Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение N 3
к Методическим рекомендациям
Правила
обработки персональных данных субъектов персональных данных в (Наименование Организации), устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований
1. Общие положения
1.1. Настоящие правила обработки персональных данных субъектов персональных данных в (Наименование Организации) (далее - Правила) разработаны в целях:
- обеспечения защиты прав и свобод субъектов персональных данных при обработке персональных данных в (Наименование Организации);
- установления процедур, направленных на выявление и предотвращение нарушений законодательства Российской Федерации о персональных данных, иных правовых актов Российской Федерации, Калининградской области (далее - законодательство в сфере персональных данных), внутренних документов (Наименование Организации) по вопросам обработки и защиты персональных данных;
- определения целей обработки (Наименование Организации) персональных данных в установленной сфере деятельности, включая содержание обрабатываемых персональных данных, категории субъектов персональных данных, данные которых обрабатываются, сроки обработки (включая хранение) обрабатываемых персональных данных, а также порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований;
- установления ответственности работников (Наименование Организации), имеющих доступ к персональным данным субъектов персональных данных (далее - ПДн), за невыполнение требований норм, регулирующих обработку ПДн, установленных законодательством Российской Федерации, настоящим документом и иными внутренними документами (Наименование Организации).
1.2. Настоящие Правила разработаны в соответствии с законодательством Российской Федерации в области обработки и защиты ПДн и нормативными правовыми актами Калининградской области.
1.3. Действие настоящих Правил не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов, а также при обработке ПДн, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
1.4. Из числа работников (Наименование Организации) определяются лица, осуществляющие обработку ПДн в (Наименование Организации) и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение требований в области обработки и защиты ПДн.
2. Основные понятия
В настоящих Правилах используются следующие основные понятия и определения:
2.1. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
2.2. Безопасность ПДн - комплекс мер, соответствующих требованиям законодательства в сфере защиты ПДн, направленных на обеспечение защищенности ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
2.3. Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.4. Материальный носитель информации - материальный объект, используемый для закрепления и хранения на нем речевой, звуковой или изобразительной информации, в том числе в преобразованном виде.
2.5. Неавтоматизированная обработка ПДн (обработка ПДн без использования средств автоматизации) - обработка ПДн, при которой такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого субъекта ПДн осуществляются при непосредственном участии человека. Обработка ПДн не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что ПДн содержатся в ИСПДн либо были извлечены из нее.
2.6. Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн. Действия (операции) с ПДн:
- сбор - действия (операции), направленные на получение ПДн;
- запись - действия (операции), направленные на фиксирование ПДн на материальных носителях и в ИСПДн;
- систематизация - действия (операции) по группировке ПДн;
- накопление - действия (операции) по сбору ПДн и формированию баз данных ПДн;
- хранение - действия (операции) с ПДн, направленные на создание условий для сохранности ПДн, включая их защиту от несанкционированного доступа до момента, когда ПДн должны быть уничтожены;
- извлечение - действия (операции), направленные на выборку ПДн из других сведений;
- уточнение (обновление, изменение) - действия (операции) с ПДн, совершаемые в целях их актуализации в случае изменения ПДн;
- использование - действия (операции) с ПДн, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПДн или других лиц либо иным образом затрагивающих права и свободы субъекта ПДн или других лиц;
- распространение - действия, направленные на раскрытие ПДн неопределенному кругу лиц, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом;
- предоставление - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
- доступ - действия, направленные на предоставление доступа к ПДн;
- обезличивание - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;
- блокирование - действия, направленные на временное прекращение обработки ПДн (за исключением случаев, если обработка ПДн необходима для уточнения ПДн);
- удаление, уничтожение - действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и/или в результате которых уничтожаются материальные носители ПДн.
2.7. Иные понятия, применяемые в настоящих Правилах, используются в значениях, определенных законодательством Российской Федерации в области обработки и защиты ПДн и нормативными правовыми актами Калининградской области.
3. Цели обработки персональных данных и субъекты персональных данных
3.1. Обработка персональных данных осуществляется (Наименование Организации) в следующих целях: (указать цели обработки ПДн применительно к специфике деятельности конкретной Организации).
В соответствии с целями обработки ПДн, приведенными в качестве примера в Политике в отношении обработки персональных данных, целями обработки ПДн могут быть:
3.1.1. Обеспечение соблюдения федеральных законов и иных нормативных актов Российской Федерации и Калининградской области, регулирующих вопросы ведения бухгалтерского, налогового и воинского учета, кадровой работы при прохождении гражданами государственной гражданской службы Калининградской области в Организации.
3.1.2. Обеспечение соблюдения федеральных законов и иных нормативных правовых актов Российской Федерации, регулирующих вопросы участия граждан в конкурсах на включение в кадровый резерв и замещение вакантных должностей государственной гражданской службы Калининградской области в Организации.
3.1.3. Оформление доверенностей государственным гражданским служащим.
3.1.4. Проведение закупок в соответствии с требованиями Федерального закона от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд".
3.1.5. Заключение и исполнение государственных контрактов с контрагентами.
3.1.6. Обеспечение соблюдения федеральных законов и иных нормативных, правовых актов, регламентирующих правоотношения в сфере рассмотрения обращений физических и юридических лиц, обеспечение доступа к информации о деятельности государственных органов.
3.1.7. Предоставление государственных или муниципальных услуг и осуществление государственных или муниципальных функций.
Если для каких-либо целей обработки ПДн Организация является оператором ИСПДн, в которой ПДн обрабатываются в указанных целях, этот факт рекомендуется отразить по тексту документа. Далее приведен пример для случая, когда для цели обработки, указанной в п. 3.1.7, Организация является оператором ИСПДн, но не является оператором ПДн, обрабатываемых в этой ИСПДн.
3.2. Для целей обработки персональных данных, указанных в пунктах 3.1.1-3.1.6 настоящих Правил, (Наименование Организации) является оператором ПДн, организующим и (или) осуществляющим обработку ПДн, формируемых при осуществлении полномочий (Наименование Организации), а также определяющим цели и содержание обработки таких ПДн, действия (операции), совершаемые с ними.
3.3. Перечень обрабатываемых ПДн для целей, указанных в пунктах 3.1.1-3.1.6 настоящих Правил, закреплен в Перечне ПДн, обрабатываемых в (Наименование Организации), утверждаемом (Наименование Организации) в установленном порядке. Пересмотр содержания Перечня ПДн, обрабатываемых в (Наименование Организации), проводится по необходимости, но не реже одного раза в 3 (три) года.
3.4. При организации обработки ПДн в целях, предусмотренных пунктами 3.1.1-3.1.6 настоящих Правил, (Наименование Организации) осуществляется обработка ПДн путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), блокирования, удаления, уничтожения ПДн.
3.5. Для цели обработки ПДн, указанной в пункте 3.1.7 настоящих Правил, (Наименование Организации) является оператором ИСПДн и обеспечивает эксплуатацию ИСПДн, выполняя обработку ПДн в части записи, хранения и передачи с использованием средств автоматизации, при этом перечень обрабатываемых ПДн, перечень других действий, совершаемых при их обработке, перечень лиц, осуществляющих обработку ПДн, правила обработки ПДн в ИСПДн определяются оператором ПДн, обрабатываемых в этих ИСПДн.
3.6. Перечень информационных систем, в которых осуществляется обработка ПДн, закреплен в Перечне информационных систем персональных данных (Наименование Организации), утверждаемом (Наименование Организации) в установленном порядке.
3.7. К субъектам ПДн, чьи данные обрабатываются в (Наименование Организации), относятся: (указать перечень категорий субъектов ПДн применительно к специфике деятельности конкретной Организации).
Категориями субъектов ПДн, чьи данные обрабатываются в Организации, могут быть:
- государственные гражданские служащие;
- ближайшие родственники государственных гражданских служащих;
- уволенные государственные гражданские служащие;
- кандидаты, принимающие участие в конкурсе на замещение вакантных должностей гражданской службы Организации;
- представители организаций - участников закупок, проводимых Организацией в соответствии с требованиями Федерального закона от 5 апреля 2013 г. N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд" (далее - участники закупок);
- представители контрагентов;
- физические лица, обратившиеся в Организацию с жалобой, предложением, заявлением или направившие запрос о предоставлении информации о деятельности Организации, ее подведомственных учреждений и предприятий;
- физические лица, предоставившие свои персональные в рамках исполнения Организацией своих полномочий.
4. Основные правила обработки персональных данных
4.1. Обработка ПДн может осуществляться (Наименование Организации) в случаях, установленных законодательством Российской Федерации в сфере ПДн, в том числе в случаях, когда:
4.1.1. Обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн в случаях, установленных законодательством Российской Федерации.
4.1.2. Обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на (Наименование Организации) функций, полномочий и обязанностей.
4.1.3. Обработка ПДн необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти Калининградской области и иных субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта ПДн в информационной системе Калининградской области "Государственные и муниципальные услуги".
4.1.4. Обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем.
4.1.5. Обработка ПДн необходима для осуществления прав и законных интересов (Наименование Организации) или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн.
4.1.6. Осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе.
4.1.7. Осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации и Калининградской области.
4.2. В целях обеспечения прав и свобод человека и гражданина при обработке ПДн (Наименование Организации) обязана соблюдать следующие общие требования:
4.2.1. При определении объема и содержания обрабатываемых ПДн (Наименование Организации) должна руководствоваться законодательством Российской Федерации и нормативными правовыми актами Калининградской области.
4.2.2. Все ПДн следует получать непосредственно у субъекта ПДн, за исключением случаев, когда право (Наименование Организации) на получение ПДн иным способом установлено законодательством Российской Федерации в сфере ПДн и правовыми актами, принимаемыми в соответствии с данным законодательством или по поручению оператора ПДн.
Если предоставление ПДн является обязательным в соответствии с федеральным законом, но субъект ПДн отказывается их предоставить, необходимо разъяснить субъекту ПДн юридические последствия такого отказа.
4.2.3. Если ПДн получены не от субъекта ПДн, то до начала обработки таких ПДн необходимо предоставить субъекту ПДн информацию, определенную ч. 3 ст. 18 Федерального закона N 152-ФЗ "О персональных данных", за исключением случаев, предусмотренных ч. 4 ст. 18 требований Федерального закона N 152-ФЗ "О персональных данных".
4.2.4. В случае передачи ПДн третьей стороне обязательным требованием является наличие согласия субъекта ПДн, за исключением случаев, установленных законодательством Российской Федерации и нормативными правовыми актами Калининградской области.
4.2.5. (Наименование Организации) не имеет права получать и обрабатывать ПДн о ее членстве в общественных объединениях, за исключением случаев, предусмотренных законодательством Российской Федерации, нормативными правовыми актами Калининградской области.
4.2.6. ПДн не могут быть использованы в целях причинения имущественного и морального вреда субъекту ПДн, ограничения реализации его прав и свобод.
4.3. Доступ к ПДн:
4.3.1. Перечень должностей работников (Наименование Организации), осуществляющих обработку ПДн, закреплен в Перечне должностей работников (Наименование Организации), замещение которых предусматривает осуществление обработки персональных данных, утверждаемом (Наименование Организации) в установленном порядке.
В Перечне должностей работников также указываются должности тех работников, которые обеспечивают эксплуатацию ИСПДн, в отношении которых Организация является оператором ИСПДн.
4.3.2. Доступ к ПДн, обрабатываемым в (Наименование Организации), разрешается только работникам, должности которых включены в Перечень должностей работников (Наименование Организации), замещение которых предусматривает осуществление обработки персональных данных и только в необходимом объеме.
4.3.3. До начала обработки ПДн все работники (Наименование Организации) ознакомлены с положениями внутренних нормативных документов по вопросам обработки и обеспечения безопасности ПДн в (Наименование Организации) и подписывают Обязательство о неразглашении и обеспечении безопасности персональных данных.
4.3.4. До сведения работников (Наименование Организации), осуществляющих обработку ПДн, доводятся положения законодательства в сфере ПДн.
4.3.5. Работники (Наименование Организации), осуществляющие обработку ПДн без использования средств автоматизации, проинформированы:
- о факте обработки ими ПДн, осуществляемой без использования средств автоматизации;
- о категориях обрабатываемых ПДн;
- об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами, в том числе федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также внутренними документами (Наименование Организации);
- об ответственности в случае нарушении норм, регулирующих обработку и защиту ПДн, установленных законодательством Российской Федерации.
5. Правила обмена персональными данными с третьими лицами
5.1. (Наименование Организации) в ходе своей деятельности может получать ПДн от третьих лиц и передавать ПДн третьим лицам в установленных целях.
5.2. Обмен ПДн может осуществляться в следующих случаях:
- в случае получения или отправки письменного запроса на предоставление ПДн;
- в случае, когда (Наименование Организации) поручает обработку ПДн третьему лицу;
- в случае, когда (Наименование Организации) поручается обработка ПДн;
- в случае, когда между (Наименование Организации) и третьим лицом заключен договор (соглашение) и ПДн необходимо предоставить для исполнения договора;
- в случае, когда обмен ПДн осуществляется в целях исполнения требований законодательства.
5.3. Запрос на предоставление ПДн:
5.3.1. В случае получения (Наименование Организации) запроса на предоставление ПДн проверяется законность такого запроса и принимается решение о возможности предоставления ПДн.
5.3.2. Порядок рассмотрения запросов субъектов ПДн и их представителей определен в Правилах рассмотрения запросов субъектов персональных данных и их представителей.
5.3.3. В случае, если (Наименование Организации) направляет запрос на предоставление ПДн, такой запрос должен содержать цель запроса, правовые основания запроса, перечень запрашиваемой информации.
Обмен ПДн по телефону, факсу, электронной почте осуществляется при соблюдении конфиденциальности и по защищенным каналам связи или в зашифрованном виде. Обмен ПДн по незащищенным каналам связи не допускается.
5.3.4. Ответы на письменные запросы третьих лиц в пределах их компетенции и предоставленных полномочий даются в письменной форме и в необходимом объеме.
5.4. Поручение (Наименование Организации) обработки ПДн третьему лицу:
5.4.1. (Наименование Организации) вправе поручить обработку ПДн третьему лицу. При этом должны быть определены цели обработки ПДн. Третье лицо не вправе осуществлять обработку ПДн в любых иных целях, кроме указанных в поручении на обработку.
Поручение органом исполнительной власти (ОИВ) обработки ПДн третьим лицам может осуществляться путем заключения государственного контракта либо путем принятия ОИВ соответствующего акта (поручение оператора). Существенным условием поручения оператора является обязанность обеспечения указанным лицом конфиденциальности и безопасности ПДн при их обработке.
5.4.2. Поручение на обработку ПДн должно содержать сведения, приведенные в ч. 3 ст. 6 Федерального закона N 152-ФЗ "О персональных данных".
5.4.3. (Наименование Организации) вправе поручить обработку ПДн только с согласия субъекта ПДн.
5.4.4. В случае если (Наименование Организации) поручает обработку ПДн третьему лицу, ответственность перед субъектом ПДн за действия указанного лица несет (Наименование Организации).
5.5. Поручение обработки ПДн (Наименование Организации):
5.5.1. (Наименование Организации) может быть поручена обработка ПДн от другого лица, являющегося оператором ПДн, на основании заключаемого с этим лицом договора (государственного или муниципального контракта) либо путем принятия государственным или муниципальным органом соответствующего нормативного правового акта Калининградской области об информационной системе, в котором (Наименование Организации) является участником информационно-технологического взаимодействия.
5.5.2. (Наименование Организации) при осуществлении обработки ПДн по поручению оператора обязана соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом N 152-ФЗ "О персональных данных".
5.5.3. (Наименование Организации) при осуществлении обработки ПДн по поручению оператора не обязана получать согласие субъекта ПДн на обработку его ПДн.
5.5.4. (Наименование Организации) при осуществлении обработки ПДн по поручению оператора несет ответственность перед оператором.
5.6. Обмен ПДн в рамках договорных отношений:
5.6.1. Договор между (Наименование Организации) и третьим лицом, в рамках исполнения которого будут предоставляться ПДн, должен содержать обязательство о соблюдении конфиденциальности ПДн.
5.7. Обмен ПДн на основании действующего законодательства:
5.7.1. Получателями ПДн в соответствии с законодательством Российской Федерации являются Фонд социального страхования Российской Федерации, Пенсионный фонд Российской Федерации, Федеральная инспекция труда, налоговые органы, правоохранительные и судебные органы, органы статистики и иные органы надзора и контроля соблюдения законодательства о труде.
6. Хранение персональных данных
6.1. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.
6.2. Сроки хранения ПДн в (Наименование Организации) определяются исходя из целей обработки ПДн и в соответствии с требованиями федеральных законов Российской Федерации.
6.3. Срок хранения ПДн в электронном виде не должен превышать срок хранения этих же данных на бумажных носителях.
6.4. При хранении ПДн на машинных носителях (Наименование Организации) обеспечивается регулярное резервное копирование информации с целью недопущения потери ПДн при выходе из строя машинных носителей ПДн.
7. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований
7.1. В (Наименование Организации) ПДн уничтожаются в следующих случаях:
- достижения цели обработки ПДн (в том числе по истечении установленных сроков хранения);
- отзыва субъектом ПДн согласия на обработку своих ПДн, когда это согласие является обязательным условием обработки ПДн;
- невозможности устранения допущенных при обработке ПДн нарушений;
- получения соответствующего предписания от уполномоченного органа по защите прав субъектов ПДн.
7.2. Лица, осуществляющие обработку ПДн на бумажных и электронных носителях, осуществляют систематический контроль и выделение документов и сведений, содержащих ПДн, с истекшими сроками хранения, подлежащих уничтожению.
7.3. Уничтожение документов и сведений с истекшим сроком хранения осуществляется в установленном в (Наименование Организации) порядке.
Сроки хранения ПДн также могут определены в Сводной номенклатуре дел.
7.4. Сроки уничтожения ПДн в случаях, приведенных в п. 7.1 настоящих Правил, определяются ст. 21 ФЗ-152 Федерального закона N 152-ФЗ "О персональных данных":
7.5. Уничтожение ПДн на бумажных и электронных носителях производится путем, не позволяющим произвести считывание или восстановление ПДн.
7.6. Уничтожение ПДн осуществляется комиссией, назначаемой приказом (распоряжением) по (Наименование Организации).
7.7. По результатам уничтожения составляется Акт уничтожения персональных данных в (Наименование Организации).
Форма Акта уничтожения персональных данных определяется Организацией самостоятельно.
8. Правила обработки персональных данных, осуществляемой без использования средств автоматизации
8.1. При неавтоматизированной обработке ПДн на материальных носителях должны выполняться требования, установленные Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687.
8.2. При работе с материальными носителями ПДн должны выполняться следующие правила:
8.2.1. Хранение материальных носителей ПДн допускается только в тех помещениях и хранилищах (шкафах, сейфах), которые указаны в Перечне мест хранения материальных носителей персональных данных в (Наименование Организации). В случае необходимости организации нового хранилища соответствующие изменения вносятся в Перечень мест хранения материальных носителей персональных данных.
8.2.2. Материальные носители ПДн должны храниться в сейфах или запирающихся шкафах. Постоянное хранение материальных носителей ПДн в ящиках столов, открытых шкафах и других не предназначенных для этого местах не допускается.
8.2.3. Неконтролируемое пребывание посторонних лиц в помещениях, в которых хранятся материальные носители ПДн, не допускается. На время отсутствия работников на рабочем месте помещения должны запираться.
8.2.4. Необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях 1.
8.2.5. За сохранность конкретного материального носителя ПДн отвечает работник, получивший этот материальный носитель в пользование.
8.2.6. В целях обеспечения сохранности и безопасности материальных носителей ПДн работникам (Наименование Организации) запрещается:
- разглашать содержимое материальных носителей ПДн;
- передавать материальные носители ПДн лицам, не имеющим права доступа к ним;
- несанкционированно вносить какие-либо изменения в содержимое материальных носителей ПДн;
- использовать материальные носители ПДн, подлежащие уничтожению;
- оставлять материальные носители ПДн на столах и в других легкодоступных местах при отсутствии работника на рабочем месте;
- несанкционированно копировать и/или тиражировать материальные носители ПДн;
- несанкционированно выносить материальные носители ПДн за пределы служебных помещений.
8.2.7. Вывод на печать документов, содержащих ПДн, допускается в связи с исполнением служебных обязанностей, в том числе в целях передачи печатных копий субъектам ПДн либо лицам, допущенным в соответствии с настоящими Правилами к работе с ПДн.
8.2.8. При печати ПДн на материальные носители ПДн запрещается оставлять материальные носители ПДн в принтере после печати.
9. Обеспечение защиты персональных данных
9.1. Защита ПДн обеспечивается совокупностью организационных, технических и правовых мероприятий, необходимых для обеспечения уровня защищенности ПДн, установленного законодательством Российской Федерации и внутренними документами (Наименование Организации), в том числе ограничением доступа к ПДн и в помещения, в которых осуществляется обработка ПДн.
9.2. Защите подлежат:
- документы, содержащие ПДн на бумажных носителях;
- ПДн, содержащиеся на электронных носителях и (или) в информационных системах.
9.3. Лица, осуществляющие обработку ПДн на бумажных и электронных носителях, обеспечивают их защиту от несанкционированного доступа и копирования в соответствии с требованиями законодательства Российской Федерации в сфере ПДн, внутренних документов (Наименование Организации) по вопросам обработки и защиты ПДн.
9.4. Обрабатываемые ПДн подлежат защите от актуальных угроз безопасности информации. Безопасность ПДн при их обработке обеспечивается путем принятия правовых, организационных и технических мер, направленных на защиту ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении ПДн.
9.5. Обеспечение безопасности ПДн достигается:
- определением угроз безопасности ПДн при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей ПДн;
- обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к ПДн, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в информационной системе персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ПДн, обрабатываемых в информационных системах персональных данных.
10. Права субъектов персональных данных
Субъекты ПДн, данные которых обрабатываются в (Наименование Организации), имеют право:
- получать у (Наименование Организации) полную информацию, касающуюся обработки их ПДн;
- осуществлять свободный бесплатный доступ к своим ПДн, включая право получать копии любой записи, содержащей ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации и Калининградской области;
- требовать уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- обжаловать действия или бездействие (Наименование Организации) в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если субъект ПДн считает, что (Наименование Организации) осуществляет обработку его ПДн с нарушением требований Федерального закона N 152-ФЗ "О персональных данных" или иным образом нарушает его права и свободы;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке;
- осуществлять иные действия, предусмотренные законодательством Российской Федерации в сфере ПДн.
1 Допускается хранение таких материальных носителей ПДн в одном шкафу на различных полках. При этом материальные носители ПДн должны быть сгруппированы по целям обработки зафиксированных на них ПДн.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.