Приложение 1. Правила обработки персональных данных в Министерстве образования и науки Республики Северная Осетия-Алания. Приказ Министерства образования и науки Республики Северная Осетия-Алания от 30.04.2021 N 401 "О мерах, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" в Министерстве образования и науки Республики Северная Осетия-Алания"

Приложение 1

к приказу Министерства

образования и науки

Республики Северная Осетия-Алания

от 30.04.2021 г. N 401

Правила
обработки персональных данных в Министерстве образования и науки Республики Северная Осетия-Алания

1. Общие положения

1.1. Настоящие Правила обработки персональных данных в Министерстве образования и науки Республики Северная Осетия-Алания (далее - Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

1.2. Настоящие Правила разработаны в соответствии с:

Конституцией Российской Федерации;

Трудовым кодексом Российской Федерации;

Федеральным законом Российской Федерации от 27 мая 2003 года N 58-ФЗ "О системе государственной службы Российской Федерации" (далее - Федеральный закон "О системе государственной службы Российской Федерации");

Федеральным законом Российской Федерации от 27 июля 2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации" (далее - Федеральный закон "О государственной гражданской службе Российской Федерации");

Федеральным законом Российской Федерации от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных");

Федеральным законом Российской Федерации от 2 мая 2006 года N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (далее - Федеральный закон "О порядке рассмотрения обращений граждан Российской Федерации");

Федеральным законом Российской Федерации от 25 декабря 2008 года N 273-ФЗ "О противодействии коррупции" (далее - Федеральный закон "О противодействии коррупции");

Указом Президента Российской Федерации от 30 мая 2005 года N 609 "Об утверждении Положения о персональных данных гражданского государственного служащего Российской Федерации и ведении его личного дела" (далее - Указ N 609);

постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (далее - Постановление Правительства Российской Федерации N 687);

постановлением Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (далее - Постановление Правительства Российской Федерации N 211);

постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (далее - Постановление Правительства Российской Федерации N 1119).

2. Понятия и определения

В настоящих Правилах используются следующие основные понятия:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

специальные категории персональных данных - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных;

биометрические персональные данные - персональные данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных (за исключением сведений, относящихся к специальным категориям персональных данных);

оператор - Министерство образования и науки Республики Северная Осетия-Алания (далее - Министерство) или уполномоченное лицо (уполномоченный сотрудник) в Министерстве, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

конфиденциальность персональных данных - обязанность операторов и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;

использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;

информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;

доступ к информации - возможность получения информации и ее использования;

обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким - либо признакам;

документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;

технические средства, позволяющими осуществлять обработку персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах;

базой данных - представленная в объективной форме совокупность самостоятельных материалов, систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (ЭВМ).

Иные понятия в настоящих Правилах используются в значениях, определенных действующим законодательством Российской Федерации либо их значение, дается по тексту.

3. Принципы обработки персональных данных

3.1. Обработка персональных данных в Министерстве осуществляется в соответствии с настоящими Правилами, а также требованиями, установленными законодательством Российской Федерации с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

- обработка персональных данных осуществляется Министерством в связи с осуществлением государственных функций в соответствии с законодательством, оказанием государственных услуг в соответствии с законодательством, а также реализацией служебных или трудовых отношений;

- обработка персональных данных в Министерстве осуществляется лицом (лицами), уполномоченным (и) приказом Министерства на обработку персональных данных и несущим(и) ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты персональных данных (далее - лицо, уполномоченное на обработку персональных данных);

- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;

- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- обработке подлежат только персональные данные, которые отвечают целям их обработки;

- содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки;

- не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;

- при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;

- принимаются необходимые меры, либо обеспечивается их принятие по удалению или уточнению неполных, или неточных персональных данных;

- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных;

- если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, обрабатываемые персональные данные уничтожаются, либо обезличиваются по достижении целей обработки или, в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.2. Лицо, уполномоченное на обработку персональных данных, обязано:

- знать и выполнять требования законодательства в области персональных данных;

- хранить в тайне известные ему персональные данные, информировать лицо, ответственное за организацию обработки персональных данных в Министерстве, о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним;

- соблюдать требования настоящих Правил, порядок учета и хранения персональных данных, исключать доступ к ним посторонних лиц;

- обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей;

- прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей в случае расторжения с ним служебного контракта.

3.3. Лицу, уполномоченному на обработку персональных данных, запрещается:

- использовать сведения, содержащие персональные данные, в неслужебных целях, а также в служебных целях - при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;

- передавать персональные данные по незащищенным каналам связи (телетайп, факсимильная связь, электронная почта) без использования сертифицированных ФСБ России средств криптографической защиты информации;

- выполнять на дому работы, связанные с использованием персональных данных, выносить документы и другие носители информации, содержащие персональные данные, за пределы места (помещения) их хранения;

- нарушать режим защиты персональных данных.

3.4. Обработка персональных данных в Министерстве осуществляется как с использованием средств автоматизации (в информационных системах), так и без использования таких средств и включает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление и изменение, связанные с необходимостью их актуализации), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

3.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется лицом, уполномоченным на обработку персональных данных, путем:

- получения оригиналов необходимых документов;

- копирования оригиналов документов;

- внесения сведений в учетные формы (на материальных и электронных носителях);

- внесения персональных данных в установленном порядке в информационные системы, используемые в Министерстве.

3.6. Для формирования общедоступных перечней Министерства (телефонных справочников, публикации сведений на сайте Министерства) Министерство использует персональные данные, разрешенные субъектом персональных данных для распространения на основе согласия такого субъекта.

3.7. Трансграничная передача персональных данных в Министерстве не осуществляется.

3.8. Принятие решений, порождающих юридические последствия в отношении субъектов персональных данных или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных, не осуществляется.

4. Процедуры, направленные на выявление и предотвращение нарушений, предусмотренных законодательством в сфере персональных данных

4.1. К процедурам, направленным на предотвращение и выявление нарушений законодательства в отношении обработки персональных данных и устранение таких последствий, относятся:

1) осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами;

2) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом;

3) ознакомление сотрудников Министерства, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

4.2. Обеспечение безопасности персональных данных достигается, в частности:

- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учетом машинных носителей персональных данных;

- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

5. Цели обработки персональных данных, категории субъектов персональных данных, состав персональных данных

5.1. Целями обработки персональных данных являются:

- реализация служебных или трудовых отношений в соответствии с законодательством;

- оказание государственных услуг в соответствии с законодательством;

- осуществление государственных функций в соответствии с законодательством.

5.2. Категории субъектов.

5.2.1. Субъектами, персональные данные которых обрабатываются в связи с реализацией служебных или трудовых отношений, являются:

- лица, замещающие государственные должности и должности государственной гражданской службы в Министерстве;

- работники Министерства, не являющиеся государственными гражданскими служащими;

- руководители подведомственных Министерству организаций;

- граждане, включенные в кадровый резерв Министерства;

- граждане, принявшие участие в конкурсах на замещение должности в Министерстве;

- граждане, не допущенные к участию в конкурсах на замещение должности в Министерстве.

5.2.2. Субъектами, персональные данные которых обрабатываются в связи с реализацией государственных услуг, являются:

- граждане (заявители), направившие обращение в Министерство для получения лицензии на образовательную деятельность, свидетельство о государственной аккредитации;

- граждане (заявители), направившие обращение в Министерство для получения подтверждения документов об образовании (апостиля);

- граждане, подавшие заявление на постановку в очередь своих детей или подопечных в образовательные организации, реализующие образовательные программы дошкольного образования (далее - дошкольные образовательные организации);

- граждане, являющиеся очередниками в дошкольные образовательные организации;

- граждане, подавшие заявление на зачисление своих детей или подопечных в образовательные организации, реализующие образовательные программы начального общего, основного общего и среднего общего образования (далее - общеобразовательные организации);

- граждане, записанные на зачисление в общеобразовательные организации;

- граждане, подавшие заявление на зачисление своих детей или подопечных в образовательные организации, реализующие дополнительные общеобразовательные программы (далее - организации дополнительного образования);

- граждане, записанные на зачисление в организации дополнительного образования;

- граждане, подавшие заявление на зачисление своих детей или подопечных в образовательные организации, реализующие образовательные программы среднего профессионального образования (далее - организации СПО);

- граждане, записанные на зачисление в организации СПО.

5.2.3. Субъектами, персональные данные которых обрабатываются в связи с осуществлением государственных функций, являются:

- граждане, направившие обращения в Министерство;

- граждане, представленные к наградам, почетным званиям и др.;

- граждане, являющиеся обучающимися, воспитанниками и работниками образовательных организаций, данные которых обрабатываются в связи с осуществлением Министерством переданных Российской Федерацией полномочий по государственному контролю (надзору) в сфере образования;

- граждане, претендующие на право получения государственной поддержки в форме субсидии в сфере научной, научно-технической и инновационной деятельности;

- граждане, обучающиеся в организациях СПО, кандидаты на получение стипендии Правительства Российской Федерации;

- граждане, обучающиеся в организациях СПО, являющиеся участниками олимпиад, конкурсов;

- граждане, обучающиеся в организациях СПО, относящиеся к категории детей сирот и детей, оставшихся без попечения родителей, детей-инвалидов, инвалидов I и II групп;

- граждане, получившие документ об образовании в организациях СПО;

- граждане, являющиеся педагогическими работниками образовательных организаций, подавшие документы на прохождение аттестации для установления соответствия квалификационной категории;

- граждане, являющиеся родителями или опекунами воспитанников дошкольных образовательных организаций;

- граждане, являющиеся воспитанниками дошкольных образовательных организаций;

- граждане, являющиеся родителями или опекунами обучающихся общеобразовательных организаций;

- граждане, обучающиеся в общеобразовательных организациях, являющиеся участниками всероссийской олимпиады школьников;

- граждане, являющиеся работниками образовательных организаций, привлекаемые к проведению всероссийской олимпиады школьников;

- граждане, являющиеся педагогическими работниками образовательных организаций, участвующие в профессиональных конкурсах;

- граждане, являющиеся участниками государственной итоговой аттестации по образовательным программам основного общего и среднего общего образования (ОГЭ, ЕГЭ);

- граждане, являющиеся работниками образовательных организаций, привлекаемые для проведения государственной итоговой аттестации по образовательным программам основного общего и среднего общего образования (ОГЭ, ЕГЭ);

- граждане, относящиеся к категории детей-инвалидов, нуждающиеся в индивидуальных программах реабилитации или абилитации;

- граждане, являющиеся обучающимися организаций дополнительного образования, участвующие в международных, всероссийских, региональных мероприятиях различной направленности.

5.3. Перечень персональных данных, обрабатываемых в связи с реализацией служебных или трудовых отношений, оказанием государственных услуг и осуществлением государственных функций, указан в приложении к Правилам.

6. Порядок обработки персональных данных субъектов персональных данных, осуществляемой с использованием средств автоматизации

6.1. Безопасность персональных данных, обрабатываемых с использованием средств автоматизации, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным.

6.2. Уполномоченными должностными лицами при обработке персональных данных в информационных системах персональных данных должна быть обеспечена их безопасность с помощью системы защиты, включающей организационные меры и средства защиты информации, в том числе шифровальные (криптографические) средства.

6.3. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.

6.4. Самостоятельное подключение средств вычислительной техники, применяемых для хранения, обработки или передачи персональных данных, к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к информационно-телекоммуникационной сети Интернет, не допускается.

6.5. Доступ пользователей (операторов информационной системы) к персональным данным в информационных системах персональных данных должен требовать обязательного прохождения процедуры идентификации и аутентификации.

6.6. Структурными подразделениями (должностными лицами), ответственными за обеспечение безопасности персональных данных при их обработке в информационных системах, должно быть обеспечено:

а) своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до руководства;

б) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

в) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

г) постоянный контроль за обеспечением уровня защищенности персональных данных;

д) знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

ж) при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;

з) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

6.7. В случае выявления нарушений порядка обработки персональных данных в информационных системах уполномоченными должностными лицами принимаются меры по установлению причин нарушений и их устранению.

7. Порядок обработки персональных данных субъектов персональных данных, осуществляемой без использования средств автоматизации

7.1. Обработка персональных данных без использования средств автоматизации уполномоченным должностным лицом осуществляется на материальных (бумажных) носителях персональных данных для целей, указанных в п. 4.1. настоящих Правил.

7.2. При разработке и использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, фамилию, имя, отчество и адрес субъекта персональных данных, чьи персональные данные вносятся в указанную типовую форму, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, чьи персональные данные содержатся в типовой форме, при ознакомлении со своими персональными данными, не имел возможности доступа к персональным данным иных лиц, содержащимся в указанной типовой форме;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели, обработки которых заведомо не совместимы.

7.3. Уничтожение или обезличивание персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.

7.4. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем изготовления нового материального носителя с уточненными персональными данными.

8. Порядок обработки персональных данных государственных гражданских служащих и работников Министерства

8.1. Обработка персональных данных государственных гражданских служащих и работников Министерства (далее - служащие) осуществляется с их письменного согласия, которое действует со дня их поступления на службу (работу) на время прохождения службы (работы).

8.2. Лицо, уполномоченное на обработку персональных данных служащих в связи с реализацией служебных или трудовых отношений, (далее - специалист) обеспечивает защиту персональных данных служащих, содержащихся в личных делах, от неправомерного их использования или утраты.

8.3. Обработка персональных данных служащих может осуществляться как с использованием средств автоматизации, так и без использования таких средств.

8.4. При обработке персональных данных служащих специалист обязан соблюдать следующие требования:

а) объем и характер обрабатываемых персональных данных, способы обработки персональных данных должны соответствовать целям обработки персональных данных;

б) защита персональных данных служащего от неправомерного их использования или уничтожения обеспечивается в порядке, установленном нормативными правовыми актами Российской Федерации;

в) передача персональных данных служащего не допускается без письменного согласия служащего, за исключением случаев, установленных федеральными законами. В случае если лицо, обратившееся с запросом, не обладает соответствующими полномочиями на получение персональных данных служащего, либо отсутствует письменное согласие служащего на передачу его персональных данных, специалист вправе отказать в предоставлении персональных данных. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации;

г) обеспечение конфиденциальности персональных данных служащих, за исключением случаев обезличивания персональных данных и в отношении персональных данных, разрешенных субъектом персональных данных для распространения;

д) хранение персональных данных должно осуществляться в форме, позволяющей определить служащего и иное лицо, являющееся субъектом персональных данных, не дольше, чем этого требуют цели их обработки. Указанные сведения подлежат уничтожению по достижении цели обработки или в случае утраты необходимости в их достижении, если иное не установлено законодательством Российской Федерации. Факт уничтожения персональных данных оформляется соответствующим актом;

е) опубликование и распространение персональных данных служащих допускается в случаях, установленных законодательством Российской Федерации.

8.5. В целях обеспечения защиты персональных данных служащие вправе:

а) получать полную информацию о своих персональных данных и способе обработки этих данных (в том числе автоматизированной);

б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, за исключением случаев, предусмотренных Федеральным законом;

в) требовать внесения необходимых изменений, уничтожения или блокирования соответствующих персональных данных, которые являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

г) обжаловать в порядке, установленном законодательством Российской Федерации, действия (бездействие) уполномоченных должностных лиц.

9. Сроки обработки и хранения персональных данных, порядок их уничтожения при достижении целей обработки или при наступлении иных законных оснований

9.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

9.2. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

9.3. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом или другими федеральными законами.

9.4. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.

9.5. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных выше, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.