• ДОКУМЕНТ

Приложение N 1. Правила обработки персональных данных в Вооруженных Силах Российской Федерации

Приложение N 1
к приказу Министра обороны
Российской Федерации
от 4 декабря 2019 г. N 707

 

Правила
обработки персональных данных в Вооруженных Силах Российской Федерации

 

I. Общие положения

 

1. Правила обработки персональных данных в Вооруженных Силах Российской Федерации (далее - Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются в Вооруженных Силах Российской Федерации (далее - Вооруженные Силы), сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

2. Настоящие Правила определяют политику Вооруженных Сил как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

3. Обработка персональных данных в Вооруженных Силах осуществляется с соблюдением принципов и условий, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2018, N 1, ст. 82) (далее - Федеральный закон "О персональных данных") и настоящими Правилами.

В системе Вооруженных Сил операторами, осуществляющими обработку персональных данных в соответствии со статьей 3 Федерального закона "О персональных данных", являются Вооруженные Силы, органы военного управления, объединения, соединения, воинские части и организации Вооруженных Сил (далее - оператор).

 

II. Категории субъектов персональных данных

 

4. Оператором обрабатываются персональные данные следующих категорий субъектов персональных данных:

1) военнослужащих, федеральных государственных гражданских служащих и работников Вооруженных Сил;

2) граждан, претендующих на замещение воинских должностей, должностей федеральной государственной гражданской службы и должностей работников Вооруженных Сил (далее - кандидаты);

3) лиц, состоящих в родстве (свойстве) с субъектами персональных данных, указанными в подпунктах 1, 2 и 8 данного пункта, в случаях, предусмотренных законодательством Российской Федерации;

4) уволенных из Вооруженных Сил военнослужащих в течение 5 лет со дня исключения их из списков личного состава Вооруженных Сил;

5) граждан, уволенных из Вооруженных Сил, членов их семей *, предоставление социальных гарантий которым возложено на Министерство обороны Российской Федерации;

------------------------------

*Пункт 5 статьи 2 Федерального закона от 27 мая 1998 г. N 76-ФЗ "О статусе военнослужащих" (Собрание законодательства Российской Федерации, 1998, N 22, ст. 2331; 2013, N 27, ст. 3477).

------------------------------

6) граждан Российской Федерации, подлежащих воинскому учету;

7) физических лиц и представителей организаций, обратившихся в Вооруженные Силы за предоставлением (исполнением) государственных услуг (функций);

8) обучающихся в федеральных государственных общеобразовательных организациях, находящихся в введении Министерства обороны Российской Федерации (далее - общеобразовательные организации), а также кандидатов на поступления в общеобразовательные организации;

9) граждан, обратившихся в Вооруженные Силы в соответствии с Федеральным законом от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (Собрание законодательства Российской Федерации, 2006, N 19, ст. 2060; 2018, N 53, ст. 8454);

10) посетители объектов Вооруженных Сил;

11) пользователи официальных сайтов Министерства обороны Российской Федерации в информационно-телекоммуникационной сети "Интернет".

 

III. Цели обработки персональных данных

 

5. Обработка персональных данных организуется оператором в целях:

1) предусмотренных международными договорами Российской Федерации или законом для осуществления и выполнения возложенных законодательством Российской Федерации на Вооруженные Силы функций, полномочий и обязанностей *;

------------------------------

*Пункт 2 части 1 статьи 6 Федерального закона "О персональных данных".

------------------------------

2) статистических, аналитических или иных исследовательских задач;

3) обеспечения служебных и трудовых отношений, а также кадровой работы;

4) обеспечения денежным довольствием военнослужащих, денежным содержанием федеральных государственных гражданских служащих и заработной платой работников Вооруженных Сил, обеспечения жилыми помещениями, медицинским обеспечением личного состава Вооруженных Сил, граждан, уволенных с военной службы в Вооруженных Силах, членов их семей и лиц, находящихся (находившихся) на их иждивении, а также предоставления им иных социальных гарантий;

5) предоставления (исполнения) государственных услуг (функций);

6) противодействия коррупции;

7) оформления допуска к государственной тайне;

8) осуществления воинского учета граждан Российской Федерации;

9) осуществления военно-врачебной экспертизы в связи с поступлением на военную службу в Вооруженные Силы, ее прохождением и увольнением с нее;

10) обеспечения своевременного и в полном объеме рассмотрения обращений граждан Российской Федерации в порядке, установленном Федеральным законом от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

11) соблюдения пропускного режима на объектах Вооруженных Сил;

12) обработки обращений пользователей официальных сайтов Министерства обороны Российской Федерации в информационно-телекоммуникационной сети "Интернет", направленных в форме электронного документа.

6. В целях, указанных в пункте 5 Правил, в Вооруженных Силах обрабатываются следующие персональные данные:

1) фамилия, имя, отчество (при наличии) (в том числе прежние фамилия, имя, отчество (при наличии), дата, причина их изменения);

2) дата (число, месяц и год рождения) и место рождения;

3) вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, наименование органа и код подразделения органа (при наличии), выдавшего его, дата выдачи;

4) сведения о гражданстве (какого государства, если изменялось, то когда и по какой причине);

5) адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания (пребывания);

6) номера телефонов (домашнего, служебного, сети подвижной радиотелефонной связи);

7) адрес электронной почты;

8) идентификационный номер налогоплательщика;

9) реквизиты страхового свидетельства обязательного пенсионного страхования;

10) реквизиты страхового медицинского полиса обязательного медицинского страхования;

11) личный номер военнослужащего;

12) сведения, содержащиеся в водительском удостоверении (серия, номер, кем и когда выдано);

13) сведения об образовании (наименование образовательной организации и (или) иной организации, год окончания, уровень профессионального образования, реквизиты документов об образовании, направление подготовки, специальность и квалификация по документу об образовании);

14) сведения о наличии ученой степени, ученого звания (дата присвоения, реквизиты диплома, аттестата);

15) реквизиты паспорта гражданина Российской Федерации, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации (при наличии);

16) сведения о владении иностранными языками (какими);

17) сведения о присвоении спортивного звания, спортивного разряда;

18) фотографии (для формирования личного дела, оформления служебного удостоверения, формирования анкет, установленных законодательством Российской Федерации);

19) сведения о национальной принадлежности и религиозных убеждениях;

20) информация о проведенной государственной дактилоскопической регистрации;

21) отношение к исполнению воинской обязанности, сведения, содержащиеся в документах воинского учета (для граждан, пребывающих в запасе Вооруженных Сил, и лиц, подлежащих призыву на военную службу);

22) информация о прохождении военных сборов;

23) реквизиты документа, подтверждающего право на меры социальной поддержки;

24) сведения об участии в боевых действиях, нахождении в плену, полученных ранениях;

25) сведения о наличии званий "Ветеран труда", "Ветеран военной службы", "Ветеран боевых действий" и реквизиты удостоверений, подтверждающих наличие указанных званий;

26) занимаемая воинская должность (должность), с какого времени;

27) классный чин федеральной государственной гражданской службы, воинское звание (кем и когда присвоены);

28) сведения о присвоении квалификационного звания, классной квалификации (основание и дата присвоения);

29) сведения о периодах военной службы, дающих право на исчисление выслуги лет на льготных условиях либо не засчитываемых в срок военной службы;

30) сведения о трудовой деятельности (включая работу по совместительству, предпринимательскую деятельность и иную деятельность), сведения о прохождении военной (федеральной государственной гражданской) службы;

31) сведения о врученных государственных наградах, иных наградах и знаках отличия (основание и дата награждения);

32) сведения о военно-учетных специальностях;

33) сведения о семейном положении (состав семьи);

34) реквизиты свидетельств государственной регистрации актов гражданского состояния (номер и дата составления акта) и содержащиеся в них сведения;

35) реквизиты свидетельства о рождении (усыновлении) детей (серия, номер, кем и когда выдано);

36) сведения о наличии (отсутствии) жилых помещений, принадлежащих субъекту персональных данных на праве собственности;

37) сведения о присвоенном регистрационном номере в реестре участников накопительно-ипотечной системы жилищного обеспечения военнослужащих;

38) сведения, содержащиеся в выписке из домовой книги, копиях финансового лицевого счета;

39) сведения о своих доходах, расходах, об имуществе и обязательствах имущественного характера, а также о доходах, расходах, об имуществе и обязательствах имущественного характера своих супруг (супругов) и несовершеннолетних детей в соответствии с Федеральным законом от 25 декабря 2008 г. N 273-ФЗ "О противодействии коррупции" (Собрание законодательства Российской Федерации, 2008, N 52, ст. 6228; 2019, N 30, ст. 4153);

40) сведения о счетах в банках и иных кредитных организациях (наименование банка или кредитной организации, номер счета и дата открытия), реквизиты банковских карт (номер карты);

41) сведения о результатах медицинского освидетельствования (военно-врачебной экспертизы);

42) сведения, содержащиеся в заключении медицинского учреждения о наличии (отсутствии) у гражданина заболевания, препятствующего поступлению на федеральную государственную гражданскую службу или ее прохождению, в соответствии с приказом Министерства здравоохранения и социального развития Российской Федерации от 14 декабря 2009 г. N 984н "Об утверждении Порядка прохождения диспансеризации государственными гражданскими служащими Российской Федерации и муниципальными служащими, перечня заболеваний, препятствующих поступлению на государственную гражданскую службу Российской Федерации и муниципальную службу или ее прохождению, а также формы заключения медицинского учреждения" (зарегистрирован Министерством юстиции Российской Федерации 29 декабря 2009 г., регистрационный N 15878);

43) сведения, содержащиеся в справке об отсутствии медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну, в соответствии с приказом Министерства здравоохранения и социального развития Российской Федерации от 26 августа 2011 г. N 989н "Об утверждении перечня медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну, порядка получения и формы справки об отсутствии медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну" (зарегистрирован Министерством юстиции Российской Федерации 11 октября 2011 г., регистрационный N 22016);

44) сведения о допуске к государственной тайне, оформленном за период работы, службы, учебы (форма, номер и дата);

45) сведения о пребывании за границей (когда, где, с какой целью);

46) фамилии, имена, отчества (при наличии), отца, матери, братьев, сестер, детей, супруга (супруги), в том числе бывших, субъекта персональных данных, а также супруги братьев и сестер, братьев и сестер супруга (супруги) (при изменении фамилии, имени, отчества (при наличии) - прежние фамилия, имя, отчество (при наличии), даты рождения;

47) место рождения, место работы, адрес регистрации по месту жительства (месту пребывания), адрес фактического места жительства отца, матери, братьев, сестер, детей, супруга (супруги), в том числе бывших, субъекта персональных данных, а также супруги братьев и сестер, братьев и сестер супруга (супруги);

48) сведения о постоянно проживающих за границей и (или) оформляющих документы для выезда на постоянное место жительства в другое государство отце, матери, братьях, сестрах, детях, супруге, в том числе бывших супругах (фамилия, имя, отчество (при наличии), а также супруги братьев и сестер, братьев и сестер супруга (супруги), с какого времени проживают за границей);

49) информация о наличии либо отсутствии судимости (в том числе снятой или погашенной);

50) иные сведения, которые субъект персональных данных пожелал сообщить о себе и которые отвечают целям их обработки *.

------------------------------

*Части 4 и 5 статьи 5 Федерального закона "О персональных данных".

------------------------------

 

7. В Вооруженных Силах для каждой цели обработки персональных данных, указанной в пункте 5 Правил, установлен следующий объем обрабатываемых персональных данных:

1) для цели обработки персональных данных, указанной в подпункте 1 пункта 5 Правил, определяются содержание персональных данных, перечисленное в подпунктах 1-5, 13-17, 21, 22, 24, 26, 30-32, 41, 44 пункта 6 Правил, и соответствующие категории субъектов, персональные данные которых обрабатываются в Вооруженных Силах, указанные в подпунктах 1-8 пункта 4 Правил;

2) для цели обработки персональных данных, указанной в подпункте 2 пункта 5 Правил, определяются содержание персональных данных, перечисленное в подпунктах 1-12, 14-22, 24-38, 41, 45-49 пункта 6 Правил, и соответствующие категории субъектов, персональные данные которых обрабатываются в Вооруженных Силах, указанные в подпунктах 1, 4, 6 и 8 пункта 4 Правил;

3) для цели обработки персональных данных, указанной в подпункте 3 пункта 5 Правил, определяются содержание персональных данных, перечисленное в подпунктах 1-10, 13-16, 18, 21, 23, 24, 26-38, 42-49 пункта 6 Правил, и соответствующие категории субъектов, персональные данные которых обрабатываются в Вооруженных Силах, указанные в подпунктах 1-5 пункта 4 Правил;

4) для цели обработки персональных данных, указанной в подпункте 4 пункта 5 Правил, определяются содержание персональных данных, перечисленное в подпунктах 1-3, 5, 6, 8, 9, 11, 18, 24, 28-30, 33-38, 50 пункта 6 Правил, и соответствующие категории субъектов, персональные данные которых обрабатываются в Вооруженных Силах, указанные в подпунктах 1, 3 и 5 пункта 4 Правил;

5) для цели обработки персональных данных, указанной в подпункте 5 пункта 5 Правил, определяются содержание персональных данных, перечисленное в подпунктах 1-5, 50 пункта 6 Правил, и соответствующие категории субъектов, персональные данные которых обрабатываются в Вооруженных Силах, указанные в подпункте 7 пункта 4 Правил;

6) для цели обработки персональных данных, указанной в подпункте 6 пункта 5 Правил, определяются содержание персональных данных, перечисленное в подпунктах 1, 2, 7-9, 26, 30, 36, 39, 40 пункта 6 Правил, и соответствующие категории субъектов, персональные данные которых обрабатываются в Вооруженных Силах, указанные в подпунктах 1-3 пункта 4 Правил;

7) для цели обработки персональных данных, указанной в подпункте 7 пункта 5 Правил, определяются содержание персональных данных, перечисленное в подпунктах 1-5, 13-16, 18, 21, 30, 32, 33, 43-49 пункта 6 Правил, и соответствующие категории субъектов, персональные данные которых обрабатываются в Вооруженных Силах, указанные в подпунктах 1-3, 6 пункта 4 Правил;

8) для цели обработки персональных данных, указанной в подпункте 8 пункта 5 Правил, определяются содержание персональных данных, перечисленное в подпунктах 1-6, 11-13, 18, 21, 22, 30, 32-34, 41, 44 и 47 пункта 6 Правил, и соответствующие категории субъектов, персональные данные которых обрабатываются в Вооруженных Силах, указанные в подпункте 6 пункта 4 Правил;

9) для цели обработки персональных данных, указанной в подпункте 9 пункта 5 Правил, определяются содержание персональных данных, перечисленное в подпунктах 1-3, 9, 20, 24, 41 пункта 6 Правил, и соответствующие категории субъектов, персональные данные которых обрабатываются в Вооруженных Силах, указанные в подпунктах 1-3, 5 и 8 пункта 4 Правил;

10) для цели обработки персональных данных, указанной в подпункте 10 пункта 5 Правил, определяются содержание персональных данных, перечисленное в подпунктах 1, 5, 6, 50 пункта 6 Правил, и соответствующие категории субъектов, персональные данные которых обрабатываются в Вооруженных Силах, указанные в подпункте 9 пункта 4 Правил;

11) для цели обработки персональных данных, указанной в подпункте 11 пункта 5 Правил, определяются содержание персональных данных, перечисленное в подпунктах 1, 3 и 5 пункта 6 Правил, и соответствующие категории субъектов, персональные данные которых обрабатываются в Вооруженных Силах, указанные в подпункте 10 пункта 4 Правил;

12) для цели обработки персональных данных, указанной в подпункте 12 пункта 5 Правил, определяются содержание персональных данных, перечисленное в подпунктах 1, 5-7 и 11 пункта 6 Правил, и соответствующие категории субъектов, персональные данные которых обрабатываются в Вооруженных Силах, указанные в подпункте 11 пункта 4 Правил.

 

IV. Обработка и защита персональных данных от несанкционированного доступа, неправомерного использования и утраты

 

8. Обработка персональных данных оператором осуществляется при наличии письменного согласия субъекта персональных данных на обработку его персональных данных в соответствии со статьей 9 Федерального закона "О персональных данных", а также без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона "О персональных данных", при этом:

1) обработка персональных данных в целях, указанных в подпункте 1 пункта 5 Правил, осуществляется без согласия субъекта персональных данных в соответствии с пунктом 2 части 1 статьи 6, пунктами 2.1, 7 части 2 статьи 10 и частью 2 статьи 11 Федерального закона "О персональных данных";

2) обработка персональных данных в целях, указанных в подпункте 2 пункта 5 Правил, осуществляется без согласия субъекта персональных данных в соответствии с пунктом 9 части 1 статьи 6 Федерального закона "О персональных данных";

3) обработка персональных данных в целях, указанных в подпункте 3 пункта 5 Правил, осуществляется при наличии полученного согласия субъекта персональных данных на обработку его персональных данных в письменной форме в соответствии с пунктом 1 части 1 статьи 6, пунктом 1 части 2 статьи 10 и частью 1 статьи 11 Федерального закона "О персональных данных";

4) обработка персональных данных в целях, указанных в подпункте 4 пункта 5 Правил, осуществляется при наличии полученного согласия субъекта персональных данных на обработку его персональных данных в письменной форме в соответствии с пунктом 1 части 1 статьи 6 и без согласия субъекта персональных данных в соответствии с пунктом 6 части 1 статьи 6, пунктами 2.3, 3 и 4 части 2 статьи 10 Федерального закона "О персональных данных";

5) обработка персональных данных в целях, указанных в подпункте 5 пункта 5 Правил, осуществляется без согласия субъекта персональных данных в соответствии с пунктом 4 части 1 статьи 6 Федерального закона "О персональных данных";

6) обработка персональных данных в целях, указанных в подпункте 6 пункта 5 Правил, осуществляется без согласия субъекта персональных данных в соответствии с пунктами 2 и 11 части 1 статьи 6 Федерального закона "О персональных данных";

7) обработка персональных данных в целях, указанных в подпункте 7 пункта 5 Правил, осуществляется при наличии полученного согласия субъекта персональных данных на обработку его персональных данных в письменной форме в соответствии с пунктом 1 части 1 статьи 6 Федерального закона "О персональных данных";

8) обработка персональных данных в целях, указанных в подпункте 8 пункта 5 Правил, осуществляется при наличии полученного согласия субъекта персональных данных на обработку его персональных данных в письменной форме в соответствии с пунктом 1 части 1 статьи 6 и без согласия субъекта персональных данных в соответствии с пунктом 2 части 1 статьи 6, пунктом 7 части 2 статьи 10 и частью 2 статьи 11 Федерального закона "О персональных данных";

9) обработка персональных данных в целях, указанных в подпункте 9 пункта 5 Правил, осуществляется при наличии полученного согласия субъекта персональных данных на обработку его персональных данных в письменной форме в соответствии с пунктом 1 части 1 статьи 6 и без согласия субъекта персональных данных в соответствии с пунктом 4 части 2 статьи 10 Федерального закона "О персональных данных";

10) обработка персональных данных в целях, указанных в подпункте 10 пункта 5 Правил, осуществляется без согласия субъекта персональных данных в соответствии с пунктом 2 части 1 статьи 6 Федерального закона "О персональных данных";

11) обработка персональных данных в целях, указанных в подпункте 11 пункта 5 Правил, осуществляется без согласия посетителей объектов Вооруженных Сил в соответствии с пунктом 7 части 1 статьи 6 Федерального закона "О персональных данных";

12) обработка персональных данных в целях, указанных в подпункте 12 пункта 5 Правил, осуществляется при наличии полученного в электронной форме согласия субъекта персональных данных на обработку его персональных данных в соответствии с пунктом 1 части 1 статьи 6 Федерального закона "О персональных данных".

9. Получение согласия в письменной форме субъекта персональных данных на обработку персональных данных осуществляется должностными лицами, указанными в перечне должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным в Вооруженных Силах (далее - должностные лица), утверждаемом в соответствии с подпунктом "б" пункта 1 перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 (далее - постановление N 211), посредством предоставления субъектам персональных данных для ознакомления и подписания Типовой формы согласия на обработку персональных данных субъектов персональных данных в Вооруженных Силах Российской Федерации (приложение N 6 к настоящему приказу) (далее - Типовая форма согласия).

10. Данное субъектом персональных данных согласие на обработку персональных данных действует:

для федеральных государственных гражданских служащих и работников Вооруженных Сил - со дня предоставления ими согласия на обработку персональных данных на время прохождения ими службы (работы);

для военнослужащих - со дня предоставления ими согласия на обработку персональных данных на время прохождения ими военной службы, а также в течение 5 лет со дня исключения из списков личного состава Вооруженных Сил;

для граждан, пребывающих в запасе Вооруженных Сил, - со дня предоставления ими согласия на обработку персональных данных до достижения ими предельного возраста пребывания в запасе, а также в течение 5 лет со дня снятия гражданина с воинского учета;

для иных субъектов персональных данных - со дня предоставления ими согласия на обработку персональных данных до достижения целей обработки персональных данных.

Действие данного субъектом персональных данных согласия на обработку персональных данных также прекращается в случае его отзыва субъектом персональных данных в соответствии с пунктом 12 Правил.

11. Согласие на обработку персональных данных подписывается субъектом персональных данных в день рассмотрения и подписания им контракта о прохождении военной службы (служебного контракта, контракта, трудового договора) или в день предоставления уполномоченными должностными лицами Типовой формы согласия для рассмотрения и подписания субъектом персональных данных (его законным представителем).

12. Подписанное субъектом персональных данных согласие на обработку персональных данных может быть отозвано субъектом персональных данных только посредством направления им письменного заявления (заявления в форме электронного документа, подписанного в соответствии с Федеральным законом от 6 апреля 2011 г. N 63-Ф3 "Об электронной подписи" (Собрание законодательства Российской Федерации, 2011, N 15, ст. 2036; 2016, N 26, ст. 3889) в орган военного управления, объединение, соединение, воинскую часть или организацию Вооруженных Сил (далее - воинская часть), где он проходит (проходил) военную службу (службу), осуществляет (осуществлял) трудовую деятельность либо предоставлял согласие на обработку персональных данных.

13. При отказе субъекта персональных данных подписать согласие на обработку персональных данных должностные лица продолжают обработку персональных данных без согласия субъекта персональных данных по основаниям, указанным в пункте 8 Правил.

14. Одновременно с предоставлением Типовой формы согласия субъекту персональных данных доводится под подпись Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные Вооруженным Силам Российской Федерации (приложение N 7 к настоящему приказу) (далее - Типовая форма разъяснения).

15. Кандидатам, подписавшим Типовую форму согласия и (или) Типовую форму разъяснения и впоследствии заместившим воинские должности, должности федеральных государственных гражданских служащих, работников Вооруженных Сил или поступившим на обучение в общеобразовательные организации, указанные типовые формы для повторного рассмотрения и подтверждения (подписания) не представляются и названными лицами не подписываются, а включаются в их личные дела.

16. При назначении военнослужащего, федерального государственного гражданского служащего или работника на должность, замещение которой предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, такому субъекту персональных данных подразделением (должностным лицом), на которое возложено ведение учета личного состава, доводится под подпись типовое обязательство должностного лица, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним контракта (служебного контракта или трудового договора) прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных (служебных) обязанностей в Вооруженных Силах Российской Федерации (приложение N 8 к настоящему приказу) (далее - Типовое обязательство).

17. Оригиналы подписанных субъектами персональных данных (их законными представителями) Типовых форм согласия, Типовых форм разъяснения и Типовых обязательств хранятся в их личных делах, в том числе в личных делах кандидатов, которым было отказано в приеме на военную службу (службу), работу, и субъектам персональных данных (их законным представителям) не выдаются (не возвращаются), а также из указанных дел не изымаются.

18. В случае подачи оператору субъектом персональных данных письменного заявления об отзыве субъектом персональных данных согласия на обработку его персональных данных уполномоченные должностные лица направляют субъекту персональных данных письменное извещение (письмо), в котором указывают, что оператор признает отозванной подписанное субъектом персональных данных согласие на обработку персональных данных, но при этом сохраняет за собой право на обработку персональных данных субъекта персональных данных в соответствии с пунктом 8 Правил.

19. Если предоставление персональных данных субъектом персональных данных является обязательным требованием в соответствии с законодательством Российской Федерации, должностное лицо разъясняет субъекту персональных данных юридические последствия его отказа предоставить свои персональные данные.

20. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", должностные лица обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2-4, 8 части 1 статьи 6 Федерального закона "О персональных данных" *.

------------------------------

*Часть 5 статьи 18 Федерального закона "О персональных данных".

------------------------------

21. При осуществлении оператором записи персональных данных в информационных системах обеспечивается конфиденциальность персональных данных при их обработке как в указанных информационных системах, так и вне таких систем.

22. Систематизация персональных данных осуществляется путем обработки и анализа накопленных сведений о субъектах персональных данных.

23. Целью систематизации является обеспечение возможности в соответствии с заданным алгоритмом осуществлять поиск и доступ к персональным данным, зафиксированным на бумажных, электронных и магнитных носителях информации, а также содержащимся в картотеках (бумажных, электронных, магнитных) и базах данных, используемых в информационных системах персональных данных.

24. Персональные данные, систематизированные в информационных системах персональных данных, подлежат накоплению для достижения полноты и достоверности обрабатываемых персональных данных.

25. Накопление персональных данных осуществляется путем сбора их должностными лицами из различных источников информации, а также последующего внесения в них информации, касающейся субъектов персональных данных в связи с прохождением ими военной службы (службы), осуществлением трудовой деятельности, предоставлением (исполнением) государственных услуг (функций).

26. Уточнение (обновление, изменение) персональных данных осуществляется путем выявления (подтверждения) наличия неточных персональных данных и последующего выполнения действий (операций) по их обновлению и изменению.

27. Должностные лица, получившие доступ к персональным данным, для обеспечения законной передачи персональных данных в случаях, соответствующих целям обработки:

1) осуществляют передачу персональных данных в пределах Вооруженных Сил;

2) не предоставляют персональные данные третьим лицам без согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;

3) предупреждают лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они переданы, а также требуют от этих лиц подтверждения того, что это правило соблюдено;

4) распространяют персональные данные в общедоступных источниках, в том числе в информационно-телекоммуникационной сети "Интернет" и иных средствах массовой информации при доказательстве получения согласия субъекта персональных данных в письменной форме на указанное распространение персональных данных с учетом выполнения требований, предъявляемых к таким персональным данным (в части их предназначения, содержания и непринадлежности к персональным данным, подлежащим обезличиванию), за исключением случаев обязательного распространения (опубликования) персональных данных в средствах массовой информации в соответствии с законодательством Российской Федерации;

5) при передаче персональных данных в информационных системах персональных данных применяют технологии, обеспечивающие их защиту от несанкционированного (неправомерного или случайного) доступа, от уничтожения, изменения, блокирования, копирования, предоставления и распространения, в том числе с использованием шифровальных (криптографических) средств, при этом обработку персональных данных в информационных системах персональных данных производят только в информационно-телекоммуникационных сетях, физически изолированных от информационно-телекоммуникационных сетей общего пользования, а их передачу по незащищенным каналам связи допускают только при использовании шифровальных (криптографических) средств.

28. Субъект персональных данных имеет право на доступ к своим персональным данным, в том числе на получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации *.

------------------------------

*Часть 1 статьи 14 Федерального закона "О персональных данных".

------------------------------

29. Обработка персональных данных без использования средств автоматизации осуществляется с учетом требований Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (Собрание законодательства Российской Федерации, 2008, N 38, ст. 4320).

30. Обеспечение внешней защиты персональных данных достигается:

установлением пропускного режима и особого порядка приема, учета и контроля посетителей;

использованием технических средств охраны;

применением программно-технических комплексов защиты информации, содержащейся на электронных и магнитных носителях информации.

31. Обеспечение внутренней защиты персональных данных достигается:

ограничением и регламентацией состава должностных лиц, должностные обязанности которых требуют доступа к персональным данным;

избирательным и обоснованным распределением (разделением) доступа должностных лиц к персональным данным и материальным носителям информации, которые их содержат;

рациональным размещением рабочих мест, на которых обрабатываются персональные данные, в целях исключения бесконтрольной обработки персональных данных;

регулярными проверками должностных лиц на знание ими требований нормативных правовых актов Российской Федерации в области обработки персональных данных и обеспечения безопасности информации (защиты персональных данных);

формированием условий, необходимых для работы с материальными носителями информации, базами персональных данных, в том числе персональными данными, содержащимися на машинных носителях информации, используемых в информационных системах персональных данных;

утверждением списков (перечней) должностных лиц (субъектов персональных данных), имеющих право доступа в помещения, в которых обрабатываются и (или) хранятся персональные данные;

выявлением нарушений при осуществлении обработки персональных данных, в том числе связанных с нарушением требований к защите персональных данных и обеспечению безопасности информации, а также их устранением;

проведением профилактической работы с должностными лицами, имеющими доступ к персональным данным, направленной на предупреждение случаев несанкционированной передачи таких данных.

32. При осуществлении обработки персональных данных без использования средств автоматизации должностные лица выполняют следующие действия:

обеспечивают раздельное хранение персональных данных, обработка которых предусмотрена в различных целях, в том числе не допускают их фиксации на одном материальном носителе информации, если цели сбора или обработки персональных данных заведомо несовместимы, и обособляют персональные данные, в частности путем их записи в специальных разделах или на полях;

создают условия, обеспечивающие сохранность персональных данных и исключение случаев несанкционированного (неправомерного или случайного) доступа к ним;

производят уточнение персональных данных, подлежащих обработке, путем их обновления (изменения);

осуществляют контроль в части, их касающейся, за соблюдением порядка отбора персональных данных к уничтожению, уничтожения и (или) обезличивания персональных данных.

33. Организация защиты персональных данных при обработке в информационных системах персональных данных (с использованием средств автоматизации) осуществляется с учетом положений пунктов 34-43 настоящих Правил.

34. Безопасность персональных данных при их обработке в информационных системах персональных данных должна обеспечиваться с помощью системы защиты персональных данных, нейтрализующей угрозы безопасности персональных данных, актуальные при их обработке, путем исключения несанкционированного доступа к персональным данным (далее - система защиты персональных данных).

35. Система защиты персональных данных оператором включает организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, а также современные информационные технологии, применяемые в информационных системах персональных данных.

36. При обработке персональных данных в информационных системах персональных данных применяются меры по обеспечению их безопасности, установленные приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (зарегистрирован Министерством юстиции Российской Федерации 14 мая 2013 г., регистрационный N 28375) (с изменениями, внесенными приказом Федеральной службы по техническому и экспортному контролю от 23 марта 2017 г. N 49 (зарегистрирован Министерством юстиции Российской Федерации 25 апреля 2017 г., регистрационный N 46487).

37. Определение типа угроз безопасности персональных данных, актуальных при их обработке в информационных системах персональных данных, производится в соответствии с пунктом 5 части 1 статьи 18.1 и части 5 статьи 19 Федерального закона "О персональных данных" с учетом оценки возможного вреда, к которому могут привести указанные угрозы.

38. Требуемый уровень защищенности персональных данных при их обработке в информационных системах персональных данных обеспечивается в соответствии с требованиями к защите информации, определяемыми в соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2019, N 18, ст. 2214), а также требованиями к защите персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).

39. Для обеспечения требуемого уровня защищенности персональных данных, в том числе биометрических персональных данных, соответствующего требованиям к защите персональных данных, применяются следующие организационные, технические и иные меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных:

определение по каждой информационной системе персональных данных, эксплуатируемой в воинской части, решением командира (руководителя, начальника) должностного лица, ответственного за эксплуатацию (обеспечение функционирования) и выполнение мер по обеспечению безопасности персональных данных при их обработке;

организация режима обеспечения безопасности помещений, в которых размещены информационные системы персональных данных, препятствующего неконтролируемому проникновению или пребыванию в этих помещениях посторонних лиц, не имеющих права доступа в эти помещения;

осуществление учета машинных носителей информации, а также выполнение мер, направленных на обеспечение их сохранности;

организация режима доступа к обрабатываемым персональным данным в информационных системах персональных данных;

осуществление мониторинга обработки персональных данных для обнаружения фактов несанкционированного доступа к ним, выявление модифицированных или уничтоженных персональных данных вследствие несанкционированного доступа к ним для их последующего восстановления;

применение в информационных системах персональных данных только технических и программных средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации;

осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

осуществление внутреннего контроля принимаемых мер по обеспечению безопасности персональных данных, в том числе выполнения требуемого уровня защищенности информационных систем персональных данных и персональных данных, обрабатываемых без использования средств автоматизации.

40. В целях обеспечения надлежащей эксплуатации информационных систем персональных данных в Вооруженных Силах осуществляется:

определение уровней защищенности персональных данных в информационных системах в соответствии с Требованиями к защите персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

проведение комплекса организационных и технических мер по обеспечению безопасности персональных данных с учетом уровня защищенности персональных данных в информационных системах и актуальных угроз безопасности персональных данных (при их обработке в информационных системах персональных данных) в виде системы защиты персональных данных в соответствии с требованиями законодательства Российской Федерации в области обеспечения безопасности информации, в том числе в связи с использованием в Вооруженных Силах информационно-телекоммуникационной сети "Интернет" *.

------------------------------

*Указ Президента Российской Федерации от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" (Собрание законодательства Российской Федерации, 2008, N 12, ст. 1110; 2015, N 21, ст. 3092), Указ Президента Российской Федерации от 22 мая 2015 г. N 260 "О некоторых вопросах информационной безопасности Российской Федерации" (Собрание законодательства Российской Федерации, 2015, N 21, ст. 3092).

------------------------------

41. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми в соответствии с частью 4 статьи 19 Федерального закона "О персональных данных".

42. Вывод на печать документов, содержащих персональные данные, с помощью средств автоматизации, входящих или не входящих в состав информационных систем персональных данных, допускается в целях обработки в связи с исполнением служебных (трудовых) обязанностей, в том числе для передачи их печатных копий субъектам персональных данных, персональные данные которых они содержат, либо должностным лицам, допущенным к обработке персональных данных.

43. Оператор обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом *.

------------------------------

*Статья 7 Федерального закона "О персональных данных".

------------------------------

 

V. Хранение персональных данных, сроки их обработки и хранения

 

44. Хранение персональных данных осуществляется на бумажном носителе в воинских частях, в функции которых входит обработка персональных данных, и в электронном виде в автоматизированных электронных системах.

45. Сроки обработки и хранения персональных данных в Вооруженных Силах определяются в соответствии с законодательством Российской Федерации.

Срок хранения персональных данных, внесенных в автоматизированные информационные системы, должен соответствовать сроку хранения персональных данных на бумажных носителях.

46. Если сроки обработки и хранения персональных данных не установлены федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, то обработка и хранение персональных данных субъектов, персональные данные которых обрабатываются в воинской части, осуществляются не дольше, чем этого требуют цели их обработки и хранения **.

------------------------------

**Пункт 7 статьи 5 Федерального закона "О персональных данных".

------------------------------

47. Персональные данные при их обработке, осуществляемой без использования автоматизированных информационных систем, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях.

Хранение персональных данных, обработка которых осуществляется в различных целях, определенных настоящими Правилами, осуществляется раздельно на разных материальных носителях персональных данных.

 

VI. Уничтожение персональных данных при достижении целей обработки или при наступлении иных законных оснований

 

48. Уничтожению подлежат обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом "О персональных данных".

Уничтожение персональных данных осуществляется в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных *.

------------------------------

*Пункт 4 статьи 21 Федерального закона "О персональных данных".

------------------------------

49. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных прекращается их обработка и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, они уничтожаются в срок, не превышающий 30 дней с даты поступления указанного отзыва.

50. В случае отсутствия возможности уничтожения персональных данных в течение 30 дней осуществляется блокирование таких персональных данных с последующим их уничтожением в срок не более чем шесть месяцев.

51. Уничтожение документов, содержащих персональные данные, производится путем сжигания, стирания с материальных носителей или с помощью бумагорезательной машины.

Уничтожение электронных носителей, содержащих персональные данные, производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

Результаты уничтожения носителей персональных данных оформляются актом об их уничтожении, который хранится в течение одного года после уничтожения в структурном подразделении (должностным лицом) воинской части, осуществляющем обработку персональных данных.

52. Архивные документы, содержащие персональные данные на бумажном носителе, по истечении срока хранения в воинских частях передаются на хранение в Центральный архив Министерства обороны Российской Федерации.

 

VII. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных

 

53. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в Вооруженных Силах проводятся следующие процедуры:

осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (приложение N 2 к настоящему приказу);

организация и проведение периодических проверок условий обработки персональных данных, определение по результатам указанных проверок мер, необходимых для устранения выявленных нарушений в соответствии с подпунктом "д" пункта 1 постановления N 211;

оценка вреда, который может быть причинен субъектам персональных данных;

прекращение обработки персональных данных при достижении конкретных целей, определенных настоящими Правилами;

недопущение обработки персональных данных, не совместимой с целями сбора персональных данных, объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки. Устранение избыточности состава, содержания, объема обрабатываемых персональных данных заявленным целям;

обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных;

уничтожение или обезличивание обрабатываемых персональных данных при достижении целей обработки или в случае утраты необходимости в достижении целей обработки, если иное не предусмотрено Федеральным законом "О персональных данных".