинформации, составляющей Ваши персональные данные______________________________________________________________________ (перечислить информацию)_________________________________________________________________________________________________________________________________________________________________________________________________________________. Просим Вас предоставить указанные сведения в течение ______рабочих дней с момента получения настоящего запроса. В случае невозможности предоставить указанные сведения просим вуказанный срок дать письменное согласие на получение нами необходимойинформации из следующих источников ___________________________________следующими способами ________________________________________________. По результатам обработки указанной информации нами планируетсяпринятие следующих решений, которые будут доведены до Вашего сведения._____________________________________________________________________. Против принятого решения Вы имеете право заявить свои письменныевозражения в ____________________ срок. Ответ прошу направить в письменной форме в наш адрес в срок,предусмотренный Федеральным законом от 27 июля 2006 г. N 152-ФЗ "Оперсональных данных". ____________________ __________________ _____________________ (должность) (подпись) (расшифровка подписи) "___" ____________ 20__г. Форма Уведомление субъекта ПДн об устранении допущенных нарушений Уважаемый(ая) __________________________________________________, (ф.и.о.)в связи с_____________________________________________________________сообщаем Вам, что все допущенные нарушения при обработке Вашихперсональных данных устранены. Нашей организацией были внесены изменения в Ваши персональныеданные:_______________________________________________________________ (указать персональные данные)_________________________________________________________________________________________________________________________________________________________________________________________________________________. ____________________ __________________ _____________________ (должность) (подпись) (расшифровка подписи) "___" ____________ 20__г. Форма Уведомление уполномоченного органа по защите прав субъекта ПДн об устранении допущенных нарушений В_____________________________________ (наименование уполномоченного органа) Настоящим уведомлением сообщаем Вам, что допущенные нарушения приобработке персональных данных, а именно ______________________________ (указать допущенные нарушения)______________________________________________________________________________________________________________________________________________________________________________________________________ устранены. Нашей организацией были внесены изменения в персональные данные______________________________________________________________________ (Ф.И.О. субъекта ПДн, его персональные данные)_________________________________________________________________________________________________________________________________________________________________________________________________________________. ____________________ __________________ _____________________ (должность) (подпись) (расшифровка подписи) "___" ____________ 20__г. Форма Уведомление уполномоченного органа по защите прав субъекта ПДн об уничтожении ПДн В_____________________________________ (наименование уполномоченного органа) Настоящим уведомлением сообщаем Вам, что в связи с______________________________________________________________________персональные данные __________________________________________________ (Ф.И.О. субъекта ПДн, его персональные данные)______________________________________________________________________________________________________________________________________________________________________________________________________ уничтожены. ____________________ __________________ _____________________ (должность) (подпись) (расшифровка подписи) "___" ____________ 20__г. Форма Титульный листИнв. N ______ ____________ (гриф) ЖУРНАЛ учета запросов граждан (субъектов персональных данных) в администрацию области по вопросам обработки персональных данных Начат: "___" ___________ 20 ___ г. Окончен: "___" ___________ 20 ___ г. На ___________ листах Срок хранения _______ лет Содержание--------------------------------------------------------------------------------------------- N | Сведения | Краткое | Цель | Отметка | Дата | Подпись |Примечаниеп/п|о запраши-|содержание|запроса|о предоставлении|передачи/отказа |ответственного| | вающем | запроса | | информации или |в предоставлении| лица | | лице | | | отказе в ее | информации | | | | | | предоставлении | | |---|----------|----------|-------|----------------|----------------|--------------|---------- 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8---|----------|----------|-------|----------------|----------------|--------------|---------- | | | | | | |--------------------------------------------------------------------------------------------- ПРИЛОЖЕНИЕ N 5 УТВЕРЖДЕНЫ постановлением администрации области от 24.12.2012 N 1644 Правила работы с обезличенными персональными данными в администрации области 1. Общие положения Настоящие Правила работы с обезличенными персональными данными вадминистрации области (далее - Правила) разработаны с учетомтребований Федерального закона от 27.07.2006 N 152-ФЗ "О персональныхданных" и постановления Правительства Российской Федерации от221.03.2012 N 211 "Об утверждении перечня мер, направленных наобеспечение выполнения обязанностей, предусмотренных Федеральнымзаконом "О персональных данных" и принятыми в соответствии с нимнормативными правовыми актами, операторами, являющимисягосударственными или муниципальными органами". Настоящие Правила определяют порядок работы с обезличеннымиданными в администрации области и действуют постоянно. 2. Условия обезличивания Обезличивание персональных данных (ПДн) проводится с цельюснижения ущерба от разглашения защищаемых ПДн и снижения требований кзащите информационной системы персональных данных (ИСПДн)администрации области. Обезличивание персональных данных также осуществляется подостижению целей обработки ПДн или в случае утраты необходимости вдостижении этих целей, если иное не предусмотрено Федеральным законом. Способы обезличивания при условии дальнейшей обработки ПДн: уменьшение перечня обрабатываемых сведений; замена части сведений идентификаторами; замена численных значений минимальным, средним или максимальнымзначением (например, иногда нет необходимости обрабатывать сведения овозрасте каждого субъекта, достаточно обрабатывать данные о среднемвозрасте по всей выборке или отдельным ее частям); обобщение - понижение точности некоторых сведений; понижение точности некоторых сведений; деление сведений на части и обработка их в разных информационныхсистемах; другие способы. Способом обезличивания в случае достижения целей обработки или вслучае утраты необходимости в достижении этих целей являетсясокращение перечня ПДн. Для обезличивания ПДн применяются любые способы явно незапрещенные законодательно. Перечень должностей государственных гражданских служащихадминистрации области, ответственных за проведение мероприятий пообезличиванию обрабатываемых ПДн, утвержден постановлениемадминистрации области от 26.06.2012 N 760. Глава администрации области принимает решение о необходимостиобезличивания ПДн. Руководители структурных подразделений администрации области,непосредственно осуществляющих обработку ПДн, готовят предложения пообезличиванию ПДн, обоснование такой необходимости и определяют способобезличивания. Государственные гражданские служащие области, замещающиедолжности государственной гражданской службы в структурныхподразделениях администрации области, обслуживающие базы данных с ПДн,осуществляют непосредственное обезличивание выбранным способом. 3. Порядок работы с обезличенными персональными данными Обезличенные ПДн не подлежат разглашению и нарушениюконфиденциальности. Обезличенные ПДн могут обрабатываться с использованием и безиспользования средств автоматизации. При обработке обезличенных ПДн с использованием средствавтоматизации необходимо соблюдение: парольной политики; антивирусной политики; правил работы со съемными носителями (если они используется); правил резервного копирования; правил доступа в помещения, где расположены элементыинформационных систем. При обработке обезличенных ПДн без использования средствавтоматизации необходимо соблюдение: правил хранения бумажных носителей; правил доступа к ним и в помещения, где они хранятся. ПРИЛОЖЕНИЕ N 6 УТВЕРЖДЕНО постановлением администрации области от 24.12.2012 N 1644 Типовое обязательствогосударственного гражданского служащего области, замещающего должность государственной гражданской службы в администрации области, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей Обязательство о соблюдении конфиденциальности персональных данных Я, _____________________________________________________________, (фамилия, имя, отчество)являясь государственным гражданским служащим области, замещающимдолжность государственной гражданской службы в администрации области инепосредственно осуществляя обработку персональных данных, ознакомленс требованиями по соблюдению конфиденциальности обрабатываемых мноюперсональных данных субъектов персональных данных и обязуюсь в случаерасторжения администрации области со мной служебного контрактапрекратить обработку персональных данных, ставших мне известными всвязи с исполнением должностных обязанностей. Я ознакомлен с предусмотренной действующим законодательствомРоссийской Федерации ответственностью за нарушения неприкосновенностичастной жизни и установленного Законом порядка сбора, хранения,использования или распространения информации о гражданах (персональныхданных). ____________________________________ (фамилия имя отчество) ____________________________________ (паспортные данные) ____________________________________ (подпись) ____________________________________ (дата) ПРИЛОЖЕНИЕ N 7 УТВЕРЖДЕНА постановлением администрации области от 24.12.2012 N 1644 Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные Уважаемый(-ая), __________________________________________! (имя, отчество) В соответствии с требованиями Федерального закона РоссийскойФедерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных"уведомляем Вас, что обязанность предоставления Вами персональныхданных установлена _______________________________ Федерального закона (пункт, статья, часть)_____________________________________________________________________, (реквизиты и наименование федерального закона)а также следующими нормативными актами_____________________________________________________________________________________________________. (указываются реквизиты и наименования таких нормативных актов)________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________ В случае отказа Вами предоставить свои персональные данныеадминистрация области не сможет на законных основаниях осуществлятьтакую обработку, что приведет к следующим для Вас юридическимпоследствиям_____________________________________________________________________.(перечислить юридические последствия для субъекта персональных данных,то есть случаи возникновения, изменения или прекращения личных либоимущественных прав граждан или случаи иным образом затрагивающие егоправа, свободы и законные интересы)________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________ В соответствии с действующим законодательством РоссийскойФедерации в области персональных данных Вы имеете право: на получение сведений об администрации области как операторе,осуществляющем обработку Ваших персональных данных (в объеме,необходимом для защиты своих прав и законных интересов по вопросамобработки своих персональных данных), о месте нахождения администрацииобласти, о наличии у администрации области своих персональных данных,а также на ознакомление с такими персональными данными; подавать запрос на доступ к своим персональным данным; требовать безвозмездного предоставления возможности ознакомлениясо своими персональными данными, а также внесения в них необходимыхизменений, их уничтожения или блокирования при предоставлениисведений, подтверждающих, что такие персональные данные являютсянеполными, устаревшими, недостоверными, незаконно полученными или неявляются необходимыми для заявленной цели обработки; получать уведомления по вопросам обработки персональных данных вустановленных действующим законодательством Российской Федерациислучаях и сроки; требовать от администрации области разъяснения порядка защитысубъектом персональных данных своих прав и законных интересов; обжаловать действия или бездействие оператора в уполномоченныйорган по защите прав субъектов персональных данных или в судебномпорядке; на защиту своих прав и законных интересов, в том числе навозмещение убытков и (или) компенсацию морального вреда в судебномпорядке. __________________________________ (должность, фамилия и инициалы) __________________________________ (подпись) __________________________________ (дата) ПРИЛОЖЕНИЕ N 8 УТВЕРЖДЕН постановлением администрации области от 24.12.2012 N 1644 Порядок доступа государственных гражданских служащих области, замещающихдолжности государственной гражданской службы в администрации области, в помещения администрации области, в которых ведется обработка персональных данных 1. Общие положения Настоящий Порядок доступа государственных гражданских служащих,замещающих должности государственной гражданской службы вадминистрации области в помещения администрации области, в которыхведется обработка персональных данных, (далее - Порядок) разработан всоответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "Оперсональных данных" и постановлением Правительства РоссийскойФедерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер,направленных на обеспечение выполнения обязанностей, предусмотренныхФедеральным законом "О персональных данных" и принятыми в соответствиис ним нормативными правовыми актами, операторами, являющимисягосударственными или муниципальными органами" и другими нормативнымиправовыми актами. Настоящий Порядок регламентирует условия и порядок осуществлениядоступа государственных гражданских служащих области, замещающихдолжности государственной гражданской службы в администрации области,(далее - служащие администрации области) и других лиц в помещенияадминистрации области, в которых ведется обработка персональных данных(далее - помещения) в целях обеспечения безопасности персональныхданных (ПДн). Для обеспечения доступа служащих администрации области впомещения предусматривается комплекс специальных мер, направленных наподдержание и обеспечение установленного порядка деятельностиадминистрации области. Указанные меры организуются структурным подразделениемадминистрации области, ответственным за организацию обработки ПДн, аосуществляются руководителями структурных подразделений администрацииобласти, осуществляющих обработку ПДн. Контроль за порядкомобеспечения доступа служащих администрации области в помещенияосуществляется руководителями структурных подразделений администрацииобласти, осуществляющих обработку ПДн. 2. Порядок доступа служащих администрации области в помещения Обеспечение безопасности персональных данных от уничтожения,изменения, блокирования, копирования, предоставления, распространенияПДн, а также от иных неправомерных действий в отношении ПДндостигается, в том числе, установлением правил доступа в помещения,где ведется обработка ПДн с использованием средств автоматизации илибез использования таковых. Для помещений, в которых обрабатываются ПДн, организуется режимобеспечения безопасности, при котором обеспечивается сохранностьносителей ПДн и средств защиты информации, а также исключаетсявозможность неконтролируемого проникновения и пребывания в этихпомещениях посторонних лиц. Доступ служащих администрации области в помещения осуществляетсяв соответствии со Списком государственных гражданских служащихобласти, замещающих должности государственной гражданской службы вадминистрации области, имеющих право самостоятельного доступа впомещения, в которых ведется обработка ПДн (далее - Список). Список готовится и уточняется структурным подразделениемадминистрации области, ответственным за организацию обработки ПДн, попредставлению руководителей структурных подразделений администрацииобласти, осуществляющих обработку ПДн, и утверждается главойадминистрации области. Доступ в помещения иных лиц осуществляется служащимиадминистрации области, указанными в Списке. Пребывание посторонних лицв помещениях допускается только в присутствии вышеуказанных служащихадминистрации области на время, ограниченное необходимостью решениявопросов, связанных с исполнением государственных функций и (или)осуществлением полномочий в рамках договоров, заключенных садминистрацией области. Внутренний контроль за соблюдением порядка доступа в помещенияпроводится структурным подразделением администрации областиответственным за организацию обработки ПДн или комиссией, списоккоторой утверждается распоряжением администрации области.