Приложение N 1
к приказу Федерального агентства
научных организаций
от 30 ноября 2015 г. N 42н
Правила обработки персональных данных в Федеральном агентстве научных организаций
I. Общие положения
1. Правила обработки персональных данных в Федеральном агентстве научных организаций (далее - Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в центральном аппарате и территориальных органах Федерального агентства научных организаций (далее - Агентство), а также подведомственных Агентству учреждениях и предприятиях (далее - подведомственные организации).
2. Субъектами персональных данных являются федеральные государственные гражданские служащие Агентства (далее - гражданские служащие), работники подведомственных организаций, граждане, претендующие на замещение вакантных должностей федеральной государственной гражданской службы в Агентстве и на замещение должностей руководителей подведомственных организаций (далее - претенденты), а также члены их семей (далее - субъекты персональных данных).
Обработка персональных данных в Агентстве выполняется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (далее - обработка персональных данных).
3. Настоящие Правила определяют политику Агентства как оператора, осуществляющего обработку персональных данных, и определяют цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
4. Настоящие Правила разработаны в соответствии с Трудовым кодексом Российской Федерации (Собрание законодательства Российской Федерации, 2002, N 1, ст. 3; N 30, ст. 3014, ст. 3033; 2003, N 27, ст. 2700; 2004, N 18, ст. 1690; N 35, ст. 3607; 2005, N 1, ст. 27; N 13, ст. 1209; N 19, ст. 1752; 2006, N 27, ст. 2878; N 41, ст. 4285; N 52, ст. 5498; 2007, N 1, ст. 34; N 17, ст. 1930; N 30, ст. 3808; N 41, ст. 4844; N 43, ст. 5084; N 49, ст. 6070; 2008, N 9, ст. 812; N 30, ст. 3613; N 30, ст. 3616; N 52, ст. 6235, ст. 6236; 2009, N 1, ст. 17, ст. 21; N 19, ст. 2270; N 29, ст. 3604; N 30, ст. 3732, ст. 3739; N 46, ст. 5419; N 48, ст. 5717; N 50, ст. 6146; 2010, N 31, ст. 4196; N 52, ст. 7002; 2011, N 1, ст. 49; N 25, ст. 3539; N 27, ст. 3880; N 30, ст. 4586, ст. 4590, ст. 4591, ст. 4596; N 45, ст. 6333, ст. 6335; N 48, ст. 6730, ст. 6735; N 49, ст. 7015, ст. 7031; N 50, ст. 7359, N 52, ст. 7639; 2012, N 10, ст. 1164; N 14, ст. 1553; N 18, ст. 2127; N 31, ст. 4325; N 47, ст. 6399; N 50, ст. 6954; N 50, ст. 6957, ст. 6959; N 53, ст. 7605; 2013, N 14, ст. 1666, ст. 1668; N 19, ст. 2322, ст. 2326, ст. 2329; N 23, ст. 2866, ст. 2883; N 27, ст. 3449, ст. 3454, ст. 3477; N 30, ст. 4037; N 48, ст. 6165; N 52, ст. 6986; 2014, N 14, ст. 1542, ст. 1547, ст. 1548; N 19, ст. 2321; N 23, ст. 2930; N 26, ст. 3405; N 30, ст. 4217; N 45, ст. 6143; N 48, ст. 6639; N 49, ст. 6918; N 52, ст. 7543, ст. 7554; 2015, N 1, ст. 10, ст. 42, ст. 72; N 14, ст. 2022; N 18, ст. 2625; N 27, ст. 3992; N 29, ст. 4356, ст. 4359, ст. 4363, ст. 4368; N 41, ст. 5639), федеральными законами от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации" (Собрание законодательства Российской Федерации, 2004, N 31, ст. 3215; 2006, N 6, ст. 636; 2007, N 10, ст. 1151; N 16, ст. 1828; N 49, ст. 6070; 2008, N 13, ст. 1186; N 30, ст. 3616; N 52, ст. 6235; 2009, N 29, ст. 3597, ст. 3624; N 48, ст. 5719; N 51, ст. 6150, ст. 6159; 2010, N 5, ст. 459; N 7, ст. 704; 2011, N 1, ст. 31; N 27, ст. 3866; N 29, ст. 4295; N 48, ст. 6730; N 50, ст. 7337; 2012, N 50, ст. 6954; N 53, ст. 7620, ст. 7652; 2013, N 14, ст. 1665; N 19, ст. 2326, ст. 2329; N 23, ст. 2874; N 27, ст. 3441, ст. 3462, ст. 3477; N 43, ст. 5454; N 48, ст. 6165; N 49, ст. 6351; N 52, ст. 6961; 2014, N 14, ст. 1545, N 49, ст. 6905, N 52, ст. 7542; 2015, N 1, ст. 62, ст. 63; N 14, ст. 2008; N 24, ст. 3374; N 29, ст. 4388; N 41, ст. 5639) (далее - Федеральный закон "О государственной гражданской службе Российской Федерации"), от 22 октября 2004 г. N 125-ФЗ "Об архивном деле в Российской Федерации" (Собрание законодательства Российской Федерации, 2004, N 43, ст. 4169; 2006, N 50, ст. 5280; 2007, N 49, ст. 6079; 2008, N 20, ст. 2253; 2010, N 19, ст. 2291; N 31, ст. 4196; 2013, N 7, ст. 611; 2014, N 40, ст. 5320; 2015, N 48, ст. 6723) (далее - Федеральный закон "Об архивном деле в Российской Федерации"), от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (Собрание законодательства Российской Федерации, 2006, N 19, ст. 2060; 2010, N 27, ст. 3410; N 31, ст. 4196; 2013, N 19, ст. 2307; N 27, ст. 3474; 2014, N 48, ст. 6638; 2015, N 45, ст. 6206) (далее - Федеральный закон "О порядке рассмотрения обращений граждан Российской Федерации"), от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 23, ст. 2870; N 27, ст. 3479; N 52, ст. 6961, ст. 6963; 2014, N 19, ст. 2302, N 30, ст. 4223, ст. 4243; N 48, ст. 6645; 2015, N 1, ст. 84; N 27, ст. 3979; N 29, ст. 4390) (далее - Федеральный закон "Об информации, информационных технологиях и о защите информации"), от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701; 2013, N 14, ст. 1651; N 30, ст. 4038, N 51, ст. 6683; 2014, N 23, ст. 2927, N 30, ст. 4217, ст. 4243) (далее - Федеральный закон "О персональных данных"), от 25 декабря 2008 г. N 273-ФЗ "О противодействии коррупции" (Собрание законодательства Российской Федерации, 2008, N 52, ст. 6228; 2011, N 29, ст. 4291; N 48, ст. 6730; 2012, N 50, ст. 6954; N 53, ст. 7605; 2013, N 19, ст. 2329; N 40, ст. 5031; N 52, ст. 6961; 2014, N 52, ст. 7542; 2015, N 41, ст. 5639; N 45, ст. 6204; N 48, ст. 6720) (далее - Федеральный закон "О противодействии коррупции"), указами Президента Российской Федерации от 1 февраля 2005 г. N 112 "О конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации" (Собрание законодательства Российской Федерации, 2005, N 6, ст. 439; 2011, N 4, ст. 578; 2013, N 12, ст. 1242; 2014, N 12, ст. 1263) (далее - Указ Президента Российской Федерации N 112), от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела" (Собрание законодательства Российской Федерации, 2005, N 23, ст. 2242; 2008, N 43, ст. 4921; 2014, N 27, ст. 3754) (далее - Указ Президента Российской Федерации N 609), постановлениями Правительства Российской Федерации от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных" (Собрание законодательства Российской Федерации, 2008, N 28, ст. 3384; 2012, N 53, ст. 7958) (далее - постановление Правительства Российской Федерации N 512), от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (Собрание законодательства Российской Федерации, 2008, N 38, ст. 4320) (далее - постановление Правительства Российской Федерации N 687), от 27 января 2009 г. N 63 "О предоставлении федеральным государственным гражданским служащим единовременной субсидии на приобретение жилого помещения" (Собрание законодательства Российской Федерации, 2009, N 6, ст. 739; N 51, ст. 6328; 2010, N 9, ст. 963; N 52, ст. 7104; 2013, N 13, ст. 1559; N 39, ст. 4985; 2014, N 14, ст. 1627) (далее - постановление Правительства Российской Федерации N 63), от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (Собрание законодательства Российской Федерации, 2012, N 14, ст. 1626; 2013, N 30, ст. 4116; 2014, N 37, ст. 4967) (далее - постановление Правительства Российской Федерации N 211),от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257) (далее - постановление Правительства Российской Федерации N 1119), приказами Министерства культуры и массовых коммуникаций Российской Федерации от 31 июля 2007 г. N 1182 "Об утверждении Перечня типовых архивных документов, образующихся в научно-технической и производственной деятельности организаций, с указанием сроков хранения" (зарегистрирован Министерством юстиции Российской Федерации 27 сентября 2007 г., регистрационный N 10194) с изменениями, внесенными приказом Министерства культуры Российской Федерации от 28 апреля 2011 г. N 412 (зарегистрирован Министерством юстиции Российской Федерации 20 мая 2011 г., регистрационный N 20831) (далее - приказ Минкультуры России N 1182), Министерства здравоохранения и социального развития Российской Федерации от 14 декабря 2009 г. N 984н "Об утверждении Порядка прохождения диспансеризации государственными гражданскими служащими Российской Федерации и муниципальными служащими, перечня заболеваний, препятствующих поступлению на государственную гражданскую службу Российской Федерации и муниципальную службу или ее прохождению, а также формы заключения медицинского учреждения" (зарегистрирован в Министерством юстиции Российской Федерации 29 декабря 2009 г., регистрационный N 15878) (далее - приказ Минздравсоцразвития России N 984н), Министерства культуры Российской Федерации от 25 августа 2010 г. N 558 "Об утверждении "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения" (зарегистрирован Министерством юстиции Российской Федерации 8 сентября 2010 г., регистрационный N 18380) (далее - приказ Минкультуры России N 558), Министерства здравоохранения и социального развития Российской Федерации от 26 августа 2011 г. N 989н "Об утверждении перечня медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну, порядка получения и формы справки об отсутствии медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну" (зарегистрирован Министерством юстиции Российской Федерации 11 октября 2011 г. N 22016) (далее - приказ Минздравсоцразвития России N 989н), Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (зарегистрирован Министерством юстиции Российской Федерации 10 сентября 2013 г., регистрационный N 29935) (далее - приказ Роскомнадзора N 996).
5. Обработка персональных данных в Агентстве осуществляется с соблюдением принципов и условий, предусмотренных законодательными и иными нормативными правовыми актами Российской Федерации в области персональных данных, а также настоящими Правилами.
II. Условия и порядок обработки персональных данных федеральных государственных гражданских служащих
6. Персональные данные субъектов персональных данных обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия в прохождении гражданской службы, содействия в выполнении осуществляемой работы, формирования кадрового резерва гражданской службы, обучения и должностного роста, учета результатов исполнения должностных обязанностей, обеспечения личной безопасности гражданских служащих, включая членов их семей, обеспечения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества, а также в целях противодействия коррупции и иных, предусмотренных законом целях.
7. В Агентстве обрабатываются следующие категории персональных данных:
1) фамилия, имя, отчество (при наличии) (в том числе прежние фамилии, имена и (или) отчества (при наличии), в случае их изменения);
2) число, месяц, год рождения;
3) место рождения;
4) информация о гражданстве (в том числе прежние гражданства, иные гражданства);
5) вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
6) адрес и дата регистрации (снятия с регистрационного учета) по месту жительства (месту пребывания);
7) номер контактного телефона или сведения о других способах связи;
8) реквизиты страхового свидетельства обязательного пенсионного страхования;
9) идентификационный номер налогоплательщика;
10) реквизиты страхового медицинского полиса обязательного медицинского страхования;
11) реквизиты свидетельств о государственной регистрации актов гражданского состояния;
12) сведения о семейном положении, составе семьи и сведения о близких родственниках (в том числе бывших мужьях (женах);
13) сведения о трудовой деятельности;
14) сведения о воинском учете и реквизиты документов воинского учета;
15) сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательной организации, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
16) сведения об ученой степени;
17) информация о владении иностранными языками, степень владения;
18) медицинское заключение по установленной, приказом Минздравсоцразвития России N 984н, форме об отсутствии у гражданина заболевания, препятствующего поступлению на федеральную государственную гражданскую службу или ее прохождению, а также медицинское заключение по установленной, приказом Минздравсоцразвития России N 989н, форме об отсутствии медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну (в случае оформления допуска к сведениям, составляющим государственную и иную охраняемую законом тайну, если исполнение должностных обязанностей по вакантной должности государственной гражданской службы Российской Федерации, на замещение которой претендует гражданин либо гражданский служащий, связано с использованием таких сведений);
19) результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований), а также обязательного психиатрического освидетельствования;
20) фотография;
21) сведения о прохождении федеральной государственной гражданской службы, в том числе: дата, основания поступления на государственную гражданскую службу и назначения на должность федеральной государственной гражданской службы, дата, основания назначения, перевода, перемещения на иную должность федеральной государственной гражданской службы, наименование замещаемых должностей федеральной государственной гражданской службы с указанием структурных подразделений Агентства, размера денежного содержания, результатов аттестации на соответствие замещаемой должности федеральной государственной гражданской службы, а также сведения о прежнем месте работы;
22) информация о классном чине государственной гражданской службы Российской Федерации (дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде государственной гражданской службы (квалификационном разряде или классном чине муниципальной службы);
23) сведения о пребывании за границей;
24) серия, номер документа, удостоверяющего личность гражданина Российской Федерации за пределами Российской Федерации, наименование органа, выдавшего его, дата выдачи;
25) информация о наличии или отсутствии судимости;
26) информация об оформленных допусках к государственной тайне;
27) сведения о государственных наградах, иных наградах, знаках отличия, поощрениях;
28) информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
29) сведения о доходах, об имуществе и обязательствах имущественного характера гражданского служащего, гражданина, претендующего на замещение должности федеральной государственной гражданской службы в Агентстве, сведения о доходах, об имуществе и обязательствах имущественного характера супруги (супруга) и несовершеннолетних детей гражданского служащего, гражданина, претендующего на замещение должности федеральной государственной гражданской службы в Агентстве;
30) сведения о расходах гражданского служащего, его супруги (супруга) и несовершеннолетних детей;
31) номер расчетного счета;
32) номер банковской карты;
33) иные персональные данные в соответствии с законодательными и иными нормативными правовыми актами Российской Федерации, необходимые для достижения целей, предусмотренных пунктом 6 настоящих Правил.
8. Обработка персональных данных осуществляется с письменного согласия субъекта персональных данных, составленного по типовой форме, утверждаемой настоящим приказом, которое действует с момента подписания до отзыва.
9. При обработке персональных данных, осуществляемой без использования средств автоматизации, должны соблюдаться требования Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации N 687.
10. В случае отказа субъекта персональных данных дать письменное согласие на обработку персональных данных ему под роспись доводится разъяснение юридических последствий отказа предоставить свои персональные данные по типовой форме, утверждаемой настоящим приказом.
11. Обработка персональных данных осуществляется без получения согласия субъектов персональных данных в соответствии с пунктом 2 части 1 статьи 6 Федерального закона "О персональных данных" для осуществления и выполнения функций, полномочий и обязанностей, возложенных на Агентство законодательством Российской Федерации.
12. Обработка специальных категорий персональных данных осуществляется без получения согласия субъектов персональных данных в соответствии с подпунктами 2.3 и 7 части 2 статьи 10 Федерального закона "О персональных данных", если обработка специальных категорий персональных данных осуществляется в соответствии с законодательством Российской Федерации о противодействии коррупции, о государственной социальной помощи, трудовым законодательством Российской Федерации, пенсионным законодательством Российской Федерации.
13. Обработка персональных данных осуществляется в соответствии с возложенными обязанностями гражданскими служащими, замещающими должности, предусмотренные перечнем должностей федеральной государственной гражданской службы Федерального агентства научных организаций, утверждаемым настоящим приказом, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, а также руководителями подведомственных организаций в отношении персональных данных подчиненных работников подведомственных организаций.
14. Обработка персональных данных осуществляется путем:
1) получения оригиналов необходимых документов;
2) копирования оригиналов документов;
3) внесения сведений в учетные формы (на бумажных и электронных носителях);
4) формирования персональных данных в ходе их обработки;
5) внесения персональных данных в информационные системы Агентства.
15. Обработка персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных.
В случае возникновения необходимости получения персональных данных у третьей стороны следует известить об этом субъекта персональных данных заранее, получить его письменное согласие и сообщить о целях, предполагаемых источниках и способах получения персональных данных (за исключением случаев, установленных частью 4 статьи 18 Федерального закона "О персональных данных").
16. Запрещается обрабатывать персональные данные, не предусмотренные настоящими Правилами, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, частной жизни.
III. Условия и порядок обработки персональных данных федеральных государственных гражданских служащих и лиц, состоящих с ними в родстве (свойстве), в связи с рассмотрением вопроса о предоставлении единовременной субсидии на приобретение жилого помещения
17. В Агентстве осуществляется обработка персональных данных гражданских служащих и лиц, состоящих с ними в родстве (свойстве), в связи с рассмотрением вопроса о предоставлении единовременной субсидии на приобретение жилого помещения (далее - лица, заинтересованные в субсидии).
18. Перечень персональных данных, подлежащих обработке в связи с предоставлением единовременной субсидии, включает в себя:
1) фамилию, имя, отчество (при наличии) (в том числе прежние фамилии, имена, отчества (при наличии), в случае их изменения);
2) вид, серию, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дату выдачи;
3) адрес и дата регистрации (снятия с регистрационного учета) по месту жительства (месту пребывания);
4) сведения о семейном положении, составе семьи и сведения о близких родственниках (в том числе бывших мужьях (женах);
5) персональные данные, содержащиеся в выписке из домовой книги, копиях финансового лицевого счета, свидетельства о браке, свидетельства о рождении ребенка (детей), трудовой книжки, документов о наличии в собственности гражданского служащего и (или) членов его семьи жилых помещений, кроме жилого помещения, в котором они зарегистрированы (с предоставлением при необходимости их оригиналов), документа, подтверждающего право на дополнительную площадь жилого помещения (в случаях, когда такое право предоставлено законодательством Российской Федерации);
6) иные персональные данные, предусмотренные законодательством Российской Федерации.
19. Обработка персональных данных в соответствии с настоящей главой осуществляется на основании заявления гражданского служащего о постановке на учет для предоставления субсидии, представляемого в соответствующую комиссию Агентства по рассмотрению вопросов предоставления гражданским служащим единовременной субсидии на приобретение жилого помещения (далее - комиссия Агентства).
20. Обработка персональных данных лиц, заинтересованных в субсидии, осуществляется гражданскими служащими, входящими в состав комиссии Агентства.
IV. Порядок обработки персональных данных в автоматизированной информационной системе Агентства
21. Обработка персональных данных в Агентстве может осуществляться в автоматизированной информационной системе (далее - АИС Агентства).
22. АИС Агентства и автоматизированные рабочие места, входящие в состав АИС Агентства, содержат персональные данные, указанные в настоящих Правилах, а также иные необходимые данные, в том числе табельный номер, должность, подразделение, номера и даты приказов.
23. Гражданским служащим, имеющим право осуществлять обработку персональных данных, предоставляются автоматизированные рабочие места в АИС Агентства, уникальный логин и пароль для доступа к АИС Агентства.
24. Персональные данные вносятся в АИС Агентства как в автоматическом так и в ручном режиме при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.
25. Обеспечение безопасности персональных данных в АИС Агентства, осуществляется структурным подразделением Агентства, на которое возложены функции по обеспечению в Агентстве информационных технологий и защиты информации (далее - подразделение информационных технологий), и достигается путем исключения несанкционированного, в том числе случайного доступа к персональным данным, а также иных неправомерных действий в отношении персональных данных, согласно статье 19 Федерального закона "О персональных данных", вследствие принятия следующих мер по обеспечению безопасности:
1) определения угроз безопасности персональных данных при их обработке в АИС Агентства;
2) применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке в АИС Агентства, направленных на нейтрализацию актуальных угроз безопасности персональных данных, в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации N 1119;
3) применения прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию АИС Агентства;
5) учета машинных носителей персональных данных;
6) обнаружения фактов несанкционированного доступа к персональным данным и принятия мер;
7) восстановления персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
8) установления правил доступа к персональным данным, обрабатываемым в АИС Агентства, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в АИС Агентства;
9) контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности АИС Агентства.
26. Подразделение информационных технологий обеспечивает также:
1) организацию и контроль ведения учета материальных носителей персональных данных;
2) своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных в Агентстве и руководства Агентства (территориального органа);
3) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
4) постоянный контроль за обеспечением уровня защищенности персональных данных;
5) знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
6) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;
7) при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям АИС Агентства до выявления причин нарушений и устранения этих причин;
8) разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
9) восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
10) защиту обмена персональными данными при их обработке в АИС Агентства и по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств;
11) доступ гражданских служащих к персональным данным, находящимся в АИС Агентства, предусматривающий обязательное прохождение процедуры идентификации и аутентификации.
V. Работа с обезличенными данными
27. Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных*.
28. Обезличивание персональных данных проводится с целью ведения статистического учета и отчетности, снижения ущерба от разглашения персональных данных, повышения уровня защищенности АИС Агентства, если иное не предусмотрено законодательством Российской Федерации.
29. Обезличивание персональных данных осуществляется в соответствии с приказом Роскомнадзора N 996.
30. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.
VI. Сроки и порядок обработки и хранения персональных данных
31. Обработка персональных данных гражданских служащих и работников подведомственных организаций осуществляется в течение всего периода прохождения федеральной государственной гражданской службы в Агентстве и работы в подведомственных организациях.
32. Обработка персональных данных претендентов осуществляется в соответствии с Указом Президента Российской Федерации N 112.
33. Срок хранения персональных данных лиц, заинтересованных в субсидии, определяются Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным приказом Минкультуры России N 558 (далее - Перечень архивных документов).
34. Срок хранения персональных данных в АИС Агентства, определяется в соответствии с Перечнем типовых архивных документов, образующихся в научно-технической и производственной деятельности организаций, с указанием сроков хранения, утвержденным приказом Минкультуры России N 1182.
35. Персональные данные хранятся в структурных подразделениях, к функциональным обязанностям которых относится обработка соответствующих персональных данных.
36. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях, в специальных разделах или на полях форм (бланков).
37. Должно обеспечиваться раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящими Правилами.
38. Контроль за хранением и использованием материальных носителей, содержащих персональные данные, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют непосредственные руководители гражданских служащих, осуществляющих обработку персональных данных.
VII. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований
39. Лицами, ответственными за архивную обработку документов в Агентстве, осуществляется систематический контроль за выделением документов на бумажных носителях, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.
40. Вопрос об уничтожении документов, содержащих персональные данные, по истечении срока их хранения, в центральном аппарате Агентства рассматривается на заседании центральной экспертной комиссии Агентства, а в территориальных органах Агентства - экспертными комиссиями территориальных органов Агентства (далее - экспертная комиссия Агентства). На основе представленного лицом, ответственным за архивную обработку документов, в экспертную комиссию Агентства акта о выделении документов к уничтожению выносится решение о его согласовании (несогласовании).
По итогам заседания экспертной комиссии Агентства составляется протокол и делаются соответствующие записи в акте о выделении к уничтожению документов, затем акт представляется на утверждение руководителю Агентства (территориального органа Агентства).
41. Контроль за процедурой уничтожения документов осуществляется лицом, ответственным за архивную обработку документов, совместно с уполномоченным гражданским служащим структурного подразделения, осуществляющего мероприятия по защите государственной тайны.
Сведения об уничтожении вносятся в акт о выделении к уничтожению документов.
42. Уничтожение персональных данных на электронных носителях производится под контролем гражданского служащего структурного подразделения, осуществляющего мероприятия по защите государственной тайны, гражданским служащим подразделения информационных технологий путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
VIII. Рассмотрение запросов субъектов персональных данных или их представителей
43. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных;
2) правовые основания и цели обработки персональных данных;
3) применяемые способы обработки персональных данных;
4) сведения о наименовании и месте нахождения центрального аппарата и территориальных органов Агентства;
5) сведения о лицах (за исключением гражданских служащих), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Агентством;
6) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством Российской Федерации в области персональных данных;
7) сроки обработки персональных данных, в том числе сроки их хранения в Агентстве;
8) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;
9) информацию об осуществленной или предполагаемой трансграничной передаче данных;
10) наименование организации или фамилию, имя, отчество (при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению Агентства, если обработка поручена или будет поручена такой организации или лицу;
11) иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.
44. Субъект персональных данных в соответствии с частью 1 статьи 14 Федерального закона "О персональных данных" вправе обращаться в Агентство с требованием об уточнении его персональных данных, о блокировании или уничтожении персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
45. Сведения, касающиеся обработки персональных данных, предоставляются в доступной форме. В таких сведениях не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
46. Сведения, касающиеся обработки персональных данных, предоставляются по письменному запросу субъекта персональных данных или его представителя гражданским служащим структурного подразделения, осуществляющего обработку соответствующих персональных данных. Запрос должен содержать:
1) номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
2) сведения, подтверждающие участие субъекта персональных данных в правоотношениях с Агентством (документ, подтверждающий прием документов на участие в конкурсе на замещение вакантных должностей федеральной государственной гражданской службы), либо сведения, иным образом подтверждающие факт обработки персональных данных в Агентстве, подпись заинтересованного субъекта персональных данных или его представителя.
К запросу, направленному представителем субъекта персональных данных, должен прилагаться документ (надлежащим образом заверенная копия), подтверждающий его полномочия.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
47. В случае, если сведения, касающиеся обработки персональных данных, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен законодательством Российской Федерации в области персональных данных, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Субъект персональных данных вправе обратиться повторно в Агентство или направить повторный запрос в целях получения сведений, касающихся обработки персональных данных, а также в целях ознакомления с обрабатываемыми персональными данными до истечения указанного срока в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.
Субъекту персональных данных может быть отказано в выполнении повторного запроса, не соответствующего установленным требованиям. Такой отказ должен быть мотивированным.
48. Право субъекта персональных данных на доступ к его персональным данным ограничено в соответствии с пунктами 3 и 4 части 8 статьи 14 Федерального закона "О персональных данных", если обработка его персональных данных в Агентстве осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, а также если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
49. В случае отказа в предоставлении информации дается мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона "О персональных данных" или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения заинтересованного субъекта персональных данных или его представителя либо с даты получения запроса.
IX. Лица, ответственные за организацию обработки персональных данных
50. Ответственный за организацию обработки персональных данных в центральном аппарате Агентства назначается руководителем Агентства из числа гражданских служащих центрального аппарата Агентства, относящихся к высшей и (или) главной группе должностей категории "руководители" центрального аппарата Агентства.
51. Ответственный за организацию обработки персональных данных в территориальном органе Агентства назначается руководителем территориального органа Агентства из числа гражданских служащих территориального органа Агентства, относящихся к главной группе должностей категории "руководители" территориального органа Агентства.
52. Ответственный за организацию обработки персональных данных в своей работе руководствуется законодательством Российской Федерации в области персональных данных, настоящими Правилами и обязан:
1) организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
2) осуществлять внутренний контроль за соблюдением государственными служащими требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
3) доводить до сведения гражданских служащих положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
4) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов;
5) в случае нарушения требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
53. Ответственный за организацию обработки персональных данных вправе:
1) иметь доступ к информации, касающейся обработки персональных данных и включающей в том числе:
цели обработки персональных данных;
категории обрабатываемых персональных данных;
категории субъектов, персональные данные которых обрабатываются;
правовые основания обработки персональных данных;
перечень действий с персональными данными, общее описание используемых способов обработки персональных данных;
описание мер, предусмотренных статьями 18.1 и 19 Федерального закона "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
дату начала обработки персональных данных;
срок или условия прекращения обработки персональных данных;
сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
2) привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, иных государственных служащих.
X. Внутренний контроль соответствия обработки персональных данных в Агентстве установленным требованиям
54. Проверки условий обработки персональных данных требованиям законодательства Российской Федерации проводятся не реже одного раза в три года специально созданной комиссией на основании приказа руководителя Агентства (территориального органа Агентства).
Организация работы по проведению проверки и обобщению ее результатов возлагаются на созданную комиссию.
55. Председатель комиссии докладывает о результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю Агентства (территориального органа Агентства).
XI. Порядок доступа в помещения, в которых ведется обработка персональных данных
56. Нахождение лиц, не являющихся гражданскими служащими, уполномоченными на обработку персональных данных, в помещениях, в которых ведется обработка персональных данных, возможно только в присутствии гражданского служащего, уполномоченного на обработку персональных данных, на время, ограниченное необходимостью решения служебных вопросов.
57. Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на гражданского служащего, осуществляющего обработку персональных данных.
______________________________
* Пункт 9 статьи 3 Федерального закона "О персональных данных".