Приложение N 1. Положение об обработке персональных данных в информационных системах персональных данных Департамента по культуре Томской области. Приказ Департамента по культуре Томской области от 20.05.2020 N 15/01-09 "Об утверждении документов, направленных на выполнение требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных"

Приложение N 1
к приказу
Департамента по культуре
Томской области
от 20.05.2020 N 015/01-09

Положение
об обработке персональных данных в информационных системах персональных данных Департамента по культуре Томской области

1. Общие положения

1. Настоящее Положение об обработке персональных данных (далее - Положение) определяет порядок получения, хранения, обработки, комбинирования, передачи и любого другого исполнения персональных данных, обрабатываемых в информационных системах (далее - ИС) Департамента по культуре Томской области (далее - Департамент или Оператор).

2. Настоящее Положение разработано в соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных".

3. Для целей настоящего Положения используются понятия, указанные в статье 3 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных".

2. Получение, обработка и защита персональных данных

Порядок получения персональных данных

4. Персональные данные (далее - ПДн) могут быть получены Департаментом только способами, предусмотренными действующим законодательством Российской Федерации. При этом получение письменного согласия, а также разъяснение субъекту ПДн о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных и последствиях отказа субъекта ПДн дать письменное согласие на их получение, возлагается на Оператора. Типовая форма согласия на обработку персональных данных приведена в приложении N 1 к настоящему Положению. В случае отказа субъекта ПДн предоставить свои ПДн ему должны быть разъяснены юридические последствия такого отказа. Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональных данных приведена в приложении N 2 к настоящему Положению.

5. Сотрудники Департамента имеют право получать только те ПДн, которые необходимы им для выполнения своих служебных обязанностей.

6. Сотрудники Департамента, получающие персональные данные субъекта ПДн, обязаны соблюдать режим конфиденциальности.

Порядок обработки персональных данных

7. Обработка персональных данных может осуществляться только в заявленных целях.

8. При определении объема и содержания обрабатываемых персональных данных, Оператор должен руководствоваться Конституцией Российской Федерации, Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" и иными нормативными правовыми актами в области защиты персональных данных.

9. При принятии решений, затрагивающих интересы субъекта ПДн, Департамент не имеет права основываться на персональных данных субъекта ПДн, полученных исключительно в результате их автоматизированной обработки или электронно.

Порядок защиты персональных данных

10. Защита персональных данных субъекта ПДн от неправомерного их использования или утраты должна быть обеспечена Оператором за счет его средств в порядке, установленном нормативными правовыми актами Российской Федерации в области защиты персональных данных.

11. Оператор обязан при обработке персональных данных субъектов ПДн:

1) принимать необходимые организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий;

2) соблюдать порядок получения, учета и хранения персональных данных субъектов ПДн;

3) применять технические средства охраны и сигнализации;

4) взять со всех сотрудников, связанных с получением, обработкой и защитой персональных данных субъектов ПДн, типовое обязательство сотрудника Департамента о неразглашении информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну и о прекращении обработки такой информации в случае расторжения с ним служебного контракта или трудового договора;

5) привлекать к дисциплинарной ответственности сотрудников, виновных в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов ПДн;

6) запретить допуск к персональным данным субъектов ПДн сотрудников Департамента, не включенных в "Перечень лиц, имеющих доступ в помещения, в которых расположены технические средства информационных систем, и доступ к обработке информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, обрабатываемой в информационных системах Департамента по культуре Томской области".

12. Защита доступа к электронной базе данных, содержащей персональные данные субъектов ПДн, должна обеспечиваться путем использования сертифицированных программных и программно-аппаратных средств защиты информации, предотвращающих несанкционированный доступ третьих лиц к персональным данным субъектов ПДн.

13. Копировать и делать выписки персональных данных субъектов ПДн разрешается исключительно в служебных целях с письменного разрешения начальника Департамента.

14. Субъекты ПДн не должны отказываться от прав на сохранение и защиту своих персональных данных.

3. Хранение персональных данных

15. Сведения о субъектах ПДн в Департаменте на материальных носителях должны храниться в специально оборудованных шкафах и сейфах, которые запираются и (или) опечатываются. Ключи от шкафов и сейфов, в которых хранятся сведения о субъектах ПДн, находятся у ответственных сотрудников.

16. Материальные носители ПДн, обработка которых осуществляется в различных целях, должны храниться отдельно. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн должен использоваться отдельный материальный носитель.

17. Обязанности по организации хранения сведений о субъектах ПДн, заполнения, хранения и выдачи документов, содержащих персональные данные, в ИС Департамента возлагаются на Ответственного за обработку и защиту информации.

18. Съемные электронные носители, на которых хранятся резервные копии персональных данных субъектов ПДн, должны быть промаркированы и учтены в Журнале регистрации, учета и выдачи машинных носителей информации.

19. В процессе хранения персональных данных субъектов ПДн необходимо обеспечивать контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.

4. Передача персональных данных

20. При передаче персональных данных субъекта ПДн Оператор должен соблюдать требования, установленные законами Российской Федерации, нормативными правовыми актами ФСБ России и ФСТЭК России.

5. Уничтожение персональных данных

21. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации в сфере обработки ПДн.

22. Уничтожение документов, содержащих ПДн, осуществляется в порядке, предусмотренном архивным законодательством Российской Федерации.

23. При необходимости уничтожения персональных данных Оператор должен руководствоваться следующими требованиями:

1) уничтожение ПДн в ИС Департамента осуществляется комиссией по проведению мероприятий по защите информации;

2) бумажные носители ПДн должны уничтожаться при помощи специального оборудования (измельчителя бумаги);

3) персональные данные, представленные в электронном виде, должны уничтожаться специализированным программным обеспечением, гарантирующим предотвращение восстановления удаленных данных;

4) после окончания процедуры удаления персональных данных комиссией по проведению мероприятий по защите персональных данных должен быть составлен акт уничтожения персональных данных.

6. Реагирование на запросы субъектов ПДн и их законных представителей

24. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных (приложение N 3 к настоящему Положению).

25. При рассмотрении запросов, поступающих от субъектов ПДн и их законных представителей, Департамент руководствуется Правилами рассмотрения запросов (приложение N 4 к настоящему Положению).

26. Все обращения, поступающие от субъектов ПДн и их законных представителей, должны регистрироваться ответственным за обработку и защиту Информации в соответствующем журнале (приложение N 5 к настоящему Положению).

27. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган (приложение N 6 и N 7 к настоящему Положению).

7. Ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных субъекта ПДн

28. Лица, виновные в нарушении требований федеральных законов, несут предусмотренную законодательством Российской Федерации ответственность.

29. Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных федеральными законами, а также нарушения требований к защите персональных данных подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.