Решение Избирательной комиссии Воронежской области от 06.04.2017 N 32/236-6 "О Правилах обработки персональных данных в Избирательной комиссии Воронежской области" (с изменениями и дополнениями) (документ не действует)

Решение Избирательной комиссии Воронежской области от 6 апреля 2017 г. N 32/236-6
"О Правилах обработки персональных данных в Избирательной комиссии Воронежской области"

В соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", во исполнение постановления Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными и муниципальными органами" Избирательная комиссия Воронежской области решила:

1. Утвердить Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в Избирательной комиссии Воронежской области (прилагаются).

2. Контроль за исполнением настоящего решения возложить на заместителя председателя Избирательной комиссии Воронежской области.

3. Разместить настоящее решение на официальном сайте Избирательной комиссии Воронежской области в сети Интернет - www.voronezh.izbirkom.ru.

Председатель комиссии

С.В. Канищев

Секретарь комиссии

С.Н. Хорунжий

Утверждены решением
Избирательной комиссии
Воронежской области
от 06.04.2017 г. N 32/236-6

Правила
обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в Избирательной комиссии Воронежской области

Общие положения

1.1. Настоящие Правила разработаны в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Кодексом Российской Федерации об административных правонарушениях, Федеральными законами: от 27.07.2006 года N 152-ФЗ "О персональных данных", от 25.12.2008 года N 273-ФЗ "О противодействии коррупции", от 27.07.2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации", от 12.06.2002 года N 67-ФЗ "Об основных гарантиях избирательных прав и права на участие в референдуме граждан Российской Федерации", от 02.05.2006 года N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации", от 05.04.2013 года N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд", законами Воронежской области: от 19.06.2003 года N 31-ОЗ "Об Избирательной комиссии Воронежской области", от 27.06.2007 года N 87-ОЗ "Избирательный кодекс Воронежской области", от 27.06.2007 года N 85-ОЗ "О порядке осуществления гражданской инициативы в Воронежской области", постановлением Правительства Российской Федерации от 01.11.2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 06.07.2008 года N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных", постановлением Правительства Российской Федерации от 15.09.2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации: от 21.03.2012 года N 211 "Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", указами Президента Российской Федерации: от 01.02.2005 года N 112 "О конкурсе на замещение вакантной должности государственной гражданской службы", от 30.05.2005 года N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", приказом ФСТЭК России от 11.02.2013 года N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", приказом ФСТЭК России от 18.02.2013 года N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

1.2. Перечень сокращений:

ПДн - Персональные данные;

Оператор - Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

НСД - Несанкционированный доступ;

АИС - Автоматизированная информационная система;

ИСПДн - Информационная система персональных данных;

СКЗИ - Средство криптографической защиты информации;

АРМ - Автоматизированное рабочее место;

Правила - Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;

ИКВО - Избирательная комиссия Воронежской области.

Термины и определения:

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель;

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Использование персональных данных - действия (операции) с персональными данными, совершаемые должностным лицом (лицами) ИКВО в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении сотрудников либо иным образом затрагивающих их права и свободы или права и свободы других лиц;

Конфиденциальность персональных данных - обязанность ИКВО и его сотрудников не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;

Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных соответствующая характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяющая осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным;

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

1.3. Цель разработки документа - определение порядка обработки ПДн субъектов ПДн; обеспечение защиты прав и свобод субъектов ПДн при обработке их ПДн, а также установление ответственности должностных лиц, имеющих доступ к ПДн субъектов, за невыполнение требований норм, регулирующих обработку и защиту ПДн.

2. Цель, состав, категории субъектов персональных данных и категории ПДн

2.1. Цель обработки персональных данных - организация и проведение мероприятий по повышению правовой культуры избирателей, обеспечение избирательных прав и права на участие в референдуме граждан Российской Федерации, осуществление кадрового и бухгалтерского учета государственных гражданских служащих и работников по трудовому договору ИКВО, прием граждан, рассмотрение устных и письменных обращений граждан; ведение кадрового резерва; осуществление государственных закупок.

2.2. Персональные данные, обрабатываемые в ИКВО, относятся к сведениям конфиденциального характера (конфиденциальной информации). В ИКВО обрабатываются ПДн следующих субъектов ПДн:

2.2.1. Физические лица:

лица, замещающие государственные должности ИКВО, члены их семей;

государственные гражданские служащие ИКВО; члены их семей;

работники ИКВО, замещающие должности, не относящиеся к должностям государственной гражданской службы ИКВО;

уволенные лица, замещавшие государственные должности ИКВО;

уволенные государственные гражданские служащие ИКВО;

уволенные работники, замещающие должности, не относящиеся к должностям государственной гражданской службы ИКВО;

члены избирательных комиссий с правом решающего и совещательного голоса;

обратившиеся в ИКВО с обращением, жалобой или заявлением;

представившие заявку для участия в торгах на поставку товаров, выполнения работ, оказания услуг для государственных нужд ИКВО;

контрагенты и представители контрагентов по государственным контрактам и договорам;

представившие сведения для участия в конкурсе на замещение вакантных должностей государственной гражданской службы; состоящие в кадровом резерве;

независимые эксперты, привлекаемые для участия в комиссиях ИКВО;

операторы, представившие уведомление об обработке персональных данных.

2.3. В ИКВО обрабатываются следующие категории ПДн:

фамилия, имя, отчество (в том числе предыдущие), год рождения, месяц рождения, дата рождения, место рождения, адрес, семейное положение, социальное положение, образование, профессия, состояние здоровья, реквизиты свидетельства государственной регистрации актов гражданского состояния, сведения о трудовой деятельности, реквизиты документов воинского учета, сведения о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании, ученая степень, информация о владении иностранными языками, степень владения, медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению, фотоизображение, сведения о прохождении государственной гражданской службы, в том числе: дата, основания поступления на государственную гражданскую службу и назначения на должность государственной гражданской службы, дата, основания назначения, перевода, перемещения на иную должность государственной гражданской службы, наименование замещаемых должностей государственной гражданской службы с указанием структурных подразделений, размера денежного содержания, результатов аттестации на соответствие замещаемой должности государственной гражданской службы, а также сведения о прежнем месте работы, информация, содержащаяся в служебном контракте, дополнительных соглашениях к служебному контракту, сведения о пребывании за границей, информация о классном чине государственной гражданской службы Российской Федерации (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы), информация о наличии или отсутствии судимости, информация об оформленных допусках к государственной тайне, государственные награды, иные награды и знаки отличия, сведения о профессиональной переподготовке и (или) повышении квалификации, информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания, сведения о доходах, расходах, об имуществе и обязательствах имущественного характера, гражданство, владение иностранными языками, наличие заграничного паспорта (серия, номер, кем и когда выдан, в том числе сведения предыдущего заграничного паспорта), номер расчетного счета, номер банковской карты, данные паспорта гражданина Российской Федерации, ИНН, сведения о составе семьи, о пребывании за границей, данные свидетельства государственного пенсионного страхования, данные воинского учета, данные трудовых книжек, данные страхового медицинского полиса обязательного страхования, должность, место работы, наличие иждивенцев.

3. Основные условия проведения обработки ПДн

3.1. Обработка ПДн осуществляется после получения согласия субъекта ПДн, за исключением случаев, предусмотренных частью 3.2 настоящего Положения.

3.2. Согласие субъекта ПДн, предусмотренное п. 3.1 настоящего Положения не требуется в следующих случаях:

1) обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения, возложенных законодательством Российской Федерации на ИКВО функций, полномочий и обязанностей;

2) обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

3) обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

4) обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;

5) обработка ПДн необходима для осуществления прав и законных интересов ИКВО или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн.

3.3. Письменное согласие субъекта ПДн должно включать:

1) фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);

3) наименование или фамилию, имя, отчество и адрес оператора;

4) цель обработки ПДн;

5) перечень ПДн, на обработку которых дается согласие субъекта ПДн;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;

8) срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта ПДн.

3.4. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных п. 3.5. настоящего Положения.

3.5. Обработка специальных категорий ПДн допускается в случаях, если:

1) субъект ПДн дал согласие в письменной форме на обработку своих ПДн;

2) ПДн сделаны общедоступными субъектом ПДн;

3) обработка ПДн осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;

4) обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПДн невозможно;

5) обработка ПДн необходима для установления или осуществления прав субъекта ПДн или третьих лиц, а равно и в связи с осуществлением правосудия;

6) обработка ПДн осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;

7) обработка ПДн осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

3.6. Лица, допущенные к обработке ПДн, в обязательном порядке под роспись знакомятся с требованиями настоящих Правил.

3.7. Запрещается:

обрабатывать ПДн в присутствии лиц, не допущенных к их обработке;

осуществлять ввод ПДн под диктовку (голосовой ввод).

4. Обработка ПДн

Обработка ПДн подразделяется на:

обработка ПДн в ИСПДн;

обработка ПДн, осуществляемая без использования средств автоматизации.

4.1. Обработка ПДн в ИСПДн.

4.1.1. Обработка ПДн в ИСПДн с использованием средств автоматизации осуществляется в соответствии с требованиями Постановления Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.

4.1.2. Обработка ПДн с использованием средств автоматизации осуществляется в рамках ИСПДн ИКВО и внешних информационных систем, предоставляемых сторонними организациями. Состав ИСПДн ИКВО определяется "Перечнем информационных систем персональных данных", утверждаемым распоряжением председателя ИКВО.

4.2. Обработка ПДн, осуществляемая без использования средств автоматизации.

4.2.1. Лица, осуществляющие обработку ПДн без использования средств автоматизации (в том числе сотрудники ИКВО или лица, осуществляющие такую обработку по договору с ИКВО), должны быть проинформированы о факте обработки ими ПДн, обработка которых осуществляется ИКВО без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами ИКВО.

4.2.2. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее - типовая форма), должны соблюдаться следующие условия:

типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации; имени (наименовании) и адресе ИКВО; фамилию, имя, отчество и адрес субъекта ПДн; источник получения ПДн; сроки обработки ПДн; перечень действий с ПДн, которые будут совершаться в процессе их обработки; общее описание используемых ИКВО способов обработки ПДн;

типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку ПДн;

типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.

5. Основные этапы обработки ПДн

5.1. Получение ПДн.

5.1.1. ИКВО получает ПДн непосредственно от субъекта ПДн или от законных представителей субъектов, наделенных соответствующими полномочиями.

5.1.2. Субъект ПДн обязан предоставлять ИКВО достоверные сведения о себе. ИКВО имеет право проверять достоверность сведений, предоставленных субъектом, сверяя данные, предоставленные субъектом, с имеющимися у ИКВО документами.

Предоставление субъектом ПДн - сотрудником ИКВО подложных документов или заведомо ложных сведений при заключении служебного контракта является основанием для расторжения служебного контракта в соответствии с пунктом 8 части 1 статьи 16 Федерального закона от 27.07.2004 года N 79-ФЗ "О государственной гражданской службе Российской Федерации", Законом Воронежской области от 30 мая 2005 года N 29-ОЗ "О государственной гражданской службе Воронежской области".

При изменении ПДн субъект ПДн - сотрудник ИКВО письменно уведомляет ИКВО о таких изменениях в разумный срок, не превышающий 14 дней с момента изменений. Данное обязательство не распространяется на изменение ПДн, предоставление которых требует соответствующее согласие сотрудника.

5.1.3. Если обязанность предоставления ПДн установлена федеральным законом, сотрудники ИКВО обязаны разъяснить субъекту ПДн юридические последствия отказа предоставить свои ПДн.

5.1.4. Если ПДн получены не от субъекта ПДн, ИКВО, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона Российской Федерации от 27.07.2006 года N 152-ФЗ "О персональных данных", до начала обработки таких ПДн обязана предоставить субъекту ПДн следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки ПДн и ее правовое основание;

3) предполагаемые пользователи ПДн;

4) установленные федеральным законом права субъекта ПДн;

5) источник получения ПДн.

5.1.5. ИКВО освобождается от обязанности предоставить субъекту ПДн сведения, предусмотренные п. 5.1.4, в случаях, если:

1) субъект ПДн уведомлен об осуществлении обработки его ПДн соответствующим оператором;

2) ПДн получены ИКВО на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн;

3) ПДн сделаны общедоступными субъектом ПДн или получены из общедоступного источника;

4) предоставление субъекту персональных данных сведений, предусмотренных ч. 3 ст. 18 Федерального закона Российской Федерации от 27.07.2006 года N 152-ФЗ "О персональных данных", нарушает права и законные интересы третьих лиц.

5.2. Хранение ПДн.

5.2.1. Персональные данные субъектов ПДн хранятся на материальных носителях (бумажные, электронные носители), в том числе и на внешних (съемных) электронных носителях в ИСПДн.

5.2.2. В целях обеспечения сохранности и конфиденциальности ПДн все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только сотрудниками ИКВО, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных регламентах.

5.2.3. Хранение ПДн должно происходить в порядке, исключающем их утрату или неправомерное использование. При работе с документами, содержащими ПДн, запрещается оставлять их на рабочем месте или оставлять шкафы (сейфы) с данными документами открытыми (незапертыми) в случае выхода из помещения, где находится рабочее место.

5.2.4. В конце рабочего дня все документы, содержащие ПДн, должны быть убраны в шкафы (сейфы).

5.2.5. Хранение документов, содержащих ПДн сотрудников ИКВО, должно осуществляться следующим образом:

личные дела сотрудников, картотеки, учетные журналы и книги учета хранятся в запирающихся шкафах;

трудовые книжки хранятся в несгораемом сейфе;

бланки документов, ключи от рабочих шкафов сотрудников отдела правовой и организационно-кадровой работы хранятся у ответственного лица, назначенного начальником отдела;

хранение ПДн субъектов ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки в соответствии со сроками хранения, определяемыми законодательством Российской Федерации и нормативными документами ИКВО;

ПДн субъектов ПДн хранятся в отделах ИКВО, которые отвечают за взаимодействие с субъектами;

ответственными за хранение ПДн субъектов в отделах ИКВО являются начальники отделов;

ПДн на бумажных носителях должны находиться в помещениях ИКВО в сейфах, металлических или запираемых шкафах, обеспечивающих защиту от несанкционированного доступа;

доступ к ИСПДн, содержащим ПДн, должен обеспечиваться с использованием средств защиты от несанкционированного доступа и копирования;

все электронные носители ПДн должны быть учтены. Учет внешних съемных электронных носителей информации, содержащих ПДн, осуществляется в подразделениях, осуществляющих обработку ПДн.

5.2.6. Сотрудник, имеющий доступ к ПДн сотрудников ИКВО в связи с исполнением трудовых обязанностей:

обеспечивает хранение информации, содержащей ПДн, исключающее доступ к ним третьих лиц;

при уходе в отпуск, нахождении в служебной командировке и иных случаях длительного отсутствия сотрудника на своем рабочем месте он обязан передать документы и иные носители, содержащие ПДн, лицу, на которое исполнение данных обязанностей возложено должностной инструкцией.

В случае если такое лицо не назначено, документы и иные носители, содержащие ПДн, передаются другому сотруднику, имеющему доступ к ПДн по указанию начальника отдела.

Сотрудники отдела правовой и организационно-кадровой работы, осуществляющие ведение личных дел сотрудников ИКВО, обязаны обеспечивать конфиденциальность сведений, содержащихся в личных делах сотрудников ИКВО.

Сотрудники отдела правовой и организационно-кадровой работы, осуществляющие ведение личных дел сотрудников ИКВО, обязаны ознакамливать сотрудника ИКВО с документами своего личного дела не реже одного раза в год, а также по просьбе сотрудника и во всех иных случаях, предусмотренных законодательством Российской Федерации.

5.2.7. При увольнении сотрудника, имеющего доступ к ПДн, документы и иные носители, содержащие ПДн, сдаются сотрудником начальнику отдела, к которому он относится.

5.2.8. Режим конфиденциальности ПДн снимается в случаях их обезличивания и по истечении срока их хранения, если иное не определено законом.

5.2.9. После увольнения сотрудника папка "Личное дело сотрудника" перемещается в архив уволенных сотрудников и хранится в архиве 50 лет.

5.3. Порядок учета носителей ПДн.

5.3.1. В ИКВО должны быть учтены все машинные носители информации, содержащие ПДн.

5.3.2. Для организации учета машинных носителей ПДн каждому носителю присваивается учетный номер. Для этого все машинные носители должны быть промаркированы печатью или наклейкой с инвентарным номером. На носители (компакт-диски и др.), на которые наклеивание ярлыка недопустимо по техническим причинам, реквизиты ярлыка полностью наносятся на диск специальным нестираемым маркером.

5.3.3. Учет машинных носителей осуществляется по "Журналу учета машинных носителей ПДн".

5.4. Использование ПДн.

5.4.1. Запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных п. 5.4.2 настоящих Правил.

5.4.2. Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПДн только при наличии согласия в письменной форме субъекта ПДн или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.

5.4.3. ИКВО обязано разъяснить субъекту ПДн положение принятия решения на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения.

5.4.4. С документами, содержащими ПДн сотрудника, которые создаются в ИКВО в период трудовой деятельности сотрудника (распоряжения, служебные записки и т.п.), сотрудник должен быть ознакомлен под роспись.

5.4.5. Исключение или исправление неверных или неполных ПДн сотрудников ИКВО осуществляют сотрудники отдела правовой и организационно-кадровой работы по устному требованию сотрудника после предъявления подтверждающих документов.

5.4.6. Копии документов, являющихся основанием для исправления неверных или неполных данных ПДн сотрудников, хранятся в папке "Личное дело сотрудника".

5.5. Лицо, ответственное за организацию обработки ПДн в ИКВО.

Распоряжением председателя ИКВО назначается лицо, ответственное за организацию обработки ПДн в ИКВО (далее - Ответственное лицо).

Ответственное лицо получает указания непосредственно от председателя ИКВО и подотчетно ему.

Ответственное лицо обязано:

1) осуществлять внутренний контроль за соблюдением ИКВО и его сотрудниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;

2) доводить до сведения сотрудников ИКВО положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;

3) организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

5.6. Доступ сотрудников к ПДн субъектов ПДн, обрабатываемым в ИКВО.

5.6.1. Сотрудники ИКВО получают доступ к ПДн субъектов ПДн исключительно в объеме, необходимом для выполнения своих должностных обязанностей.

5.6.2. Список сотрудников ИКВО, имеющих доступ к ПДн, определяется в "Перечне должностей служащих Избирательной комиссии Воронежской области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным".

5.6.3. "Перечень должностей служащих Избирательной комиссии Воронежской области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным" разрабатывается и пересматривается по мере необходимости (изменение организационно-штатной структуры, введении новых должностей и т.п.) Ответственным лицом на основании заявок начальников отделов.

5.6.4. Сотруднику, должность которого не включена в "Перечень должностей служащих Избирательной комиссии Воронежской области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным", но которому необходим разовый или временный доступ к ПДн субъектов ПДн в связи с исполнением должностных обязанностей, распоряжением председателя ИКВО может быть предоставлен такой доступ на основании письменного мотивированного запроса начальника отдела сотрудника.

5.6.5. Сотрудник ИКВО получает доступ к ПДн субъектов ПДн после ознакомления и изучения требований настоящих Правил и иных внутренних нормативных документов ИКВО по защите персональных данных в части, его касающейся.

5.7. Доступ субъектов ПДн к ПДн, обрабатываемым в ИКВО.

5.7.1. Субъект ПДн имеет право на свободный доступ к своим ПДн, включая право на получение копии любой записи (за исключением случаев, когда предоставление ПДн нарушает конституционные права и свободы других лиц), содержащей его ПДн. Субъект имеет право вносить предложения по внесению изменений в свои ПДн в случае обнаружения в них неточностей.

5.7.2. Субъект ПДн - сотрудник ИКВО или его законный представитель, получает доступ к своим ПДн или к иной информации, касающейся обработки его ПДн по запросу в следующие отделы:

отдел правовой и организационно-кадровой работы и отдел планово-финансовой и хозяйственной работы - для выдачи документов, связанных с его трудовой деятельностью (копии распоряжений о приеме на работу, переводу на другую работу, увольнении с работы, выписок из трудовой книжки, справок о месте работы, периоде работы в ИКВО и др.).

5.7.3. Субъект ПДн - иное физическое лицо или его законный представитель, получает доступ к своим ПДн или к иной информации, касающейся обработки его ПДн по запросу Ответственному лицу.

Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с ИКВО (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн ИКВО, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

5.7.4. Субъект ПДн имеет право на получение при обращении информации, касающейся обработки его ПДн, в том числе содержащей:

1) подтверждение факта обработки ПДн ИКВО;

2) правовые основания и цели обработки ПДн;

3) цели и применяемые ИКВО способы обработки ПДн;

4) наименование и место нахождения ИКВО, сведения о лицах (за исключением сотрудников ИКВО), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;

5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки ПДн, в том числе сроки их хранения;

7) порядок осуществления субъектом ПДн прав, предусмотренных федеральным законом;

8) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению ИКВО, если обработка поручена или будет поручена такому лицу;

9) иные сведения, предусмотренные федеральными законами.

5.7.5. Уполномоченные лица обязаны сообщить в порядке, предусмотренном ст. 14 Федерального закона Российской Федерации от 27.07.2006 года N 152-ФЗ "О персональных данных" субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с ними при обращении субъекта ПДн или его представителя либо в течении тридцати рабочих дней с даты получения запроса субъекта ПДн или его законного представителя.

5.7.6. Ответ в адрес субъекта ПДн может быть направлен через отделение почтовой связи заказным письмом с уведомлением о вручении или передан непосредственно в руки адресату под роспись.

В случае отказа в предоставлении субъекту ПДн или его законному представителю при обращении либо при получении запроса субъекта ПДн или его законного представителя информации о наличии ПДн о соответствующем субъекте ПДн, а также таких ПДн, уполномоченные лица обязаны дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона "О персональных данных" или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати рабочих дней со дня обращения субъекта ПДн или его законного представителя, либо с даты получения запроса субъекта ПДн или его законного представителя.

Мотивированный ответ в адрес субъекта ПДн может быть направлен через отделение почтовой связи заказным письмом с уведомлением о вручении или передан непосредственно в руки адресату под роспись.

В случае отзыва субъектом ПДн согласия на обработку его ПДн ИКВО обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по распоряжению председателя ИКВО) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по распоряжению председателя ИКВО) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между ИКВО и субъектом ПДн, либо если ИКВО не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных федеральными законами.

В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн ИКВО обязано осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по распоряжению председателя ИКВО) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн ИКВО обязано осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по распоряжению председателя ИКВО) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.

В случае подтверждения факта неточности ПДн ИКВО на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязано уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по распоряжению председателя ИКВО) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.

В случае выявления неправомерной обработки ПДн, осуществляемой ИКВО или лицом, действующим по распоряжению председателя ИКВО, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по распоряжению председателя ИКВО. В случае, если обеспечить правомерность обработки ПДн невозможно, ИКВО в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязано уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн ИКВО обязано уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.

В случае достижения цели обработки ПДн ИКВО обязано прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по распоряжению председателя ИКВО) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по распоряжению председателя ИКВО) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между ИКВО и субъектом ПДн, либо если ИКВО не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных федеральными законами.

Передача (обмен и т.д.) ПДн между отделами ИКВО осуществляется только между сотрудниками, имеющими доступ к ПДн субъектов.

При передаче ПДн субъекта сотрудники, осуществляющие передачу, предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.

5.8. Регламент обмена/выдачи информации (ПДн субъекта) третьим лицам (физическим и юридическим).

5.8.1. К числу внешних потребителей ПДн ИКВО в соответствии с нормами действующего законодательства относятся государственные органы:

органы записи актов гражданского состояния;

органы социальной защиты населения;

органы федеральной службы государственной регистрации, кадастра и картографии;

налоговые органы;

правоохранительные органы;

военкоматы;

органы социального страхования;

пенсионные фонды;

органы местного самоуправления;

банк, в который ИКВО осуществляет перечисление заработной платы в соответствии с заявлением сотрудника;

судебные органы по запросу субъекта ПДн.

5.8.2. При передаче ПДн субъекта уполномоченные лица должны придерживаться следующих требований:

передача ПДн субъекта третьим лицам осуществляется только с письменного согласия субъекта, за исключением случаев, установленных федеральными законами;

не допускается передача ПДн субъекта в коммерческих целях без его письменного согласия;

передача ПДн по телефону запрещается;

сотрудникам ИКВО, имеющим доступ к ПД, запрещена запись, хранение и вынос за пределы ИКВО на внешних носителях информации (диски, дискеты, USB флэш-карты и т.п.), передача по внешним адресам электронной почты или размещение в сети Интернет информации, содержащей ПДН субъектов, за исключением случаев, указанных в настоящих Правилах или установленных иными внутренними документами ИКВО;

передача третьим лицам документов (иных материальных носителей), содержащих ПДн субъектов, осуществляется по письменному запросу третьего лица на предоставление ПДн субъекта. Ответы на письменные запросы даются на бланке ИКВО и в том объеме, который позволяет не разглашать излишних сведений о субъекте ПДн;

сотрудники ИКВО, передающие ПДн субъектов третьим лицам, должны передавать их с обязательным уведомлением лица, получающего эти документы, об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена, и с предупреждением об ответственности за незаконное использование данной конфиденциальной информации в соответствии с федеральными законами. Уведомление и предупреждение могут быть реализованы путем подписания акта передачи носителей ПДн, в котором приведены указанные условия;

предоставление ПДн субъекта государственным органам производится в соответствии с требованиями действующего законодательства Российской Федерации;

ПДн субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта, за исключением случаев, когда передача ПДн субъекта без его согласия допускается действующим законодательством РФ;

документы, содержащие ПДн субъекта, могут быть отправлены посредством федеральной почтовой связи заказным письмом. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие ПДн, вкладываются в конверт, в документах делается надпись о том, что ПДн, содержащиеся в письме, являются конфиденциальной информацией и не подлежат распространению и (или) опубликованию. Лица, виновные в нарушении требований конфиденциальности, несут ответственность, предусмотренную законодательством Российской Федерации.

5.8.3. Учет переданных ПДн осуществляется в рамках принятых в ИКВО правил делопроизводства путем регистрации входящей и исходящей корреспонденции и запросов, как государственных органов, так и отделов ИКВО о предоставлении ПДн физических (юридических) лиц либо их представителей. Фиксируются сведения о лицах, направивших такие запросы, дата выдачи ПДн, а также дата уведомления об отказе в предоставлении ПДн (в случае отказа).

5.8.4. В случае если лицо, обратившееся в ИКВО с запросом на предоставление ПДн, не уполномочено на получение информации, относящейся к ПДн, уполномоченные лица ИКВО обязаны отказать данному лицу в выдаче такой информации. Лицу, обратившемуся с соответствующим запросом, выдается уведомление в свободной форме об отказе в выдаче информации, а копия уведомления хранится в соответствии с принятыми правилами делопроизводства (как исходящая корреспонденция). В случае, если запрашивались ПДн сотрудника ИКВО, копия уведомления также подшивается в личное дело сотрудника, ПДн которого не были предоставлены.

5.9. Уничтожение ПДн.

5.9.1. ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

5.9.2. Уничтожение ПДн, не подлежащих архивному хранению, осуществляется только комиссией в составе сотрудника отдела, ответственного за защиту ПДн и сотрудника отдела, в чьем ведении находятся указанные ПДн. По результатам уничтожения должен оформляться Акт.

6. Ответственность

6.1. С правилами работы и хранения конфиденциальной информации о ПДн в обязательном порядке должны быть ознакомлены все работники ИКВО, подписав лист ознакомления с настоящими Правилами.

6.2. Сотрудник, которому в силу трудовых отношений с ИКВО стала известна информация, составляющая ПДн, в случае нарушения режима защиты этих ПДн несет материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами Российской Федерации.

6.3. Разглашение ПДн субъектов ПДн (передача их посторонним лицам, в том числе сотрудникам ИКВО, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих ПДн субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных настоящими Правилами, локальными нормативными актами (решениями, распоряжениями) ИКВО, может повлечь наложение на сотрудника, имеющего доступ к ПДн, дисциплинарного взыскания, если иное не предусмотрено законодательством РФ.

6.4. Сотрудник ИКВО, имеющий доступ к ПДн субъектов и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба ИКВО (п. 7 ст. 243 Трудового кодекса РФ).

6.5. Сотрудники ИКВО, имеющие доступ к ПДн субъектов, виновные в незаконном разглашении или использовании ПДн субъектов без согласия субъектов из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут ответственность в соответствии с законодательством РФ.

6.6. Руководство ИКВО за нарушение норм, регулирующих получение, обработку и защиту ПДн сотрудника, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей ПДн сотрудника.

7. Дополнительные положения

7.1. Каждый сотрудник должен быть ознакомлен с настоящими Правилами под роспись при приеме на работу, а для сотрудников, принятых ранее даты его утверждения, не позднее 1 (одного) месяца с даты утверждения Правил.

7.2. Настоящие Правила хранятся в отделе правовой и организационно-кадровой работы ИКВО, копии Правил хранятся в отделе планово-финансовой и хозяйственной работы ИКВО, информационном центре ИКВО.