Глава 6. Правила обработки персональных данных. Приказ Службы государственного экологического надзора Иркутской области от 30.11.2022 N 71-5-спр "О принятии мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом "О персональных данных" (с изменениями и дополнениями)

Глава 6. Правила обработки персональных данных

16. Персональные данные субъекта подлежат обработке с использованием средств автоматизации или без использования таких средств.

17. Обработка персональных данных в Службе подразумевает действия по сбору, записи, систематизации, накоплению, хранению, обновлению, изменению, извлечению, использованию, распространению, предоставлению, доступу, обезличиванию, блокированию, удалению, уничтожению персональных данных субъектов, персональные данные которых обрабатываются в Службе.

18. Персональные данные защищаются от несанкционированного доступа в соответствии с нормативными правовыми актами Российской Федерации, нормативными распорядительными актами и рекомендациями регулирующих органов в области защиты информации, а также правовыми и распорядительными актами Службы.

19. Обработка персональных данных лица без его письменного согласия не допускается, за исключением случаев, предусмотренных федеральными законами, с соблюдением требований, установленных законодательством Российской Федерации о персональных данных.

20. Условием обработки персональных данных субъекта персональных данных является наличие письменного согласия на обработку персональных данных установленной формы.

Оно может быть дано субъектом персональных данных или его представителем и должно включать в себя:

фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

цель обработки персональных данных;

перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

подпись субъекта персональных данных.

21. Документы, содержащие персональные данные субъекта персональных данных, составляют его личное дело.

Личное дело хранится уполномоченным лицом на бумажных носителях.

Личное дело пополняется на протяжении всей трудовой деятельности субъекта персональных данных.

Письменные доказательства получения согласия субъекта персональных данных на обработку его персональных данных хранятся в личном деле субъекта персональных данных.

22. Должностные лица Службы, в обязанности которых входит обработка персональных данных, обязаны обеспечить каждому субъекту персональных данных возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом, а также с материалами личных дел субъектов персональных данных.

23. Защита персональных данных субъекта от неправомерного их использования или утраты обеспечивается Службой в порядке, установленном действующим законодательством.

24. Должностные лица Службы, непосредственно осуществляющие обработку персональных данных, в случае расторжения с ними служебного контракта обязаны прекратить обработку персональных данных, ставших известными им в связи с исполнением должностных обязанностей.

25. В случае выявления недостоверных персональных данных или неправомерных действий с ними Служба обязана осуществить блокирование персональных данных, относящихся к соответствующему субъекту, с момента получения такой информации на период проверки. В случае подтверждения факта недостоверности персональных данных Служба на основании соответствующих документов обязана уточнить персональные данные и снять их блокирование.

26. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.

27. В случае выявления неправомерной обработки персональных данных Служба в срок, не превышающий трех рабочих дней с даты этого выявления, обязана устранить допущенные нарушения.

В случае невозможности обеспечить правомерность обработки персональных данных Служба в срок, не превышающий десяти рабочих дней с даты выявления неправомерности действий с персональными данными, служба обязана уничтожить персональные данные.

Об устранении допущенных нарушений или об уничтожении персональных данных Служба не позднее трех рабочих дней с даты устранения или уничтожения указанных данных обязана уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.

28. В случае достижения цели обработки персональных данных Служба обязана прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.

29. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Служба обязана прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.

Об уничтожении персональных данных Служба обязана уведомить субъекта персональных данных не позднее трех рабочих дней со дня уничтожения.

30. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных выше, Служба осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок, не превышающий шесть месяцев, если иной срок не установлен федеральными законами.

31. Доступ со стороны третьих лиц к персональным данным субъекта осуществляется с его письменного согласия, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта или других лиц, и иных случаев, установленных законодательством.

32. Для защиты персональных данных соблюдается ряд мер организационно-технического характера, включая:

ограничение и регламентацию состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей персональные данные;

правила хранения бумажных носителей, утвержденные в установленном законом порядке;

соблюдение парольной политики, утвержденной в установленном законом порядке;

соблюдение антивирусной политики, утвержденной в установленном законом порядке;

правила резервного копирования, утвержденные в установленном законом порядке;

правила доступа в помещения, в которых ведется обработка персональных данных, утвержденные руководителем Службы.

33. Порядок конкретных мероприятий по защите персональных данных с использованием или без использования средств автоматизации определяется распоряжением руководителя Службы.