Приложение N 2. Правила обработки персональных данных в главном управлении ЗАГС Рязанской области. Приказ Главного управления записи актов гражданского состояния Рязанской области от 28.02.2020 N 39-д "О мерах, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных"

Приложение N 2
к приказу
главного управления ЗАГС
Рязанской области
от 28 февраля 2020 г. N 39-д

Правила
обработки персональных данных в главном управлении ЗАГС Рязанской области

I. Общие положения

1.1. Настоящие Правила обработки персональных данных в главном управлении ЗАГС Рязанской области (далее - Правила) разработаны в целях реализации Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", Постановления Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Постановления Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановления Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных".

Правила устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований, регламентируют порядок работы с документами и электронными и магнитными носителями, содержащими персональные данные, в главном управлении ЗАГС Рязанской области (далее - главное управление).

II. Порядок обеспечения безопасности при обработке и хранении персональных данных, осуществляемых без использования средств автоматизации

2.1. В целях обеспечения сохранности документов, содержащих персональные данные, все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться сотрудниками главного управления, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных регламентах (инструкциях).

2.2. Документы с персональными данными, как и все остальные документы, поступающие в главное управление, обрабатываются в соответствии с утвержденной Инструкцией по делопроизводству в главном управлении. Документы выдаются сотрудникам, допущенным к работе с персональными данными.

2.3. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на специальных полях форм (бланков).

2.4. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

2.5. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется главным управлением без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также распорядительными документами главного управления.

2.6. Использование типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), возможно при соблюдении следующих условий:

2.6.1. Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес главного управления, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых главным управлением способов обработки персональных данных.

2.6.2. Типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных.

2.6.3. Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных.

2.6.4. Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

2.7. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

2.7.1. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных.

2.7.2. При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

2.8. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

2.9. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

2.10. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

2.11. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей), должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Для этого документы должны находиться в закрываемых на замок шкафах, сейфах, иных шкафах, имеющих запираемые блок-секции, либо в помещении архива, доступ в которое посторонним лицам запрещен. Начальником главного управления утверждается перечень лиц, ответственных за помещения, в которых хранятся документы, содержащие персональные данные.

2.12. Не допускается без согласования с руководителем структурного подразделения формирование и хранение баз данных, содержащих персональные данные.

2.13. Передача персональных данных не допускается с использованием средств телекоммуникационных каналов связи (телефон, телефакс, электронная почта и т.п.) без письменного согласия субъекта персональных данных, за исключением случаев, установленных законодательством Российской Федерации.

2.14. Ответы на обращения и запросы граждан и организаций обрабатываются в соответствии с Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" и предоставляются только при наличии обоснованной причины в соответствии с законодательством Российской Федерации, в том объеме, который позволяет не разглашать в ответах конфиденциальные данные (не относящиеся к запросу), за исключением данных, содержащихся в материалах запроса или опубликованных в общедоступных источниках.

III. Порядок обеспечения безопасности при обработке и хранении персональных данных, осуществляемых с использованием средств автоматизации

3.1. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

3.2. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

3.3. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем.

3.4. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) в случае необходимости путем применения технических средств.

3.5. Организация режима обеспечения безопасности помещений, где размещено специальное оборудование, а также охрана помещений, в которых ведется работа с персональными данными, должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

3.6. Безопасность персональных данных при их обработке в информационной системе обеспечивает главное управление или лицо, которому на основании договора главное управление поручает обработку персональных данных (далее - уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность и безопасность персональных данных при их обработке в информационной системе.

3.7. При обработке персональных данных в информационной системе должно быть обеспечено:

3.7.1. Проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации.

3.7.2. Своевременное обнаружение фактов несанкционированного доступа к персональным данным.

3.7.3. Недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование.

3.7.4. Возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

3.7.5. Постоянный контроль за обеспечением уровня защищенности персональных данных.

3.8. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных систем