Распоряжение Главного архивного управления Московской области от 07.06.2017 N 78-р "Об утверждении документов, регламентирующих организацию работы с персональными данными в Главном архивном управлении Московской области"

В соответствии с постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами":

1. Утвердить прилагаемые:

Правила обработки персональных данных в Главном архивном управлении Московской области;

Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Главном архивном управлении Московской области;

Правила работы с обезличенными персональными данными в Главном архивном управлении Московской области;

Правила рассмотрения запросов субъектов персональных данных или их представителей в Главном архивном управлении Московской области;

Порядок доступа сотрудников Главного архивного управления Московской области в помещения, в которых ведется обработка персональных данных.

2. Признать утратившим силу распоряжение Начальника Главного архивного управления от 05.09.2012 N 55 "Об утверждении документов, регламентирующих организацию работы с персональными данными в Главном архивном управлении Московской области".

Начальник Главного управления

П.М. Петров

Утверждены
распоряжением Главного архивного
управления Московской области
от 07.06.2017 N 78-р

Правила
обработки персональных данных в Главном архивном управлении Московской области

I. Общие положения

1. Настоящие Правила обработки персональных данных в Главном архивном управлении Московской области (далее - Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

2. Правила разработаны в соответствии с Федеральным законом от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации", Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации", постановлением Правительства Российской Федерации от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах передачи данных", постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и иными нормативными правовыми актами Российской Федерации.

3. Обработка персональных данных в Главном архивном управлении Московской области (далее - Главархив Московской области) осуществляется при рассмотрении обращений граждан, по предоставлении государственной услуги "заверение архивных справок, архивных выписок и архивных копий, подготовленных государственными, муниципальными архивами, органами государственной власти и государственными органами Московской области, органами местного самоуправления в Московской области и организациями, расположенными на территории Московской области (кроме тех, которым такое право представлено нормативно правовыми актами), путем проставления и заполнения апостиля"; ведении кадровой работы (ведение и хранение личных дел, учетных карточек и трудовых книжек работников, содействия гражданским служащим в прохождении государственной гражданской службы Московской области, в обучении и должностном росте, обеспечения личной безопасности работников и членов их семей, учета результатов исполнения им должностных обязанностей, в целях обеспечения сохранности имущества Главного управления, а также документов кандидатов на замещение вакантных должностей государственной гражданской службы Московской области и технических должностей в Главархиве Московской области).

II. Порядок обработки персональных данных работников Главархива Московской области

4. Обработка персональных данных работников Главархива Московской области осуществляется с их письменного согласия, которое действует со дня их приема на работу.

5. Представитель нанимателя в лице начальника Главархива Московской области (далее - представитель нанимателя), а также заместитель начальника Главного управления обеспечивают защиту персональных данных работников, содержащихся в личных делах и других документах по личному составу, от неправомерного их использования или утраты.

6. Обработка персональных данных работников осуществляется как с использованием средств автоматизации, так и без использования таких средств.

7. При обработке персональных данных работников в целях реализации возложенных на Главархив Московской области полномочий уполномоченные должностные лица обязаны соблюдать следующие требования:

а) объем и характер обрабатываемых персональных данных, способы обработки персональных данных должны соответствовать целям обработки персональных данных;

б) защита персональных данных работника от неправомерного их использования или уничтожения обеспечивается в порядке, установленном нормативными правовыми актами Российской Федерации;

в) передача персональных данных работников не допускается без письменного согласия работника, за исключением случаев, установленных федеральными законами. В случае если лицо, обратившееся с запросом, не обладает соответствующими полномочиями на получение персональных данных гражданского служащего, либо отсутствует письменное согласие гражданского служащего на передачу его персональных данных, Главархив Московской области вправе отказать в предоставлении персональных данных. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации;

г) обеспечение конфиденциальности персональных данных работников, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных;

д) хранение персональных данных должно осуществляться в форме, позволяющей определить работника и иное лицо, являющееся субъектом персональных данных, не дольше, чем этого требуют цели их обработки.

Указанные сведения подлежат уничтожению по достижении цели обработки или в случае утраты необходимости в их достижении, если иное не установлено законодательством Российской Федерации. Факт уничтожения персональных данных оформляется соответствующим актом;

е) опубликование и распространение персональных данных работников допускается в случаях, установленных законодательством Российской Федерации.

8. Обработка биометрических и специальных категорий персональных данных работников или иного лица (под иными лицами подразумеваются кандидаты на замещение вакантных должностей государственной гражданской службы Московской области), являющегося субъектом персональных данных, осуществляется с их письменного согласия, за исключением случаев, предусмотренных законодательством Российской Федерации в области персональных данных. Использование и хранение биометрических и специальных категорий персональных данных вне информационных систем персональных данных может осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.

9. В целях обеспечения защиты персональных данных работники вправе:

а) получать полную информацию о своих персональных данных и способе обработки этих данных (в том числе автоматизированной);

б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, за исключением случаев, предусмотренных Федеральным законом "О персональных данных";

в) требовать внесения необходимых изменений, уничтожения или блокирования соответствующих персональных данных, которые являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

г) обжаловать в порядке, установленном законодательством Российской Федерации, действия (бездействие) уполномоченных должностных лиц.

10. Главархив Московской области в соответствии со статьями 44 и 64 Федерального закона "О государственной гражданской службе Российской Федерации" вправе осуществлять обработку (в том числе автоматизированную) персональных данных работников при формировании кадрового резерва.

11. Главархив Московской области в соответствии со статьей 22 Федерального закона "О государственной гражданской службе Российской Федерации" и пунктами 24 и 25 Положения о конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации, утвержденного Указом Президента Российской Федерации от 01.02.2005 N 112 вправе осуществлять обработку (в том числе автоматизированную) персональных данных кандидатов на замещение вакантных должностей государственной гражданской службы в Главархиве Московской области.

12. При переводе или назначении гражданского служащего на должность гражданской службы в другом государственном (муниципальном) органе его личное дело передается в государственный орган по новому месту замещения должности гражданской службы по письменному запросу соответствующего органа.

13. Защита персональных данных работников обеспечивается мерами, включающими в себя охрану помещений, в которых ведется обработка персональных данных, содержащихся в личных делах и других документах по личному составу, а также в электронном виде, контроль за соблюдением установленных требований, обеспечение режима безопасности в этих помещениях, обеспечение сохранности носителей персональных данных и средств их защиты, исключение несанкционированного проникновения или пребывания в этих помещениях посторонних лиц, контроль за эффективностью предусмотренных мер защиты.

14. Руководители структурных подразделений, государственные гражданские служащие и работники, которые уполномочены на обработку персональных данных или имеют доступ к ним, осуществляют непосредственный контроль за выполнением требований по защите персональных данных от несанкционированного доступа к ним, в том числе от копирования, записи конфиденциальных сведений на отчуждаемые и мобильные носители информации (ноутбуки, карманные персональные компьютеры, флеш-накопители, компакт-диски), их распространения, предоставления, использования или утраты.

15. Личные дела гражданских служащих и работников хранятся в специальном металлическом шкафу, который в конце рабочего дня опечатывается, в помещении, оборудованном охранной и пожарной сигнализацией, дверью с запорным устройством. Другие документы по личному составу, содержащие персональные данные работников, также хранятся в помещениях, оборудованных охранной и пожарной сигнализацией, дверью с запорным устройством.

16. Все документы, компакт-диски, флеш-накопители, содержащие персональные данные, подлежат уничтожению на основании актов только с применением соответствующих уничтожителей.

17. Бумажные носители персональных данных хранятся в течение сроков, установленных номенклатурой дел Главархива Московской области, которая утверждается начальником Главархива Московской области ежегодно.

Персональные данные на электронных носителях хранятся до достижения целей обработки, если иное не установлено нормативными правовыми актами Российской Федерации или номенклатурой дел Главархива Московской области.

18. Уничтожение носителей персональных данных осуществляется специально сформированной комиссией по акту. Способы уничтожения персональных данных:

- бумажные носители уничтожаются путем разрезания;

- персональные данные на электронных носителях уничтожаются путем стирания информации с помощью программных или технических средств или путем механического уничтожения носителей информации.

III. Порядок обработки персональных данных субъектов персональных данных, осуществляемой без использования средств автоматизации

19. Обработка персональных данных без использования средств автоматизации (далее - неавтоматизированная обработка персональных данных) может осуществляться в виде документов на бумажных носителях и в электронном виде (файлы, базы банных) на электронных носителях информации.

20. При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.

21. При неавтоматизированной обработке персональных данных на бумажных носителях:

- не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы;

- персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);

- документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;

- дела с документами, содержащими персональные данные, должны иметь внутренние описи документов с указанием цели обработки и категории персональных данных.

22. Неавтоматизированная обработка персональных данных в электронном виде осуществляется на внешних электронных носителях информации.

23. При отсутствии технологической возможности осуществления неавтоматизированной обработки персональных данных в электронном виде на внешних носителях информации необходимо принимать организационные (охрана помещений) и технические меры (установка сертифицированных средств защиты информации), исключающие возможность несанкционированного доступа к персональным данным лиц, не допущенных к их обработке.

24. При разработке и использовании типовых форм документов, необходимых для реализации возложенных на Главархив Московской области полномочий, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, адрес Главархива Московской области, фамилию, имя, отчество и адрес субъекта персональных данных, чьи персональные данные вносятся в указанную типовую форму, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, чьи персональные данные содержатся в типовой форме, при ознакомлении со своими персональными данными, не имел возможности доступа к персональным данным иных лиц, содержащимся в указанной типовой форме;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

25. Уничтожение или обезличивание персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

26. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем изготовления нового материального носителя с уточненными персональными данными.

IV. Порядок обработки персональных данных субъектов персональных данных в информационных системах

27. Обработка персональных данных в Главархиве Московской области осуществляется:

а) в Межведомственной системе электронного документооборота (далее - "МСЭД"), включающей:

фамилию, имя, отчество субъекта персональных данных;

адрес места жительства субъекта персональных данных;

почтовый адрес субъекта персональных данных;

телефон субъекта персональных данных;

адрес электронной почты субъекта персональных данных;

б) в программах АИС Смета, Контур-Экстерн программа подготовки отчетности в ПФР, включающих:

фамилию, имя, отчество субъекта персональных данных;

дату рождения субъекта персональных данных;

место рождения субъекта персональных данных;

серию и номер основного документа, удостоверяющего личность субъекта персональных данных;

сведения о дате выдачи указанного документа и выдавшем его органе;

адрес места жительства субъекта персональных данных;

почтовый адрес субъекта персональных данных;

телефон субъекта персональных данных;

ИНН субъекта персональных данных;

табельный номер субъекта персональных данных;

должность субъекта персональных данных;

номер приказа и дату приема на работу (увольнения) субъекта персональных данных;

номер страхового свидетельства государственного пенсионного страхования субъекта персональных данных;

в) Реестр государственных гражданских служащих Московской области, включающий:

фамилию, имя, отчество субъекта персональных данных;

дату рождения субъекта персональных данных;

место рождения субъекта персональных данных;

пол субъекта персональных данных;

специальное образование, специальность и квалификация по диплому;

наименование образовательного учреждения и дата его окончания;

ученая степень, звание и дата его присвоения;

дополнительное профессиональное образование;

сведения о трудовой деятельности;

сведения о категории и группе должностей, присвоении классного чина, прохождении аттестации;

сведения о поощрениях и награждении;

адрес места жительства субъекта персональных данных;

должность субъекта персональных данных;

номер приказа и дату приема на работу (увольнения) субъекта персональных данных;

сведения о наложении и снятии дисциплинарного взыскания;

сведения о включении в кадровый резерв Главархива Московской области, резерв управленческих кадров Московской области, резерв управленческих кадров Центрального федерального округа и исключении из резерва.

г) Деловая почта VipNet, включающая:

фамилию, имя, отчество субъекта персональных данных;

дату рождения субъекта персональных данных;

сведения о трудовой деятельности;

сведения о поощрениях и награждении;

Классификация указанных информационных систем персональных данных осуществляется в порядке, установленном законодательством Российской Федерации.

28. Работники Главархива Московской области при обработке персональных данных гражданских служащих и работников с использованием средств автоматизации обязаны:

принимать меры, исключающие несанкционированный доступ к используемым программно-техническим средствам;

вести учет электронных носителей информации (включая резервные и архивные копии), осуществлять хранение документов, содержащих персональные данные, и электронных носителей информации в металлических шкафах или сейфах;

производить запись персональных данных (отдельных файлов, баз данных) на электронные носители только в случаях, регламентированных порядком работы с данными сведениями;

соблюдать установленный порядок и правила доступа в автоматизированную систему, не допускать передачу персональных кодов и паролей;

принимать все необходимые меры к надежной сохранности кодов и паролей доступа в автоматизированную систему;

работать с подсистемой в объеме своих полномочий, не допускать их превышения;

обладать навыками работы с антивирусными программами в объеме, необходимом для выполнения функциональных обязанностей и требований по защите информации.

29. При работе на персональном компьютере, используемом для обработки персональных данных, работникам запрещается:

записывать значения кодов и паролей доступа;

передавать коды и пароли доступа другим лицам;

пользоваться в работе чужими кодами и паролями доступа;

производить подбор кодов и паролей доступа других пользователей;

записывать на электронные носители с персональными данными посторонние программы и данные;

копировать данные на неучтенные электронные носители информации;

выносить электронные носители с персональными работников за пределы Главархива Московской области без согласования с начальником Главархива Московской области;

покидать рабочее место с включенным персональным компьютером без применения аппаратных или программных средств блокирования доступа к персональному компьютеру;

приносить, самостоятельно устанавливать и эксплуатировать на технических средствах любые программные продукты, не принятые к эксплуатации;

открывать, разбирать, ремонтировать технические средства, вносить изменения в конструкцию, подключать нештатные блоки и устройства;

передавать технические средства для ремонта и обслуживания сторонним организациям без извлечения носителей, содержащих персональные данные гражданских служащих.

30. Персональные данные могут быть представлены для ознакомления:

а) работникам, допущенным к обработке персональных данных с использованием средств автоматизации в части, касающейся исполнения их должностных обязанностей;

б) уполномоченным работникам государственных органов исполнительной власти в порядке, установленном законодательством Российской Федерации.

31. Безопасность персональных данных, обрабатываемых с использованием средств автоматизации, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным.

32. Уполномоченными должностными лицами при обработке персональных данных в информационных системах персональных данных должна быть обеспечена их безопасность с помощью системы защиты, включающей организационные меры и средства защиты информации, в том числе шифровальные (криптографические) средства.

33. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.

34. Самостоятельное подключение средств вычислительной техники, применяемых для хранения, обработки или передачи персональных данных к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к информационно-телекоммуникационной сети Интернет, не допускается.

35. Доступ пользователей (операторов информационной системы) к персональным данным в информационных системах персональных данных Главархива Московской области должен требовать обязательного прохождения процедуры идентификации и аутентификации.

36. Структурными подразделениями (должностными лицами) Главархива Московской области, ответственными за обеспечение безопасности персональных данных при их обработке в информационных системах, должно быть обеспечено:

а) своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до начальника Главархива Московской области;

б) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

в) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

г) постоянный контроль за обеспечением уровня защищенности персональных данных;

д) знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

ж) при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;

з) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

37. В случае выявления нарушений порядка обработки персональных данных в информационных системах Главархива Московской области уполномоченными должностными лицами принимаются меры по установлению причин нарушений и их устранению.

Утверждены
распоряжением Главного архивного
управления Московской области
от 07.06.2017 N 78-р

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Главном архивном управлении Московской области

1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Главном архивном управлении Московской области (далее - Правила) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

2. Настоящие Правила разработаны в соответствии Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и другими нормативными правовыми актами.

3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

4. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Главном архивном управлении Московской области (далее - Главное управление) проводятся периодические проверки условий обработки персональных данных.

5. Проверки осуществляются ответственным за организацию обработки персональных данных в Главном управлении либо комиссией, образуемой приказом начальника Главного управления.

В проведении проверки не может участвовать гражданский служащий, прямо или косвенно заинтересованный в её результатах.

6. Проверки соответствия обработки персональных данных установленным требованиям в Главном управлении проводятся на основании утвержденного начальником Главного управления полугодового плана основных мероприятий Главного управления. Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.

7. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:

порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

порядок и условия применения средств защиты информации;

эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

состояние учета машинных носителей персональных данных;

соблюдение правил доступа к персональным данным;

наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

осуществление мероприятий по обеспечению целостности персональных данных.

8. Ответственный за организацию обработки персональных данных в Главном управлении (комиссия) имеет право:

запрашивать у работников Главного управления информацию, необходимую для проведения проверки.

требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;

вносить начальнику Главного управления предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

вносить начальнику Главного управления предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.

9. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных в Главном управлении (комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.

10. Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о её проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, начальнику Главного управления докладывает ответственный за организацию обработки персональных данных либо председатель комиссии, в форме акта.

Утверждены
распоряжением Главного архивного
управления Московской области
от 07.06.2017 N 78-р

Правила
работы с обезличенными персональными данными в Главном архивном управлении Московской области

1. Общие положения

1. Настоящие Правила работы с обезличенными персональными данными в Главном архивном управлении Московской области (далее - Главное управление) разработаны с учетом требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и постановления Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

2. Настоящие Правила определяют условия обезличивания и порядок работы с обезличенными данными Главного управления.

3. Под обезличиванием персональных данных подразумеваются действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

2. Условия обезличивания

4. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных Главного управления и по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.

5. Используются следующие способы обезличивания персональных данных при условии их дальнейшей обработки:

уменьшение перечня обрабатываемых сведений;

замена части сведений идентификаторами;

обобщение - понижение точности некоторых сведений;

понижение точности некоторых сведений (например, "Место жительства" может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);

- деление сведений на части и обработка в разных информационных системах и другие способы.

6. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных.

7. Заведующие отделами и работники, непосредственно осуществляющие обработку персональных данных, готовят предложения по обезличиванию персональных данных, способу обезличивания с обоснованием такой необходимости. Решение о необходимости обезличивания персональных данных принимает начальник Главного управления.

3. Порядок работы с обезличенными персональными данными

8. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.

9. Обезличенные персональные данные могут обрабатываться с использования и без использования средств автоматизации.

10. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение:

- парольной политики;

- антивирусной политики;

- режима резервного копирования;

- порядка доступа в помещения, в которых ведется обработка персональных данных.

11. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение правил хранения бумажных носителей, доступа к ним и в помещения, где они хранятся.

Утверждены
распоряжением Главного архивного
управления Московской области
от 07.06.2017 N 78-р

Правила
рассмотрения запросов субъектов персональных данных или их представителей в Главном архивном управлении Московской области

1. Общие положения

1. Настоящие Правила рассмотрения запросов субъектов персональных данных или их представителей в Главном архивном управлении Московской области (далее - Правила) разработаны в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".

2. Настоящие Правила устанавливают порядок доступа субъекта к его персональным данным; обязанности Главного архивного управления Московской области (далее - Оператор) по рассмотрению обращения субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя; ограничения на доступ субъекта персональных данных к его персональным данным.

2. Право субъекта персональных данных на доступ к его персональным данным

3. Субъект персональных данных имеет право на получение следующих сведений:

1) подтверждение факта обработки персональных данных Оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые Оператором способы обработки персональных данных;

4) наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального законодательства;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законодательством;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законодательством;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу.

4. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5. Сведения, указанные в пункте 3 настоящих Правил, должны быть предоставлены субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

6. Сведения, указанные в части 2.1 настоящих Правил, предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя.

ГАРАНТ:

По-видимому, в предыдущем абзаце допущена опечатка. В настоящих Правилах не содержится части 2.1

Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

7. В случае, если сведения, указанные в пункте 3 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 3 настоящих Правил, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. *

8. Субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 3 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 7 настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 6 настоящих Правил, должен содержать обоснование направления повторного запроса.

9. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 7 и 8 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.

3. Обязанности Оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя

10. Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

11. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Оператор обязан дать в письменной форме мотивированный ответ в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

123. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

13. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

14. Обращения и запросы субъектов персональных данных подлежат обязательному учету в Журнале учета лиц, получивших доступ к конфиденциальной информации, и лиц, которым она была предоставлена и передана.

4. Ограничения на право субъекта персональных данных на доступ к его персональным данным

15. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Утвержден
распоряжением Главного архивного
управления Московской области
от 07.06.2017 N 78-р

Порядок
доступа работников Главного архивного управления Московской области в помещения, в которых ведется обработка персональных данных

Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных, документов и средств автоматической обработки персональных данных, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.

Входные двери оборудуются замками, гарантирующими надежное закрытие помещений в нерабочее время. По завершении рабочего дня помещения, в которых проводится обработка персональных данных, закрываются, а ключи сдаются по журналу учета ключей на пост охраны.

Вскрытие помещений, в которых проводится обработка персональных данных, могут проводить:

начальник Главного управления - Петров П.М.;

заместитель начальника Главного управления - Кондратова Л.Ю.;

заместитель начальника Главного управления - Суздальцева Л.Н.;

работники, работающие в этих помещениях, по утвержденному начальником Главного управления списку с образцами подписей этих работников. Список лиц, имеющих право вскрывать помещения, в которых проводится обработка персональных данных, хранится на посту охраны.

В случае утраты ключей от помещений, в которых проводится обработка персональных данных, замена замка производится в течение одного рабочего дня.

Уборка в помещениях, в которых проводится обработка персональных данных, производится только в присутствии работников, работающих в этих помещениях.

Нахождение в данных помещениях лиц, не являющихся уполномоченными на обработку персональных данных, возможно только в присутствии лиц, уполномоченных на обработку, и на время, ограниченное необходимостью решения вопросов, связанных с исполнением должностных полномочий.