Приложение N 2. Правила обработки персональных данных в главном управлении ЗАГС Рязанской области. Приказ Главного управления записи актов гражданского состояния Рязанской области от 28.02.2020 N 39-д "О мерах, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных"

Приложение N 2
к приказу
главного управления ЗАГС
Рязанской области
от 28 февраля 2020 г. N 39-д

Правила
обработки персональных данных в главном управлении ЗАГС Рязанской области

I. Общие положения

1.1. Настоящие Правила обработки персональных данных в главном управлении ЗАГС Рязанской области (далее - Правила) разработаны в целях реализации Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", Постановления Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Постановления Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Постановления Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных".

Правила устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований, регламентируют порядок работы с документами и электронными и магнитными носителями, содержащими персональные данные, в главном управлении ЗАГС Рязанской области (далее - главное управление).

II. Порядок обеспечения безопасности при обработке и хранении персональных данных, осуществляемых без использования средств автоматизации

2.1. В целях обеспечения сохранности документов, содержащих персональные данные, все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться сотрудниками главного управления, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных регламентах (инструкциях).

2.2. Документы с персональными данными, как и все остальные документы, поступающие в главное управление, обрабатываются в соответствии с утвержденной Инструкцией по делопроизводству в главном управлении. Документы выдаются сотрудникам, допущенным к работе с персональными данными.

2.3. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на специальных полях форм (бланков).

2.4. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

2.5. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется главным управлением без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также распорядительными документами главного управления.

2.6. Использование типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), возможно при соблюдении следующих условий:

2.6.1. Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес главного управления, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых главным управлением способов обработки персональных данных.

2.6.2. Типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных.

2.6.3. Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных.

2.6.4. Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

2.7. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

2.7.1. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных.

2.7.2. При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

2.8. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

2.9. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

2.10. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

2.11. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей), должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Для этого документы должны находиться в закрываемых на замок шкафах, сейфах, иных шкафах, имеющих запираемые блок-секции, либо в помещении архива, доступ в которое посторонним лицам запрещен. Начальником главного управления утверждается перечень лиц, ответственных за помещения, в которых хранятся документы, содержащие персональные данные.

2.12. Не допускается без согласования с руководителем структурного подразделения формирование и хранение баз данных, содержащих персональные данные.

2.13. Передача персональных данных не допускается с использованием средств телекоммуникационных каналов связи (телефон, телефакс, электронная почта и т.п.) без письменного согласия субъекта персональных данных, за исключением случаев, установленных законодательством Российской Федерации.

2.14. Ответы на обращения и запросы граждан и организаций обрабатываются в соответствии с Федеральным законом от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" и предоставляются только при наличии обоснованной причины в соответствии с законодательством Российской Федерации, в том объеме, который позволяет не разглашать в ответах конфиденциальные данные (не относящиеся к запросу), за исключением данных, содержащихся в материалах запроса или опубликованных в общедоступных источниках.

III. Порядок обеспечения безопасности при обработке и хранении персональных данных, осуществляемых с использованием средств автоматизации

3.1. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

3.2. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

3.3. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем.

3.4. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) в случае необходимости путем применения технических средств.

3.5. Организация режима обеспечения безопасности помещений, где размещено специальное оборудование, а также охрана помещений, в которых ведется работа с персональными данными, должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

3.6. Безопасность персональных данных при их обработке в информационной системе обеспечивает главное управление или лицо, которому на основании договора главное управление поручает обработку персональных данных (далее - уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность и безопасность персональных данных при их обработке в информационной системе.

3.7. При обработке персональных данных в информационной системе должно быть обеспечено:

3.7.1. Проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации.

3.7.2. Своевременное обнаружение фактов несанкционированного доступа к персональным данным.

3.7.3. Недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование.

3.7.4. Возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

3.7.5. Постоянный контроль за обеспечением уровня защищенности персональных данных.

3.8. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

3.8.1. Определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз.

3.8.2. Разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем.

3.8.3. Проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации.

3.8.4. Установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией.

3.8.5. Обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними.

3.8.6. Учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных.

3.8.7. Учет лиц, допущенных к работе с персональными данными в информационной системе.

3.8.8. Контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией.

3.8.9. Разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

3.8.10. Описание системы защиты персональных данных.

3.8.11. Главное управление при необходимости может разработать дополнительные распорядительные документы по защите персональных данных.

3.9. Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационной системе главным управлением может назначаться структурное подразделение или должностное лицо (работник), ответственные за обеспечение безопасности персональных данных.

3.10. Лица, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании списка, утвержденного главным управлением.

3.11. При обнаружении нарушений порядка предоставления персональных данных главное управление незамедлительно приостанавливает предоставление персональных данных до выявления причин нарушений и устранения этих причин.

3.12. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету.

3.13. Особенности обеспечения безопасности информации и конфиденциальности персональных данных, связанные с использованием конкретных автоматизированных информационных систем, определяются распорядительными документами главного управления, регламентирующими порядок использования указанных информационных систем, а также эксплуатационной и инструктивной документацией, касающейся технических средств обработки персональных данных в рамках конкретной автоматизированной информационной системы.

3.14. Работа со съемными носителями информации проводится в соответствии с Порядком обращения с магнитными носителями информации, содержащими персональные данные в исполнительных органах государственной власти Рязанской области, Инструкцией по работе и учету носителей информации, на которых обрабатываются персональные данные и другая конфиденциальная информация, в главном управлении ЗАГС Рязанской области (Приложение N 3 к приказу).

3.15. В целях обеспечения антивирусной защиты работа с персональными данными проводится в соответствии с Инструкцией по организации антивирусной защиты.

IV. Информационные системы персональных данных главного управления, перечень обрабатываемых персональных данных, категорий субъектов персональных данных

4.1. Перечень информационных систем с указанием цели обработки; Перечень персональных данных, обрабатываемых в информационных системах персональных данных главного управления; Перечень категорий субъектов персональных данных, персональные данные которых обрабатываются в информационных системах персональных данных главного управления, содержатся в Приложении N 11 к приказу.

V. Сроки обработки и хранения персональных данных

5.1. Персональные данные в ИСПДн "АРМ сотрудника ЗАГС" хранятся в течение 100 лет с даты их создания, после чего передаются в Государственный архив Российской Федерации.

Персональные данные в иных ИСПДн хранятся до их обезличивания или по истечении 75-летнего срока хранения.

VI. Порядок уничтожения информации, содержащей персональные данные, при достижении целей обработки или при наступлении иных законных оснований

6.1. Документы, дела, книги и журналы учета при достижении целей обработки, содержащие персональные данные, или при наступлении иных законных оснований, подлежат уничтожению либо передаче в Государственный архив Российской Федерации в соответствии с действующим законодательством.

6.2. Информация в электронном виде, содержащая персональные данные, при достижении целей обработки или при наступлении иных законных оснований, подлежит уничтожению в соответствии с действующим законодательством.