Приложение Б (справочное). Состав и содержание организационных мер, связанных с обработкой финансовой организацией персональных данных. Национальный стандарт РФ ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2017 N 822-ст)

Приложение Б
(справочное)

Состав и содержание организационных мер, связанных с обработкой финансовой организацией персональных данных

Б.1 Цели обработки ПДн должны быть документально установлены и утверждены руководством финансовой организации.

Б.2 В финансовой организации должна быть установлена необходимость осуществления уведомления уполномоченного органа по защите прав субъектов ПДн об обработке ПДн и организована деятельность по своевременному направлению указанного уведомления в соответствии с требованиями [8].

Б.3 В финансовой организации должны быть установлены критерии отнесения АС к информационным системам персональных данных (ИСПДн).

Б.4 В финансовой организации должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета ресурсов ПДн, в том числе учета ИСПДн.

Для каждого ресурса ПДн должно быть обеспечено:

- установление цели обработки ПДн;

- установление и соблюдение сроков хранения ПДн и условий прекращения их обработки;

- определение перечня и категорий обрабатываемых ПДн (специальные категории ПДн, биометрические ПДн, ПДн, полученные из общедоступных источников, или иные ПДн);

- выполнение процедур учета количества субъектов ПДн, в том числе субъектов ПДн, не являющихся работниками финансовой организации;

- выполнение ограничения обработки ПДн достижением цели обработки ПДн;

- соответствие содержания и объема обрабатываемых ПДн установленным целям обработки;

- точность, достаточность и актуальность ПДн, в том числе по отношению к целям обработки ПДн;

- выполнение установленных процедур получения согласия субъектов ПДн (их законных представителей) на обработку их ПДн в случае, если получение такого согласия необходимо в соответствии с требованиями [8];

- выполнение установленных процедур получения согласия субъектов ПДн на передачу обработки их ПДн третьим лицам в случае, если получение такого согласия необходимо в соответствии с требованиями [8];

- прекращение обработки ПДн и уничтожение либо обезличивание ПДн по достижении целей обработки, по требованию субъекта ПДн в случаях, предусмотренных [8], в том числе при отзыве субъектом ПДн согласия на обработку его ПДн.

Б.5 В финансовой организации должны быть определены, выполняться, регистрироваться и контролироваться процедуры прекращения обработки ПДн и их уничтожения либо обезличивания в сроки, установленные [8], в следующих случаях:

- по достижении цели обработки ПДн (если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между финансовой организацией и субъектом ПДн);

- отзыва субъектом ПДн согласия на обработку его ПДн и в случае, если сохранение ПДн более не требуется для целей обработки ПДн (если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между организацией банковской системы РФ и субъектом ПДн);

- если ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;

- выявления неправомерной обработки ПДн, осуществляемой финансовой организацией или обработчиком, действующим по ее поручению, если обеспечить правомерность обработки ПДн невозможно;

- выявления неправомерной обработки ПДн без согласия субъекта ПДн.

В случае отсутствия возможности уничтожения ПДн либо обезличивания ПДн в течение срока, установленного [8], финансовая организация обеспечивает их блокирование с последующим обеспечением уничтожения ПДн. Уничтожение ПДн производится не позднее шести месяцев со дня их блокирования.

Б.6 В финансовой организации должна быть определена, выполняться и контролироваться политика в отношении обработки ПДн, а также в случае необходимости установлены порядки обработки ПДн для отдельных ресурсов ПДн. Для ресурсов ПДн, обрабатываемых в АС, в том числе ИСПДн, порядок обработки ПДн может являться частью эксплуатационной документации на АС и разрабатываться на этапе создания (модернизации) АС.

Указанные документы:

- определяют процедуры предоставления доступа к ПДн;

- определяют процедуры внесения изменений в ПДн с целью обеспечения их точности, достоверности и актуальности, в том числе по отношению к целям обработки ПДн;

- определяют процедуры уничтожения, обезличивания либо блокирования ПДн в случае необходимости выполнения таких процедур;

- определяют процедуры обработки обращений субъектов ПДн (их законных представителей) для случаев, предусмотренных Федеральным законом "О персональных данных", в частности порядок подготовки информации о наличии ПДн, относящихся к конкретному субъекту ПДн, информации, необходимой для предоставления возможности ознакомления субъектом ПДн (их законных представителей) с его ПДн, а также процедуры обработки обращений об уточнении ПДн, их блокировании или уничтожении, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для установленной цели обработки;

- определяют процедуры обработки запроса уполномоченного органа по защите прав субъектов ПДн;

- определяют процедуры получения согласия субъекта ПДн на обработку его ПДн и на передачу обработки его ПДн третьим лицам;

- определяют процедуры передачи ПДн между пользователями ресурса ПДн, предусматривающего передачу ПДн только между работниками финансовой организации, имеющими доступ к ПДн;

- определяют процедуры передачи ПДн третьим лицам;

- определяют процедуры работы с материальными носителями ПДн;

- определяют процедуры, необходимые для осуществления уведомления уполномоченного органа по защите прав субъектов ПДн об обработке ПДн в сроки, установленные [8];

- определяют необходимость применения типовых форм документов для осуществления обработки ПДн и процедуры работы с ними. Под типовой формой документа понимается шаблон, бланк документа или другая унифицированная форма документа, используемая финансовой организацией с целью сбора ПДн.

Б.7 Финансовая организация должна опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему ее политику в отношении обработки ПДн, а также к сведениям о реализуемых требованиях по обеспечению безопасности персональных данных.

Б.8 В финансовой организации должно быть установлено, в каких случаях необходимо получение согласия субъектов ПДн, при этом форма и порядок получения согласия субъектов ПДн должны быть регламентированы.

Б.9 В финансовой организации должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета лиц, имеющих доступ к ПДн.

Документ, определяющий перечень лиц, имеющих доступ к ПДн, утверждается руководителем финансовой организации.

Б.10 Обработка ПДн работниками финансовой организации должны осуществляться только с целью выполнения их должностных обязанностей.

Б.11 В финансовой организации должны быть определены, выполняться, регистрироваться и контролироваться процедуры ознакомления работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ и внутренними документами финансовой организации, содержащими требования по обработке и обеспечению безопасности ПДн в части, касающейся их должностных обязанностей.

Б.12 В финансовой организации должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета помещений, в которых осуществляется обработка ПДн, а также доступа работников и иных лиц в помещения, в которых ведется обработка ПДн.

Б.13 При работе с МНИ ПДн должно быть обеспечено выполнение содержания, предусмотренного мерами ПУИ.20, ПУИ.21, ПУИ.22, ПУИ.24 и ПУИ.26 таблицы 31, а также:

- обособление ПДн от иной информации, в частности путем фиксации их на отдельных МНИ ПДн, в специальных разделах или на полях форм документов (при обработке ПДн на бумажных носителях);

- хранение ПДн, цели обработки которых заведомо несовместимы, на отдельных МНИ;

- регистрация и учет мест хранения МНИ ПДн с фиксацией категории обрабатываемых персональных данных (специальные категории ПДн, биометрические ПДн, ПДн, полученные из общедоступных источников, или иные ПДн), включая раздельное хранение ресурсов ПДн, обработка которых осуществляется с различными целями;

- установление и выполнение порядка гарантированного уничтожения (стирания) информации с МНИ ПДн.

Б.14 Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

Б.15 Общедоступные источники ПДн создаются и публикуются финансовой организацией только для цели выполнения требований законодательства Российской Федерации. В финансовой организации должны быть определены, выполняться, регистрироваться и контролироваться процедуры публикации ПДн в общедоступных источниках ПДн.

Б.16 Поручение обработки ПДн третьему лицу (далее - обработчик) должно осуществляться на основании договора. В указанном договоре должны быть определены перечень действий (операций) с ПДн, которые будут совершаться обработчиком, и цели обработки, должна быть установлена обязанность обработчика обеспечивать безопасность ПДн (в том числе соблюдать конфиденциальность ПДн) при их обработке, не раскрывать и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом, а также должны быть указаны требования по обеспечению безопасности ПДн. При поручении обработки ПДн обработчику финансовая организация должна получить согласие субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.

Б.17 В финансовой организации должны быть определены, выполняться, регистрироваться и контролироваться процедуры, выполняемые в случаях необходимости осуществления трансграничной передачи ПДн.

Б.18 В финансовой организации должно быть назначено лицо, ответственное за организацию обработки ПДн. Полномочия лица, ответственного за организацию обработки ПДн, а также его права и обязанности должны быть установлены руководством финансовой организации.