Глава 3. Правила обработки персональных данных (п.п. 7-26). Приказ Службы по охране природы и озера Байкал Иркутской области от 24.10.2012 N 6ПР-СЛ "О защите персональных данных в службе по охране природы и озера Байкал Иркутской области"

Глава 3. Правила обработки персональных данных

7. Персональные данные субъекта подлежат обработке с использованием средств автоматизации или без использования таких средств.

8. Обработка персональных данных в службе подразумевает действия по сбору, записи, систематизации, накоплению, хранению, обновлению, изменению, извлечению, использованию, распространению, предоставлению, доступу, обезличиванию, блокированию, удалению, уничтожению персональных данных субъектов, персональные данные которых обрабатываются в службе.

9. Персональные данные защищаются от несанкционированного доступа в соответствии с нормативными правовыми актами Российской Федерации, нормативными распорядительными актами и рекомендациями регулирующих органов в области защиты информации, а также правовыми и распорядительными актами службы.

10. Обработка персональных данных лица без его письменного согласия не допускается, за исключением случаев, установленных федеральным законом.

11. Условием обработки персональных данных субъекта персональных данных является наличие письменного согласия на обработку персональных данных установленной формы.

Оно может быть дано субъектом персональных данных или его представителем и должно включать в себя:

фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

наименование и адрес оператора персональных данных;

цель обработки персональных данных;

перечень персональных данных, на обработку которых дается согласие субъекта;

перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых в службе способов обработки персональных данных;

срок, в течение которого действует согласие, а также порядок его отзыва;

подпись субъекта персональных данных.

12. Документы, содержащие персональные данные субъекта персональных данных, составляют его личное дело.

Личное дело хранится уполномоченным лицом на бумажных носителях.

Личное дело пополняется на протяжении всей трудовой деятельности субъекта персональных данных.

Письменные доказательства получения согласия субъекта персональных данных на обработку его персональных данных хранятся в личном деле субъекта персональных данных.

13. Должностные лица службы, в обязанности которых входит обработка персональных данных, обязаны обеспечить каждому субъекту возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом, а также с материалами личных дел субъектов персональных данных.

14. Защита персональных данных субъекта от неправомерного их использования или утраты обеспечивается службой в порядке, установленном действующим законодательством.

15. Для хранения персональных данных используются специально оборудованные шкафы и (или) сейфы, которые запираются на ключ.

16. Должностные лица службы, непосредственно осуществляющие обработку персональных данных, в случае расторжения с ними служебного контракта обязаны прекратить обработку персональных данных, ставших известными им в связи с исполнением должностных обязанностей.

17. В случае выявления недостоверных персональных данных или неправомерных действий с ними служба обязана осуществить блокирование персональных данных, относящихся к соответствующему субъекту, с момента получения такой информации на период проверки. В случае подтверждения факта недостоверности персональных данных служба на основании соответствующих документов обязана уточнить персональные данные и снять их блокирование.

18. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.

19. В случае выявления неправомерной обработки персональных данных служба в срок, не превышающий трех рабочих дней с даты этого выявления, обязано# устранить допущенные нарушения.

В случае невозможности обеспечить правомерность обработки персональных данных служба в срок, не превышающий десяти рабочих дней с даты выявления неправомерности действий с персональными данными, служба обязана уничтожить персональные данные.#

Об устранении допущенных нарушений или об уничтожении персональных данных служба не позднее трех рабочих дней с даты устранения или уничтожения указанных данных обязана уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.

20. В случае достижения цели обработки персональных данных служба обязана прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами.

21. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных служба обязана прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дня с даты поступления указанного отзыва, если иное не предусмотрено федеральными законами.

Об уничтожении персональных данных служба обязана уведомить субъекта персональных данных не позднее трех рабочих дней со дня уничтожения.

22. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных выше, служба осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок, не превышающий шесть месяцев, если иной срок не установлен федеральными законами.

23. Доступ со стороны третьих лиц к персональным данным субъекта осуществляется с его письменного согласия, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта или других лиц, и иных случаев, установленных законодательством.

24. Для защиты персональных данных соблюдается ряд мер организационно-технического характера, включая:

ограничение и регламентацию состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;

правил хранения бумажных носителей, утвержденных в установленном законом порядке;

соблюдение парольной политики, утвержденной в установленном законом порядке;

соблюдение антивирусной политики, утвержденной в установленном законом порядке;

правил резервного копирования, утвержденных в установленном законом порядке;

правил доступа в помещения, в которых ведется обработка персональных данных, утвержденных руководителем службы.

25. Порядок конкретных мероприятий по защите персональных данных, с использованием или без использования средств автоматизации, определяется распоряжением руководителя службы.

26. Лица, виновные в нарушении норм, регулирующих обработку персональных данных субъекта, несут ответственность в соответствии с законодательством.