Проект Приказа Федеральной службы по аккредитации "Об утверждении Политики Федеральной службы по аккредитации в отношении организации обработки и обеспечения безопасности персональных данных и иных документов" (подготовлен Росаккредитацией 12.07.2017)

Проект Приказа Федеральной службы по аккредитации "Об утверждении Политики Федеральной службы по аккредитации в отношении организации обработки и обеспечения безопасности персональных данных и иных документов"
(подготовлен Росаккредитацией 12.07.2017 г.)

Досье на проект

Пояснительная записка

В соответствии с Федеральным законом от 27 июля 2006 г. N 152 "О персональных данных", постановления Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", в решения оперативных и плановых вопросов, касающихся обработки персональных данных, обеспечения безопасности персональных данных и осуществления внутреннего контроля и (или) аудита соответствия обработки персональных данных законодательству Российской Федерации и обеспечения защиты персональных данных приказываю:

1. Утвердить Политику Федеральной службы по аккредитации в отношении организации обработки и обеспечения безопасности персональных данных (Приложение 1).

2. Утвердить следующие документы, регламентирующие мероприятия по организации защиты информации, полученной при обработке персональных данных в Росаккредитации:

- Правила обработки персональных данных в Федеральной службе по аккредитации.

- Правила рассмотрения запросов субъектов персональных данных или их представителей в Федеральной службе по аккредитации.

- Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных".

- Должностная инструкция лица, ответственного за организацию обработки персональных данных.

- Положение о структурном подразделении Федеральной службы по аккредитации, ответственном за обеспечение безопасности персональных данных в информационных системах персональных данных.

- Правила работы с обезличенными данными в случае обезличивания персональных данных в Федеральной службе по аккредитации.

3. Помощнику руководителя Волкович Наталье Владимировне разместить утвержденную Политику Федеральной службы по аккредитации в отношении организации обработки и обеспечения безопасности персональных данных на официальном сайте Росаккредитации в открытом доступе.

4. Контроль за исполнением настоящего приказа оставляю за собой.

Руководитель

А.И. Херсонцев

УТВЕРЖДЕНА
приказом Федеральной службы
по аккредитации
от ___ ________ 2017 г. N _____

Политика Федеральной службы по аккредитации в отношении организации обработки и обеспечения безопасности персональных данных

I. Общие положения

1.1. Настоящая политика Федеральной службы по аккредитации в отношении организации обработки и обеспечения безопасности персональных данных (далее - Политика) разработана в целях реализации требований законодательства Российской Федерации в области обработки и защиты персональных данных субъектов и раскрывает принципы, цели и способы обработки Федеральной службой по аккредитации (далее - Росаккредитация) персональных данных.

1.2. Политика является общедоступным документом.

II. Правовые основания обработки персональных данных

2.1. Настоящая Политика разработана в соответствии со следующими нормативно правовыми актами Российской Федерации:

2.1.1. Конституция Российской Федерации.

2.1.2. Трудовой кодекс Российской Федерации.

2.1.3. Гражданский кодекс Российской Федерации.

2.1.4. Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

2.1.5. Постановление Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных".

2.1.6. Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации".

2.1.7. Федеральный законом от 02.05.2006 г. N 59 "О порядке рассмотрения обращений граждан Российской Федерации".

2.1.8. Постановление Правительства РФ от 17.10.2011 г. N 845 "О Федеральной службе по аккредитации" (вместе с "Положением о Федеральной службе по аккредитации").

2.1.9. Федеральный закон от 27.07.2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации".

2.1.10. Иные нормативные документами уполномоченных органов государственной власти в области обеспечения информационной безопасности, а так же локальные акты Росаккредитации в сфере обработки и защиты персональных данных.

2.2. Во исполнение настоящей Политики руководителем Росаккредитации утверждаются следующие локальные нормативные акты:

Правила обработки персональных данных в Федеральной службе по аккредитации;

Правила рассмотрения запросов субъектов персональных данных или их представителей в Федеральной службе по аккредитации;

Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных";

Должностная инструкция лица, ответственного за организацию обработки персональных данных;

Положение о структурном подразделении Росаккредитации, ответственном за обеспечение безопасности персональных данных в информационных системах персональных данных;

Иные локальные нормативные акты Росаккредитации в сфере обработки и защиты персональных данных.

III. Принципы, цели, содержание и способы обработки персональных данных

3.1. Росаккредитация в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

3.2. Росаккредитация осуществляет сбор и дальнейшую обработку персональных данных в следующих целях:

3.2.1. обеспечения кадровой работы Росаккредитации, формирования кадрового резерва государственной гражданской службы, обучения и должностного роста в соответствии с Федеральным законом от 27.07.2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации" и другими нормативными правовыми актами;

3.2.2. исполнение функций национального органа Российской Федерации по аккредитации в части предоставления государственных услуг в соответствии с Указом Президента Российской Федерации от 24 января 2011 г. N 86 "О единой национальной системе аккредитации" и на основании Положения о Федеральной службе по аккредитации, утвержденного постановлением Правительства Российской Федерации от 17.10.2011 N 845 "О Федеральной службе по аккредитации", Федеральным законом от 28.12.2013 г. N 412-ФЗ "Об аккредитации в национальной системе аккредитации", Федеральным законом от 27.07.2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" и административными регламентами по предоставлению Росаккредитацией государственных услуг, утвержденных приказами Минэкономразвития России;

3.2.3. исполнение функций национального органа Российской Федерации по аккредитации в части осуществления федерального государственного контроля за деятельностью аккредитованных лиц в соответствии с Указом Президента Российской Федерации от 24 января 2011 г. N 86 "О единой национальной системе аккредитации" и на основании Положения о Федеральной службе по аккредитации, утвержденного постановлением Правительства Российской Федерации от 17.10.2011 N 845 "О Федеральной службе по аккредитации", Федеральным законом от 28.12.2013 г. N 412-ФЗ "Об аккредитации в национальной системе аккредитации", Федеральным законом от 27.07.2010 г. и административным регламентом, утвержденным Приказом Минэкономразвития России от 27.07.2015 N 499;

3.2.4. своевременное и полное рассмотрение обращений граждан, принятие решений и направление ответов заявителям в соответствии с Федеральным законом от 2 мая 2006 года N59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

3.2.5. обмена данными с Федеральными органами исполнительной власти в рамках реализации положений постановления Правительства РФ от 8 сентября 2010 г. N 697 "О единой системе межведомственного электронного взаимодействия" и другими нормативными правовыми актами;

3.2.6. исполнение полномочий Национального органа по аккредитации в рамках Евразийской экономической комиссии в соответствии с Решением Комиссии Таможенного союза от 18.06.2010 N 319 "О техническом регулировании в таможенном союзе", Решениями Коллегии Евразийской экономической комиссии и другими нормативными правовыми актами;

3.2.7. обеспечения мероприятий по противодействию коррупции в соответствии с Федеральным законом от 25.12.2008 N273 "О противодействии коррупции и другими нормативными правовыми актами;

3.2.8. формирование статистических и аналитических материалов о результатах деятельности Росаккредитации в соответствии с Федеральным законом от 29.11.2007 N 282 "Об официальном статистическом учете и системе государственной статистики в Российской Федерации" и другими нормативными правовыми актами;

3.2.9. обеспечения иной деятельности Росаккредитации.

3.3. К основным мероприятиям, в рамках которых Росаккредитация осуществляет обработку и обеспечение безопасности персональных данных, относятся:

3.3.1. ведение реестров Росаккредитации;

3.3.2. оказание государственных услуг, в том числе обеспечение взаимодействия между всеми участниками данных процессов (центральным аппаратом и территориальными управлениями Росаккредитации, заявителями, аккредитованными лицами, экспертами по аккредитации, экспертными организациями);

3.3.3. мониторинг хода оказания государственных услуг Росаккредитации;

3.3.4. проведение государственного федерального контроля за деятельностью аккредитованных лиц;

3.3.5. представление аккредитованными лицами сведений о результатах деятельности, об изменениях состава работников и о компетентности этих работников, об изменениях технической оснащенности в Федеральную службу по аккредитации;

3.3.6. публикация сведений реестров Росаккредитации в открытом доступе на официальном сайте Росаккредитации;

3.3.7. предоставление сведений реестров Росаккредитации по запросам федеральных органов исполнительной власти Российской Федерации и других заинтересованных лиц через систему межведомственного электронного взаимодействия;

3.3.8. интеграция с сервисами федеральных органов исполнительной власти Российской Федерации в части получения необходимой информации в рамках оказания государственных услуг и функций Росаккредитации через систему межведомственного электронного взаимодействия;

3.3.9. формирование статистических и аналитических материалов о результатах деятельности в области аккредитации;

3.3.10. ведение списка внутренних пользователей и управление правами доступа к информационным ресурсам Росаккредитации;

3.3.11. обеспечение  требуемого уровня безопасности персональных данных при их обработке в информационных системах Росаккредитации.

3.4. Обработка персональных данных Росаккредитацией включает в себя: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных.

3.5. Росаккредитация осуществляет обработку персональных данных с использованием средств автоматизации и без использования средств автоматизации.

3.6. Росаккредитацией создаются общедоступные источники персональных данных (справочники, адресные книги). Персональные данные, сообщаемые субъектом, включаются в такие источники только с письменного согласия субъекта персональных данных или на основании требований действующего законодательства.

3.7. Росаккредитацией не принимаются решения, порождающее юридические последствия в отношении субъектов персональных данных или иным образом затрагивающее их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

3.8. Росаккредитация не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

3.9. Росаккредитация не осуществляет обработку биометрических персональных данных.

3.10. Росаккредитация производит трансграничную (на территорию иностранного государства, органу власти иностранного государства или иностранному юридическому лицу) передачу персональных данных в соответствии с международными договорами Российской федерации.

3.10.1 Трансграничная передача персональных данных на территорию иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

3.10.2 Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

предусмотренных международными договорами Российской Федерации в частности Соглашением о взаимном признании аккредитации органов по сертификации (оценке (подтверждению) соответствия) и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия, Решениями Коллегии Евразийской экономической комиссии и другими нормативными правовыми актами;

предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

3.11. Росаккредитация прекращает обработку персональных данных в соответствии со статьёй 21 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", а также в случаях:

достижения целей обработки персональных данных или в случае утраты необходимости в достижении этих целей;

истечения сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных.

IV. Меры по надлежащей организации обработки и обеспечению безопасности персональных данных

4.1. Росаккредитация при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, совокупностью следующих мероприятий:

4.1.1. Назначением ответственного должностного лица за организацию обработки персональных данных.

4.1.2. Осуществлением внутреннего контроля обработки персональных данных.

4.1.3. Изданием локальных нормативных правовых актов, определяющих Политику и вопросы обработки и защиты персональных данных в Росаккредитации.

4.1.4. Ознакомлением работников Росаккредитации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и локальными актами.

4.1.5. Установлением правил и прав доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных.

4.1.6. Ведением учёта и хранением носителей информации, исключающим их хищение, подмену, несанкционированное копирование и уничтожение.

4.1.7. Контролем и своевременной корректировкой принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

V. Должностное лицо, ответственное за организацию обработки персональных данных

5.1. Права, обязанности и юридическая ответственность лица, ответственного за организацию обработки персональных данных, установлены Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и "Должностной инструкцией лица, ответственного за организацию обработки персональных данных" Росаккредитации.

5.2. Назначение лица, ответственного за организацию и обеспечение безопасности при обработке персональных данных, и освобождение от указанных обязанностей осуществляется руководителем Росаккредитации из числа руководящих должностных лиц Росаккредитации.

5.3. Лицо, ответственное за организацию обработки персональных данных:

5.3.1. Организует осуществление мероприятий по обеспечению безопасности при обработке персональных данных в информационных системах персональных данных Росаккредитации.

5.3.2. Организует осуществление внутреннего контроля над соблюдением Росаккредитацией и ее работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

5.3.3. Доводит до сведения работников Росаккредитации положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

5.3. Контактные данные лица, ответственного за организацию обработки и обеспечение безопасности персональных данных: Новокшонов Ефим Викторович, тел. 8 (495) 539-26-70 доб. 1131, электронная почта pdn@fsa.gov.ru.

VI. Права субъектов персональных данных

6.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Росаккредитацией. Запрос субъекта персональных данных должен соответствовать требованиям, установленным Федеральным законом от 27.07.2006 г. N152-ФЗ "О персональных данных".

6.2. Субъект имеет право на уточнение своих персональных данных, в случае, если они являются неполными, устаревшими, неточными, а так же блокирование или уничтожение в случае, если они являются незаконно полученными или не являются необходимыми для заявленной цели обработки. Соответствующее требование может быть заявлено субъектом персональных данных исключительно в письменной форме.

6.3. При оказании государственных услуг и осуществлении государственного контроля (надзора) Росаккредитация осуществляет деятельность согласно нормативно правовым актам, регламентирующим порядок оказания государственных услуг и осуществления государственного контроля (надзора), с учетом требований Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

6.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

6.5. Субъект персональных данных вправе обжаловать действия или бездействие Росаккредитации путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

VII. Доступ к Политике

7.1. Действующая редакция Политики на бумажном носителе хранится в месте нахождения исполнительного органа Росаккредитации по адресу: ул. Вавилова, 7, Москва, 117312.

7.2. Электронная версия действующей редакции Политики общедоступна на сайте Росаккредитации в сети "Интернет": http://fsa.gov.ru.

VIII. Актуализация и утверждение Политики

8.1. Политика утверждается и вводится в действие распорядительным документом, утверждаемым руководителем Росаккредитации.

8.2. Росаккредитация имеет право вносить изменения в настоящую Политику по мере внесения изменений:

В нормативные правовые акты в сфере персональных данных.

В локальные нормативные акты и распорядительные документы Росаккредитации, регламентирующие организацию обработки и обеспечение безопасности персональных данных.

8.3. В заголовке Политики указывается дата утверждения действующей редакции Политики в случае внесения в нее изменений.

IX. Ответственность

9.1 Лица, виновные в нарушении норм, регламентирующих обработку и защиту персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации, локальными актами Росаккредитации и договорами, регулирующими правоотношения Росаккредитации с третьими лицами.