Приложение. Положение о защите персональных данных в Главном управлении информационной политики Омской области. Приказ Главного управления по делам печати, телерадиовещания и средств массовых коммуникаций Омской области от 17.09.2012 N 15 "О мерах, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" (с изменениями и дополнениями) (утратил силу)

Информация об изменениях:

Приказом Главного управления информационной политики Омской области от 6 августа 2014 г. N 7 в название настоящего приложения внесены изменения

См. текст названия в предыдущей редакции

Приложение
к приказу Главного управления
по делам печати, телерадиовещания
и средств массовых коммуникаций
Омской области
от 17.09.2012 г. N 15

Положение
о защите персональных данных в Главном управлении информационной политики Омской области

С изменениями и дополнениями от:

6 августа 2014 г.

1. Общие положения

Информация об изменениях:

Приказом Главного управления информационной политики Омской области от 6 августа 2014 г. N 7 в пункт 1.1 настоящего приложения внесены изменения

См. текст пункта в предыдущей редакции

1.1. Настоящее Положение о защите персональных данных в Главном управлении информационной политики Омской области (далее - Положение) разработано на основании Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона Российской Федерации от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации", Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - ФЗ N 152) и других нормативных правовых актов Российской Федерации.

Информация об изменениях:

Приказом Главного управления информационной политики Омской области от 6 августа 2014 г. N 7 в пункт 1.2 настоящего приложения внесены изменения

См. текст пункта в предыдущей редакции

1.2. Настоящее Положение устанавливает принципы обработки персональных данных в Главном управлении информационной политики Омской области (далее - Главное управление), цели обработки персональных данных, перечень персональных данных, обрабатываемых в Главном управлении, категории субъектов, персональные данные которых обрабатываются, правила обработки и хранения персональных данных, права и обязанности сторон, порядок доступа к персональным данным и их передача, защита персональных данных, ответственность за разглашение конфиденциальной информации, связанной с персональными данными.

1.3. Настоящее Положение разработано в целях обеспечения выполнения обязанностей по выполнению требований по защите персональных данных субъектов персональных данных Главного управления от несанкционированного доступа и разглашения, неправомерного их использования или утраты. Персональные данные являются конфиденциальной, строго охраняемой информацией.

1.4. Основные термины и определения, применяемые в настоящем Положении:

1.4.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.4.2. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.4.3. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

1.4.4. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

1.4.5. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

1.4.6. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.4.7. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

1.4.8. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные данным субъектом.

Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных или по решению Главного управления, либо по решению суда или иных уполномоченных государственных органов.

1.5. К субъектам персональных данных Главного управления относятся лица - носители персональных данных, передавшие свои персональные данные Главному управлению (как на добровольной основе, так и в рамках выполнения требований нормативно-правовых актов) для приема, получения, поиска, сбора, систематизации, накопления, хранения, уточнения, обновления, изменения, использования, распространения (в том числе передачи), обезличивания.

1.6. Персональные данные защищаются от несанкционированного доступа в соответствии с нормативно-правовыми актами Российской Федерации, нормативно-распорядительными актами и рекомендациями регулирующих органов в области защиты информации, а также утвержденными регламентами и инструкциями Главного управления.

1.7. Сбор, хранение, использование и распространение персональных данных лица без письменного его согласия не допускаются. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75-летнего срока хранения, если иное не определено законодательством.

1.8. Должностное лицо Главного управления, в обязанности которого входит организация работы с персональными данными субъектов персональных данных, обязано обеспечить каждому субъекту персональных данных возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

1.9. Настоящее Положение и изменения к нему утверждаются приказом Главного управления и являются обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным субъектов персональных данных Главного управления. Для субъектов персональных данных, данное Положение должно быть доступно для ознакомления (размещено в сети общего пользования на сайте Главного управления).

2. Принципы обработки персональных данных

2.1. Обработка персональных данных в Главном управлении осуществляется на основе следующих принципов:

- законности целей и способов обработки персональных данных и добросовестности;

- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Главного управления;

- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

- недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

2.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижению целей обработки или в случае утраты необходимости в их достижении.

2.3. Субъект персональных данных является собственником своих персональных данных и самостоятельно решает вопрос передачи Главному управлению своих персональных данных.

2.4. Держателем персональных данных является Главное управление, которому субъект персональных данных добровольно передает во владение свои персональные данные. Главное управление выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.

2.5. Потребителями (пользователями) персональных данных являются юридические и физические лица, обращающиеся к собственнику и (или) держателю персональных данных за получением необходимых сведений и пользующиеся ими без права передачи, разглашения.

2.6. Получение, хранение, комбинирование, передача или любое другое использование персональных данных субъекта персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников и обучающихся, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3. Цели обработки персональных данных

3.1. Обработка персональных данных субъекта персональных данных осуществляется исключительно в целях обеспечения соблюдения Конституции Российской Федерации, Федерального закона "О государственной гражданской службе Российской Федерации", Трудового Кодекса Российской Федерации, других законов и иных нормативных правовых актов, содействия в трудоустройстве, гражданскому служащему в прохождении гражданской службы, продвижении по службе, обучении, обеспечения личной безопасности гражданского служащего и членов его семьи, обеспечения сохранности принадлежащего ему имущества, учета результатов исполнения им должностных обязанностей и обеспечения сохранности имущества государственного органа, контроля количества и качества выполняемой работы, исполнения служебного контракта, трудового договора, иных договоров и соглашений, заключенных в Главном управлении.

4. Перечень персональных данных, обрабатываемых в Главном управлении

4.1. В Главном управлении обрабатываются следующие персональные данные:

фамилия, имя, отчество;

дата и место рождения;

пол;

образование, повышение квалификации или наличие специальных знаний;

профессия (специальность);

сведения о трудовой деятельности;

состояние в браке, состав семьи, сведения о родственниках;

паспортные данные;

адрес регистрации и фактического проживания;

номер телефона;

идентификационный номер;

номер страхового свидетельства государственного пенсионного страхования;

сведения о воинском учете;

фотография;

другие сведения, необходимые для включения в анкету, утвержденную распоряжением Правительства Российской Федерации от 26 мая 2005 года N 667-р;

сведения о прохождении гражданской службы;

сведения о состоянии здоровья, относящиеся к вопросу о возможности пребывания на государственной гражданской службе или возможности выполнения служебных обязанностей;

сведения, необходимые для передачи в налоговую инспекцию и пенсионный фонд;

сведения о доходах, имуществе и обязательствах имущественного характера, а также сведения о доходах, имуществе и обязательствах имущественного характера супруги (супруга) и несовершеннолетних детей.

4.2. Персональные данные являются конфиденциальной информацией.

Документы, содержащие персональные данные, являются конфиденциальными, однако, учитывая их массовость и определенное место обработки и хранения, соответствующий гриф ограничения на них не ставится.

Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено законом.

5. Категории субъектов, персональные данные которых обрабатываются

К субъектам, персональные данные которых обрабатываются в Главном управлении относятся:

- государственные гражданские служащие Омской области, замещающие должности государственной гражданской службы в Главном управлении, работники Главного управления, замещающие должности, не относящиеся к должностям государственной гражданской службы, включая совместителей;

- лица, претендующие на замещение вакантной должности, на включение в кадровый резерв на замещение вакантной должности;

- лица, выполняющие работы по договорам гражданско-правового характера, а также лица, состоящие в иных договорных отношениях с Главным управлением;

- руководители государственных предприятий и бюджетных учреждений Омской области, находящихся в ведении Главного управления;

- лица, претендующие на включение (включенные) в информационную базу резерва управленческих кадров, а также резервы управленческих кадров разных уровней;

- лица, представляемые к награждению ведомственными наградами, государственными наградами Омской области, наградами высших органов государственной власти Омской области, государственными наградами Российской Федерации;

- лица, принимающие участие в конкурсах, проводимых Главным управлением.

6. Правила обработки и хранения персональных данных

6.1. Главное управление получает сведения о персональных данных, предоставленных субъектом персональных данных из следующих документов:

- паспорт или иной документ, удостоверяющий личность;

- трудовая книжка;

- страховое свидетельство государственного пенсионного страхования;

- свидетельство о постановке на учет в налоговом органе, содержащее сведения об идентификационном номере налогоплательщика;

- документы воинского учета, содержащие сведения о воинском учете военнообязанных и лиц, подлежащих призыву на военную службу;

- документ об образовании, о квалификации или о наличии специальных знаний или специальной подготовки, содержащий сведения об образовании, профессии;

- иные документы и сведения, предоставляемые субъектом персональных данных при приеме на работу, обучение, а также в процессе работы, обучения.

Субъект персональных данных обязан представлять Главному управлению достоверные сведения о себе. Главное управление имеет право проверять достоверность указанных сведений в порядке, не противоречащем законодательству Российской Федерации.

6.2. Все персональные данные субъекта персональных данных Главное управление получает непосредственно у указанных субъектов. Сотрудник, ответственный за документационное обеспечение кадровой деятельности, принимает от субъекта персональных данных документы, проверяет их полноту и правильность указываемых сведений.

6.3. Если персональные данные субъекта персональных данных возможно получить исключительно у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Главное управление должно сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных представить письменное согласие на их получение.

6.4. Условием обработки персональных данных субъекта персональных данных является его письменное согласие. В Главном управлении утверждается Типовая форма согласия на обработку персональных данных служащих Главного управления, иных субъектов персональных данных.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

6.5. Согласия субъекта персональных данных на обработку его персональных данных не требуется в следующих случаях:

- обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов персональных данных, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

- обработка персональных данных осуществляется в целях исполнения трудового или иного договора или соглашения между работником и Главным управлением;

- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия при данных обстоятельствах невозможно;

- обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

- осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами.

6.6. Для обработки персональных данных, содержащихся в письменном согласии субъекта персональных данных на обработку его персональных данных, дополнительное согласие не требуется.

6.7. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных в письменной форме дает его законный представитель.

В случае смерти субъекта персональных данных согласие на обработку его персональных данных при необходимости дает в письменной форме один из его наследников, если такое согласие не было дано субъектом персональных данных при его жизни.

6.8. Персональные данные в Главном управлении обрабатываются с использованием средств автоматизации и (или) без использования таких средств.

6.9. Круг лиц, допущенных к работе с персональными данными субъектов персональных данных, определяется правовым актом Главного управления.

6.10. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.

6.11. Для хранения персональных данных используются специально оборудованные шкафы или сейфы, которые запираются на ключ.

Помещения, в которых хранятся персональные данные субъектов персональных данных, в рабочее время при отсутствии в них работников должны быть закрыты.

Проведение уборки помещений, в которых хранятся персональные данные, должно производиться в присутствии соответствующих работников.

7. Права и обязанности сторон

7.1. Субъект персональных данных обязан:

- передавать в Главное управление или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Федеральным законом "О государственной гражданской службе Российской Федерации", трудовым законодательством, иными законами Российской Федерации, иными нормативными правовыми актами, включая сведения об образовании, специальных знаниях, стаже работы, отношении к воинской обязанности, гражданстве, месте жительства, семейном положении и др.

- своевременно, в срок, не превышающий одного месяца, сообщать в Главное управление об изменении своих персональных данных.

7.2. Субъект персональных данных имеет право:

7.2.1. На полную информацию о своих персональных данных и об их обработке.

7.2.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральными законами. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю Главным управлением при личном обращении либо при получении запроса. Правила рассмотрения запросов субъектов персональных данных или их представителей утверждаются нормативным правовым актом Главного управления.

Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

Право субъекта персональных данных на доступ к своим персональным данным ограничивается в следующих случаях:

- обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

- обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

- предоставление персональных данных нарушает конституционные права и свободы других лиц.

7.2.3. Требовать от Главного управления исключения, исправления или уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации, законодательства РФ об образовании и Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных". Указанное требование должно быть оформлено письменным заявлением субъекта персональных данных на имя начальника Главного управления. При отказе работодателя исключить или исправить персональные данные субъекта персональных данных, последний имеет право заявить в письменном виде Главному управлению о своем несогласии с соответствующим обоснованием такого несогласия.

Персональные данные оценочного характера субъект персональных данных имеет право дополнить заявлением, выражающим его собственную точку зрения.

7.2.4. Требовать об извещении Главным управлением всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях.

7.2.5. Получать сведения о Главном управлении, о месте его нахождения, о наличии у Главного управления персональных данных, относящихся к соответствующему субъекту персональных данных.

7.2.6. Получать информацию, касающуюся обработки его персональных данных, в том числе содержащую:

- подтверждение факта обработки персональных данных в Главном управлении, а также цель такой обработки;

- способы обработки персональных данных, применяемые Главным управлением;

- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

- перечень обрабатываемых персональных данных и источник их получения;

- сроки обработки персональных данных, в том числе сроки их хранения;

- сведения о том, какие юридические последствия для него может повлечь за собой обработка его персональных данных.

7.2.7. Обжаловать в судебном порядке любые неправомерные действия или бездействия Главного управления при обработке и защите персональных данных.

7.3. Главное управление обязано безвозмездно предоставить субъекту персональных данных возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных сведений, подтверждающих, что персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Главное управление обязано уведомить соответствующего субъекта персональных данных и третьих лиц, которым персональные данные этого субъекта были переданы.

Главное управление обязано сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа в установленные законодательством сроки.

7.4. В случае выявления недостоверных персональных данных или неправомерных действий с ними Главное управление обязано осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента получения такой информации на период проверки. В случае подтверждения факта недостоверности персональных данных Главное управление на основании соответствующих документов обязано уточнить персональные данные и снять их блокирование.

7.5. В случае выявления неправомерных действий с персональными данными Главное управление в срок, не превышающий трех рабочих дней с даты такого выявления, обязано устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Главным управлением в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязано уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Главное управление обязано уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.

7.6. В случае достижения цели обработки персональных данных Главное управление обязано незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных.

7.7. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Главное управление обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением сторон и (или) федеральным законом. Об уничтожении персональных данных Главное управление обязано уведомить субъекта персональных данных.

7.8. Главное управление обязано проводить внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных, установленных законодательством.

8. Порядок доступа к персональным данным субъекта и их передача

8.1. Внутренний доступ (доступ внутри Главного управления) к персональным данным субъектов персональных данных имеют сотрудники структурных подразделений Главного управления, которым эти данные необходимы для выполнения должностных обязанностей.

Перечень должностей служащих, имеющих право доступа к персональным данным субъекта персональных данных, утверждается нормативным правовым актом Главного управления.

Список пользователей, допущенных к работе в автоматизированных и информационных системах персональных данных, утверждается начальником Главного управления, или лицом, его замещающим.

После прекращения юридических отношений с субъектом персональных данных (увольнения работника, окончания обучения студента и т.п.) документы, содержащие его персональные данные, хранятся в Главном управлении в течение сроков, установленных архивным и иным законодательством Российской Федерации.

При переводе гражданского служащего на должность гражданской службы в другом государственном органе его личное дело передается в государственный орган по новому месту замещения должности гражданской службы.

При назначении гражданского служащего на государственную должность Российской Федерации или государственную должность субъекта Российской Федерации его личное дело передается в государственный орган по месту замещения государственной должности Российской Федерации или государственной должности субъекта Российской Федерации.

Личные дела гражданских служащих, уволенных с гражданской службы, хранятся кадровой службой Главного управления в течение 10 лет со дня увольнения с гражданской службы, после чего передаются в архив.

8.2. Внешний доступ.

К числу массовых потребителей персональных данных вне Главного управления относятся следующие государственные и негосударственные структуры:

- налоговые органы;

- правоохранительные органы;

- органы лицензирования и сертификации;

- органы прокуратуры и ФСБ;

- органы статистики;

- страховые агентства;

- военкоматы;

- органы социального страхования;

- пенсионные фонды;

- подразделения государственных и муниципальных органов управления.

Надзорно-контрольные органы имеют доступ к информации исключительно в сфере своей компетенции.

8.3. Внешний доступ со стороны третьих лиц к персональным данным субъекта персональных данных осуществляется с его письменного согласия, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта персональных данных или других лиц, и иных случаев, установленных законодательством.

8.4. Главное управление обязано сообщать персональные данные субъекта персональных данных по надлежаще оформленным запросам суда, прокуратуры иных правоохранительных органов.

8.5. Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии заявления работника.

8.6. Персональные данные субъекта персональных данных могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта персональных данных.

8.7. В случае развода бывшая супруга (супруг) имеют право обратиться в Главное управление с письменным запросом о размере заработной платы работника без его согласия в соответствии с нормами трудового и семейного законодательства.

8.8. При передаче персональных данных Главное управление обязано соблюдать следующие требования:

8.8.1. Не сообщать персональные данные субъекта персональных данных третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральными законами.

8.8.2. Не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия.

8.8.3. Предупреждать лиц, получающих персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными в порядке, установленном федеральными законами.

8.8.4. Не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о пребывании на государственной гражданской службе, а также возможности выполнения работником трудовой функции.

8.8.5. Передавать персональные данные субъекта персональных данных представителям работников и иных категорий субъектов персональных данных в порядке, установленном Трудовым кодексом Российской Федерации и ФЗ N 152-ФЗ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.

8.8.6. Разрешать доступ к персональным данным исключительно специально уполномоченным лицам (при этом указанные лица должны иметь право получать лишь те персональные данные, которые необходимы для выполнения конкретных функций).

8.9. Ответы на правомерные письменные запросы других предприятий, учреждений и организаций даются Главным управлением в письменной форме, в том объеме, который позволяет не разглашать излишний объем персональных сведений.

9. Защита персональных данных

9.1. Комплекс мер по защите персональных данных направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивает безопасность информации в процессе осуществления деятельности Главного управления.

9.2. Главное управление при обработке персональных данных обязано принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий в соответствии с требованиями к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, установленными Правительством Российской Федерации.

9.3. Мероприятия по защите персональных данных подразделяются на внутреннюю и внешнюю защиту.

9.3.1. Внутренняя защита включает следующие организационно-технические мероприятия:

9.3.1.1. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководством и специалистами Главного управления.

9.3.1.2. Для защиты персональных данных в Главном управлении применяются следующие принципы и правила:

- ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;

- реализация разрешительной системы допуска работников Главного управления к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;

- ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;

- учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;

- резервирование технических средств, дублирование массивов и носителей информации;

- использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

- использование защищенных каналов связи;

- строгое избирательное и обоснованное распределение документов и информации между сотрудниками;

- рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации;

- знание сотрудниками требований нормативно-методических документов по защите персональных данных;

- организация порядка уничтожения информации;

- своевременное выявление нарушений требований разрешительной системы доступа сотрудниками подразделения;

- воспитательная и разъяснительная работа с работниками Главного управления по предупреждению утраты ценных сведений при работе с конфиденциальными документами;

- защита паролями доступа персональных компьютеров, на которых содержатся персональные данные.

9.3.1.3. Личные дела работников могут выдаваться только начальнику Главного управления, заместителям начальника Главного управления, в отношении гражданских служащих и работников структурных подразделений Главного управления, деятельность которых координируется заместителями начальника Главного управления, сотрудникам отдела правовой работы, государственной службы и кадров, руководителям структурных подразделений Главного управления в отношении гражданских служащих, замещающих должности в данном подразделении с уведомлением ответственного за организацию обработки персональных данных, а также в исключительных случаях, по письменному разрешению начальника Главного управления.

9.3.2. Внешняя защита включает следующие организационно-технические мероприятия:

9.3.2.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией.

9.3.2.2. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.

9.3.2.3. Для защиты персональных данных соблюдается ряд мер организационно-технического характера:

- размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;

- организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;

- предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.

9.4. Порядок конкретных мероприятий по защите персональных данных с использованием или без использования электронно-вычислительной машины определяется правовым актом Главного управления, иными локальными актами.

10. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными

10.1. Персональная ответственность является одним из главных требований к организации функционирования системы защиты персональных данных и обязательным условием обеспечения эффективности функционирования данной системы.

10.2. Главное управление несет ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

10.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта персональных данных, несут дисциплинарную, административную, гражданско-правовую, уголовную и иную предусмотренную законодательством ответственность.

10.4. Каждый сотрудник Главного управления, получающий для работы конфиденциальный документ, несет персональную ответственность за сохранность носителя и конфиденциальность полученной информации.

10.5. Должностные лица, в обязанность которых входит ведение персональных данных, обязаны обеспечить каждому субъекту персональных данных возможность ознакомления с документами и материалами, если иное не предусмотрено законом.

Неправомерный отказ в предоставлении собранных в установленном порядке персональных данных, либо несвоевременное их предоставление в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации влечет наложение на должностных лиц административного наказания в порядке установленном Кодексом Российской Федерации об административных правонарушениях.

10.6. Неправомерность деятельности Главного управления по сбору и использованию персональных данных может быть установлена в судебном порядке.