Приложение. Политика в отношении обработки персональных данных в аппарате Губернатора области и Правительства области. Приказ аппарата Губернатора Амурской области и Правительства Амурской области от 31.05.2024 N 38-од "Об утверждении Политики в отношении обработки персональных данных в аппарате Губернатора области и Правительства области"

Приложение
УТВЕРЖДЕНО
приказом аппарата
Губернатора области
и Правительства области
от 31 мая 2024 г. N 38-од

Политика
в отношении обработки персональных данных в аппарате Губернатора области и Правительства области

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных в аппарате Губернатора области и Правительства области (далее - Политика) определяет права и обязанности сторон, цели и основные принципы обработки персональных данных, а также меры, направленные на защиту персональных данных при их обработке в аппарате Губернатора области и Правительства области (далее - Аппарат).

1.2. Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - ФЗ "О персональных данных").

1.3. Политика подлежит пересмотру в ходе периодического анализа со стороны Аппарата, а также в случаях изменения законодательства Российской Федерации в области персональных данных.

1.4. Для целей настоящей Политики используются следующие основные понятия:

1) персональные данные (далее - ПДн) - любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту ПДн);

2) субъект ПДн - физическое лицо, которое прямо или косвенно определено или определяемое с помощью ПДн;

3) персональные данные, разрешенные субъектом ПДн для распространения - ПДн, доступ к которым предоставлен неограниченному кругу лиц путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном ФЗ "О персональных данных";

4) обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;

5) оператор персональных данных (далее - Оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку ПНд, а также определяет цели обработки ПНд, состав ПНд, подлежащих обработке, действия (операции), совершаемые с ПНд;

6) пользователь информации - субъект, обращающийся к информационному ресурсу за получением необходимой ему информации и пользующийся ею;

7) автоматизированная обработка ПДн - обработка ПНд с помощью средств вычислительной техники;

8) информационная система персональных данных (далее - ИСПДн) - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;

9) конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

10) уничтожение ПДн - действия, в результате которых невозможно восстановить содержание ПДн в ИСПДн, или в результате которых уничтожаются материальные носители ПДн;

11) предоставление ПДн - действия, направленные на раскрытие ПНд определенному лицу или определенному кругу лиц;

12) распространение ПДн - действия, направленные на раскрытие ПНд неопределенному кругу лиц;

13) блокирование ПДн - временное прекращение обработки ПНд (за исключением случаев, если обработка необходима для уточнения ПНд);

14) обезличивание ПДн - действия, в результате которых невозможно определить принадлежность ПДн конкретному субъекту ПДн;

15) трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

16) сайт в сети "Интернет" - совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети "Интернет";

17) Cookie - небольшой фрагмент данных, который отправляется сервером и хранится на компьютере пользователя.

1.5. Обязанности субъекта ПДн и Оператора:

1.5.1. Субъект ПДн обязан:

предоставлять Оператору достоверные данные о себе;

соблюдать положения, предусмотренные действующим законодательством Российской Федерации.

1.5.2. Оператор обязан:

соблюдать принципы и правила обработки ПДн;

в случае, если обработка ПДн осуществляется по поручению другого Оператора, строго соблюдать и выполнять требования Оператора, поручившего Аппарату обработку ПДн;

не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено ФЗ "О персональных данных";

обеспечить обработку ПДн субъектов ПДн с использованием баз данных, находящихся на территории Российской Федерации;

принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;

предоставить субъекту ПДн по его просьбе информацию, касающуюся обработки его ПДн, в объеме согласно ФЗ "О персональных данных";

разъяснить субъекту ПДн юридические последствия отказа в предоставлении его ПДн;

сообщать в уполномоченный орган по защите прав субъектов ПДн по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес уполномоченного органа по защите прав субъектов ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации;

опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн;

при осуществлении сбора ПДн с использованием информационно-телекоммуникационных сетей, опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Оператору сайта в сети "Интернет", с использованием которых осуществляется сбор ПДн, документ, определяющий его политику в отношении обработки ПДн, и сведения о реализуемых требованиях к защите ПДн, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;

при необходимости осуществления блокирования и уничтожения обрабатываемых ПДн в случаях, установленных ФЗ "О персональных данных", соблюдать правила и сроки осуществления блокирования и уничтожения обрабатываемых ПДн;

прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) при наступлении обстоятельств в соответствии с ФЗ "О персональных данных";

в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн;

осуществлять иные действия и проводить иные мероприятия по обработке и защите ПДн субъектов ПДн в соответствии с законодательством Российской Федерации.

1.6. Права субъекта персональных данных и Оператора.

1.6.1. Субъект ПДн имеет право:

1.6.1.1. На получение информации, касающейся обработки его ПДн, в том числе содержащей:

подтверждение факта обработки ПДн Оператором; правовые основания и цели обработки ПДн; применяемые Оператором способы обработки ПДн;

наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании ФЗ "О персональных данных";

обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен ФЗ "О персональных данных";

сроки обработки ПДн, в том числе сроки их хранения; порядок осуществления субъектом ПДн прав, предусмотренных ФЗ "О персональных данных";

информацию об осуществленной или о предполагаемой трансграничной передаче данных;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;

иные сведения, предусмотренные ФЗ "О персональных данных" или другими федеральными законами.

1.6.1.2. На определение представителей для защиты своих ПДн.

1.6.1.3. Требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

1.6.1.4. Требовать исключить данные, обрабатываемые с нарушением требований, установленных ФЗ "О персональных данных".

1.6.1.5. Требовать об извещении всех лиц, которым ранее были сообщены неверные или неполные ПДн субъекта ПДн, обо всех произведенных исключениях, исправлениях или дополнениях в ПДн.

1.6.1.6. Обжаловать действия или бездействие Оператора в уполномоченном органе по защите прав субъектов ПДн (в случае если субъект ПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований ФЗ "О персональных данных" или иным образом нарушает его права и свободы).

1.6.1.7. На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

1.6.1.8. Отозвать данное Оператору согласие на обработку своих персональных данных.

1.6.1.9. Осуществлять иные права в соответствии с законодательством Российской Федерации.

1.6.2. Оператор имеет право:

обрабатывать ПДн в соответствии с действующим законодательством Российской Федерации;

поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено ФЗ "О персональных данных", на основании заключаемого с этим лицом договора, в том числе государственного контракта, либо путем принятия соответствующего акта;

ограничить право субъекта ПДн на доступ к его ПДн мотивированно отказать субъекту ПДн в предоставлении сведений, касающихся обработки его ПДн, в случаях, установленных законодательством Российской Федерации, в том числе при нарушении субъектом ПДн своих обязанностей по подаче такого запроса или если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц;

самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных действующим законодательством в области ПДн, если иное не предусмотрено федеральными законами;

осуществлять или обеспечивать блокирование или уничтожение ПДн в порядке и сроки, установленные ФЗ "О персональных данных";

продолжить обработку ПДн в случае достижения цели обработки ПДн или отзыва субъектом ПДн согласия на обработку его ПДн, если обработка ПДн осуществляется без согласия субъекта ПДн, при наличии оснований, указанных в ФЗ "О персональных данных";

осуществлять иные права в соответствии с законодательством Российской Федерации.

1.7. Запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы. Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПДн только при наличии согласия в письменной форме субъекта ПДн или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.

1.8. ПДн пользователей информации хранятся и обрабатываются с соблюдением требований российского законодательства.

1.9. Сайт использует файлы Cookie, чтобы улучшить работу, повысить эффективность и удобство. При посещении Сайта, пользователь информации подтверждает свое согласие на использование файлов Cookie, которые не содержат сведений, на основании которых можно идентифицировать пользователя.

2. Цели обработки персональных данных

2.1. Обработка ПДн осуществляется на законной и справедливой основе.

2.2. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей.

2.3. Целью обработки ПДн субъектов ПДн является осуществление возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, а именно:

обеспечение доступа к информации о деятельности Оператора;

оформление и регулирование трудовых отношений, ведение кадрового учета (в том числе содействие работникам в обучении и должностном росте, организация профессиональной переподготовки и повышения квалификации сотрудников учреждения, а также обеспечение личной безопасности работников, условий их труда, гарантий и компенсаций, сохранности имущества, контроля количества и качества выполняемой работы);

ведение (проведение) мобилизационной подготовки и мобилизации;

ведение бухгалтерского учета и начисления заработной платы;

соблюдение налогового законодательства;

проведение приема граждан, рассмотрение обращений граждан, принятие по ним решений и направление ответов заявителям;

исполнение обязательств, предусмотренных договорами гражданско-правового характера.

2.4. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

2.5. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

2.6. Обработке подлежат только ПДн, которые отвечают целям их обработки. Категории субъектов ПДн и состав обрабатываемых ПДн определены настоящей Политикой и соответствуют заявленным целям обработки.

2.7. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.

3. Правовые основания обработки ПДн

Правовым основанием обработки ПДн является совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку ПДн при осуществлении и выполнении возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей для достижения целей обработки ПДн, предусмотренных настоящей Политикой:

Гражданский кодекс Российской Федерации;

Налоговый кодекс Российской Федерации;

Трудовой кодекс Российской Федерации;

Федеральный закон от 01.04.1996 N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования и обязательного социального страхования";

Федеральный закон от 31.05.1996 N 61-ФЗ "Об обороне";

Федеральный закон от 26.02.1997 N 31-ФЗ "О мобилизационной подготовке и мобилизации в Российской Федерации";

Федеральный закон от 28.03.1998 N 53-ФЗ "О воинской обязанности и военной службе";

Федеральный закон от 16.07.1999 N 165-ФЗ "Об основах обязательного социального страхования";

Федеральный закон от 15.12.2001 N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации";

Федеральный закон от 27.07.2004 N 79-ФЗ "О государственной гражданской службе";

Федеральный закон от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных";

Федеральный закон от 29.12.2006 N 255-ФЗ "Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством";

Федеральный закон от 02.03.2007 N 25-ФЗ "О муниципальной службе в Российской Федерации";

Федеральный закон от 09.02.2009 N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления";

Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете";

Федеральный закон от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд";

Указ Президента от 01.02.2005 N 112 "О конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации";

Постановление Правительства РФ от 27.11.2006 N 719 "Об утверждении Положения о воинском учете";

Постановление Правительства РФ от 24.10.2011 N 861 "О федеральных государственных информационных системах, обеспечивающих предоставление в электронной форме государственных и муниципальных услуг (осуществление функций)";

Постановление Госкомстата РФ от 05.01.2004 N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты";

Распоряжение Правительства Российской Федерации от 26.05.2005 N 667-р "Об утверждении формы анкеты, представляемой гражданином Российской Федерации, поступающим на государственную гражданскую службу Российской Федерации или на муниципальную службу в Российской Федерации";

Методические рекомендации по ведению воинского учета в организациях (утв. Генеральным штабом Вооруженных Сил Российской Федерации от 11.07.2017);

Постановление Губернатора Амурской области от 21.02.2019 N 44 (ред. от 12.02.2024) "Об утверждении Положения об аппарате Губернатора области и Правительства области";

Договоры (контракты), заключаемые между Оператором и субъектом ПДн или в интересах субъекта ПДн;

Согласие на обработку персональных данных субъектов ПДн, полученное Оператором в письменном виде в соответствии статьи 9 ФЗ "О персональных данных".

4. Состав обрабатываемых персональных данных, категории субъектов персональных данных

4.1. В Аппарате ведется обработка ПДн субъектов ПДн как являющихся сотрудниками Оператора, так и не являющихся таковыми.

4.2. Обработка специальных категорий ПДн Оператором не осуществляется.

4.3. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПДн) и которые используются для установления личности субъекта ПДн, Оператором не обрабатываются.

4.4. Сведения о категориях субъектов, ПДн которых обрабатываются Аппаратом, категориях и перечне обрабатываемых ПДн, способах, сроках их обработки и хранения представлены в Приложении к настоящей Политике,

5. Порядок и условия обработки персональных данных

5.1. Перечень действий, совершаемых Оператором с ПДн субъектов:

В ходе обработки ПДн Оператором возможно совершение следующих действий (операций) с ПДн субъектов ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ, распространение), обезличивание, блокирование, удаление, уничтожение ПДн.

5.2. Особенности обработки персональных данных, разрешенных субъектом ПДн для распространения:

распространение ПДн субъектов ПДн допускается при наличии согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, а также в иных случаях, предусмотренных законодательством Российской Федерации, в

том числе в случае обработки ПДн в целях выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;

согласие на обработку ПДн, разрешенных субъектом ПДн для

распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн;

согласие на обработку ПДн, разрешенных субъектом ПДн для

распространения, предоставляется субъектом ПДн непосредственно Оператору;

в случае, если из предоставленного субъектом ПДн согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, не следует, что субъект ПДн согласился с распространением ПДн, такие ПДн обрабатываются Оператором, без права распространения;

в случае, если из предоставленного субъектом ПДн согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, не следует, что субъект ПДн не установил запреты и условия на обработку ПДн, или если в предоставленном субъектом ПДн таком согласии не указаны категории и перечень ПДн, для обработки которых субъект ПДн устанавливает условия и

запреты в соответствии с ФЗ "О персональных данных", такие ПДн

обрабатываются Оператором без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с ПДн неограниченному кругу лиц;

молчание или бездействие субъекта ПДн ни при каких обстоятельствах не может считаться согласием на обработку ПДн, разрешенных субъектом ПДн для распространения;

в согласии на обработку ПДн, разрешенных субъектом ПДн для распространения, субъект ПДн вправе установить запреты на передачу (кроме предоставления доступа) этих ПДн Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих ПДн неограниченным кругом лиц. Отказ Оператора в установлении субъектом ПДн запретов и условий, не допускается;

оператор обязуется в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта ПДн опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПДн, разрешенных субъектом ПДн для распространения;

установленные субъектом ПДн запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) ПДн, разрешенных субъектом ПДн для распространения, не распространяются на случаи обработки ПДн в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации;

передача (распространение, предоставление, доступ) ПДн, разрешенных субъектом ПДн для распространения, должна быть прекращена в любое время по требованию субъекта ПДн. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПДн, а также перечень ПДн, обработка которых подлежит прекращению. Указанные в данном требовании ПДн могут обрабатываться только Оператором;

оператор обязуется прекратить передачу (распространение, предоставление, доступ) ПДн в течение трех рабочих дней с момента получения требования субъекта ПДн.

5.3. Используемые Оператором способы обработки ПДн:

автоматизированный;

неавтоматизированный (на бумажных носителях).

5.4. Порядок передачи ПДн третьим лицам.

Взаимодействие с третьими лицами в рамках достижения целей обработки ПДн, если иное не предусмотрено законодательством Российской Федерации, осуществляется при следующих условиях:

наличие договора (соглашения) об информационном взаимодействии и (или) договора поручения на обработку ПДн;

наличие согласия субъекта персональных данных на передачу его ПДн третьим лицам.

Оператор вправе передавать ПДн органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

5.5. Осуществление трансграничной передачи ПДн.

Трансграничная передача персональных данных Оператором не осуществляется.

5.6. Обеспечение конфиденциальности ПДн.

Оператор и иные лица, получившие доступ к ПДн обязуются не раскрывать третьим лицам и не распространять ПДн без согласия субъекта персональных данных, если иное не предусмотрено ФЗ "О персональных данных".

5.7. Меры, направленные на обеспечение выполнения Оператором обязанностей, предусмотренных ФЗ "О персональных данных", в том числе меры по обеспечению безопасности ПДн.

Во исполнение требований ФЗ "О персональных данных" Оператором приняты необходимые правовые, организационные и технические меры для защиты ПДн при их обработке от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн в соответствии с утвержденным Оператором комплектом организационно-распорядительной документации в области защиты ПДн при их обработке в Аппарате, а именно:

назначены ответственные лица за организацию обработки ПДн и защиту информации, содержащейся в информационных системах Аппарата;

разработаны локальные акты по вопросам обработки ПДн, определяющие для каждой цели обработки ПДн категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Локальные акты не содержат положения, ограничивающие права субъектов ПДн, а также возлагающие на Операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности;

осуществляется внутренний контроль соответствия обработки ПДн ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Оператора в отношении обработки ПДн, локальным актам Оператора;

ведется периодическое ознакомление работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите ПДн, документами, определяющими политику Оператора в отношении обработки ПДн, локальными актами по вопросам обработки ПДн;

Оператор оценивает 'вред в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПДн, который может быть причинен ПДн в случае нарушения ФЗ "О персональных данных", соотносит указанный вред и принимаемые Оператором меры, направленные на обеспечение выполнения обязанностей, предусмотренных ФЗ "О персональных данных";

определены угрозы безопасности персональных данных при их обработке в информационных системах;

с учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн, актуальности угроз безопасности ПДн определены уровни защищенности ПДн при их обработке в информационных системах Аппарата;

применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации;

проводится оценка эффективности принимаемых мер по обеспечению безопасности ПДн;

ведется учет машинных носителей ПДн и принимаются меры по обеспечению сохранности носителей персональных данных;

выполнены мероприятия, направленные на обнаружение фактов несанкционированного доступа к ПДн и принятие соответствующих мер;

приняты меры, позволяющие осуществлять восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

установлены правила доступа к ПДн, обрабатываемым в Аппарате; осуществляется контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ПДн при их обработке в информационных системах Аппарата;

организован режим обеспечения безопасности помещений, в которых осуществляется обработка ПДн, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.

5.8. Условия прекращения обработки ПДн.

Условием прекращения обработки ПДн является: достижение целей обработки ПДн;

отзыв согласия субъекта ПДн (или его представителей) на обработку его ПДн;

выявление неправомерной обработки ПДн; истечение установленного срока хранения ПДн; ликвидация Оператора;

прекращение осуществления деятельности Оператора.

5.9. Организация хранения ПДн.

Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен законодательством Российской Федерации и/или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

Для организации хранения ПДн в случае автоматизированной обработки Оператор в соответствии с ФЗ "О персональных данных" использует технические устройства хранения данных, находящиеся на территории Российской Федерации.

5.10. Обработка персональных данных без использования средств автоматизации:

Обработка ПДн без использования средств автоматизации организована в соответствии с требованиями Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 N 687, а именно:

определены места хранения ПДн (материальных носителей) и установлены перечни лиц, осуществляющих обработку ПДн без использования средств автоматизации, либо имеющих к ним доступ;

обеспечено раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях;

приняты меры, направленные на обеспечение сохранности ПДн, обработка которых осуществляется без использования средств автоматизации, и исключающие несанкционированного к ним доступа, обеспечен контроль за их соблюдением.

6. Актуализация, исправление, удаление, уничтожение персональных данных, прекращение обработки персональных данных, ответы на запросы субъектов на доступ к персональным данным

6.1. Актуализация, исправление, удаление ПДн.

При обработке ПДн должны быть обеспечены точность ПДн, их достаточность и актуальность по отношению к целям обработки ПДн.

В случае выявления неправомерной обработки ПДн, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Оператора. На период проверки Оператор обязан осуществить блокирование неправомерно обрабатываемых ПДн или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора). В случае, если обеспечить правомерность обработки ПДн невозможно, Оператор обязан уничтожить такие ПДн или обеспечить их уничтожение.

В случае выявления неточных ПДн Оператор обязан осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.

В случае подтверждения факта неточности ПДн Оператор обязан уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.

В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПДн:

в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов ПДн, по вопросам, связанным с выявленным инцидентом;

в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

В случае обращения субъекта ПДН к Оператору с требованием о прекращении обработки ПДн Оператор обязан в срок, не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПДн), за исключением случаев, предусмотренных пунктами 2-11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 ФЗ "О персональных данных". Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

6.2. Уничтожение ПДн.

Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, а также в случае отзыва согласия субъекта ПДн на обработку его ПДн, или в случае выявления неправомерной обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, или иным соглашением между Оператором и субъектом ПДн.

Оператор обязуется осуществлять подтверждение факта уничтожения ПДн в указанных выше случаях в соответствии с Требованиями к подтверждению уничтожения ПДн, утвержденными приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 N 179.

6.3. Порядок рассмотрения запросов субъектов ПДн.

Оператор обязуется сообщать в порядке, предусмотренном ФЗ "О персональных данных", субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн в течение десяти рабочих дней с момента обращения субъекта ПДн или его представителя, либо при получении запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

Утвержденные Аппаратом правила рассмотрения запросов субъектов ПДн или их представителей по поводу неточности ПДн, неправомерности их обработки, отзыва согласия и доступа субъекта ПДн к своим данным, а также соответствующие формы запросов/обращений предоставляются по запросу не превышающий десяти рабочих дней с даты получения Оператором

соответствующего требования и (или) обращения. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

6.4. Порядок ознакомления с политикой Оператора в отношении обработки ПДн.

В соответствии с требованиями ФЗ "О персональных данных" Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн. Оператор, осуществляющий сбор ПДн с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Оператору сайта в информационно-телекоммуникационной сети "Интернет", с использованием которых осуществляется сбор ПДн, документ, определяющий его политику в отношении обработки ПДн, и сведения о реализуемых требованиях к защите ПДн, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.