Приложение 1. Правила обработки персональных данных в администрации Пермского муниципального района. Постановление Администрации Пермского муниципального района Пермского края от 10.06.2020 N 330 "Об обработке и обеспечении защиты персональных данных в администрации Пермского муниципального района"

Приложение 1
к постановлению
администрации
Пермского муниципального района
от 10.06.2020 N 330

Правила
обработки персональных данных в администрации Пермского муниципального района

I. Общие положения

1. Настоящие Правила определяют цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в администрации Пермского муниципального района (далее - Администрация).

2. Настоящие Правила определяют политику Администрации как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

3. Обработка персональных данных в Администрации осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных, а также настоящими Правилами.

II. Категории субъектов персональных данных

4. К субъектам персональных данных, персональные данные которых обрабатываются в Администрации, относятся:

1) муниципальные служащие Администрации;

2) граждане, претендующие на замещение должностей муниципальной службы в Администрации;

3) работники Администрации, замещающие должности, не отнесенные к должностям муниципальной службы (далее - работники Администрации);

4) граждане, претендующие на замещение должностей, не отнесенных к должностям муниципальной службы;

5) лица, замещающие должности руководителей и их заместителей организаций, подведомственных Администрации;

6) граждане, претендующие на замещение должностей руководителей и их заместителей организаций, подведомственных Администрации;

7) лица, состоящие в родстве (свойстве) с субъектами персональных данных, указанными в подпунктах 1-6 пункта 4 настоящих Правил;

8) граждане, уволенные из Администрации;

9) лица, представляемые к награждению, наградные материалы по которым представлены в Администрацию;

10) физические лица и представители организаций, обратившиеся в Администрацию:

в связи с предоставлением муниципальной услуги;

в связи с исполнением муниципальной функции;

11) граждане, обратившиеся в Администрацию в соответствии с Федеральным законом от 02 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

12) пользователи официального сайта Пермского муниципального района в информационно-телекоммуникационной сети "Интернет";

13) посетители зданий и помещений Администрации.

III. Условия и порядок обработки персональных данных субъектов персональных данных в связи с реализацией служебных или трудовых отношений

5. Персональные данные субъектов персональных данных (далее - персональные данные), указанных в подпунктах 1-13 пункта 4 настоящих Правил, обрабатываются в целях обеспечения задач кадровой работы, в том числе кадрового учета, делопроизводства, содействия в осуществлении служебной (трудовой) деятельности, формирования кадрового резерва, обучения и должностного роста, учета результатов исполнения должностных обязанностей, обеспечения личной безопасности субъектов персональных данных, обеспечения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, а также в целях противодействия коррупции.

6. В целях, указанных в пункте 5 настоящих Правил, обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных в письменной форме в соответствии с пунктом 1 части 1 статьи 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" либо согласия субъекта персональных данных на обработку его персональных данных в письменной форме в соответствии с пунктом 1 части 2 статьи 10 и частью 1 статьи 11 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме считается согласие субъекта персональных данных, представленное в форме электронного документа, подписанное им электронной подписью в соответствии с Федеральным законом от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи".

7. Согласие на обработку персональных данных субъекта персональных данных, чьи данные обрабатываются в целях, определенных пунктом 5 настоящих Правил, не требуется при обработке персональных данных в соответствии с пунктом 2 части 1 статьи 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

8. Согласие на обработку специальных категорий персональных данных, а также биометрических персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 5 настоящих Правил, не требуется при обработке персональных данных в соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 и частью 2 статьи 11 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и положениями Трудового кодекса Российской Федерации, за исключением случаев получения персональных данных работника у третьей стороны.

9. Необходимо получить согласие субъекта персональных данных на обработку его персональных данных в следующих случаях:

при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации, законодательством Пермского края о муниципальной службе и о противодействии коррупции;

при трансграничной передаче персональных данных;

при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

10. В случаях, предусмотренных пунктом 9 настоящих Правил, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

11. Согласие в письменной форме должно включать в себя сведения, предусмотренные частью 4 статьи 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

12. Обработка персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 5 настоящих Правил, осуществляется уполномоченными на обработку персональных данных.

13. Уполномоченные на обработку персональных данных предоставляют субъектам персональных данных для ознакомления и подписания Типовую форму согласия, утвержденную руководителем функционального органа Администрации.

14. Обработка персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 5 настоящих Правил, включает в себя следующие действия: сбор (получение), запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

15. Сбор (получение), запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 5 настоящих Правил,

осуществляется путем:

получения оригиналов необходимых документов;

копирования оригиналов документов;

внесения сведений в учетные формы (на бумажных и электронных носителях);

формирования персональных данных в ходе кадровой работы;

внесения персональных данных в автоматизированные информационные системы, оператором которых является Администрация (далее - автоматизированные информационные системы), используемые в целях кадровой работы.

16. Сбор (получение), запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 5 настоящих Правил.

17. В случае возникновения необходимости получения персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 5 настоящих Правил, у третьей стороны следует известить об этом субъектов персональных данных заранее, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.

18. Запрещается получать, обрабатывать и приобщать к личным делам муниципальных служащих Администрации, работников Администрации, руководителей организаций, подведомственных Администрации, персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, частной жизни, членства в общественных объединениях.

19. При сборе персональных данных муниципальный служащий, уполномоченный на обработку персональных данных, осуществляющий сбор (получение) персональных данных непосредственно от субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 5 настоящих Правил, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.

20. Передача (распространение, предоставление) и использование персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 5 настоящих Правил, осуществляется лишь в случаях и в порядке, предусмотренных действующим законодательством Российской Федерации.

21. Подписанное согласие субъекта персональных данных в письменной форме может быть отозвано субъектом персональных данных только посредством направления им письменного заявления.

IV. Условия и порядок обработки персональных данных, необходимых в связи с предоставлением муниципальных услуг и исполнением муниципальных функций

22. В Администрации обработка персональных данных граждан и организаций, обратившихся в Администрацию, осуществляется в том числе в целях предоставления муниципальных услуг и исполнения муниципальных функций.

23. Персональные данные граждан, обратившихся в Администрацию лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением граждан о результатах рассмотрения.

В соответствии с законодательством Российской Федерации в Администрации подлежат рассмотрению обращения граждан Российской Федерации, иностранных граждан, лиц без гражданства, а также обращения организаций.

24. При рассмотрении обращений граждан Российской Федерации, иностранных граждан, лиц без гражданства подлежат обработке их следующие персональные данные:

1) фамилия, имя, отчество (последнее при наличии);

2) почтовый адрес;

3) адрес электронной почты;

4) указанный в обращении контактный телефон;

5) иные персональные данные, указанные в обращении, а также ставшие известными в ходе личного приема граждан или в процессе рассмотрения обращения.

25. Обработка персональных данных, необходимых в связи с предоставлением муниципальных услуг и исполнением муниципальных функций, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 4 части 1 статьи 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", Федеральным законом от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", Федеральным законом от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" и иными нормативными правовыми актами, определяющими предоставление муниципальных услуг и исполнение муниципальных функций.

26. Обработка персональных данных, необходимых в связи с предоставлением муниципальных услуг и исполнением муниципальных функций, осуществляется функциональными органами Администрации, ответственными за предоставление соответствующих муниципальных услуг и (или) исполняющих муниципальные функции, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

27. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных, необходимых в связи с предоставлением муниципальных услуг или исполнением муниципальных функций, осуществляется непосредственно от субъектов персональных данных путем:

1) получения подлинников документов, необходимых для предоставления муниципальных услуг или исполнения муниципальных функций, в том числе заявления;

2) заверения необходимых копий документов;

3) внесения сведений в учетные формы (на бумажных и электронных носителях);

4) внесения персональных данных в прикладные программные подсистемы информационной системы Администрации.

28. При обработке персональных данных, необходимых в связи с предоставлением муниципальных услуг и исполнением муниципальных функций, запрещается запрашивать у субъектов персональных данных и третьих лиц персональные данные в случаях, не предусмотренных законодательством Российской Федерации.

29. При сборе персональных данных муниципальный служащий структурного подразделения Администрации, предоставляющего муниципальные услуги и (или) исполняющего муниципальные функции, осуществляющий получение персональных данных непосредственно от субъектов персональных данных, обратившихся за предоставлением муниципальной услуги или в связи с исполнением муниципальной функции, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.

30. Передача (распространение, предоставление) и использование персональных данных субъектов персональных данных (заявителей), необходимых в связи с предоставлением муниципальных услуг и исполнением муниципальных функций, осуществляется в случаях и порядке, предусмотренных федеральными законами и законами Пермского края.

V. Условия и порядок обработки персональных данных субъектов персональных данных в связи с рассмотрением обращений граждан

31. В Администрации обработка персональных данных граждан осуществляется в целях обеспечения своевременного и в полном объеме рассмотрения их устных и письменных обращений в порядке, установленном Федеральным законом от 02 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации".

32. Персональные данные граждан, обратившихся в Администрацию лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением граждан о результатах рассмотрения.

В соответствии с законодательством Российской Федерации в Администрации подлежат рассмотрению обращения граждан Российской Федерации, иностранных граждан и лиц без гражданства.

33. В соответствии со статьями 7 и 13 Федерального закона от 02 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" в связи с рассмотрением поступивших в Администрацию обращений граждан обработке подлежат следующие персональные данные:

1) фамилия, имя, отчество (при наличии);

2) почтовый адрес;

3) адрес электронной почты;

4) указанный в обращении контактный телефон;

5) иные персональные данные, указанные в обращении, а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения.

34. Обработка персональных данных, необходимых в связи с рассмотрением обращений граждан, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 2 части 1 статьи 6 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и Федеральным законом от 02 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации".

35. Передача (распространение, предоставление) и использование персональных данных, указанных в пункте 33 настоящих Правил, осуществляется лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации.

VI. Порядок обработки персональных данных в автоматизированных информационных системах

36. Обработка персональных данных в Администрации может осуществляется с использованием автоматизированных информационных систем.

37. Перечень автоматизированных информационных систем утверждается постановлением Администрации.

38. Доступ к автоматизированным информационным системам муниципальных служащих Администрации, работников Администрации, осуществляющих обработку персональных данных в автоматизированных информационных системах, реализуется посредством учетной записи, состоящей из имени пользователя и пароля.

39. Доступ к автоматизированным информационным системам предоставляется в соответствии с функциями, предусмотренными должностными инструкциями муниципальных служащих Администрации.

40. Информация может размещаться в автоматизированных информационных системах как в автоматическом, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

41. Обеспечение безопасности персональных данных, обрабатываемых в автоматизированных информационных системах достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также иных неправомерных действий в отношении персональных данных согласно статье 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

VII. Организация хранения персональных данных

42. Персональные данные хранятся на бумажном носителе в функциональных органах Администрации, в функции которых входит обработка персональных данных.

43. Персональные данные хранятся в электронном виде в автоматизированных информационных системах.

44. Сроки хранения персональных данных на бумажном носителе определяются нормативными правовыми актами, регламентирующими порядок их сбора (получения) и обработки.

45. Срок хранения персональных данных, внесенных в автоматизированные информационные системы, должен соответствовать сроку хранения персональных

данных на бумажных носителях.

46. Персональные данные при их обработке, осуществляемой без использования автоматизированных информационных систем, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

47. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях персональных данных, обработка которых осуществляется в целях, определенных настоящими Правилами.

VII. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

ГАРАНТ:

Нумерация разделов приводится в соответствии с источником

48. Документы, содержащие персональные данные, сроки хранения которых истекли, подлежат уничтожению.

49. Документы, содержащие персональные данные, на бумажном носителе передаются для уничтожения в порядке, установленном законодательством Российской Федерации об архивном деле.

50. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

VIII. Ответственный за организацию обработки персональных данных

51. Ответственный за организацию обработки персональных данных в Администрации (далее - ответственный за обработку персональных данных) назначается распоряжением Администрации из числа муниципальных служащих Администрации, относящихся к высшей и (или) главной группе должностей муниципальной службы в Администрации.

52. Ответственный за обработку персональных данных в своей работе руководствуется законодательством Российской Федерации в области персональных данных и настоящими Правилами.

53. Ответственный за обработку персональных данных обязан:

1) организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в Администрации, от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;

2) осуществлять внутренний контроль за соблюдением муниципальными служащими, уполномоченными на обработку персональных данных, требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;

3) доводить до сведения муниципальных служащих, уполномоченных на обработку персональных данных, положения законодательства Российской Федерации в области персональных данных, локальные акты по вопросам обработки персональных данных, требования к защите персональных данных;

4) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в Администрации;

5) в случае нарушения в Администрации требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

54. Ответственный за обработку персональных данных вправе:

1) иметь доступ к информации, касающейся обработки персональных данных

в Администрации и включающей:

цели обработки персональных данных;

категории обрабатываемых персональных данных;

категории субъектов персональных данных, персональные данные которых обрабатываются;

правовые основания обработки персональных данных;

перечень действий с персональными данными, общее описание используемых в Администрации способов обработки персональных данных;

описание мер, предусмотренных статьями 18.1 и 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

дату начала обработки персональных данных;

срок или условия прекращения обработки персональных данных;

сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных;

2) привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в Администрации, иных муниципальных служащих Администрации с возложением на них соответствующих обязанностей и закреплением ответственности.

55. Ответственный за обработку персональных данных несет ответственность за ненадлежащее выполнение функций по организации обработки персональных данных в Администрации в соответствии с законодательством Российской Федерации в области персональных данных.

IX. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных

56. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в Администрации, используются следующие процедуры:

осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, а также обеспечения необходимого уровня защищенности (конфиденциальности) персональных данных при их обработке;

определение вреда, который может быть причинен субъектам персональных данных, оценка его возможных последствий;

ознакомление лиц, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации в области персональных данных, в том числе с требованиями к защите персональных данных и с требованиями настоящих Правил;

прекращение обработки персональных данных при достижении конкретных целей, определенных настоящими Правилами;

недопущение обработки персональных данных, несовместимой с целями сбора персональных данных, объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

установление и устранение избыточности состава, содержания, объема обрабатываемых персональных данных заявленным целям обработки;

обеспечение при обработке персональных данных их точности и достаточности, а в необходимых случаях и актуальности по отношению к целям обработки;

уничтожение или обезличивание обрабатываемых персональных данных при достижении целей обработки или в случае утраты необходимости в достижении целей обработки.

X. Требования к обработке и защите персональных данных

57. При назначении на должность, замещение которой предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, такому лицу доводится до сведения под подпись типовое обязательство уполномоченного на обработку персональных данных, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных (служебных) обязанностей.

58. Подписанные уполномоченными на обработку персональных данных Типовые обязательства приобщаются к их личным делам.

59. Обязанности уполномоченных на обработку персональных данных по обработке персональных данных включаются в их должностные инструкции.

60. Уполномоченные на обработку персональных данных, получившие доступ к персональным данным, для обеспечения законной передачи персональных данных в случаях, соответствующих целям обработки, не предоставляют персональные данные третьим лицам без согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы его жизни и здоровью, а также в других случаях, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

61. Обработка персональных данных в Администрации, а также в подведомственных организациях осуществляется с помощью средств вычислительной техники (автоматизированная обработка) либо без использования средств вычислительной техники (неавтоматизированная обработка).

Перечень информационных систем, в которых осуществляется обработка персональных данных, утверждается постановлением Администрации.

Обработка персональных данных без использования средств автоматизации осуществляется с учетом требований Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".

62. Обеспечение внешней защиты персональных данных достигается:

установлением пропускного режима и особого порядка приема, учета и контроля посетителей;

использованием технических средств охраны;

применением программно-технических комплексов защиты информации, содержащейся на электронных и магнитных носителях информации.

63. Обеспечение внутренней защиты персональных данных достигается:

ограничением и регламентацией состава должностных лиц, должностные, инструкции которых предусматривают доступ к персональным данным;

избирательным и обоснованным распределением (разделением) доступа должностных лиц к персональным данным и материальным носителям информации, которые их содержат;

размещением рабочих мест, в том числе автоматизированных, на которых обрабатываются персональные данные, способом, исключающим бесконтрольную обработку персональных данных;

формированием условий, необходимых для работы с материальными носителями информации, базами персональных данных, в том числе персональными данными, содержащимися на материальных (машинных) носителях информации, используемых в информационных системах персональных данных;

утверждением списков (перечней) должностных лиц, имеющих право доступа в помещения, в которых обрабатываются и (или) хранятся персональные данные;

выявлением нарушений при осуществлении обработки персональных данных и их устранением, в том числе связанных с нарушением требований к защите персональных данных и обеспечения безопасности информации;

проведением профилактической работы с должностными лицами, имеющими доступ к персональным данным, направленной на предупреждение случаев несанкционированной передачи таких данных.

64. При осуществлении обработки персональных данных без использования средств автоматизации, уполномоченные на обработку персональных данных, выполняют следующие действия:

обеспечивают раздельное хранение персональных данных, обработка которых предусмотрена в различных целях, не допускают их фиксации на одном материальном носителе информации, если цели сбора или обработки персональных данных заведомо несовместимы, и обособляют персональные данные, в частности, путем их записи в специальных разделах или на полях форм (бланков);

создают условия, обеспечивающие сохранность персональных данных и исключение случаев несанкционированного (неправомерного или случайного) доступа к ним;

производят уточнение персональных данных, подлежащих обработке, путем их обновления (изменения);

осуществляют контроль в части, их касающейся, за соблюдением порядка отбора персональных данных к уничтожению, уничтожения и (или) обезличивания персональных данных.

65. Доступ к информационным системам персональных данных уполномоченных на обработку персональных данных, осуществляющих обработку персональных данных, реализуется посредством создания учетной записи, состоящей из имени пользователя и пароля.

66. Доступ к информационным системам персональных данных предоставляется в соответствии с обязанностями, предусмотренными должностными инструкциями уполномоченных на обработку персональных данных.

67. Информация может размещаться в информационных системах персональных данных, как в автоматическом, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

68. Безопасность персональных данных при их обработке в информационных системах персональных данных должна обеспечиваться с помощью системы защиты персональных данных, нейтрализующей угрозы безопасности персональных данных, актуальные при их обработке, путем исключения несанкционированного доступа к персональным данным (далее - система защиты персональных данных).

69. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

70. Определение типа угроз безопасности персональных данных, актуальных при их обработке в информационных системах персональных данных, производится в соответствии с пунктом 5 части 1 статьи 18.1 и части 5 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" с учетом оценки возможного вреда, к которому могут привести указанные угрозы.

71. Требуемый уровень защищенности персональных данных при их обработке в информационных системах персональных данных устанавливается в соответствии с требованиями к защите информации, определяемыми в соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", а также требованиями к защите персональных данных, утвержденными постановлением Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

72. Для обеспечения требуемого уровня защищенности персональных данных, соответствующего требованиям к защите персональных данных, применяются следующие организационные, технические и иные меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных:

назначается по каждой информационной системе персональных данных, а при необходимости - по каждой ее составной части, эксплуатируемой в Администрации должностное лицо, ответственное за эксплуатацию (обеспечение функционирования) и выполнение мер по обеспечению безопасности персональных данных при их обработке;

организуется режим обеспечения безопасности помещений, в которых размещены информационные системы персональных данных, препятствующий неконтролируемому проникновению или пребыванию в этих помещениях посторонних лиц, не имеющих права доступа в эти помещения;

осуществляется учет электронных (магнитных) носителей информации, а также выполнение мер, направленных на обеспечение сохранности указанных материальных носителей информации, позволяющих производить хранение материальных носителей информации;

организуется режим доступа к обрабатываемым персональным данным в информационных системах персональных данных;

осуществляется мониторинг обработки персональных данных для обнаружения фактов несанкционированного доступа к ним, выявления модифицированных или уничтоженных персональных данных вследствие несанкционированного доступа к ним для их последующего восстановления;

допускаются к применению в информационных системах персональных данных только технические и программные средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, когда применение таких средств необходимо для нейтрализации угроз безопасности персональных данных, актуальных при обработке;

осуществляется оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

осуществляется внутренний контроль принимаемых мер по обеспечению безопасности персональных данных, в том числе выполнения требуемого уровня защищенности информационных систем персональных данных и персональных данных, обрабатываемых без использования средств автоматизации.