Приложение 1. Правила обработки персональных данных. Приказ начальника Главного управления государственного административно-технического надзора Московской области от 27.03.2020 N 47-Пр-о "Об обработке персональных данных в Главном управлении государственного административно-технического надзора Московской области"

Приложение 1
к приказу начальника
Госадмтехнадзора Московской области
от 27 марта 2020 г. N 47-Пр-о

Правила
обработки персональных данных

1. Общие положения

1.1. Настоящие Правила обработки персональных данных (далее - Правила) разработаны на основании Федеральных законов от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Федеральный закон), постановления Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", постановления Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказов ФСТЭК России от 11.02.2013 N 17 "О защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" и нормативно-методическими документами по вопросам безопасности персональных данных при их обработке в информационных системах персональных данных (далее - ИСПДн).

1.2. В Правилах используются следующие термины:

персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;

обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;

автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники;

распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц;

предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;

блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);

уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и/или в результате которых уничтожаются материальные носители ПДн;

обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;

информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.3. Настоящие Правила определяет порядок и условия обработки ПДн в Главном управлении государственного административно-технического надзора Московской области (далее по тексту - Госадмтехнадзор Московской области), включая порядок передачи ПДн третьим лицам, особенности автоматизированной и неавтоматизированной обработки ПДн, порядок доступа к ПДн, систему защиты ПДн, порядок организации внутреннего контроля и ответственность за нарушения при обработке ПДн.

1.4. Действие настоящих Правил распространяется на все процессы по сбору, систематизации, накоплению, хранению, уточнению, использованию, распространению (в том числе передаче), обезличиванию, блокированию, уничтожению ПДн, осуществляемых с использованием средств автоматизации и без их использования.

1.5. Все изменения в Правила вносятся приказом начальника Госадмтехнадзора Московской области - главного государственного административно-технического инспектора Московской области.

1.6. Все должностные лица Госадмтехнадзора Московской области должны быть ознакомлены с настоящими Правилами под роспись.

2. Цели и задачи обработки ПДн

2.1. Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с заявленными целями.

2.2. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в различных целях.

2.3. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.

2.4. Обработка ПДн должностных лиц Госадмтехнадзора Московской области может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия должностным лицам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности должностных лиц, контроля количества и качества выполняемой работы и обеспечения сохранности имущества Госадмтехнадзора Московской области.

2.5. Основными целями обработки ПДн является:

обеспечение прав граждан, организаций, органов государственной власти и органов местного самоуправления на поиск, получение, передачу, производство и распространение информации;

исполнение государственных функций;

заключение трудовых отношений с физическими лицами;

соблюдение действующего законодательства Российской Федерации.

2.6. ИСПДн обеспечивают решение следующих задач:

защита персональных данных;

контроль использования персональных данных;

воспрепятствование неправомерному доступу к персональным данным должностных лиц Госадмтехнадзора Московской области;

упрощение процедуры обработки персональных данных, сокращение времени на их обработку;

объединение в едином хранилище данных, предоставленных субъектами;

возможности обмена персональными данными с использованием информационных систем связи.

3. Персональные данные, обрабатываемые в ИСПДн

3.1. В ИСПДн обрабатываются ПДн следующих субъектов ПДн:

должностных лиц Госадмтехнадзора Московской области;

лиц, связанных с должностными лицами (дети, супруги, родители и т.д.);

персональные данные граждан, обрабатываемые в Госадмтехнадзоре Московской области в связи с реализацией государственных функций в соответствии с законодательством Российской Федерации.

3.2. Данный перечень может пересматриваться по мере необходимости.

3.3. Персональные данные субъектов ПДн включают:

любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу, за исключением специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных, а также биометрических персональных данных;

общедоступные персональные данные, которые получены только из общедоступных источников персональных данных.

3.4. Полные списки обрабатываемых ПДн формируются в Перечне персональных данных, обрабатываемых в Госадмтехнадзоре Московской области в связи с реализацией служебных или трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций.

4. Доступ к ПДн

4.1. Должностные лица Госадмтехнадзора Московской области, которые в силу выполняемых служебных обязанностей постоянно работают с ПДн, получают допуск к необходимым категориям ПДн на срок выполнения ими соответствующих должностных обязанностей в соответствии с утвержденным начальником Госадмтехнадзора Московской области перечнем лиц, допущенных к работе с ПДн.

4.2. Список лиц, имеющих доступ к ПДн для информационной системы, должен поддерживаться в актуальном состоянии.

4.3. Госадмтехнадзором Московской области установлен разрешительный порядок доступа к ПДн. Должностным лицам предоставляется доступ к работе с ПДн исключительно в пределах и объеме, необходимых для выполнения ими своих должностных обязанностей на основании решения начальника Госадмтехнадзора Московской области.

4.4. Временный или разовый допуск к работе с ПДн в связи со служебной необходимостью может быть получен должностным лицом Госадмтехнадзора Московской области по согласованию с начальником Госадмтехнадзора Московской области и руководителями задействованных в обработке ПДн структурных подразделений Госадмтехнадзора Московской области.

4.5. Доступ к ПДн третьих лиц, не являющихся должностными лицами Госадмтехнадзора Московской области, без согласия субъекта ПДн запрещен, за исключением доступа должностных лиц органов исполнительной власти, осуществляемого в рамках мероприятий по контролю и надзору за исполнением законодательства, реализации функций и полномочий соответствующих органов государственной власти. Предоставление информации по запросу или требованию органа государственной власти осуществляется с ведома начальника Госадмтехнадзора Московской области.

4.6. В случае если должностному лицу сторонней организации необходим доступ к ПДн Госадмтехнадзора Московской области, необходимо, чтобы в договоре со сторонней организацией были прописаны условия конфиденциальности ПДн и обязанность сторонней организации и ее должностных лиц по соблюдению требований действующего законодательства Российской Федерации в области защиты ПДн. Кроме того, в случае доступа к ПДн лиц, не являющихся должностными лицами Госадмтехнадзора Московской области, должно быть получено согласие субъектов ПДн на предоставление их ПДн третьим лицам. Указанное согласие не требуется, если ПДн предоставляются в целях исполнения гражданско-правового договора, заключенного Госадмтехнадзором Московской области субъектом ПДн.

4.7. Доступ должностного лица Госадмтехнадзора Московской области к ПДн прекращается с даты завершения трудовых отношений, либо с даты изменения должностных обязанностей должностного лица и (или) исключения его из списка лиц, имеющих право доступа к ПДн. В случае увольнения все находившиеся в распоряжении должностного лица в соответствии с его должностными обязанностями документы, а также носители информации, содержащие ПДн, передаются руководителям структурных подразделений.

5. Основные требования по защите ПДн

5.1. При обработке ПДн в информационных системах Госадмтехнадзора Московской области должно быть обеспечено:

проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

своевременное обнаружение фактов несанкционированного доступа к ПДн;

недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;

возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа;

постоянный контроль обеспечения уровня защищенности ПДн.

5.2. Госадмтехнадзор Московской области обязан принимать необходимые правовые, организационные и технические меры для обеспечения безопасности ПДн.

5.3. На основании нормативно-методического документа ФСТЭК России "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" для установления требований по обеспечению безопасности и внедрения системы обеспечения безопасности ПДн в Госадмтехнадзоре Московской области разрабатывается комплект организационно-распорядительной документации и модель угроз безопасности ПДн при их обработке в ИСПДн.

5.4. В соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" членами комиссии по обследованию режимных помещений, категорированию и классификации объектов информатизации Госадмтехнадзора Московской области, назначенными приказом начальника Госадмтехнадзора Московской области, проводится классификация ИСПДн.

5.5. В соответствии с приказом ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" в Госадмтехнадзоре Московской области разрабатывается и внедряется комплекс мер по защите и обеспечению безопасности ПДн.

5.6. Все лица, допущенные к работе с ПДн, а также связанные с эксплуатацией и техническим сопровождением ИСПДн, должны быть под роспись ознакомлены с требованиями настоящих Правил, а также должны подписать Обязательство о неразглашении конфиденциальной информации и Обязательство должностного лица Госадмтехнадзора Московской области, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных (служебных) обязанностей.

5.7. В Госадмтехнадзоре Московской области организуется процесс обучения использованию средств защиты ПДн, обязательный для лиц, ответственных за эксплуатацию средств защиты информации ИСПДн, и рекомендательный для лиц, имеющих постоянный доступ к ПДн, и лиц, эксплуатирующих технические и программные средства ИСПДн и средства защиты ИСПДн.

5.8. Должностные лица Госадмтехнадзора Московской области обязаны незамедлительно сообщать руководителям своих структурных подразделений об утрате или недостаче носителей информации, содержащих ПДн; о причинах и условиях возможной утечки ПДн; о попытках посторонних лиц получить от должностного лица ПДн, обрабатываемые Госадмтехнадзором Московской области.

6. Согласие на обработку ПДн

6.1. Субъект ПДн принимает решение о предоставлении своих ПДн и дает согласие на их обработку свободно, по своей воле и в своих интересах. Согласие на обработку ПДн должно быть конкретным, информированным и сознательным.

6.2. Получение письменного согласия на обработку ПДн осуществляется должностным лицом при получении ПДн от субъекта ПДн путем оформления письменного согласия должностного лица на обработку персональных данных.

7. Права субъекта в отношении ПДн, обрабатываемых Госадмтехнадзором Московской области

7.1. Субъект ПДн имеет право:

получать от Госадмтехнадзора Московской области информацию, касающуюся обработки его ПДн. Сведения должны быть предоставлены субъекту ПДн в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн. Перечень сведений и порядок получения сведений предусмотрен действующим законодательством Российской Федерации;

требовать от Госадмтехнадзора Московской области уточнения его ПДн, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством Российской Федерации меры по защите своих прав;

давать предварительное письменное согласие при принятии Госадмтехнадзором Московской области исключительно в процессе автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, если иное не предусмотрено законодательством Российской Федерации;

заявлять возражения на решения Госадмтехнадзора Московской области в процессе исключительно автоматизированной обработки ПДн и на возможные юридические последствия таких решений;

обжаловать действия или бездействие Госадмтехнадзора Московской области в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.

8. Права и обязанности Госадмтехнадзора Московской области

8.1. Госадмтехнадзор Московской области вправе:

8.1.1. В случае отзыва субъектом ПДн согласия на обработку ПДн продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в законодательстве Российской Федерации.

8.1.2. Отказать субъекту ПДн в выполнении повторного запроса сведений, не соответствующих условиям, предусмотренным законодательством Российской Федерации. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Госадмтехнадзоре Московской области.

8.1.3. Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей Госадмтехнадзора Московской области, предусмотренных законодательством Российской Федерации.

8.2. Госадмтехнадзор Московской области обязан:

8.2.1. До начала обработки ПДн уведомить уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации.

8.2.2. При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети Интернет, Госадмтехнадзор Московской области обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

8.2.3. При получении доступа к ПДн не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено Федеральным законом.

8.2.4. Представить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия законных оснований обработки ПДн без согласия субъекта ПДн.

8.2.5. Разъяснить субъекту ПДн порядок принятия решения на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом ПДн своих прав и законных интересов.

8.2.6. При сборе ПДн предоставить субъекту ПДн по его просьбе информацию, предусмотренную законодательством Российской Федерации.

Если предоставление ПДн Госадмтехнадзору Московской области для субъекта ПДн является обязательным в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", он обязан разъяснить субъекту ПДн юридические последствия его отказа предоставить ПДн.

8.2.7. Если ПДн получены не от субъекта ПДн, Госадмтехнадзор Московской области, за исключением случаев, предусмотренных законодательством Российской Федерации, до начала обработки таких ПДн должен предоставить субъекту ПДн следующую информацию:

наименование и адрес Госадмтехнадзора Московской области либо фамилия, имя, отчество его представителя;

цель обработки ПДн и ее правовое основание;

предполагаемые пользователи ПДн;

права субъекта персональных данных;

источник получения ПДн.

8.2.8. Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей Госадмтехнадзора Московской области, предусмотренных законодательством Российской Федерации.

8.2.9. Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях по защите ПДн.

8.2.10. При осуществлении сбора ПДн с использованием информационно-телекоммуникационных сетей опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки ПДн, и сведения о реализуемых требованиях по защите ПДн, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

8.2.11. Представить документы и локальные акты, предусмотренные законодательством Российской Федерации, и (или) иным образом подтвердить принятие мер, необходимых и достаточных для обеспечения выполнения обязанностей Госадмтехнадзора Московской области по запросу уполномоченного органа по защите прав субъектов ПДн.

8.2.12. При обработке ПДн принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

8.2.13. Назначить лицо, ответственное за организацию обработки ПДн.

9. Порядок обработки и защиты ПДн

9.1. Обеспечение конфиденциальности ПДн, обрабатывающихся Госадмтехнадзором Московской области, является обязательным требованием для всех лиц, которым ПДн стали известны.

9.2. Должностные лица Госадмтехнадзора Московской области, осуществляющие оформление документов, обязаны получать в установленных случаях согласие субъектов ПДн на обработку, если иное не предусмотрено законодательством Российской Федерации.

9.3. В случае нарушения установленного порядка обработки ПДн должностные лица Госадмтехнадзора Московской области несут ответственность в соответствии с разделом 11 настоящих Правил.

9.4. ПДн субъектов на бумажных носителях, обрабатываемые Госадмтехнадзором Московской области, хранятся в структурных подразделениях (у должностных лиц), имеющих допуск к обработке соответствующих ПДн. Право допуска должностных лиц к неавтоматизированным ИСПДн определяется приказом начальника Госадмтехнадзора Московской области. Носители ПДн не должны оставаться без присмотра. При покидании рабочего места должностные лица, осуществляющие обработку ПДн, должны убирать носители в сейф, запираемый шкаф или иным образом ограничивать несанкционированный доступ к носителям. При утере или порче ПДн осуществляется их восстановление (по возможности).

9.5. Места хранения документов, содержащих ПДн:

9.5.1. ПДн граждан, обрабатываемые в Госадмтехнадзоре Московской области в связи с реализацией государственных функций в соответствии с законодательством: документы, носители информации (флэш-карты, CD-диски, и т.п.) хранятся в сейфах, размещаются на полках и запираются на ключ. Ответственное лицо, осуществляющее контроль, определяется приказом начальника Госадмтехнадзора Московской области.

9.5.2. ПДн должностных лиц Госадмтехнадзора Московской области: документы, носители информации (флэш-карты, GD-диски и т.п.) - хранятся в сейфах и запираются на ключ.

9.6. Выдача документов для ознакомления осуществляется лицам, допущенным к соответствующей информации в целях исполнения должностных обязанностей, на срок, требуемый для целей обработки ПДн, если иное не предусмотрено законодательством Российской Федерации.

9.7. При работе с программными средствами информационной системы Госадмтехнадзора Московской области, реализующей функции просмотра и редактирования ПДн, запрещается демонстрация экранных форм, содержащих такие данные, лицам, не имеющим соответствующего допуска.

9.8. При получении ПДн должностным лицом Госадмтехнадзора Московской области, который в соответствии с должностными обязанностями получает ПДн от гражданина, должностного или иного лица, в обязательном порядке проводится проверка достоверности ПДн. Ввод ПДн, полученных Госадмтехнадзором Московской области, в информационную систему осуществляется должностными лицами, имеющими доступ к соответствующим ПДн. Должностные лица, осуществляющие ввод информации, несут ответственность за достоверность и полноту введенной информации.

9.9. Особенности обработки ПДн, содержащихся на бумажных носителях, без использования средств автоматизации (при составлении документов не используется ПЭВМ) установлены в соответствии с постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

9.10. При неавтоматизированной обработке различных категорий ПДн должен использоваться отдельный материальный носитель для каждой категории ПДн.

9.11. При неавтоматизированной обработке ПДн на бумажных носителях:

9.11.1. Не допускается фиксация на одном бумажном носителе ПДн, цели обработки которых различны.

9.11.2. ПДн должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков).

9.12. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее - типовые формы), должны соблюдаться следующие условия:

9.12.1. Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки ПДн, имя (наименование) и адрес Госадмтехнадзора Московской области, фамилию, имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых способов обработки ПДн.

9.12.2. Типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на неавтоматизированную обработку ПДн, при необходимости получения письменного согласия на обработку ПДн.

9.12.3. Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, не нарушая прав и законных интересов иных субъектов ПДн.

9.12.4. Типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых различны.

9.13. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен Федеральным законом от 27 июля 2006 г. N 152 "О персональных данных", договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

9.14. Случаи уничтожения, блокирования и уточнения ПДн:

9.14.1. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.

9.14.2. Уточнение ПДн при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными ПДн.

9.15. Уничтожение носителей, содержащих ПДн, осуществляется в следующем порядке:

9.15.1. ПДн на бумажных носителях уничтожаются путем использования шредера (уничтожители документов), установленного в помещениях Госадмтехнадзора Московской области.

9.15.2. ПДн, размещенные в памяти ПЭВМ, удаляются с использованием программного обеспечения гарантированного удаления данных, прошедших сертификацию в установленном порядке ФСТЭК России.

9.15.3. ПДн, размещенные на флэш-карте, CD-диске, ином носителе информации, уничтожаются путем удаления файла с носителя (форматирования) или путем нарушения работоспособности флэш-карты или CD-диска.

9.16. Об уничтожении носителя информации составляется акт об уничтожении ПДн.

9.17. По окончании рабочего дня должностные лица Госадмтехнадзора Московской области закрывают в служебных помещениях окна, запирают данные помещения и включают сигнализацию (при наличии).

9.18. Сетевое оборудование, серверы следует располагать в местах, недоступных для посторонних лиц (в специальных помещениях, шкафах, коробах).

9.19. Уборка помещений и обслуживание технических средств ИСПДн должны осуществляться под контролем ответственных за данные помещения и технические средства лиц с соблюдением мер, исключающих несанкционированный доступ к ПДн, носителям информации, программным и техническим средствам обработки, передачи и защиты информации ИСПДн.

9.20. В обязанности администраторов ИСПДн входит:

9.20.1. Управление учетными записями пользователей, поддержание штатной работы ИСПДн, обеспечение резервного копирования данных, а также установка и конфигурирование аппаратного и программного обеспечения ИСПДн, не связанного с обеспечением безопасности ПДн. Кроме того, в их обязанности входит обеспечение соответствия порядка обработки и безопасности ПДн в ИСПДн требованиям по конфиденциальности, целостности и доступности ПДн, предъявляемым к конкретной ИСПДн, и общим требованиям по безопасности ПДн, установленных федеральным законодательством.

9.20.2. Установка, конфигурирование и администрирование аппаратных и программных средств защиты информации ИСПДн, учет и хранение машинных носителей ПДн, периодический аудит журналов безопасности и анализ защищенности ИСПДн, а также участие в служебных расследованиях фактов нарушения установленного порядка обработки и обеспечения безопасности ПДн.

9.21. В целях обеспечения распределения полномочий, реализации взаимного контроля и недопущения сосредоточения представляющих угрозу для безопасности ПДн полномочий у одного лица не рекомендуется назначать администраторами ИСПДн их пользователей.

9.22. Квалификационные требования и детальный перечень прав и обязанностей администраторов ИСПДн закрепляются в соответствующих должностных инструкциях, ознакомление с которыми подтверждается подписью назначаемых должностных лиц.

9.23. Организация внутреннего контроля процесса обработки ПДн в Госадмтехнадзоре Московской области осуществляется в соответствии с Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

10. Передача (предоставление) персональных данных

10.1. Предоставление ПДн или предоставлении доступа к ним третьей стороне должны выполняться на основании:

действующего законодательства Российской Федерации;

договора (соглашения), существенным условием которого является обеспечение третьей стороной конфиденциальности ПДн и безопасности персональных данных при их обработке;

письменного согласия субъекта ПДн на передачу его ПДн третьей стороне, за исключением случаев, предусмотренных законодательством Российской Федерации.

10.2. Трансграничная передача ПДн на территорию иностранных государств не осуществляется.

10.3. В целях информационного обеспечения в Госадмтехнадзоре Московской области могут создаваться специализированные справочники (телефонные, адресные книги и др.), содержащие персональные данные, к которым с письменного согласия субъекта ПДн может предоставляться доступ неограниченному кругу лиц.

10.4. Сведения о субъекте ПДн должны быть незамедлительно исключены из общедоступных источников персональных данных по требованию субъекта персональных данных, либо по решению суда или иных уполномоченных государственных органов.

11. Ответственность за нарушение законодательства в области обработки ПДн

11.1. Руководители Госадмтехнадзора Московской области, руководители структурных подразделений несут ответственность за необеспечение конфиденциальности ПДн и несоблюдение прав и свобод субъектов ПДн в отношении их ПДн, в том числе, прав на неприкосновенность частной жизни, личную и семейную тайну.

11.2. Должностные лица Госадмтехнадзора Московской области несут персональную ответственность за несоблюдение требований по обработке и обеспечению безопасности ПДн, установленных настоящими Правилами, в соответствии с законодательством Российской Федерации.

11.3. Должностное лицо Госадмтехнадзора Московской области может быть привлечено к ответственности в случаях:

11.3.1. Умышленного или неосторожного раскрытия ПДн.

11.3.2. Утраты материальных носителей ПДн.

11.3.3. Нарушения требований настоящих Правил и других нормативных документов Госадмтехнадзора Московской области в части вопросов доступа и работы с информацией ограниченного доступа, в том числе ПДн.

11.4. В случаях нарушения установленного порядка обработки и обеспечения безопасности ПДн, несанкционированного доступа к ПДн, раскрытия ПДн и нанесения Госадмтехнадзору Московской области, его должностным лицам, а также гражданам, сведения о которых содержатся в ИСПДн Госадмтехнадзора Московской области, материального или морального ущерба, виновные должностные лица несут уголовную, административную, дисциплинарную, гражданско-правовую и материальную ответственность, предусмотренную законодательством Российской Федерации.