Приложение N 2. Положение об организации обработки и обеспечения безопасности персональных данных в министерстве жилищно-коммунального хозяйства. Приказ министерства жилищно-коммунального хозяйства Белгородской области от 08.12.2022 N 456 "Об организации работы по защите персональных данных"

Приложение N 2

Утверждено

приказом министерства

жилищно-коммунального хозяйства

Белгородской области

от "08" декабря 2022 года N 456

Положение
об организации обработки и обеспечения безопасности персональных данных в министерстве жилищно-коммунального хозяйства

1. Термины и определения

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информационная система персональных данных - совокупность, содержащихся в базах данных персональных данных и, обеспечивающих их обработку информационных технологий и технических средств.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие, обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2. Общие положения

2.1. Настоящее Положение об организации обработки и обеспечения безопасности персональных данных (далее - Положение) разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Законом N 152-ФЗ, постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

2.2. Целями настоящего Положения являются:

- определение единого порядка обработки персональных данных в Министерстве;

- обеспечение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну;

- установление ответственности лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

2.3. Область действия настоящего Положения включает в себя:

- все процессы обработки персональных данных как с использованием средств автоматизации, так и без использования таковых;

- все структурные подразделения Министерства;

- все информационные системы Министерства, в которых происходит обработка персональных данных.

3. Персональные данные сотрудников

3.1. Обработка персональных данных осуществляется в целях:

- реализации трудовых отношений;

- обеспечения соблюдения законов Российской Федерации и иных нормативных правовых актов;

- содействия в трудоустройстве, обучении и продвижении работника по службе;

- осуществления расчёта заработной платы и иных выплат и удержаний;

- осуществления платежей и переводов в интересах работника.

3.2. Состав обрабатываемых персональных данных

3.2.1. Для достижения заявленных в подпункте 3.1.1 пункта 3.1 раздела 3 настоящего Положения целей Министерство обрабатывает персональные данные граждан, состоящих в трудовых отношениях с Министерством. Состав обрабатываемых персональных данных определён в Перечне персональных данных, обрабатываемых в информационной системе персональных данных Министерства.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Вместо слов "в подпункте 3.1.1 пункта 3.1 раздела 3" следует читать "в пункта 3.1 раздела 3"

3.3. Действия, осуществляемые с персональными данными.

3.3.1. Действия или совокупность действий (операций) с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение.

4. Персональные данные субъектов, не являющихся сотрудниками

4.1. Цели обработки персональных данных.

4.1.1. Обработка персональных данных осуществляется в целях выполнения возложенных на Министерство функций.

4.2. Состав обрабатываемых персональных данных.

4.2.1. Для достижения заявленных в подпункте 4.1.1 пункта 4.1 раздела 4 настоящего Положения целей Министерство обрабатывает персональные данные граждан, не являющихся сотрудниками Министерства. В Министерстве определён и утверждён состав обрабатываемых персональных данных.

4.3. Действия, осуществляемые с персональными данными

4.3.1. Действия или совокупность действий (операций) с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение.

5. Обработка персональных данных

5.1. Общие положения.

5.1.1. При обработке персональных данных должны обеспечиваться точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных.

5.1.2. При обнаружении неточных или неполных персональных данных производится их уточнение и актуализация.

5.1.3. В Министерстве на основании Перечня сведений конфиденциального характера, утвержденного Указом Президента Российской Федерации от 6 марта 1997 г. N 188, определен и утвержден Перечень обрабатываемых персональных данных.

5.1.4. Специальные категории персональных данных не обрабатываются.

5.1.5. Биометрические персональные данные не обрабатываются.

5.1.6. Обработка специальных категорий персональных данных и биометрических персональных данных возможна только с письменного согласия субъекта персональных данных.

5.1.7. Трансграничная передача персональных данных не осуществляется.

5.1.8. Обработка персональных данных в целях продвижения товаров, работ, услуг путем осуществления прямых контактов с потенциальным потребителем не осуществляется. В случае принятия решения об обработке персональных данных в целях продвижения товаров, работ, услуг необходимо предварительно получить согласие субъекта персональных данных и прекратить по его требованию.

5.1.9. Обработка персональных данных осуществляется в смешанном режиме как с использованием средств автоматизации, так и без использования таковых.

5.1.10. При обработке персональных данных Министерство руководствуется следующими принципами:

- обеспечение законности целей и способов обработки персональных данных;

- соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;

- соответствие объема и характера обрабатываемых персональных данных, а также способов обработки персональных данных целям обработки;

- отсутствие избыточных персональных данных по отношению к заявленным целям;

- использование раздельных баз данных для несовместимых целей обработки персональных данных.

5.1.11. Обработка персональных данных осуществляется на законной и справедливой основе.

5.1.12. Обработка персональных данных допускается в следующих случаях:

- с согласия субъекта персональных данных (приложение N 1 к настоящему Положению);

- для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

- для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

- для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

- для осуществления прав и законных интересов Министерства или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

- для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

- в случае, когда доступ неограниченного круга лиц к персональным данным субъекта предоставлен самим субъектом персональных данных либо по его просьбе;

- в случае, когда персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом;

- в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных.

5.1.13. Правовыми основаниями для обработки являются:

- Конституция Российской Федерации;

- Трудовой кодекс Российской Федерации;

- Закон N 149-ФЗ;

- Закон N 152-ФЗ;

- Постановление Правительства РФ от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных".

5.2. Сбор персональных данных.

5.2.1. Все персональные данные Министерство получает от субъекта персональных данных.

5.2.2. Обработка персональных данных осуществляется с согласия субъекта персональных данных.

5.2.3. Обработка персональных данных без согласия субъекта персональных данных допускается в случаях, предусмотренных Законом N 152-ФЗ.

5.2.4. Персональные данные могут быть получены Министерством от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Законом N 152-ФЗ.

5.2.5. Если персональные данные были получены не от субъекта персональных данных, то Министерство уведомляет субъекта персональных данных об осуществлении обработки его персональных данных и получает от него письменное согласие. Согласия субъекта на получение его персональных данных от третьих лиц не требуется в случаях, установленных Законом N 152-ФЗ.

5.2.6. Если согласие на обработку персональных данных получено от представителя субъекта персональных данных, то полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Министерством.

5.2.7. Если предоставление персональных данных является обязательным в соответствии с Федеральными законами, Министерство должно разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные (приложение N 2 к настоящему Положению).

5.2.8. Министерство проверяет достоверность предоставляемых сведений, сверяя полученные данные с имеющимися у субъекта персональных данных документами.

5.3. Накопление персональных данных.

5.3.1. Накопление персональных данных происходит в результате деятельности Министерства.

5.3.2. Министерство накапливает персональные данные следующими способами:

- копирование оригиналов документов;

- внесение сведений в учетные формы (на бумажные носители и в базы данных);

- получение оригиналов документов.

5.4. Хранение персональных данных.

5.4.1. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки.

5.4.2. Персональные данные хранятся на бумажных и электронных носителях.

5.4.3. Хранение персональных данных, обработка которых осуществляется в целях, не совместимых между собой, осуществляется на разных материальных носителях и (или) в разных базах данных.

5.4.4. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

5.5. Обработка персональных данных без использования средств автоматизации.

5.5.1. Согласно пункту 1 настоящего Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687, обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

5.5.2. При обработке персональных данных без использования средств автоматизации должны выполняться следующие требования:

- персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков);

- при фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы;

- для каждой категории персональных данных должен использоваться отдельный материальный носитель;

- лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.

5.5.3. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия:

- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

- типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации;

- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

- типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

5.5.4. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

- при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

- при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

5.5.5. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

5.5.6. В случае ведения журнала (реестра, книги), содержащего персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Министерство, или в иных аналогичных целях должны соблюдаться следующие условия:

- необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом, содержащим сведения о цели обработки персональных данных, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

- копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

- персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию.

5.6. Доступ к персональным данным.

5.6.1. Доступ к персональным данным имеют сотрудники Министерства, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.

5.6.2. Доступ к персональным данным предоставляется в объеме, необходимом для выполнения сотрудниками конкретных трудовых обязанностей.

5.6.3. В случае, если на основании заключенных договоров доступ к персональным данным должны иметь юридические или физические лица, то с ними подписывается соглашение о неразглашении конфиденциальной информации.

5.6.4. Процедура оформления доступа к персональным данным включает в себя:

- ознакомление сотрудника с настоящим Положением под подпись;

- прохождение обучения правилам обработки и обеспечению безопасности персональных данных;

- ознакомление сотрудника с локальными актами, регламентирующими обработку и защиту персональных данных, под подпись;

- подписание сотрудником обязательства о неразглашении конфиденциальной информации (приложение N 3 к настоящему Положению);

- включение пользователя в перечни на доступ к персональным данным.

5.6.5. Права доступа могут предоставляться на постоянной или разовой основе. Основанием для оформления сотруднику прав доступа к персональным данным на постоянной основе является факт назначения сотрудника на должность, где для выполнения трудовых обязанностей необходим доступ к персональным данным. Основанием для оформления сотруднику прав доступа к персональным данным на разовой основе является выполнение служебного задания, в рамках которого сотруднику потребуется доступ к персональным данным.

5.7. Передача персональных данных.

5.7.1. Министерство может передавать персональные данные субъектов государственным органам (Федеральной налоговой службе Российской Федерации, Пенсионному фонду Российской Федерации, Федеральной службе судебных приставов Российской Федерации, Министерству внутренних дел Российской Федерации и др.) в рамках осуществления последними своих полномочий и функций, а также банкам, страховым компаниям и т.д. в строгом соответствии с требованиями законодательства Российской Федерации.

5.7.2. Передача персональных данных должна осуществляться в составе и объеме, минимально необходимых для достижения целей, для которых передаются персональные данные.

5.7.3. Обработка персональных данных третьим лицом возможна с согласия субъекта персональных данных, на основании заключенного с этим лицом договора.

5.7.4. Лицо, осуществляющее обработку персональных данных по поручению Министерства, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные действующим законодательством Российской Федерации в области защиты персональных данных.

5.7.5. Должны быть определены действия (операции) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также цели обработки персональных данных.

5.7.6. В договоре должна быть указана обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечить безопасность персональных данных при их обработке.

5.7.7. Персональные данные, передаваемые третьему лицу, могут быть использованы лишь в целях, для которых они были переданы.

5.7.8. Третье лицо, осуществляющее обработку персональных данных, не обязано получить согласие субъекта персональных данных на обработку его персональных данных.

5.7.9. Министерство несет ответственность перед субъектом персональных данных за действия третьего лица, осуществляющего обработку персональных данных по его поручению.

5.8. Прекращение обработки и уничтожение персональных данных.

5.8.1. Обработка персональных данных прекращается или обеспечивается её прекращение, если обработка персональных данных осуществляется другим лицом, действующим по поручению Министерства, а персональные данные уничтожаются в сроки, установленные Законом N 152-ФЗ в случаях, если иное не установлено законом:

- по истечении установленного срока обработки;

- по достижении заявленных целей обработки или при утрате необходимости в их достижении;

- по требованию субъекта персональных данных, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- при отзыве субъектом персональных данных согласия на обработку персональных данных.

5.8.2. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

5.8.3. Министерство может заключать договоры с третьими лицам на оказание услуг по уничтожению материальных носителей персональных данных. При этом Министерство и третье лицо в соответствии с условиями договора соблюдают все правила для обеспечения конфиденциальности уничтожаемых данных.

5.9. Отзыв согласия на обработку персональных данных (приложение N 4 к настоящему Положению).

5.9.1. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Министерство прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает их в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

5.9.2. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Министерство вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Законом N 152-ФЗ.

5.10. Конфиденциальность персональных данных.

5.10.1. В соответствии с Перечнем сведений конфиденциального характера, утвержденным Указом Президента Российской Федерации от 6 марта 1997 г. N 188, персональные данные являются конфиденциальной информацией.

5.10.2. Для персональных данных, не являющихся обезличенными или общедоступными, обеспечивается конфиденциальность.

5.11. Взаимодействие с субъектами персональных данных.

5.11.1. В соответствии с Законом N 152-ФЗ на Министерство, как оператора персональных данных, возлагается обязанность своевременно реагировать на обращения и запросы субъектов персональных данных.

5.11.2. При взаимодействии с субъектами персональных данных обеспечивается соблюдение их прав в соответствии с законодательством Российской Федерации.

5.11.3. Взаимодействие с субъектом персональных данных при реализации права субъекта на доступ к его персональным данным, а также ограничение таких прав осуществляется с соблюдением требований статьи 14 Законом N 152-ФЗ.

5.11.4. Взаимодействие с субъектами персональных данных определяется Правилами рассмотрения запросов субъектов персональных данных и их представителей в Министерстве.

5.12. Обезличивание персональных данных.

5.12.1. Министерство может осуществлять обезличивание персональных данных.

5.12.2. Обезличивание персональных данных проводится в статистических или иных исследовательских целях, а также по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом.

5.12.3. Для обезличивания могут применяться методы, определенные Методическими рекомендациями по применению приказа Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных":

- метод введения идентификаторов;

- метод изменения состава или семантики;

- метод декомпозиции;

- метод перемешивания.

5.12.4. Методы и процедуры обезличивания персональных данных, а также правила работы с обезличенными данными определяются Правилами работы с обезличенными данными в случае обезличивания персональных данных в Министерстве.

6. Права и обязанности Министерства

6.1. При работе с персональными данными лица, допущенные к обработке этих данных, в процессе выполнения служебных обязанностей должны обеспечивать:

- проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и передачи их лицам, не имеющим права доступа к такой информации;

- своевременное обнаружение фактов несанкционированного доступа к персональным данным;

- недопущение воздействия на технические средства информационной системы, в результате которого может быть нарушено их функционирование и целостность данных;

- возможность восстановления персональных данных, модифицированных или уничтоженных в результате несанкционированного доступа к ним;

- постоянный контроль за обеспечением безопасности персональных данных.

6.2. В Министерстве составляется план проведения и организуется обучение персонала по вопросам работы и обеспечения защиты персональных данных в информационных системах персональных данных, определяется ответственность сотрудников за нарушения при работе с персональными данными, порядок их взаимодействия с субъектами персональных данных.

7. Права и обязанности субъекта персональных данных

7.1. В соответствии с главой 3 Законом N 152-ФЗ субъект персональных данных имеет право на получение сведений, касающихся обработки его персональных данных Министерством, а именно:

- подтверждение факта обработки персональных данных Министерством;

- правовые основания и цели обработки персональных данных;

- цели и применяемые Министерством способы обработки персональных данных;

- наименование и местонахождение Министерства, сведения о лицах (за исключением работников Министерства), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Министерством или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных Законом N 152-ФЗ;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Министерства, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные Законом N 152-ФЗ или другими федеральными законами.

7.2. Субъект персональных данных вправе требовать от Министерства уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.3. Субъект персональных данных имеет право заявить возражение против принятия в его отношении решений, порождающих юридические последствия на основе исключительно автоматизированной обработки персональных данных.

7.4. Субъект персональных данных имеет право отозвать согласие на обработку его персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Министерство вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе N 152-ФЗ.

7.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

7.6. Если субъект персональных данных считает, что Министерство осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Министерства в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

7.7. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7.8. Субъект персональных данных обязан предоставлять достоверные персональные данные и своевременно сообщать об изменениях в них.

7.9. Запрос субъекта персональных данных должен содержать сведения, установленные Законом N 152-ФЗ и быть удостоверен одним из следующих способов:

- собственноручной подписью субъекта персональных данных или его законного представителя;

- электронной подписью (в случае направления электронного закона).

8. Меры, направленные на обеспечение безопасности персональных данных

8.1. Меры по обеспечению безопасности персональных направлены на защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

8.2. Обеспечение безопасности достигается применением необходимых и достаточных мер, а именно:

- определяется перечень информационных систем персональных данных;

- определяются угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;

- применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

- производится оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;

- производится учет машинных носителей персональных данных;

- производится восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- обеспечивается сохранность носителей персональных данных;

- устанавливаются правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных;

- назначается ответственный за организацию обработки персональных данных;

- издаются документы, определяющие политику в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

- осуществляется внутренний контроль соответствия обработки персональных данных Законом N 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Министерства в отношении обработки персональных данных, а также локальным актам;

- производится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Закона N 152-ФЗ, определяется соотношение вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом N 152-ФЗ.

- сотрудники Министерства, непосредственно осуществляющие обработку персональных данных, ознакомляются с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Министерства в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, а также проходят обучение.

9. Ответственность за нарушение требований законодательства

9.1. Сотрудники Министерства, обрабатывающие персональные данные, и лица, которым Министерство поручает обработку персональных данных, несут ответственность за нарушение режима защиты и обработки персональных данных, предусмотренную действующим законодательством.

9.2. За неисполнение или ненадлежащее исполнение сотрудниками Министерства возложенных на них обязанностей по соблюдению установленного порядка обработки персональных данных Министерство вправе применять меры дисциплинарные взыскания, предусмотренные действующим законодательством.

9.3. Сотрудники Министерства, получающие доступ к обрабатываемым персональным данным, несут персональную ответственность за конфиденциальность полученной информации.