Приложение 1. Положение об обработке и обеспечении защиты персональных данных в Народном Собрании (Парламенте) Карачаево-Черкесской Республики. Распоряжение Народного Собрания (Парламента) Карачаево-Черкесской Республики от 16.11.2022 N 54р "Об обработке и обеспечении защиты персональных данных в Народном Собрании (Парламенте) Карачаево-Черкесской Республики"

Приложение 1

к распоряжению Председателя

Народного Собрания (Парламента)

Карачаево-Черкесской Республики

от 16 ноября 2022 г. N 54р

Положение
об обработке и обеспечении защиты персональных данных в Народном Собрании (Парламенте) Карачаево-Черкесской Республики

I. Общие положения

1.1. Настоящее Положение определяет политику Народного Собрания (Парламента) Карачаево-Черкесской Республики (далее - Народное Собрание) как оператора, осуществляющего обработку персональных данных, в отношении обработки и обеспечения защиты персональных данных и устанавливает порядок обработки персональных данных в Народном Собрании.

1.2. Понятия, используемые в настоящем Положении, применяются в значениях, определенных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных".

1.3. Обработка персональных данных в Народном Собрании осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных и настоящим Положением.

1.4. Лица, замещающие отдельные государственные должности Карачаево-Черкесской Республики и должности государственной гражданской службы Карачаево-Черкесской Республики, замещение которых дает право обработки персональных данных либо доступа к персональным данным в Народном Собрании (далее - уполномоченные лица Народного Собрания) ознакамливаются с положениями законодательства Российской Федерации и нормативными правовыми актами Карачаево-Черкесской Республики в области персональных данных (в том числе с требованиями к защите персональных данных) и подписывают Обязательство уполномоченного лица, замещающего должность, замещение которой дает право обработки персональных данных либо доступа к персональным данным в Народном Собрании, по соблюдению требований законодательства Российской Федерации в области персональных данных согласно Приложению 1 к настоящему Положению.

II. Категории субъектов персональных данных

2.1. Народное Собрание является оператором, организующим и осуществляющим в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" обработку персональных данных следующих субъектов персональных данных:

1) лиц, замещающих государственные должности Карачаево-Черкесской Республики в Народном Собрании (далее - депутатов Народного Собрания);

2) лиц, претендующих на замещение государственных должностей Карачаево-Черкесской Республики и (или) назначаемых Народным Собранием;

3) лиц, замещающих должности государственной гражданской службы Карачаево-Черкесской Республики в Народном Собрании (далее - гражданские служащие Народного Собрания);

4) граждан, претендующих на замещение должностей гражданской службы в Народном Собрании;

5) работников Народного Собрания, замещающих должности, не являющиеся должностями государственной гражданской службы (далее - работники Народного Собрания);

6) граждан, претендующих на замещение должностей работников Народного Собрания;

7) лиц, осуществляющих на непостоянной основе деятельность помощников депутатов Народного Собрания;

8) граждан, претендующих на осуществление на непостоянной основе деятельности помощников депутатов Народного Собрания;

9) лиц, состоящих в родстве (свойстве) с субъектами персональных данных, указанными в подпунктах 1 - 5 настоящего пункта (члены их семей);

10) лиц, представляемых к награждению государственными и ведомственными наградами, наградные материалы по которым представлены в Народное Собрание;

11) иных сторонних лиц, обработка персональных данных которых осуществляется Народным Собранием в соответствии с законодательством Российской Федерации и законодательством Карачаево-Черкесской Республики (далее - иные сторонние лица).

III. Цели обработки персональных данных в Народном Собрании

3.1. Персональные данные субъектов персональных данных, указанных в подпунктах 1 - 10 пункта 2.1 раздела II настоящего Положения обрабатываются в целях:

1) формирования кадровых документов для избрания на государственную должность Карачаево-Черкесской Республики в Народном Собрании (далее - государственная должность) и ее замещения на профессиональной (постоянной) основе, для замещения должностей государственной гражданской службы Карачаево-Черкесской Республики, для замещения должностей, не относящихся к должностям государственной гражданской службы, и для осуществления на непостоянной основе деятельности помощников депутатов Народного Собрания, для выполнения связанных с этим требований законодательства Российской Федерации и Карачаево-Черкесской Республики о статусе лиц, замещающих государственные должности субъектов Российской Федерации и о статусе депутатов, законодательства Российской Федерации о государственной гражданской службе, трудового законодательства, законодательства Российской Федерации о противодействии коррупции, а также требований иных федеральных законов и законов Карачаево-Черкесской Республики;

2) осуществления действий, связанных с обеспечением депутатам Народного Собрания, гражданским служащим Народного Собрания и работникам Народного Собрания условий труда, предоставления гарантий и компенсаций, осуществлением расчетов по выплате ежемесячного денежного вознаграждения, ежемесячного денежного содержания или заработной платы и иным выплатам, связанным с замещением государственной должности Карачаево-Черкесской Республики, должности государственной гражданской службы Карачаево-Черкесской Республики или должности, не относящейся к должностям государственной гражданской службы, иных действий, связанных с замещением названных должностей, представлением к государственным наградам Российской Федерации и награждением наградами Карачаево-Черкесской Республики и направленных на реализацию положений Федерального закона от 21 декабря 2021 г. N 414-ФЗ "Об общих принципах организации публичной власти в субъектах Российской Федерации", Федерального закона от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации", Федерального закона от 25 декабря 2008 г. N 273-ФЗ "О противодействии коррупции", Указа Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", трудового законодательства, иных нормативных правовых актов Российской Федерации, Закона Карачаево-Черкесской Республики от 12 февраля 1999 г. N 576-XXII "О Народном Собрании (Парламенте) Карачаево-Черкесской Республики", Закона Карачаево-Черкесской Республики от 27 сентября 1995 г. N 26-XXII "О статусе депутата Народного Собрания (Парламента) Карачаево-Черкесской Республики", Закона Карачаево-Черкесской Республики от 25 июля 2008 г. N 61-РЗ "О статусе лиц, замещающих государственные должности Карачаево-Черкесской Республики", Закона Карачаево-Черкесской Республики от 05 июля 2005 г. N 49-РЗ "О государственной гражданской службе Карачаево-Черкесской Республики", иных федеральных законов и законов Карачаево-Черкесской Республики.

3.2. Персональные данные иных сторонних лиц обрабатываются в целях рассмотрения должностными лицами Народного Собрания обращений организаций или граждан к представлению на награждение государственными наградами Карачаево-Черкесской Республики или ведомственными наградами Народного Собрания, иных обращений граждан и организаций в Народное Собрание с заявлениями (жалобами), организации личного приема граждан в соответствии с Федеральным законом от 02 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", Законом Карачаево-Черкесской Республики от 12 февраля 1999 г. N 576-XXII "О Народном Собрании (Парламенте) Карачаево-Черкесской Республики", Указом Президента Карачаево-Черкесской Республики от 22 января 2008 г. N 5 "О дополнительных гарантиях защиты права граждан на обращение в государственные органы, органы местного самоуправления и должностным лицам в Карачаево-Черкесской Республике", постановлением Народного Собрания (Парламента) Карачаево-Черкесской Республики от 01 октября 2020 г. N 228 "Об утверждении Положения о Почетной грамоте Народного Собрания (Парламента) Карачаево-Черкесской Республики", постановлением Народного Собрания (Парламента) Карачаево-Черкесской Республики от 09 февраля 2012 г. N 34 "Об утверждении Положения о Почетной грамоте Президиума Народного Собрания (Парламента) Карачаево-Черкесской республики и Положения о Благодарности Председателя Народного Собрания (Парламента) Карачаево-Черкесской Республики", распоряжением Председателя Народного Собрания (Парламента) Карачаево-Черкесской Республики "Порядок работы с обращениями граждан в Народном Собрании (Парламенте) Карачаево-Черкесской Республики".

IV. Права и обязанности лица, ответственного за организацию обработки персональных данных в Народном Собрании

4.1. Распоряжением Председателя Народного Собрания назначается из числа гражданских служащих Народного Собрания лицо, ответственное за организацию обработки персональных данных в Народном Собрании (далее - ответственное лицо).

4.2. Ответственное лицо в целях реализации своих полномочий имеет право:

1) давать поручения уполномоченным лицам Народного Собрания в связи с осуществлением внутреннего контроля за соблюдением в Народном Собрании требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;

2) запрашивать у депутатов Народного Собрания, гражданских служащих Народного Собрания и работников Народного Собрания информацию, необходимую для реализации своих полномочий;

3) получать доступ к информации, касающейся обработки персональных данных в Народном Собрании;

4) вносить предложения о совершенствовании правового, организационного и технического регулирования вопросов обеспечения безопасности персональных данных при их обработке в Народном Собрании;

5) вносить предложения о привлечении к дисциплинарной ответственности гражданских служащих Народного Собрания и работников Народного Собрания, виновных в нарушении законодательства Российской Федерации в области персональных данных.

4.3. Ответственное лицо в целях реализации своих полномочий обязано:

1) организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в Народном Собрании, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, представления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

2) осуществлять внутренний контроль за соблюдением в Народном Собрании требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;

3) обеспечивать доведение до сведения лиц, имеющих право на обработку персональных данных в Народном Собрании (далее - уполномоченные лица Народного Собрания) положений законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

4) вносить предложения по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации в области персональных данных;

5) в случае нарушения в Народном Собрании требований законодательства Российской Федерации в области персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

4.4. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

V. Состав, условия и способы обработки персональных данных в Народном Собрании

5.1. Состав персональных данных, обрабатываемых в Народном Собрании, определен в соответствии с Приложением 2 к настоящему Положению.

5.2. При обработке персональных данных в Народном Собрании объем и характер обрабатываемых персональных данных, способы обработки персональных данных должны соответствовать целям обработки персональных данных, указанным в пунктах 3.1 - 3.2 раздела III настоящего Положения.

5.3. Обработка персональных данных в Народном Собрании осуществляется как с использованием информационных систем, указанных в Приложении 3 к настоящему Положению (далее - информационные системы Народного Собрания), так и без использования средств автоматизации.

5.4. Обработка персональных данных субъектов персональных данных, указанных в пункте 2.1 раздела II настоящего Положения с использованием информационных систем Народного Собрания осуществляется в соответствии с требованиями, установленными законодательством Российской Федерации, Карачаево-Черкесской Республики и распоряжением Председателя Народного Собрания "О некоторых вопросах, связанных с обработкой и обеспечением безопасности персональных данных в информационных системах Народного Собрания (Парламента) Карачаево-Черкесской Республики".

5.5. Персональные данные субъектов персональных данных, указанных в пункте 2.1 раздела II настоящего Положения, обрабатываются на бумажных носителях и в информационных системах Народного Собрания, используемых структурным подразделением Народного Собрания, в ведении которого находятся вопросы государственной гражданской службы, кадров и наград, структурным подразделением Народного Собрания, в ведении которого находятся вопросы финансового обеспечения, и структурным подразделением, в ведении которого находятся вопросы по работе с обращениями граждан, в соответствии с компетенцией указанных структурных подразделений Народного Собрания.

VI. Правила обработки персональных данных

6.1. Депутатам Народного Собрания и гражданским служащим Народного Собрания при обработке персональных данных необходимо принимать правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокировки, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии с действующим законодательством.

6.2. Получение Народным Собранием персональных данных осуществляется непосредственно у субъекта персональных данных. Если персональные данные возможно получить только у третьих лиц, то субъект персональных данных уведомляет Народное Собрание об этом заранее и представляет свое письменно оформленное согласие на обработку персональных данных в соответствии с типовой формой такого согласия согласно приложению 4 к настоящему Положению (далее - письменное согласие на обработку персональных данных).

6.3. Согласие на обработку персональных данных субъекта персональных данных не требуется при обработке общедоступных персональных данных, а также в иных случаях, предусмотренных законодательством Российской Федерации в области персональных данных.

6.4. Уполномоченные лица Народного Собрания с учетом установленной компетенции сообщают субъекту персональных данных о составе персональных данных, обрабатываемых в Народном Собрании, и целях их обработки. Разъяснение юридических последствий отказа субъекта персональных данных представить свои персональные данные доводится до сведения субъектов персональных данных в соответствии с типовой формой такого разъяснения согласно Приложению 5 к настоящему Положению.

6.5. Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных допускается в случаях, устанавливаемых законодательством Российской Федерации.

При этом согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иного согласия субъекта персональных данных на обработку персональных данных по форме согласно вышеуказанному Приложению 4 к настоящему Положению с учетом норм, установленных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и разделом XVI настоящего Положения.

VII. Условия и порядок обработки персональных данных субъектов персональных данных в целях реализации служебных или трудовых отношений

7.1. Персональные данные субъектов персональных данных, указанных в подпунктах 1 - 10 пункта 2.1 раздела II настоящего Положения, обрабатываются в Народном Собрании в целях, установленных в пункте 3.1 раздела III настоящего Положения.

7.2. В целях, указанных в пункте 3.1 раздела III настоящего Положения, обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных в соответствии с положениями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных").

7.3. Согласие на обработку персональных данных субъекта персональных данных, чьи данные обрабатываются в целях, указанных в пункте 3.1 раздела III настоящего Положения, не требуется при обработке персональных данных в соответствии с пунктом 2 части 1 статьи 6 Федерального закона "О персональных данных".

7.4. Согласие на обработку специальных категорий персональных данных, а также биометрических персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, указанных в пункте 3.1 раздела III настоящего Положения, не требуется при обработке персональных данных в соответствии с пунктом 2.3 части 2 статьи 10 и частью 2 статьи 11 Федерального закона "О персональных данных" и положениями Трудового кодекса Российской Федерации, за исключением случаев получения персональных данных работника у третьей стороны.

7.5. Согласие субъекта персональных данных на обработку его персональных данных необходимо получить в следующих случаях:

1) при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных законодательством Российской Федерации о статусе лиц (статусе депутатов), замещающих государственные должности субъектов Российской Федерации, о государственной гражданской службе и о противодействии коррупции;

2) при трансграничной передаче персональных данных;

3) при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

7.6. В случаях, предусмотренных пунктом 7.5 настоящего Положения, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом "О персональных данных".

7.7. Обработка персональных данных в целях, указанных в пункте 3.1 раздела III настоящего Положения, осуществляется:

1) в отношении субъектов персональных данных, указанных в подпунктах 1 - 4, 9 пункта 2.1 раздела II настоящего Положения - гражданскими служащими Народного Собрания, на которых возложены функции по обеспечению осуществления деятельности по вопросам государственной службы и кадров;

2) в отношении субъектов персональных данных, указанных в подпунктах 7 - 8, 10 пункта 2.1 раздела II настоящего Положения - гражданскими служащими структурного подразделения Народного Собрания, в ведении которого находятся организационные вопросы и вопросы наград;

3) в отношении субъектов персональных данных, указанных в подпунктах 5 - 6 пункта 2.1 раздела II настоящего Положения, а также в подпунктах 1, 3, 5 пункта 2.1 раздела II настоящего Положения (по вопросам, связанным с финансами) - гражданскими служащими структурного подразделения Народного Собрания, в ведении которого находятся вопросы финансового обеспечения;

4) в отношении субъектов персональных данных, указанных в подпунктах 1 - 11 пункта 2.1 раздела II настоящего Положения в части регистрации поступивших документов - гражданскими служащими структурного подразделения Народного Собрания, в ведении которого находятся вопросы документационного обеспечения.

7.8. Обработка персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, указанных в пункте 3.1 раздела III настоящего Положения, включает в себя следующие действия: сбор (получение), запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

7.9. Сбор (получение), запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, указанных в пункте 3.1 раздела III настоящего Положения, осуществляется путем:

1) получения оригиналов необходимых документов;

2) копирования оригиналов документов;

3) внесения сведений в учетные формы (на бумажных и электронных носителях);

4) формирования персональных данных в ходе кадровой работы;

5) внесения персональных данных в информационные системы Народного Собрания, используемые в целях кадровой работы.

7.10. Сбор (получение), запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных, чьи данные обрабатываются в целях, указанных в пункте 3.1 раздела III настоящего Положения.

7.11. В случае возникновения необходимости получения третьими лицами персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, указанных в пункте 3.1 раздела III настоящего Положения, уполномоченное лицо Народного Собрания обязано известить об этом субъект персональных данных, получить его письменное согласие и сообщить о целях, предполагаемых источниках и способах получения персональных данных.

В случае обработки персональных данных субъектов персональных данных, указанных в подпункте 10 пункта 2.1 раздела II настоящего Положения, получение согласия от указанных лиц возлагается на лиц, ходатайствующих о награждении.

7.12. Запрещается получать, обрабатывать и приобщать к личным делам персональные данные субъектов персональных данных, указанных в подпунктах 1 - 10 пункта 2.1 раздела II настоящего Положения, касающиеся их расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, частной жизни, членства в общественных объединениях, за исключением случаев, предусмотренных частями 2 и 2.1 статьи 10 Федерального закона "О персональных данных".

7.13. При сборе персональных данных в целях, указанных в пункте 3.1 раздела III настоящего Положения, уполномоченное лицо Народного Собрания обязано разъяснить субъектам персональных данных юридические последствия отказа от предоставления персональных данных.

7.14. Передача (распространение, предоставление) и использование персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, указанных в пункте 3.1 раздела III настоящего Положения, осуществляются в случаях и в порядке, предусмотренных законодательством Российской Федерации.

VIII. Условия и порядок обработки персональных данных субъектов персональных данных в связи с рассмотрением обращений граждан

8.1. В Народном Собрании обработка персональных данных граждан осуществляется в целях обеспечения своевременного и в полном объеме рассмотрения их устных и письменных обращений в порядке, установленном Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации".

8.2. Персональные данные граждан, обратившихся в Народное Собрание, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим предоставлением письменного ответа по существу поставленных в обращении вопросов или уведомления.

8.3. В соответствии со статьями 7 и 13 Федерального закона "О порядке рассмотрения обращений граждан Российской Федерации", в связи с рассмотрением поступивших в Народное Собрание обращений граждан, обработке подлежат следующие персональные данные:

1) фамилия, имя, отчество (при наличии);

2) адрес для корреспонденции;

3) адрес электронной почты (при наличии);

4) иные персональные данные, указанные в обращении, а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения.

8.4. Обработка персональных данных, необходимых в связи с рассмотрением обращений граждан, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 2 части 1 статьи 6 Федерального закона "О персональных данных" и Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации".

8.5. Передача (распространение, предоставление) и использование персональных данных граждан осуществляются в случаях и в порядке, предусмотренных законодательством Российской Федерации.

IX. Защита и обеспечение безопасности персональных данных

9.1. Защита персональных данных субъектов персональных данных и иных сторонних лиц от несанкционированного доступа, неправомерного использования или утраты обеспечивается Народным Собранием в порядке, установленном законодательством Российской Федерации.

9.2. Обеспечение безопасности персональных данных субъектов персональных данных при их обработке в информационных системах Народного Собрания осуществляется структурным подразделением Народного Собрания, в ведении которого находятся вопросы обеспечения информационной безопасности и системного администрирования (далее - Отдел ИБиСА) путем исключения несанкционированного, в том числе случайного, доступа к персональным данным субъектов персональных данных, указанных в пункте 2.1 раздела II настоящего Положения, а также путем принятия следующих мер по обеспечению безопасности персональных данных:

1) идентификации и аутентификации субъектов доступа и объектов доступа;

2) управления доступом субъектов доступа к объектам доступа;

3) ограничения программной среды;

4) защиты машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);

5) регистрацией событий безопасности;

6) антивирусной защиты;

7) обнаружением (предотвращением) вторжений;

8) контролем (анализом) защищенности персональных данных;

9) обеспечением целостности информационной системы и персональных данных;

10) обеспечением доступности персональных данных;

11) защитой среды виртуализации;

12) защитой технических средств;

13) защитой информационной системы, ее средств, систем связи и передачи данных.

X. Организация и сроки хранения персональных данных в Народном Собрании

10.1. Хранение персональных данных субъектов персональных данных, указанных в пункте 2.1 раздела II настоящего Положения, должно осуществляться в форме, позволяющей идентифицировать субъект персональных данных или иное стороннее лицо не дольше, чем это требуют цели их обработки.

Сроки обработки и хранения персональных данных субъектов персональных данных, указанных в пункте 2.1 раздела II настоящего Положения, в Народном Собрании определяются в соответствии с законодательством Российской Федерации о государственной гражданской службе, об архивном деле в Российской Федерации и с трудовым законодательством Российской Федерации.

10.2. В случае достижения целей обработки персональных данных субъекта персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации в области персональных данных, а также в случае отзыва субъектом персональных данных письменного согласия на обработку его персональных данных, Народное Собрание обязано незамедлительно прекратить обработку персональных данных соответствующего субъекта персональных данных и уничтожить их в срок, не превышающий 30 дней со дня достижения целей обработки персональных данных (поступления отзыва субъектом персональных данных письменного согласия на обработку его персональных данных), если иное не предусмотрено законодательством Российской Федерации в области персональных данных.

В этом случае уполномоченное лицо Народного Собрания, непосредственно осуществляющее обработку персональных данных соответствующего субъекта персональных данных, формирует дело и передает его для последующего уничтожения в установленном порядке. Уничтожение персональных данных в информационных системах Народного Собрания осуществляется отделом ИБиСА. В целях одномоментного уничтожения персональных данных соответствующего субъекта персональных данных отдел ИБиСА согласовывает дату уничтожения персональных данных в информационной системе Народного Собрания со структурными подразделениями.

XI. Порядок уничтожения обработанных персональных данных в Народном Собрании

11.1. Уничтожение обработанных персональных данных в Народном Собрании в целях исключения их дальнейшего использования осуществляется в порядке, установленном Инструкцией по делопроизводству в Народном Собрании, утвержденной распоряжением Председателя Народного Собрания, и в сроки, установленные законодательством Российской Федерации.

11.2. Уничтожение обработанных персональных данных в информационной системе Народного Собрания осуществляется в соответствии с пунктом 10.2 настоящего Положения в порядке, утвержденном распоряжением Председателя Народного Собрания.

XII. Правила работы с обезличенными данными в народном собрании в случае обезличивания персональных данных в Народном Собрании

12.1. Правила работы с обезличенными данными:

1) обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности;

2) обезличенные персональные данные могут обрабатываться с использованием или без использования средств автоматизации;

12.2. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо:

1) использование паролей;

2) использование антивирусных программ;

3) соблюдение правил доступа в помещения, в которых ведется обработка персональных данных.

12.3. При обработке обезличенных персональных данных без использования средств автоматизации необходимо:

1) условий хранения бумажных носителей, исключающих доступ к ним посторонних лиц;

2) соблюдение правил доступа в помещения, в которых ведется обработка персональных данных.

XIII. Порядок рассмотрения запросов субъектов персональных данных или их представителей

13.1. Запросы субъектов персональных данных или их представителей на получение информации, касающейся обработки персональных данных субъектов персональных данных (далее - запросы), рассматриваются уполномоченными лицами Народного Собрания в соответствии с законодательством Российской Федерации в области персональных данных.

13.2. В случае если у представителя субъекта персональных данных (далее - представитель) отсутствуют документы, подтверждающие его полномочия на получение персональных данных субъекта персональных данных, либо отсутствует письменное согласие субъекта персональных данных на передачу его персональных данных представителю, обратившемуся с запросом, Народное Собрание в лице своих уполномоченных лиц вправе отказать в представлении персональных данных соответствующего субъекта персональных данных. В этом случае представителю, обратившемуся с запросом, направляется письменный мотивированный отказ в представлении информации, указанной в его запросе.

XIV. Порядок доступа в помещения Народного Собрания, в которых ведется обработка персональных данных

14.1. Доступ в помещения Народного Собрания, в которых ведется обработка персональных данных и (или) хранятся документы и другие носители информации, содержащие персональные данные (далее - помещения, в которых ведется обработка персональных данных), осуществляется с учетом требований обеспечения безопасности информации и исключения доступа к персональным данным третьих лиц.

14.2. Нахождение в помещениях, в которых ведется обработка персональных данных, гражданских служащих Народного Собрания, не имеющих допуска к обработке персональных данных, или лиц, не являющихся гражданскими служащими Народного Собрания, возможно только в присутствии уполномоченного лица Народного Собрания, постоянно работающего в данных помещениях. Время нахождения указанных лиц в помещениях, в которых ведется обработка персональных данных, ограничивается временем решения вопроса.

14.3. Уполномоченные лица Народного Собрания, постоянно работающие в помещениях, в которых ведется обработка персональных данных, не должны покидать помещения, не убедившись, что доступ посторонних лиц к персональным данным невозможен. Запрещается оставлять материальные носители с персональными данными без присмотра в незапертом помещении.

14.4. Для помещений организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей информации (документов и электронных носителей), содержащих персональные данные, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.

Данный режим должен обеспечиваться в том числе:

1) закрытием дверей помещений на ключ, в том числе при выходе из него в рабочее время;

2) при необходимости опечатыванием помещений по окончании рабочего дня или оборудованием помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии помещений;

3) закрытием металлических шкафов и сейфов, где хранятся носители информации, во время отсутствия в помещении уполномоченных лиц Народного Собрания, постоянно работающих в данных помещениях.

14.5. Установка новых технических средств, их ремонт или замена в помещениях, в которых ведется обработка персональных данных, должны проводиться по согласованию с руководителем соответствующего структурного подразделения Народного Собрания.

14.6. Передача технических средств в ремонт, их замена или списание проводятся только после полного удаления персональных данных со встроенных накопителей информации (накопителей на жестких магнитных дисках и твердотельных жестких дисках).

14.7. Порядок доступа в помещения Народного Собрания, в которых используются информационные системы персональных данных, определяется также распоряжением Председателя Народного Собрания "О некоторых вопросах, связанных с обработкой и обеспечением безопасности персональных данных в информационных системах Народного Собрания (Парламента) Карачаево-Черкесской Республики".

XV. Правила осуществления внутреннего контроля соответствия обработки персональных данных в Народном Собрании требованиям к защите персональных данных

15.1. Внутренний контроль соответствия обработки персональных данных в Народном Собрании требованиям к защите персональных данных направлен на выявление и предотвращение нарушений требований законодательства Российской Федерации в области персональных данных и осуществляется путем проведения проверок условий обработки персональных данных и соответствия обработки персональных данных требованиям, установленным законодательством Российской Федерации в области персональных данных, и принятыми в соответствии с ними нормативными правовыми актами Карачаево-Черкесской Республики (далее соответственно - внутренний контроль, проверки соответствия обработки персональных данных установленным требованиям).

15.2. Проведение проверок соответствия обработки персональных данных установленным требованиям организуется ответственным лицом на основании ежегодного плана осуществления внутреннего контроля, утверждаемого Председателем Народного Собрания.

Проведение внеплановых проверок соответствия обработки персональных данных установленным требованиям организуется ответственным лицом на основании поступившего в Народное Собрание письменного заявления субъекта персональных данных или его представителя о нарушениях правил обработки персональных данных в течение трех рабочих дней со дня поступления соответствующего заявления.

15.3. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:

1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает соответствие установленным уровням защищенности персональных данных;

2) порядок и условия применения средств защиты информации;

3) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных в информационных системах Народного Собрания;

4) состояние учета машинных носителей персональных данных;

5) соблюдение правил доступа к персональным данным;

6) наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер их защиты;

7) выполнение мероприятий по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) выполнение мероприятий по обеспечению целостности персональных данных.

15.4. Лица, виновные в нарушении требований законодательства Российской Федерации в области персональных данных, несут ответственность в соответствии с законодательством Российской Федерации.

XVI. Передача персональных данных субъектов персональных данных

16.1. Уполномоченные лица Народного Собрания не вправе осуществлять передачу (распространение, предоставление, доступ) персональных данных субъектов персональных данных, указанных в пункте 2.1 раздела II настоящего Положения, третьим лицам без его согласия, за исключением случаев, установленных федеральными законами.

16.2. При передаче Народным Собранием персональных данных субъектов персональных данных, указанных в пункте 2.1 раздела II настоящего Положения, третьим лицам субъект персональных данных должен дать на это согласие в письменной или электронной форме. Если указанный субъект персональных данных оформил согласие на передачу персональных данных в электронной форме, то он подписывает согласие электронной подписью.

16.3. Уполномоченные лица Народного Собрания вправе передать информацию (за исключением распространения), которая относится к персональным данным субъектов персональных данных, указанных в подпунктах 1 - 6 пункта 2.1 раздела II настоящего Положения, без их согласия, если такие сведения нужно передать по запросу органов государственной власти, государственных органов или организаций (далее - соответствующие органы), которым в соответствии с федеральными законами предоставлено право запрашивать персональные данные в соответствии с пунктами 2 - 11 части 1 статьи 6, пунктами 2 - 10 части 2 статьи 10, статьей 10.1 и частью 2 статьи 11 Федерального закона "О персональных данных".

16.4. В случае если соответствующий орган, обратившийся с запросом, не уполномочен федеральным законом на получение информации, относящейся к персональным данным субъектов персональных данных, указанных в подпунктах 1 - 6 пункта 2.1 раздела II настоящего Положения, Народное Собрание обязано отказать соответствующему органу в выдаче информации. Соответствующему органу, обратившемуся с запросом, выдается мотивированное уведомление об отказе в выдаче информации.

16.5. Согласие на обработку персональных данных, разрешенных субъектом персональных данных, указанным в пункте 2.1 раздела II настоящего Положения, для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

16.6. Уполномоченное лицо Народного Собрания обязано обеспечить субъектам персональных данных, указанным в пункте 2.1 раздела II настоящего Положения, возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на распространение персональных данных.

16.7. В случае если из предоставленного согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных, указанный в пункте 2.1 раздела II настоящего Положения согласился с распространением персональных данных, такие персональные данные обрабатываются уполномоченными лицами Народного Собрания без права распространения.

16.8. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 статьи 10.1 Федерального закона "О персональных данных", или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 статьи 10.1 Федерального закона "О персональных данных", такие персональные данные обрабатываются Народным Собранием без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц.

16.9. Согласие работника на распространение персональных данных может быть предоставлено работодателю:

1) непосредственно;

2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

16.10. Молчание или бездействие субъекта персональных данных, указанного в пункте 2.1 раздела II настоящего Положения ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

16.11. В согласии на распространение персональных данных, субъект персональных данных, указанный в пункте 2.1 раздела II настоящего Положения, вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Народным Собранием неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ Народного Собрания в установлении субъектом персональных данных, указанным в пункте 2.1 раздела II настоящего Положения, данных запретов и условий не допускается.

16.12. Народное Собрание обязано в срок не позднее трех рабочих дней с момента получения согласия субъекта персональных данных, указанного в пункте 2.1 раздела II настоящего Положения, на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных работника для распространения.

16.13. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных, указанным в пункте 2.1 раздела II настоящего Положения для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению.

16.14. Действие согласия субъекта персональных данных, указанного в пункте 2.1 раздела II настоящего Положения, на распространение персональных данных прекращается с момента поступления работодателю требования, указанного в пункте 16.13 настоящего раздела.

16.15. Субъект персональных данных, указанный в пункте 2.1 раздела II настоящего Положения вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений Федерального закона "О персональных данных" или обратиться с таким требованием в суд. Народное Собрание или третье лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных, указанного в пункте 2.1 раздела II настоящего Положения, или в срок, указанный во вступившем в законную силу решении суда. Если такой срок в решении суда не указан, то Народное Собрание или третье лицо обязано прекратить передачу персональных данных указанного субъекта персональных данных в течение трех рабочих дней с момента вступления решения суда в законную силу.

XVII. Гарантии конфиденциальности персональных данных субъектов персональных данных

17.1. Информация, относящаяся к персональным данным субъектов персональных данных, указанных в пункте 2.1 раздела II настоящего Положения, является служебной тайной и охраняется законом.