Приложение 1. Правила обработки персональных данных в Управлении ветеринарии Ленинградской области. Приказ Управления ветеринарии Ленинградской области от 27.08.2018 N 5 "Об утверждении организационно-распорядительных документов оператора персональных данных - Управления ветеринарии Ленинградской области" (с изменениями и дополнениями)

Приложение 1
к приказу Управления ветеринарии
Ленинградской области
от 27.08.2018 N 5

Правила
обработки персональных данных в Управлении ветеринарии Ленинградской области

1. Правила обработки персональных данных в Управлении ветеринарии Ленинградской области определяют политику Управления ветеринарии Ленинградской области (далее - Управление) как оператора, осуществляющего обработку персональных данных.

2. Обработка персональных данных должна осуществляться на законной и справедливой основе.

3. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

5. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

6. Содержание и объём обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

7. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

8. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

9. Мерами, направленными на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных в Управлении, являются:

1) назначение ответственных за организацию обработки персональных данных в Управлении;

2) издание документов, определяющих политику в отношении обработки персональных данных, правовых актов Управления по вопросам обработки персональных данных;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных");

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Управления в отношении обработки персональных данных, правовым актам Управления;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных";

6) выполнение мероприятий по удалению или уточнению неполных или неточных данных;

7) ознакомление работников Управления, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Управления в отношении обработки персональных данных, правовыми актами Управления по вопросам обработки персональных данных и (или) обучение указанных работников.

10. Обеспечение безопасности персональных данных в Управлении достигается:

1) определением угроз безопасности персональных данных;

2) применением организационных и (или) технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных, а также при обработке персональных данных без использования средств автоматизации;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учётом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, обеспечением регистрации и учёта всех действий, совершаемых с персональными данными в информационной системе персональных данных, а также правил доступа к персональным данным при их обработке без использования средств автоматизации;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных, а также безопасности персональных данных, обрабатываемых без использования средств автоматизации.

11. Цели обработки персональных данных в Управлении определяются с учётом полномочий и функций Управления.

К персональным данным, обрабатываемым в указанных целях, относятся: фамилия, имя, отчество, пол, адрес места жительства и иные персональные данные, указанные в Перечне персональных данных, обрабатываемых в Управлении в связи с реализацией служебных или трудовых отношений, а также предоставлением государственных услуг и осуществлением государственных функций (приложение N 5 к настоящему приказу).

Обработка персональных данных в соответствии с указанными целями осуществляется в отношении субъектов персональных данных, являющихся работниками оператора, и (или) субъектов персональных данных, не являющихся работниками оператора.

12. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных неправомерно обрабатываемые персональные данные, относящиеся к этому субъекту персональных данных, блокируются с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных персональные данные, относящиеся к этому субъекту персональных данных, блокируются с момента такого обращения или получения указанного запроса на период