№ 84-ра от 13.11.2017 Об обработке персональных данных в Аппарате Парламента Чеченской Республики

 

 

Р А С П О Р Я Ж Е Н И Е
Руководителя Аппарата
Парламента Чеченской Республики


от 13.11.2017            г.Грозный             № 84-ра 

 

Об обработке персональных данных в Аппарате Парламента Чеченской Республики

В соответствии со статьей 18.1 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»:
1. Утвердить прилагаемые Правила обработки персональных данных в Аппарате Парламента Чеченской Республики (далее - Правила).
2. Правила подлежат опубликованию на официальном сайте Парламента Чеченской Республики в информационно-телекоммуникационной сети «Интернет» в течение 10 дней после их утверждения.
3. Контроль за выполнением настоящего распоряжения оставляю за собой.
4. Настоящее распоряжение вступает в силу со дня его подписания.

 


Руководитель                                                                                                                                                                       В.Ш. Устраханов

___________________________________________________________________________

 

УТВЕРЖДЕНЫ
Распоряжением Руководителя Аппарата Парламента
Чеченской Республики

от 13.11.2017 № 84-ра

 


ПРАВИЛА
обработки персональных данных в Аппарате Парламента Чеченской Республики

I. Общие положения

1. Настоящие Правила обработки персональных данных в Аппарате Парламента Чеченской Республики (далее - Правила) разработаны в соответствии с требованиями Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»), Постановления Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» (далее - Постановление Правительства Российской Федерации от 21.03.2012 № 211), Конституции Чеченской Республики, иных нормативных правовых актов Российской Федерации и Чеченской Республики в области персональных данных.
2. Настоящие Правила определяют политику Аппарата Парламента Чеченской Республики (далее - Аппарат) в отношении обработки персональных данных, полученных как до, так и после принятия Правил.

II. Категории субъектов персональных данных

3. К категориям субъектов персональных данных, персональные данные которых обрабатываются в соответствии с настоящими Правилами, относятся:
лица, замещающие должности председателя и депутатов Парламента Чеченской Республики (далее – лица, замещающие государственные должности);
государственные гражданские служащие Аппарата (далее – государственные служащие);
граждане, претендующие на замещение должностей государственной гражданской службы Аппарата;
лица, замещавшие государственные должности;
бывшие государственные гражданские служащие Аппарата;
физические лица, обратившиеся в Парламент Чеченской Республики либо в Аппарат;
агенты (контрагенты) при заключении договоров (соглашений) гражданско-правового характера.

III. Цели обработки персональных данных

4. Персональные данные обрабатываются в следующих целях (далее - цели обработки):
1) обеспечения соблюдения законов и иных нормативных правовых актов Российской Федерации, содействия субъектам персональных данных в трудоустройстве, получении образования и продвижении по государственной службе, обеспечения личной безопасности субъектов персональных данных, контроля (учета и оценки) исполнения должностных обязанностей лицами, замещающими государственные должности, а также государственными служащими высокого качества профессиональной служебной деятельности, обеспечения сохранности принадлежащего субъекту персональных данных имущества и имущества государственного органа;
2) осуществления кадрового учета, делопроизводства, мотивации служебной деятельности и выполнения иных задач кадровой работы, в том числе в целях: контроля за поступлением, прохождением и увольнением с государственной службы, завершением (прекращением) обучения; заключения и прекращения действия служебных контрактов (далее - служебный контракт); соблюдения установленных требований по охране труда, обеспечению его безопасности, учету труда и его оплате; формирования кадрового состава; управления служебной деятельностью; организации и осуществления служебного взаимодействия и обучения по установленным формам и видам; принятия кадровых (управленческих) решений, в том числе связанных: с персональным кадровым отбором на основании аттестаций и учета медицинских заключений, квалификационных экзаменов и результатов проведения конкурсов на замещение вакантных должностей, с кадровым планированием и укомплектованием кадрами в соответствии со штатным расписанием (штатом), с планированием материально-технического и финансового обеспечения деятельности, с осуществлением профессионального образования и дополнительного профессионального образования; проведения служебных проверок; осуществления расследования совершенных субъектами персональных данных правонарушений и (или) преступлений на предмет привлечения к дисциплинарной и иным видам юридической (административной, материальной, гражданско-правовой, уголовной) ответственности, в том числе в связи с несоблюдением ими установленных требований к служебному поведению, предоставлением недостоверных и неполных сведений о доходах, имуществе и обязательствах имущественного характера, совершением дорожно-транспортных происшествий; учета примененных к субъектам персональных данных мер поощрения и юридической ответственности; осуществления организационно-мобилизационных мероприятий; обеспечения воинского учета и бронирования субъектов персональных данных; организации работ по гражданской обороне; организации своевременного, достоверного и объективного ведения, учета и хранения личных дел, личных карточек, документов, подтверждающих служебную деятельность субъектов персональных данных (в том числе трудовых книжек, вкладышей в трудовые книжки, загранпаспортов), а также иных учетных кадровых документов и пенсионных дел сотрудников; ведения реестра (перечня) государственных служащих в информационных системах персональных данных (при наличии); пополнения и (или) уточнения сведений в информационных системах персональных данных, осуществляющих обработку персональных данных в кадровых (управленческих) и иных целях обработки; осуществления допуска к сведениям, составляющим государственную тайну, и иным конфиденциальным сведениям, в том числе к персональным данным; идентификации, аутентификации и авторизации субъектов персональных данных; организации и осуществления взаимодействия Парламента Чеченской Республики, а также Аппарата с государственными органами, сторонними организациями, средствами массовой информации, иными общедоступными источниками информации, а также с физическими лицами - в порядке и в случаях, установленных законодательством Российской Федерации; обеспечения безопасности лиц, замещающих государственные должности и государственных служащих и их близких родственников;
3) выполнения действий, направленных на реализацию в отношении субъектов персональных данных гарантий, установленных федеральным законодательством и законодательством Чеченской Республики, в том числе: выплаты заработной платы; медицинского обеспечения; обязательного пенсионного страхования субъектов персональных данных (по уплате пенсионных страховых взносов и содействию субъектам персональных данных в оформлении документов, необходимых для получения обязательного пенсионного страхового обеспечения, предусматривающего выплаты страховой пенсии и накопительной пенсии, пенсии за выслугу лет); обязательного социального страхования субъектов персональных данных (по уплате социальных страховых взносов и содействию субъектам персональных данных в оформлении документов, необходимых для получения ими обязательного социального страхового обеспечения, предусматривающего выплаты страховых сумм (компенсаций) при наступлении несчастных случаев на государственной службе (должности), при временной нетрудоспособности, при получении профессиональных заболеваний, а также в связи с материнством); обязательного медицинского страхования субъектов персональных данных (по уплате медицинских страховых взносов и содействию в оформлении документов, необходимых для получения субъектами персональных данных обязательного медицинского страхового обеспечения в виде предоставления им медицинскими организациями бесплатно необходимой медицинской помощи, а также в виде оплаты в установленных случаях указанным организациям за счет средств обязательного медицинского страхования стоимости оказанных медицинских услуг субъектам персональных данных);
4) реализации Аппаратом полномочий, предоставленных ему как оператору при обработке персональных данных по основаниям, указанным в части 1 статьи 6, части 2 статьи 10 и статье 11 Федерального закона «О персональных данных», в том числе в части достижения целей, предусмотренных международным договором Российской Федерации или законодательством Российской Федерации; выполнения Аппаратом как оператором возложенных на него федеральным законодательством Российской Федерации и законодательством Чеченской Республики функций, полномочий и обязанностей; осуществления правосудия в Российской Федерации судами; исполнения судебного акта, акта другого органа или должностного лица в соответствии с законодательством Российской Федерации об исполнительном производстве; исполнения служебного контракта, договора обязательного государственного личного страхования, договора об оказании медицинской помощи и (или) предоставлении медицинских услуг, стороной которых (выгодоприобретателем или поручителем по которым) является субъект персональных данных; защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных, если получение их согласия на обработку персональных данных невозможно; осуществления прав и законных интересов Аппарата, третьих лиц; осуществления законной деятельности средств массовой информации, а также научной деятельности при условии, что при этом не нарушаются права и законные интересы субъектов персональных данных; достижения статистических или иных исследовательских целей при условии обязательного обезличивания персональных данных, а также в тех случаях, когда персональные данные сделаны субъектом персональных данных общедоступными или персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом;
5) в иных целях, предусмотренных федеральным законодательством и законодательством Чеченской Республики, в связи с выполнением возложенных на Аппарат функций, обязанностей и полномочий.

IV. Перечень персональных данных, обрабатываемых в связи с реализацией служебных или трудовых отношений, а также в связи с осуществлением государственных функций

5. В системе Аппарата в соответствии с его полномочиями (далее - полномочия Аппарата) обрабатываются следующие персональные данные субъектов персональных данных:
1) фамилия, имя, отчество (при его наличии) (в том числе прежние фамилии, имена и (или) отчества (при их наличии) в случае их изменения, сведения о том, когда, где и по какой причине они изменялись);
2) личная фотография;
3) дата рождения (число, месяц и год рождения);
4) место рождения;
5) вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, наименование органа и код подразделения органа (при его наличии), выдавшего его, дата выдачи;
6) вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию, наименование органа и код подразделения органа (при его наличии), выдавшего его, дата выдачи;
7) сведения о гражданстве: об имеющемся гражданстве (гражданствах); об имевшихся ранее (прежних) гражданствах;
8) адрес места жительства (места пребывания);
9) адрес фактического проживания (места нахождения);
10) дата регистрации по месту жительства (месту пребывания);
11) адреса прежних мест жительства;
12) сведения о семейном положении, о составе семьи, в том числе о гражданах, находящихся (находившихся) на иждивении, о родителях (усыновителях), детях, включая усыновленных (удочеренных), братьях, сестрах и других близких родственниках, о супруге (бывшем или бывшей супруге) и его (ее) родителях (усыновителях), детях, включая усыновленных (удочеренных), братьях и сестрах;
13) реквизиты свидетельств государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
14) сведения об образовании, в том числе о послевузовском профессиональном образовании (когда, какие образовательные и (или) иные организации окончил, наименование указанных организаций, реквизиты документов об образовании, направление подготовки, квалификация и специальность по документам об образовании);
15) сведения о профессиональной переподготовке и (или) повышении квалификации (наименование образовательной и (или) научной организации, год окончания, реквизиты документа о переподготовке или о повышении квалификации, квалификация и специальность по документу о переподготовке (повышении квалификации), наименование программы обучения, количество часов обучения);
16) сведения об ученой степени, ученом звании;
17) сведения о владении государственным языком, иностранными языками, уровне владения иностранными языками;
18) сведения из заключения (справок) медицинского учреждения о наличии (отсутствии) заболевания, препятствующего поступлению на государственную службу (работу) и ее прохождению, а для граждан, привлекаемых к государственной службе (работе) в районы Крайнего Севера и приравненные к ним местности, - об отсутствии противопоказаний для государственной службы (работы) и проживания в данных районах и местностях;
19) сведения о трудовой деятельности до поступления на государственную службу (должность), в том числе сведения, содержащиеся в трудовой книжке (трудовых книжках) и вкладыше к трудовой книжке (вкладышах к трудовым книжкам), в том числе о прежних местах службы (работы, обучения), периодах службы (работы, обучения);
20) сведения о поступлении, прохождении и увольнении со службы (работы), завершении (прекращении) обучения, в том числе сведения о дате, основании поступления на государственную службу (работу) или обучение, о дате, основании назначения на должность, перевода, перемещения на иную должность, о наименовании замещаемой (занимаемой) должности, о личном номере (для военнослужащих), номере личного дела, об общем трудовом стаже и общей выслуге лет, о периодах обучения, о денежном вознаграждении и ежемесячном денежном поощрении лиц, замещающих государственные должности, денежном содержании государственных служащих, о ежемесячных доплатах, о денежных удержаниях, о датах и основаниях прекращения выплат, о предоставленных государственных гарантиях (льготах, компенсациях, пособиях, в том числе о пенсиях, назначенных с учетом общего трудового стажа и общей выслуги лет), о дате и причине увольнения, а также завершения (прекращения) обучения, содержащиеся в приказе об увольнении (о номере, дате издания и основании увольнения, в том числе в связи с достижением предельного возраста пребывания на государственной службе);
21) сведения, содержащиеся в служебном контракте, дополнительных соглашениях к служебному контракту;
22) сведения о замещаемой (занимаемой) должности, ранее замещавшей (занимавшей) должности, об имеющемся (ранее имевшемся) специальном звании, воинском звании, классном чине, дипломатическом ранге, о наличии специальных знаний, об имеющейся (имевшейся) квалификации, в том числе о классном чине государственного гражданского служащего;
23) сведения о форме, номере и дате оформления допуска к государственной тайне, ранее имевшемся и (или) имеющемся, в том числе оформленном за период службы или работы, а также к иным конфиденциальным сведениям;
24) сведения о государственных наградах, иных наградах и знаках отличия (в том числе кем и когда награжден), о применении иных видов поощрений, привлечении к дисциплинарной и (или) иным видам юридической ответственности;
25) реквизиты страхового свидетельства обязательного пенсионного страхования, содержащиеся в нем сведения;
26) страховой номер индивидуального лицевого счета гражданина в системе обязательного пенсионного страхования;
27) реквизиты удостоверений (документов), подтверждающих имеющиеся государственные и иные льготы (гарантии, компенсации, пособия), содержащиеся в них сведения;
28) идентификационный номер налогоплательщика;
29) реквизиты страхового медицинского полиса обязательного медицинского страхования, содержащиеся в нем сведения;
30) сведения о воинском учете, реквизиты документов воинского учета, а также сведения, содержащиеся в документах воинского учета;
31) сведения о наличии либо отсутствии судимости, в том числе у лиц, состоящих с субъектом персональных данных в родстве или свойстве;
32) сведения о пребывании за границей;
33) сведения о ежегодных оплачиваемых отпусках, учебных отпусках, отпусках без сохранения денежного содержания;
34) сведения о доходах, расходах, об имуществе и обязательствах имущественного характера;
35) номера контактных телефонов (домашнего, служебного, мобильного), сведения об иных способах связи с субъектом персональных данных, в том числе сведения об адресе электронной почты в информационно-телекоммуникационной сети «Интернет» (далее - сеть «Интернет»);
36) сведения о состоянии здоровья, о травматизме (болезнях), инвалидности, полученных в период прохождения государственной службы (осуществления работы) или обучения, в том числе о группе инвалидности, степени инвалидности, о причине наступления болезни или инвалидности (в связи с получением ранения, контузии, увечья, в результате несчастного случая либо служебной или трудовой деятельности), о сроке действия установленной инвалидности, о назначенных (выплаченных) страховых и компенсационных выплатах, о прохождении диспансеризации;
37) биометрические персональные данные, не являющиеся личной фотографией, в том числе антропометрическая, дактилоскопическая, геномная информация, а также специальные категории персональных данных - в случаях, предусмотренных законодательством Российской Федерации;
38) сведения о назначенной пенсии лицу, замещающему государственную должность, государственному служащему;
39) наименования банков и (или) кредитных организаций, с которыми субъект персональных данных состоит в правоотношениях;
40) номер банковского расчетного счета;
41) номер банковской карты.

V. Сроки обработки персональных данных, в том числе сроки их хранения

6. Сроки обработки персональных данных, в том числе сроки их хранения (включая сроки хранения документов), применяются в соответствии с требованиями действующего законодательства о персональных данных.
7. В системе Аппарата приняты следующие сроки хранения персональных данных:
1) на бумажных носителях информации:
персональные данные, содержащиеся в приказах (распоряжениях) по личному составу: о приеме и увольнении с государственной службы, о предоставлении всех видов отпусков субъектам персональных данных, о командировках и т.д., хранятся в управлении государственной службы, кадров, наград и пропускного режима Аппарата (далее - кадровая служба), не более 3 лет (после завершения делопроизводства по таким приказам (распоряжениям) с последующей передачей в архив Аппарата (далее - архив), где хранятся в течение 75 лет, после чего уничтожаются либо передаются на хранение в государственный архив в порядке, предусмотренном законодательством Российской Федерации;
персональные данные, содержащиеся в личных делах субъектов персональных данных хранятся в кадровой службе с последующей передачей в архив с истечением 10 лет со дня прекращения полномочий лиц, замещавших государственные должности, увольнения государственных служащих, где хранятся в течение 75 лет, после чего уничтожаются либо передаются на хранение в государственные архивы в порядке, предусмотренном законодательством Российской Федерации;
персональные данные, содержащиеся в письменных документах кандидатов на государственную службу, которым было отказано в приеме на государственную службу, в том числе в анкетах, автобиографиях, личных листках по учету кадров, хранятся в кадровой службе в течение 3 лет, после чего уничтожаются;
персональные данные, содержащиеся в письменных документах, не включенных в состав личных дел субъектов персональных данных, содержащих представленные ими сведения о доходах, об имуществе и обязательствах имущественного характера, хранятся в кадровой службе не более 3 лет (после завершения делопроизводства по таким документам) с последующей передачей в архив, где хранятся в течение 75 лет, после чего уничтожаются либо передаются на хранение в государственный архив в порядке, предусмотренном законодательством Российской Федерации;
персональные данные, содержащиеся в документах, не указанных в абзацах со второго по пятый настоящего подпункта Правил, хранятся в структурных подразделениях Аппарата по принадлежности не более 3 лет, начиная со дня завершения делопроизводства по таким документам, с передачей на хранение и последующее уничтожение в архив либо на хранение в государственный архив в соответствии со сроками хранения, установленными для таких документов Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденном приказом Министерства культуры Российской Федерации от 25.08.2010 № 558;
2) на электронных носителях информации, находящихся на хранении в Аппарате, персональные данные, содержащиеся на электронных носителях информации в виде электронных документов, баз данных, в том числе используемых в информационных системах персональных данных, хранятся в структурных подразделениях Аппарата по принадлежности, где не позднее предусмотренных сроков хранения, установленных для соответствующих персональных данных, содержащихся на бумажных носителях информации, уничтожаются.
8. Сроки обработки персональных данных должны быть конкретными с указанием временных дат либо установлены основаниями (условиями), наступление которых влечет за собой прекращение обработки персональных данных.
9. Если сроки хранения персональных данных не могут быть определены с учетом требований, указанных в пунктах 7 и 8 Правил, а также не установлены договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе служебным контрактом, их хранение не должно длиться дольше, чем этого требуют цели обработки.
10. При хранении персональных данных, содержащихся на электронных носителях информации, должно производиться регулярное резервное копирование таких персональных данных, достаточное для недопущения их утраты (в том числе в случае выхода из строя указанных носителей до истечения сроков гарантийного хранения на них информации).
11. Контроль состояния персональных данных, содержащихся в виде электронных документов на электронных носителях информации, находящихся на хранении, физического и технического состояния указанных материальных носителей информации проводится должностными лицами, ответственными за их содержание (хранение), не реже 1 раза в 3 года.
12. По окончании сроков эксплуатации (службы) электронных носителей информации, находящихся на хранении (сроки эксплуатации (службы) определяются их изготовителями), указанные материальные носители информации подлежат уничтожению с предварительным сохранением содержащейся на них информации на других носителях информации.

 

VI. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

13. Уничтожение персональных данных, используемых в обработке, производится при достижении целей обработки или в случае утраты в них необходимости, если иное не предусмотрено Федеральным законом «О персональных данных», либо при наступлении иных законных оснований.
14. Целью уничтожения персональных данных является прекращение существования персональных данных, содержащихся на бумажных, электронных носителях информации (далее - материальные носители информации) либо достижение таких условий (результатов), когда становится невозможным осуществить считывание или восстановление таких данных с материальных носителей информации.
15. Уничтожение персональных данных осуществляется после выбора способа их уничтожения.
16. Выбор способа уничтожения персональных данных производится в зависимости от вида содержащего их материального носителя информации и характера персональных данных, подлежащих уничтожению.
17. Уничтожение персональных данных производится следующими способами:
1) уничтожение материальных носителей, содержащих персональные данные, когда исключается возможность дальнейшего использования указанных носителей информации в целях обработки персональных данных;
2) безвозвратное «стирание» персональных данных и остаточной информации, касающейся персональных данных, с электронных носителей информации.
18. Уничтожение материальных носителей информации в соответствии с подпунктом 1 пункта 17 Правил осуществляется путем физического уничтожения указанных материальных носителей информации (в том числе посредством сжигания, механического нарушения целостности, переработки в утилизирующих организациях) (далее - физическое уничтожение).
19. Уничтожение персональных данных в соответствии с подпунктом 2 пункта 17 Правил, осуществляется методами и средствами гарантированного уничтожения информации на электронных носителях информации, в том числе с помощью использования специального программного обеспечения.
20. Подготовка к уничтожению и уничтожение персональных данных (материальных носителей информации) осуществляется на основании отбора к уничтожению персональных данных (материальных носителей информации), экспертной оценки ценности персональных данных, определения физического и технического состояния материальных носителей информации, в том числе их работоспособности и пригодности для хранения персональных данных, а также принятия в установленном порядке соответствующих решений об уничтожении, оформленных в письменной форме.
21. При подготовке к процедуре уничтожения составляются акты о выделении к уничтожению персональных данных (материальных носителей информации), не подлежащих хранению, и описи уничтожаемых персональных данных (материальных носителей информации).
22. Организация и контроль выполнения процедуры уничтожения способами, указанными в пункте 17 Правил, осуществляется руководителями структурных подразделений Аппарата по принадлежности.
23. Действия по физическому уничтожению персональных данных (материальных носителей информации) могут выполняться должностными лицами, указанными в пункте 22 Правил, либо в их присутствии иными уполномоченными должностными лицами соответствующего структурного подразделения Аппарата.
24. После завершения процедуры физического уничтожения персональных данных (материальных носителей информации) участвовавшие в ней должностные лица совместно оформляют и подписывают акты об уничтожении персональных данных (материальных носителей информации).
25. Должностные лица, осуществлявшие отбор к уничтожению персональных данных (материальных носителей информации), вносят записи (отметки) о факте выполнения такого уничтожения в акты о выделении к уничтожению персональных данных (материальных носителей информации), не подлежащих хранению, а также в предусмотренные документальные (архивные) формы учета таких носителей.
26. Акты об уничтожении персональных данных (материальных носителей информации) подшиваются в соответствующие номенклатурные дела.

VII. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации при обработке персональных данных

27. Для выявления и предотвращения нарушений при обработке персональных данных в Аппарате используются следующие процедуры:
1) осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных» (далее - требования к защите персональных данных), в том числе в части обеспечения необходимого уровня защищенности (конфиденциальности) персональных данных при их обработке; организация и проведение периодических проверок условий обработки персональных данных; определение по результатам указанных проверок мер, необходимых для устранения выявленных нарушений;
2) определение вреда, который может быть причинен субъектам персональных данных, оценка его возможных последствий;
3) ознакомление субъектов персональных данных, осуществляющих их обработку, с положениями законодательства Российской Федерации в области персональных данных, в том числе с требованиями к защите персональных данных и настоящих Правил;
4) прекращение обработки персональных данных при достижении конкретных, заранее определенных и законных целей;
5) осуществление обработки персональных данных в соответствии с принципами и правилами обработки персональных данных, предусмотренными Федеральным законом «О персональных данных», в том числе с установленными основаниями обработки персональных данных;
6) недопущение обработки персональных данных, несовместимых с целями сбора персональных данных;
7) недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
8) установление и устранение избыточности состава, содержания, объема обрабатываемых персональных данных заявленным целям обработки;
9) обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки;
10) уничтожение или обезличивание обрабатываемых персональных данных при достижении целей обработки или в случае утраты необходимости в достижении целей обработки, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.

VIII. Порядок осуществления обработки и защиты персональных данных от несанкционированного доступа, неправомерного использования и утраты

28. Аппарат как оператор в лице Руководителя Аппарата в соответствии с частью 3 статьи 6 Федерального закона «О персональных данных» и настоящими Правилами определяет лиц, которым поручается обработка персональных данных.
29. Должностные лица, указанные в пункте 28 Правил, осуществляют обработку персональных данных с использованием средств автоматизации или без них в целях подготовки и принятия кадровых (управленческих) и иных решений, а также для достижения целей обработки, реализуемых структурными подразделениями Аппарата, в которых они проходят государственную службу.
30. Уполномоченными структурными подразделениями Аппарата, осуществляющими в целях настоящих Правил в соответствии со своим предназначением полномочия по непосредственной обработке персональных данных являются:
1) управление государственной службы, кадров, наград и пропускного режима;
2) управление делопроизводства и архива;
3) управление пресс-службы, информации и технического обеспечения Аппарата Парламента Чеченской Республики.
31. В целях надлежащей организации обработки персональных данных Аппарат как оператор в лице Руководителя Аппарата в соответствии со статьей 22.1 Федерального закона «О персональных данных» и Постановлением Правительства Российской Федерации от 21.03.2012 № 211 назначает лицо, ответственное за организацию обработки персональных данных в Аппарате (далее - лицо, ответственное за организацию обработки персональных данных), которое ему подотчетно и несет перед ним персональную ответственность.
32. Лицо, ответственное за организацию обработки персональных данных, осуществляет: организацию обработки персональных данных всех субъектов персональных данных, состоящих в правовых отношениях с Парламентом Чеченской Республики и Аппаратом; осуществляет внутренний контроль за соблюдением Аппаратом как оператором и его работниками законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных; доводит до сведения работников положения законодательства Российской Федерации в области персональных данных, правовых актов Аппарата по вопросам обработки персональных данных, требований к защите персональных данных; организовывает прием и обработку обращений и запросов субъектов персональных данных или их представителей; осуществляет в соответствии с должностным регламентом (должностными обязанностями) иные действия (полномочия), касающиеся организации и контроля выполнения Аппаратом как оператором функций и полномочий, которые предусмотрены законодательством Российской Федерации в области персональных данных и обеспечения безопасности информации, а также принятыми правовыми актами Аппарата по вопросам обработки персональных данных, обеспечения требований к защите персональных данных, в том числе настоящими Правилами.
33. Уполномоченные должностные лица должны осуществлять обработку персональных данных с соблюдением:
1) принципов и правил обработки персональных данных, предусмотренных Федеральным законом «О персональных данных»;
2) целей обработки и перечня обрабатываемых персональных данных;
3) мер по защите персональных данных от несанкционированного доступа, неправомерного использования, в том числе требований к защите персональных данных.
34. Обработка персональных данных осуществляется при наличии случаев (обстоятельств) если:
1) имеется доказательство получения согласия субъекта персональных данных на обработку его персональных данных в письменной или устной форме в соответствии с пунктом 1 части 1 статьи 6 Федерального закона «О персональных данных» либо согласия субъекта персональных данных на обработку его персональных данных в письменной форме (далее - согласие в письменной форме) в соответствии с пунктом 1 части 2 статьи 10 и частью 1 статьи 11 Федерального закона «О персональных данных»;
2) отсутствует согласие в письменной форме (такое согласие субъектом персональных данных не предоставлялось, было предоставлено, но им не подписано либо было им отозвано) имеется доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных», в том числе:
обработка персональных данных необходима для: достижения целей, предусмотренных международными договорами Российской Федерации, законом Российской Федерации; осуществления и выполнения возложенных федеральным законодательством и законодательством Чеченской Республики на Аппарат как оператора функций, полномочий и обязанностей; осуществления правосудия в Российской Федерации судами; исполнения судебного акта, акта другого органа или должностного лица, подлежащего исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве; исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору; заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (например, трудового договора (служебного контракта, контракта), договоров, связанных с организацией пенсионного и жилищного обеспечения, медицинского обеспечения, обязательного государственного личного страхования, а также обязательного пенсионного, социального и медицинского страхования); защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц, когда получение согласия субъекта персональных данных (в том числе в письменной форме) невозможно; осуществления прав и законных интересов оператора или третьих лиц либо достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; установления или осуществления прав субъекта персональных данных либо третьих лиц;
осуществляется обработка персональных данных: о судимости субъекта персональных данных; в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных; доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (то есть, когда персональные данные сделаны общедоступными самим субъектом персональных данных); подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом; в соответствии с трудовым, пенсионным, страховым, уголовно-исполнительным законодательством Российской Федерации; в соответствии с законодательством Российской Федерации о государственной социальной помощи, об исполнительном производстве, об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, об исполнительном производстве, об обязательных видах страхования, о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации; в соответствии с Федеральным законом от 25.01.2002 N 8-ФЗ «О Всероссийской переписи населения»;
3) выполнены особенности обработки специальных категорий персональных данных и биометрических персональных данных, установленные соответственно в статьях 10 и 11 Федерального закона «О персональных данных».
35. Согласие в письменной форме изготовляется на бумажном носителе информации (стандартных листах бумаги формата А4 - 210 х 297 мм) субъектом персональных данных собственноручно или с помощью средств вычислительной техники либо уполномоченным должностным лицом с помощью средств вычислительной техники.
36. Согласие в письменной форме может подписать представитель субъекта персональных данных - лицо, имеющее письменную доверенность, оформленную в соответствии со статьями 185 и 186 части первой Гражданского кодекса Российской Федерации, подтверждающую такие полномочия.
37. Согласие в письменной форме в соответствии с частью 4 статьи 9 Федерального закона «О персональных данных» должно содержать, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя субъекта персональных данных (в случае предоставления согласия субъекта персональных данных от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие в письменной форме;
4) цель (цели) обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие в письменной форме;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если такая обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие в письменной форме, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие в письменной форме, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
38. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме считается согласие субъекта персональных данных, представленное в форме электронного документа, подписанное им электронной подписью в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи».
39. Уполномоченное должностное лицо кадровой службы представляет субъектам персональных данных для ознакомления и подписания типовую форму согласия на обработку персональных данных.
40. Согласие в письменной форме, в том числе подписанная субъектом персональных данных типовая форма согласия, является документом, подтверждающим факт принятия им решения, а также договоренности с Аппаратом о предоставлении своих персональных данных для их обработки в Аппарате свободно, своей волей и в своем интересе.
41. Обязанность доказательства получения или неполучения согласия субъекта персональных данных, в том числе согласия в письменной форме, либо доказательства наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, пунктами 2 - 9 части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных», возлагается на уполномоченных должностных лиц, непосредственно осуществляющих обработку персональных данных в соответствии с установленными целями обработки.
42. Типовая форма согласия подписывается или не подписывается субъектом персональных данных в день рассмотрения и подписания им служебного контракта или в день предоставления субъекту персональных данных указанной формы для рассмотрения и подписания уполномоченными должностными лицами кадровой службы в период прохождения государственной службы.
43. Подписанное согласие субъекта персональных данных в письменной форме может быть отозвано субъектом персональных данных только направлением им своего письменного заявления на имя Руководителя Аппарата.
44. При получении от субъекта персональных данных в письменной или в устной форме заявления об отказе подписать согласие в письменной форме, в том числе типовую форму согласия (далее - отказ субъекта персональных данных), либо заявления об отзыве указанного согласия уполномоченные должностные лица продолжают обработку персональных данных без согласия субъекта персональных данных по основаниям, указанным в подпункте 2 пункта 34 Правил, в том числе с привлечением сведений о персональных данных, полученных от третьих лиц.
45. Одновременно с предоставлением для рассмотрения и подтверждения (неподтверждения) типовой формы согласия субъекту персональных данных доводится до сведения под роспись типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные.
46. При назначении государственного служащего на должность, подлежащую замещению уполномоченным должностным лицом, осуществляющим служебные обязанности по обработке персональных данных, в том числе в составе уполномоченного структурного подразделения, такому субъекту персональных данных доводится до сведения под роспись типовое обязательство государственного служащего, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей (далее - типовое обязательство государственного служащего).
47. Доведение до сведения под роспись типовых обязательств осуществляется уполномоченными должностными лицами кадровой службы.
48. Подписанные субъектами персональных данных типовые формы согласий, типовые формы разъяснений и типовые обязательства хранятся в кадровой службе до передачи в установленном порядке в архив.
49. В случае подачи субъектом персональных данных или представителем субъекта персональных данных (далее - заявители) письменного заявления об отзыве подписанной субъектом персональных данных типовой формы согласия и (или) типовых обязательств, уполномоченные лица кадровой службы направляют субъекту персональных данных (и в копии - представителю субъекта персональных данных) письменное извещение (письмо), в котором указывают о том, что Аппарат признает эти формы отозванными, но при этом сохраняет за собой право на обработку персональных данных субъекта персональных данных по основаниям, указанным в пункте 41 Правил.
50. Выдача уполномоченными лицами кадровой службы светокопий типовой формы согласия и (или) типовых обязательств либо выписок из них, а также справок, касающихся указанных форм, осуществляется только по письменным заявлениям (запросам, письмам) субъектов персональных данных, подписавших такие формы в соответствии с требованиями настоящих Правил, а также по письменным заявлениям (запросам, письмам) третьих лиц по основаниям, установленным законом, для выдачи учетных кадровых документов, включенных в соответствующие личные дела (например, по запросам судов и государственных органов), в случае установления наличия законных оснований обработки такими лицами запрашиваемых ими персональных данных.
51. Персональные данные не могут передаваться уполномоченными должностными лицами в общедоступные источники информации, в том числе в средства массовой информации, без получения от субъектов персональных данных соответствующих согласий в письменной форме в соответствии с законом.
52. Согласие в письменной форме, указанное в пункте 51 Правил, предоставляется уполномоченными должностными лицами отдельно от типовой формы согласия.
Такое согласие, подписанное субъектом персональных данных, включается в номенклатурное дело соответствующего уполномоченного структурного подразделения, непосредственно осуществляющего передачу персональных данных в общедоступный источник информации.
53. В общедоступный источник информации уполномоченными должностными лицами могут быть включены: фамилия, имя, отчество, год и место рождения, фотография, адрес, абонентский номер, сведения о профессии и иные персональные данные, исходя из предназначения указанных источников, требований по защите прав и обеспечению безопасности персональных данных субъекта персональных данных.
54. Согласие в письменной форме в отношении уполномоченных должностных лиц, осуществляющих на основании своих служебных обязанностей публичную деятельность по представлению интересов Аппарата в общедоступных источниках информации, в том числе в средствах массовой информации, не оформляется.
Указанные лица предоставляют свои персональные данные в общедоступные источники информации в объеме и по содержанию, которые необходимы и достаточны для осуществления ими своих служебных обязанностей, исходя из предназначения указанных источников, требований по защите прав и обеспечению безопасности персональных данных субъекта персональных данных.
55. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
56. Согласие в письменной форме включается в номенклатурное дело уполномоченного структурного подразделения Аппарата, которое непосредственно осуществляет соответствующую обработку персональных данных.
57. Обязательными условиями обработки персональных данных третьими лицами являются:
1) получение Аппаратом согласия субъекта персональных данных в письменной форме на обработку его персональных данных третьим лицом, если иное не предусмотрено федеральным законом;
2) соблюдение третьим лицом принципов и правил обработки персональных данных, предусмотренных Федеральным законом «О персональных данных» и иными федеральными законами в области персональных данных.
58. Если предоставление персональных данных субъектом персональных данных является обязательным требованием в соответствии с федеральным законом, уполномоченное должностное лицо разъясняет субъекту персональных данных юридические последствия его отказа предоставить свои персональные данные.
59. В случае, когда субъект персональных данных не может или затрудняется предоставить персональные данные лично в связи с установленным правовым порядком получения сведений от государственных и (или) муниципальных органов, организаций и (или) физических лиц, а также документально подтвержденными фактами наступления болезни субъекта персональных данных, нахождения его в отпуске или командировке, наступления смерти близких родственников субъекта персональных данных или наличием иных уважительных причин (обстоятельств) либо отказывается от их предоставления без указания уважительных причин (обстоятельств), уполномоченное должностное лицо уведомляет субъекта персональных данных о подготовке соответствующего запроса третьему лицу (третьим лицам) об интересующих персональных данных и получает от субъекта персональных данных согласие в письменной форме (на выполнение указанных действий).
60. При отказе субъекта персональных данных предоставить (подписать) согласие в письменной форме на получение интересующих персональных данных от третьих лиц, уполномоченные должностные лица на основании запроса получают их от третьих лиц самостоятельно, если имеются доказательства наличия законных оснований.
61. В тех случаях, когда направляются запросы третьим лицам, уполномоченные должностные лица, в том числе по просьбе субъектов персональных данных, предоставляют субъектам персональных данных сведения об обработке, указанные в пункте 126 Правил.
62. Если интересующие персональные данные были получены от третьих лиц по их инициативе (без направления запросов), уполномоченные должностные лица, получившие доступ к персональным данным, обязаны не раскрывать их другим третьим лицам и не распространять их без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
63. До начала осуществления обработки персональных данных, предоставленных третьими лицами по их инициативе, уполномоченные должностные лица в соответствии с частью 3 статьи 18 Федерального закона «О персональных данных» обязаны представить субъекту персональных данных следующие сведения:
1) фамилия, имя, отчество, контактный телефон уполномоченного должностного лица, осуществляющего обработку персональных данных;
2) цель обработки и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные Федеральным законом «О персональных данных» права субъекта персональных данных;
5) источник получения персональных данных.
64. Уполномоченные должностные лица освобождаются от обязанности предоставления субъекту персональных данных сведений, предусмотренных пунктом 63 Правил, в случаях, если:
1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
4) уполномоченные должностные лица осуществляют обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
5) предоставление субъекту персональных данных сведений, предусмотренных пунктом 63 Правил, нарушает права и законные интересы третьих лиц.
65. При сборе персональных данных посредством сети «Интернет» в соответствии с частью 5 статьи 18 Федерального закона «О персональных данных» уполномоченные должностные лица обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации (далее - базы данных в сети «Интернет»), за исключением случаев, предусмотренных пунктами 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных», в том числе, когда обработка персональных данных необходима для:
1) достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения полномочий (обязанностей), возложенных на оператора законодательством Российской Федерации;
2) осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
3) осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.
66. Запись персональных данных на материальные носители информации производится уполномоченными должностными лицами, осуществляющими их обработку, а в некоторых случаях сбора персональных данных - другими субъектами персональных данных.
67. Запись персональных данных на материальные носители информации производится для их последующей обработки, в том числе хранения в информационных системах персональных данных, а также вне указанных информационных систем.
68. Аппарат как оператор информационных систем персональных данных, осуществивший запись персональных данных, обеспечивает конфиденциальность персональных данных при их обработке в указанных информационных системах.
69. Систематизация персональных данных осуществляется путем обработки и анализа накопленных сведений о субъектах персональных данных.
70. Целью систематизации является обеспечение возможности в соответствии с заданным алгоритмом осуществлять поиск и доступ к персональным данным, зафиксированным на бумажных, электронных и магнитных носителях информации, а также содержащихся в картотеках (бумажных, электронных, магнитных) и базах данных, используемых в информационных системах персональных данных.
71. Персональные данные, систематизированные в информационных системах персональных данных, подлежат накоплению для достижения полноты и достоверности обрабатываемых персональных данных.
72. Накопление персональных данных осуществляется путем сбора уполномоченными должностными лицами из различных источников информации, а также последующего внесения в них информации, касающейся субъектов персональных данных в связи с прохождением ими государственной службы (замещением государственных должностей).
73. Уполномоченные должностные лица обязаны осуществлять раздельное хранение накопленных (систематизированных) персональных данных, обработка которых осуществлялась в различных целях, в том числе содержать их на отдельных материальных носителях информации, а в некоторых случаях - на разных видах материальных носителей информации.
74. Для обеспечения надлежащего режима хранения персональных данных уполномоченные должностные лица обязаны осуществлять:
1) контроль доступа к персональным данным, содержащимся (хранящимся) на материальных носителях информации, а также за хранением материальных носителей информации;
2) установление особого режима доступа в помещения, в которых хранятся персональные данные, содержащиеся на материальных носителях информации (материальные носители информации), в целях исключения несанкционированного (неправомерного или случайного) доступа к персональным данным, их уничтожения, изменения, блокирования, копирования и передачи;
3) организацию оборудования помещений металлическими шкафами (сейфами) для хранения материальных носителей информации, техническими средствами защиты, в том числе другими средствами фиксации несанкционированного доступа в помещения;
4) меры (действия), необходимые для обеспечения сохранности персональных данных в соответствии со сроками их хранения, с учетом соответствующих сроков хранения отдельных видов материальных носителей информации, которые содержат указанные данные.
75. Уточнение (обновление, изменение) персональных данных осуществляется путем выявления (подтверждения) наличия неточных персональных данных и последующего выполнения действий (операций) по их обновлению и изменению.
76. Уточнение (обновление, изменение) персональных данных проводится уполномоченными должностными лицами на основании анализа накопленных (систематизированных) персональных данных, получения от заявителя и (или) уполномоченного органа по защите прав субъектов персональных данных документов, уточняющих персональные данные, и (или) иных документов от третьих лиц, подтверждающих необходимость проведения соответствующего уточнения.
77. Уточнение (обновление, изменение) персональных данных при осуществлении их обработки без использования средств автоматизации может производиться путем их обновления (частичного) или изменения указанных данных на материальном носителе информации, а если это не допускается техническими особенностями соответствующего вида материального носителя информации, то путем фиксации на таком материальном носителе сведений об изменениях, вносимых в персональные данные, либо путем изготовления или использования (применения) нового материального носителя информации соответствующего вида с записью на него уточненных персональных данных.
78. Извлечение персональных данных в зависимости от вида материального носителя информации может осуществляться в ручном режиме или автоматизированным способом, а из баз данных информационных систем персональных данных (в том числе баз данных в сети «Интернет») автоматизированным или автоматическим способом.
79. Целью извлечения персональных данных является обеспечение сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения) и регистрации персональных данных, в том числе автоматизированным или автоматическим способом в информационных системах персональных данных.
80. Извлечение персональных данных из информационной системы персональных данных не является фактом, подтверждающим осуществление обработки персональных данных с использованием средств автоматизации.
81. Уполномоченные должностные лица, получившие доступ к персональным данным, для обеспечения законной передачи персональных данных в случаях, соответствующих целям обработки:
1) не предоставляют персональные данные третьим лицам без согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы его жизни и здоровью, а также в других случаях, предусмотренных федеральными законами;
2) осуществляют передачу персональных данных в пределах Аппарата, за исключением случаев, когда такое предоставление персональных данных:
предусмотрено для представителей субъектов персональных данных в соответствии с порядком, установленным Трудовым кодексом Российской Федерации и иными федеральными законами, в той части, которая необходима для выполнения указанными представителями их функций;
осуществляется по письменному запросу третьих лиц при наличии согласия субъекта персональных данных с одновременным предупреждением указанных лиц об ответственности за несоблюдение конфиденциальности персональных данных;
осуществляется по письменному запросу третьих лиц без наличия согласия субъекта персональных данных с одновременным предупреждением указанных лиц об ответственности за несоблюдение конфиденциальности персональных данных, при условии, что для обработки персональных данных уполномоченные должностные лица имеют доказательства наличия законных оснований;
3) предупреждают лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требуют от этих лиц подтверждения того, что это правило соблюдено;
4) разрешают доступ к персональным данным иных уполномоченных должностных лиц и ограничивают предоставляемую информацию только теми персональными данными, которые необходимы для выполнения ими их функций;
5) не запрашивают информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовой функции;
6) производят передачу персональных данных для разработки и выпуска служебных источников информации и служебных документов, таких как фамилия, имя, отчество, замещаемая (занимаемая) должность, специальное или воинское звание (классный чин), номер служебного телефона, номер служебного кабинета, служебный адрес, адрес для доставки почтовых отправлений организациями почтовой связи;
7) распространяют персональные данные в общедоступных источниках, в том числе в периодической печати, сети «Интернет» и иных средствах массовой информации, при доказательстве получения согласия субъекта персональных данных в письменной форме на такую передачу с учетом выполнения требований, предъявляемых к таким персональным данным (в части их предназначения, содержания и непринадлежности к персональным данным, подлежащим обезличиванию), за исключением случаев обязательного распространения (опубликования) персональных данных в средствах массовой информации в соответствии с федеральными законами или исполнением сроков, установленных для опубликования сведений (справок) о доходах, расходах, об имуществе и обязательствах имущественного характера лиц, замещающих государственные должности, государственных служащих, их супругов и несовершеннолетних детей;
8) при передаче персональных данных в информационных системах персональных данных применяют технологии, обеспечивающие их защиту от несанкционированного (неправомерного или случайного) доступа, от уничтожения, изменения, блокирования, копирования, предоставления и распространения, в том числе с использованием шифровальных (криптографических) средств, например: обработку персональных данных в информационных системах персональных данных производят только в информационно-телекоммуникационных сетях, физически изолированных от информационно-телекоммуникационных сетей общего пользования (в том числе с помощью сертифицированного межсетевого экрана), а их передачу по незащищенным каналам связи допускают только при использовании шифровальных (криптографических) средств.
82. Субъект персональных данных имеет право на свободный бесплатный доступ к своим персональным данным, в том числе на получение светокопий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации.
83. Уполномоченное должностное лицо в случае выявления неправомерной обработки персональных данных осуществляет блокирование (временное прекращение обработки) указанных персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента соответствующего обращения заявителя либо получения запроса от заявителя либо от уполномоченного органа по защите прав субъектов персональных данных на период проверки.
84. В случае подтверждения в период проверки факта неправомерной обработки персональных данных уполномоченное должностное лицо с одновременным снятием блокирования прекращает неправомерную обработку персональных данных или обеспечивает такое прекращение неправомерной обработки персональных данных (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 3 рабочих дней, начиная с даты этого выявления, а в случае, если обеспечить правомерность обработки персональных данных невозможно, осуществляет уничтожение таких персональных данных или обеспечивает их уничтожение в срок, не превышающий 10 рабочих дней, начиная с даты выявления неправомерной обработки персональных данных.
85. Об устранении допущенных нарушений, указанных в пункте 84 Правил, или о соответствующем уничтожении персональных данных уполномоченные должностные лица обязаны уведомить заявителя, а в случае если обращение заявителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных также указанный орган.
86. Уполномоченное должностное лицо в случае выявления неточных персональных данных осуществляет блокирование персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента обращения заявителя либо получения запроса от заявителя или запроса уполномоченного органа по защите прав субъектов персональных данных на период проверки, если такое блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
87. В случае подтверждения в период проверки факта неточности персональных данных на основании сведений, представленных заявителем либо уполномоченным органом по защите прав субъектов персональных данных, или на основании иных необходимых документов уполномоченное должностное лицо обязано уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение 7 рабочих дней со дня представления таких сведений, после чего снять блокирование персональных данных.
88. В случае достижения цели обработки персональных данных уполномоченное должностное лицо обязано прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если уполномоченное должностное лицо не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.
89. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных (в том числе оформленного в соответствии с типовой формой согласия) уполномоченное должностное лицо обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных больше не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если уполномоченное должностное лицо не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.
90. В случае отсутствия возможности уничтожения персональных данных (по техническим, организационным или иным причинам) в течение сроков, указанных в пунктах 84, 88 и 89 Правил, уполномоченное должностное лицо осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора), после чего обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.
91. Уполномоченные должностные лица обязаны осуществить удаление персональных данных при достижении целей обработки или в случае утраты необходимости в достижении указанных целей, если иное не предусмотрено федеральным законом.
92. Обработка специальных категорий персональных данных в соответствии с частью 1 статьи 10 Федерального закона «О персональных данных» не допускается, за исключением случаев, предусмотренных частью 2 статьи 10 Федерального закона «О персональных данных».
93. Обработка персональных данных, касающихся судимости (о судимости), может осуществляться в соответствии с частью 3 статьи 10 Федерального закона «О персональных данных».
94. В соответствии с частью 4 статьи 10 Федерального закона «О персональных данных» обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 статьи 10 Федерального закона «О персональных данных», должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась такая обработка, если иное не установлено федеральным законом.
95. Биометрические персональные данные в соответствии с частью 1 статьи 11 Федерального закона «О персональных данных» могут обрабатываться только при наличии согласия в письменной форме.
96. При отсутствии согласия в письменной форме обработка биометрических персональных данных допускается только при наличии оснований, установленных в части 2 статьи 11 Федерального закона «О персональных данных».
97. Обработка персональных данных без использования средств автоматизации осуществляется с учетом требований Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
98. Уполномоченные должностные лица, осуществляющие обработку персональных данных без использования средств автоматизации, в том числе третьи лица, осуществляющие такую обработку по поручению оператора, должны быть информированы о принципах, условиях и иных требованиях, предусмотренных для указанной обработки законодательством Российской Федерации в области персональных данных, о перечне обрабатываемых персональных данных и требованиях к защите персональных данных, предъявляемых при их обработке без использования средств автоматизации.
99. Уполномоченные должностные лица в соответствии с полномочиями Аппарата имеют право создавать и использовать автоматизированные информационные системы персональных данных.
100. Администраторы автоматизированных информационных систем персональных данных, специально назначенные из числа уполномоченных должностных лиц, в целях организации доступа в такие системы других уполномоченных должностных лиц, осуществляющих в них обработку персональных данных, предоставляют таким лицам логины и пароли. Предоставление логинов и паролей должно предусматривать прохождение уполномоченными должностными лицами обязательной процедуры аутентификации.
101. Доступ уполномоченных должностных лиц к прикладным программным подсистемам и персональным данным, используемым (обрабатываемым) в автоматизированных информационных системах персональных данных, должен организовываться в соответствии с содержанием их служебных (трудовых) обязанностей.
102. Персональные данные вносятся в автоматизированные информационные системы персональных данных в автоматическом режиме в порядке, установленном регламентами информационного взаимодействия между такими системами, либо уполномоченными должностными лицами в ручном (автоматизированном) режиме при получении персональных данных на бумажных, электронных и магнитных носителях информации, а также на немагнитных пленках в виде, не позволяющем осуществить их автоматическую регистрацию.
103. Уполномоченные должностные лица, ответственные за эксплуатацию (обеспечение функционирования) и выполнение мер по обеспечению безопасности персональных данных при их автоматизированной обработке в информационных системах персональных данных, обязаны принимать меры, необходимые для восстановления персональных данных, которые были изменены (модифицированы или удалены) либо уничтожены, в том числе в случае выявления факта несанкционированного доступа к ним.
104. Обмен персональными данными при их обработке, в том числе такой обмен между автоматизированными информационными системами персональных данных, должен осуществляться по защищенным каналам связи путем выполнения необходимых организационных, технических мер и применения программных и (или) технических средств, соответствующих установленным требованиям.
105. При выявлении нарушений, касающихся порядка обработки персональных данных в автоматизированных информационных системах персональных данных, уполномоченные должностные лица обязаны незамедлительно принимать меры по установлению причин возникновения таких нарушений и их устранению.
106. При обработке персональных данных в автоматизированных информационных системах персональных данных:
1) могут вводиться (устанавливаться) особенности учета персональных данных, в том числе касающиеся использования (применения) различных способов обозначения принадлежности персональных данных конкретному субъекту персональных данных;
2) не могут ограничиваться права и свободы субъекта персональных данных как человека и гражданина по мотивам, связанным с использованием различных способов обработки персональных данных;
3) не допускается использование (применение) способов обозначения принадлежности персональных данных конкретному субъекту персональных данных, которыми могут быть оскорблены их чувства или унижено их человеческое достоинство.
107. Уполномоченным должностным лицам запрещается на основании исключительно автоматизированной обработки персональных данных принимать решения, порождающие юридические последствия в отношении субъектов персональных данных или затрагивающие иным образом их права и законные интересы, за исключением следующих случаев:
1) достоверно установлен факт наличия со стороны субъекта персональных данных соответствующего согласия в письменной форме (устанавливающего право на принятие таких решений);
2) в федеральном законе, устанавливающем меры по обеспечению соблюдения прав и законных интересов субъектов персональных данных, имеется соответствующее положение для принятия такого решения.
108. Уполномоченные должностные лица в случае принятия решения, указанного в пункте 107 Правил, обязаны:
1) разъяснить субъекту персональных данных порядок и возможные юридические последствия принятия такого решения, а также порядок защиты субъектом персональных данных своих прав и законных интересов;
2) предоставить субъекту персональных данных возможность заявления возражений по принятому решению;
3) рассмотреть поданное субъектом персональных данных возражение на принятое решение в течение 30 дней со дня получения и уведомить его о результатах рассмотрения указанного возражения.
109. Защита персональных данных должна представлять собой регламентированный технологический процесс, направленный на предупреждение нарушений установленного порядка доступности, целостности, достоверности и конфиденциальности персональных данных, а также обеспечение безопасности указанных данных в соответствии с полномочиями Аппарата.
110. Обеспечение внешней защиты персональных данных достигается:
1) установлением пропускного режима и особого порядка приема, учета и контроля посетителей;
2) введением особого порядка выдачи пропусков и удостоверений субъектов персональных данных;
3) использованием технических средств охраны;
4) применением программно-технических комплексов защиты информации, содержащейся на электронных и магнитных носителях информации.
111. Обеспечение внутренней защиты персональных данных достигается:
1) ограничением и регламентацией состава уполномоченных должностных лиц, служебные обязанности которых требуют доступа к персональным данным;
2) избирательным и обоснованным распределением (разделением) доступа уполномоченных должностных лиц к персональным данным и материальным носителям информации, которые их содержат;
3) рациональным размещением рабочих мест, на которых обрабатываются персональные данные, в том числе автоматизированных, в целях исключения бесконтрольной обработки персональных данных;
4) регулярными проверками уполномоченных должностных лиц на знание ими требований нормативно-методических документов в области обработки персональных данных и обеспечения безопасности информации (защиты персональных данных);
5) формированием условий, необходимых для работы с материальными носителями информации, базами персональных данных, в том числе персональными данными, содержащимися на материальных (машинных) носителях информации, используемых в информационных системах персональных данных;
6) утверждением списков (перечней) уполномоченных должностных лиц (субъектов персональных данных), имеющих право доступа в помещения, в которых обрабатываются, в том числе хранятся персональные данные;
7) организацией контроля уничтожения персональных данных (материальных носителей информации) с истекшими сроками хранения;
8) выявлением нарушений при осуществлении обработки персональных данных и их устранением, в том числе связанных с нарушением требований к защите персональных данных и обеспечения безопасности информации;
9) проведением профилактической работы с уполномоченными должностными лицами, имеющими доступ к персональным данным, направленной на предупреждение случаев несанкционированной передачи таких данных.
112. При осуществлении обработки персональных данных без использования средств автоматизации уполномоченные должностные лица выполняют следующие действия:
1) определяют место хранения персональных данных;
2) обеспечивают раздельное хранение персональных данных, обработка которых предусмотрена в различных целях, в том числе не допускают их фиксации на одном материальном носителе информации, если цели сбора или обработки персональных данных заведомо несовместимы, и обособляют персональные данные, в частности, путем их записи в специальных разделах или на полях форм (бланков);
3) создают условия, обеспечивающие сохранность персональных данных, и исключение случаев несанкционированного (неправомерного или случайного) доступа к ним;
4) производят уточнение персональных данных, подлежащих обработке путем их обновления (изменения);
5) ведут учет сведений об обработке персональных данных, осуществляемой уполномоченными должностными лицами, в том числе:
о целях обработки;
фамилиях, именах, отчествах, адресах регистрации (проживания) субъектов персональных данных, персональные данные которых обрабатываются;
наличии (получении) от субъектов персональных данных их согласий в письменной форме;
сроках осуществления обработки персональных данных;
действиях, которые должны совершаться с персональными данными в процессе обработки;
6) осуществляют контроль в части, касающейся, соблюдения порядка отбора персональных данных к уничтожению, уничтожения и (или) обезличивания персональных данных.
113. Безопасность персональных данных при их обработке в информационных системах персональных данных должна обеспечиваться с помощью системы защиты персональных данных, нейтрализующей угрозы безопасности персональных данных, актуальные при их обработке, путем исключения несанкционированного доступа к персональным данным (далее - система защиты персональных данных).
114. Система защиты персональных данных в Аппарате должна включать организационные и технические меры (по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных), а также современные информационные технологии, применяемые в информационных системах персональных данных.
115. Меры по обеспечению безопасности персональных данных должны разрабатываться и осуществляться уполномоченными должностными лицами на основании требований к защите персональных данных и в целях обеспечения требуемого уровня защищенности персональных данных, которого необходимо достичь исходя из имеющихся угроз безопасности персональных данных (их типа), актуальных при их обработке в информационных системах персональных данных.
116. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с приказом Федеральной службы по техническому и экспортному контролю Российской Федерации от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
117. Определение типа угроз безопасности персональных данных, актуальных при их обработке в информационных системах персональных данных, производится во исполнение пункта 5 части 1 статьи 18.1 и части 5 статьи 19 Федерального закона «О персональных данных» с учетом оценки возможного вреда, к которому могут привести указанные угрозы.
118. Требуемый уровень защищенности персональных данных при их обработке в информационных системах персональных данных устанавливается в соответствии с требованиями о защите информации, определяемыми в соответствии с частью 5 статьи 16 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также требованиями к защите персональных данных, утвержденными Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее - Постановление Правительства Российской Федерации от 01.11.2012 № 1119).
119. Для обеспечения требуемого уровня защищенности персональных данных, в том числе биометрических персональных данных, соответствующего требованиям к защите персональных данных, применяются следующие организационные, технические и иные меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных:
1) назначается по каждой информационной системе персональных данных, а при необходимости - по каждой ее составной части, уполномоченное должностное лицо, ответственное за эксплуатацию (обеспечение функционирования) и выполнение мер по обеспечению безопасности персональных данных при их обработке. Назначение осуществляется из уполномоченных структурных подразделений Аппарата, в ведении которых находятся соответствующие информационные системы персональных данных (их составные части), на основании организационно-распорядительных документов уполномоченных должностных лиц, в непосредственном подчинении которых находятся указанные подразделения;
2) организуется режим обеспечения безопасности помещений, в которых размещены информационные системы персональных данных (далее - помещения), препятствующий неконтролируемому проникновению или пребыванию в этих помещениях посторонних лиц, не имеющих права доступа в эти помещения.
120. В целях обеспечения надлежащей эксплуатации информационных систем персональных данных должны быть осуществлены:
1) классификация информационных систем персональных данных в соответствии с требованиями к защите персональных данных, утвержденными Постановлением Правительства Российской Федерации от 01.11.2012 № 1119, с оформлением соответствующих актов;
2) комплекс организационных и технических мер по обеспечению безопасности персональных данных (при их обработке в информационных системах персональных данных) в виде системы защиты персональных данных в соответствии с требованиями законодательства Российской Федерации в области обеспечения безопасности информации, в том числе в связи с использованием в Аппарате сети «Интернет»;
3) оценка соответствия информационных систем персональных данных требованиям по обеспечению безопасности персональных данных в форме их сертификации (аттестации) или декларирования соответствия.
121. Выбор средств защиты информации для системы защиты персональных данных осуществляется в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных».
122. Вывод на печать документов, содержащих персональные данные, с помощью средств автоматизации, входящих или не входящих в состав информационных систем персональных данных, допускается в целях обработки в связи с исполнением служебных (трудовых) обязанностей, в том числе для передачи их печатных копий субъектам персональных данных, персональные данные которых они содержат, либо уполномоченным должностным лицам, допущенным к обработке персональных данных.
123. Персональные данные являются служебной информацией, отнесенной к конфиденциальным сведениям (служебной тайне), доступ к которой ограничен в соответствии с Федеральным законом «О персональных данных», Федеральным законом от 27.05.2003 № 58-ФЗ «О системе государственной службы Российской Федерации», Федеральным законом от 27.07.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации», Указом Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера», и подлежат защите уполномоченными должностными лицами при осуществлении их обработки.
124. В случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, персональные данные относятся к сведениям, составляющим государственную тайну.
125. Уполномоченные должностные лица, совершившие нарушение требований законодательства Российской Федерации в области обработки персональных данных, в том числе причинившие вред субъекту персональных данных, Аппарату как оператору, третьим лицам (нарушив их права и свободы), привлекаются в установленном порядке к дисциплинарной или иным видам юридической ответственности в соответствии с положениями Федерального закона «О персональных данных», Трудового кодекса Российской Федерации, Кодекса Российской Федерации об административных правонарушениях и Гражданского кодекса Российской Федерации.

IX. Порядок рассмотрения запросов субъектов персональных данных и представителей субъектов персональных данных

126. Субъект персональных данных имеет право на свободный бесплатный доступ к сведениям об обработке своих персональных данных, предусмотренных частью 7 статьи 14 Федерального закона «О персональных данных» (далее - сведения об обработке), касающихся:
1) подтверждения факта обработки персональных данных (факта начала либо осуществления указанной обработки);
2) правовых оснований и целей обработки;
3) применяемых способов обработки персональных данных;
4) сведений об уполномоченных должностных лицах, которым предоставлен доступ к персональным данным или которым могут быть раскрыты персональные данные на основании федерального закона;
5) обрабатываемых персональных данных, относящихся к субъекту персональных данных, источника их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) срока обработки персональных данных, в том числе сроков их хранения;
7) порядка реализации прав, предусмотренных Федеральным законом «О персональных данных»;
8) информации об осуществленной или о предполагаемой трансграничной передаче персональных данных;
9) наименования или фамилии, имени, отчества и адреса лица, осуществляющего обработку персональных данных, если указанная обработка поручена или будет поручена такому лицу;
10) иных сведений, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами.
127. Субъект персональных данных в целях обеспечения защиты персональных данных имеет право:
1) привлекать для защиты персональных данных своих представителей;
2) потребовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства Российской Федерации в области персональных данных, а в случае получения отказа исключить или исправить персональные данные - заявить в письменной форме о своем несогласии (с соответствующим обоснованием такого несогласия);
3) дополнять письменным обращением (выражающим его собственную точку зрения) свои персональные данные, имеющие оценочный характер;
4) потребовать извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные, о всех произведенных в них исключениях, исправлениях или дополнениях;
5) обжаловать в суд неправомерные действия или бездействие оператора при обработке или защите его персональных данных.
128. Сведения об обработке предоставляются при личном обращении заявителя либо при получении от него соответствующего письменного запроса (далее - запрос).
129. Запрос должен содержать:
1) номер, сведения о дате выдачи и органе, выдавшем документ, удостоверяющий личность заявителя;
2) сведения, подтверждающие участие субъекта персональных данных в служебных отношениях с Аппаратом (в том числе номер служебного контракта, дату его заключения и иную информацию, касающуюся указанных сведений);
3) подпись заявителя.
Также заявитель в запросе имеет право указать обоснованные требования об уточнении, блокировании или об уничтожении персональных данных в том случае, когда персональные данные являются неполными, неточными, неактуальными (устаревшими), незаконно полученными или не являются необходимыми для заявленной цели обработки.
130. При невыполнении требований к содержанию запроса заявитель извещается об этом для устранения выявленных недостатков.
131. Если сведения об обработке были предоставлены по запросу для ознакомления, то заявитель имеет право по своему усмотрению повторно обратиться лично или направить повторный запрос не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, нормативным правовым актом, принятым в соответствии с федеральным законом, или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
132. Повторный запрос может быть направлен до истечения 30-дневного срока после первоначального обращения, если по результатам рассмотрения первоначального обращения сведения об обработке и (или) обрабатываемые персональные данные не были предоставлены заявителю для ознакомления в полном объеме.
133. Повторный запрос в случае его направления должен соответствовать требованиям к содержанию запроса и содержать обоснование его направления.
134. Уполномоченное должностное лицо отказывает в подготовке ответа на повторный запрос, не соответствующий следующим условиям:
1) повторный запрос не соответствует требованиям к содержанию запроса и не содержит обоснование его направления;
2) повторный запрос направлен до истечения 30 дней после первоначального обращения (запроса), если при этом такое право не установлено федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
3) повторный запрос направлен до истечения 30 дней после первоначального обращения или направления первоначального запроса и при этом по результатам рассмотрения первоначального обращения, сведения об обработке и (или) обрабатываемые персональные данные были предоставлены заявителю для ознакомления в полном объеме.
135. Уполномоченные должностные лица, направляющие ответы на запросы, обязаны выполнять следующие требования к содержанию представляемых ответов и сведений об обработке:
1) ответы с отказом на повторный запрос сведений об обработке должны быть мотивированными (обязанность представления доказательств обоснованности такого отказа лежит на уполномоченном должностном лице, направляющем указанный ответ);
2) сведения об обработке должны предоставляться в соответствии с содержанием запроса и в доступной форме;
3) в сведениях об обработке не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
136. Право субъекта персональных данных на доступ к своим персональным данным ограничивается, если:
1) обработка персональных данных осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

X. Порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

137. Для осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Аппарате организовывается проведение периодических проверок условий обработки персональных данных (далее - проверки).
138. Проверки проводятся комиссией Аппарата, созданной на основании правового акта Руководителя Аппарата (далее - комиссия), в котором также определяется периодичность осуществляемых проверок.
139. По каждой проверке председателем комиссии утверждается план проверки, в котором указываются объект и предмет (тематика) внутреннего контроля, проверяемый период, срок проведения проверки, перечень вопросов, подлежащих проверке, список проверяемых должностных лиц и привлекаемых к ее проведению субъектов персональных данных, перечень имеющих отношение к проверке документов, предоставляемых проверяемыми должностными лицами, ответственный исполнитель проведения проверки.
140. Основанием для проведения проверки также является поступившее письменное обращение заявителя об имеющихся нарушениях, связанных с защитой персональных данных при их обработке.
141. К проведению проверки не может привлекаться субъект персональных данных, прямо или косвенно заинтересованный в ее результатах.
142. В работе комиссии, как постоянный член комиссии, может участвовать лицо, ответственное за организацию обработки персональных данных в Аппарате, которое в рамках своих полномочий при проведении проверок дает пояснения по вопросам, связанным с объектом и предметом проверки.
143. Проведение проверки по письменному обращению заявителя организуется в течение 5 рабочих дней, начиная со дня, следующего за датой его поступления.
Срок проведения такой проверки не может превышать 1 месяц, начиная со дня принятия решения о ее проведении.
144. Члены комиссии, получившие доступ к персональным данным, в ходе проведения проверки обеспечивают режим их конфиденциальности, в том числе не распространяют и не предоставляют указанные персональные данные третьим лицам без согласия субъекта персональных данных.
145. По результатам каждой проверки комиссией проводится заседание. Решения, принятые на заседаниях комиссии, оформляются протоколом и подписываются членами комиссии.
146. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, Руководителю Аппарата докладывает председатель комиссии или лицо, ответственное за организацию обработки персональных данных в Аппарате (при его участии в проверке).
147. При выявлении факта существенного нарушения требований к защите персональных данных об этом в обязательном порядке извещаются:
1) Руководитель Аппарата;
2) лицо, ответственное за организацию обработки персональных данных в Аппарате;
3) руководитель уполномоченного структурного подразделения Аппарата.
148. По существу вопросов, поставленных в обращении заявителя, комиссия в течение 5 рабочих дней со дня окончания проверки дает заявителю письменный ответ.
149. Внутренний контроль соблюдения порядка доступа уполномоченных должностных лиц (субъектов персональных данных) в помещения, в которых ведется обработка персональных данных, вне проверок осуществляется лицом, ответственным за организацию обработки персональных данных в Аппарате.

XI. Порядок работы с обезличенными данными в случае обезличивания персональных данных

150. Обезличивание персональных данных (далее - обезличивание) осуществляется с целью ведения статистического учета и отчетности, снижения уровня возможного ущерба в случае распространения (передачи) и разглашения защищаемых персональных данных, а также с целью снижения требований, предъявляемых к уровню защищенности информационных систем персональных данных, если иное не предусмотрено законодательством Российской Федерации.
151. Уполномоченные должностные лица могут осуществлять обезличивание при достижении целей обработки или в случае утраты необходимости в достижении указанных целей, если иное не предусмотрено федеральным законом.
152. Обезличивание осуществляется различными методами, в том числе:
1) уменьшением (сокращением) перечня обрабатываемых персональных данных в соответствии с целями обработки;
2) заменой части персональных данных идентификаторами;
3) обобщением персональных данных;
4) понижением точности отдельных персональных данных (например, в содержании сведений, касающихся места жительства субъекта персональных данных, может быть указан только город проживания);
5) делением персональных данных на части и обработкой этих частей отдельно в разных информационных системах персональных данных.
153. При обезличивании следует соблюдать все регламентные требования, предъявляемые к выбранному методу обезличивания и процедурам обезличивания.
154. Обезличенные данные обрабатываются уполномоченными должностными лицами с использованием или без использования средств автоматизации, в том числе с использованием информационных систем персональных данных.
155. При обработке обезличенных данных с использованием средств автоматизации уполномоченные должностные лица осуществляют:
1) установление паролей для защиты учетных записей в доменах и на локальных компьютерах;
2) установление на серверное оборудование и локальные компьютеры антивирусных программ;
3) выполнение требований по резервному копированию;
4) контроль соблюдения порядка работы со съемными магнитными (машинными) носителями и иными материальными носителями информации (если они используются), а также доступа в помещения, в которых осуществляется хранение и (или) иная обработка обезличенных данных, в том числе с помощью информационных систем персональных данных.
156. Обработка обезличенных данных должна осуществляться с использованием технических и программных средств, соответствующих форме представления и хранения указанных данных.
157. Обезличенные данные в информационных системах персональных данных хранятся в электронном виде.
158. Обезличивание осуществляется перед внесением обезличенных данных (получаемых путем обезличивания) в информационные системы персональных данных.
159. Для достижения целей обработки в информационных системах персональных данных могут обрабатываться обезличенные данные, полученные (истребованные) от третьих лиц.
160. В случаях, когда в целях обработки обезличенных данных требуется восстановление персональных данных (из обезличенных данных), уполномоченные должностные лица осуществляют действия, в результате которых обезличенные данные принимают вид, позволяющий определить их принадлежность конкретному субъекту персональных данных (далее - деобезличивание).
161. Деобезличивание осуществляется в соответствии с процедурами преобразования, обратными процедурам обезличивания (далее - процедуры деобезличивания).
162. Процедуры обезличивания и процедуры деобезличивания должны встраиваться в процессы обработки персональных данных, как их неотъемлемый элемент, и эффективно использовать имеющуюся инфраструктуру, обеспечивающую обработку персональных данных.
163. Обработка персональных данных до обезличивания и после деобезличивания должна осуществляться в соответствии с законодательством Российской Федерации с применением мер по обеспечению безопасности персональных данных.
164. По отношению к персональным данным, полученным в результате деобезличивания, должны быть выполнены требования к обеспечению их безопасности:
1) не допускается совместное хранение обрабатываемых обезличенных данных и персональных данных, полученных в результате деобезличивания;
2) после завершения обработки обезличенных данных персональные данные, полученные для целей обработки указанных данных в результате деобезличивания, подлежат обязательному уничтожению.
165. Служебная информация, содержащая параметры методов обезличивания, а также процедур обезличивания (деобезличивания) является конфиденциальной информацией. Хранение и защита служебной информации, содержащей параметры методов обезличивания, процедуры обезличивания (деобезличивания) должны обеспечить выполнение установленного порядка доступа к обезличенным данным и их резервного копирования, возможность актуализации и (или) восстановления хранимых обезличенных данных.
166. При хранении обезличенных данных должно осуществляться (обеспечиваться) раздельное хранение полученных обезличенных данных и касающейся их служебной информации о выбранном методе обезличивания и примененных параметрах процедуры обезличивания.
167. При передаче вместе с обезличенными данными служебной информации о выбранном методе обезличивания и примененных параметрах процедуры обезличивания должна быть обеспечена конфиденциальность канала (способа) передачи указанных сведений.
168. Использование обезличенных данных осуществляется без согласия субъекта персональных данных.

XII. Перечень информационных систем персональных данных, обрабатывающих персональные данные

169. Информационными системами персональных данных в Аппарате, в которых осуществляется обработка персональных данных, являются:
1) автоматизированная информационная система «1С: Зарплата и кадры»;
2) автоматизированная информационная система «1С: Бухгалтерия»;
3) автоматизированная система контроля доступа на территорию.
170. Информационные системы персональных данных должны содержать персональные данные в соответствии с полномочиями Аппарата, обеспечивать автоматизированную обработку персональных данных в соответствии с целями обработки.

ХIII. Порядок доступа в помещения, в которых ведется обработка персональных данных

171. Доступ в помещения уполномоченных структурных подразделений Аппарата, в которых ведется обработка персональных данных, в том числе хранятся персональные данные, содержащиеся на материальных носителях информации, имеют уполномоченные должностные лица, определенные на основании списков (перечней) таких лиц, утвержденных Руководителем Аппарата.
172. Пребывание лиц, не имеющих право на осуществление обработки персональных данных либо на осуществление доступа к персональным данным в помещениях, в которых ведется обработка персональных данных, возможно только в сопровождении должностных лиц, указанных в пункте 171 Правил.
173. Для помещений, в которых ведется обработка персональных данных в соответствии с требуемым уровнем их защищенности, организуется режим, обеспечивающий их безопасность.

 

Контакты

Парламент Чеченской Республики
364014, Чеченская Республика,
г. Грозный, ул. Восточная, д. 48
Тел./Факс: (8712) 22 42 30
 

Яндекс.Метрика