Главная / Кадры / Персональные данные / Положение об обработке и защите персональных данных в министерстве градостроительной деятельности и развития агломераций Нижегородской области

Положение об обработке и защите персональных данных в министерстве градостроительной деятельности и развития агломераций Нижегородской области

УТВЕРЖДЕНО
Приказом директора
департамента градостроительной деятельности
и развития агломераций Нижегородской области
от «13» августа 2018 г. № 01-03/67

 

ПОЛОЖЕНИЕ

Об обработке и защите персональных данных в департаменте градостроительной деятельности и развития агломераций Нижегородской области

 

1. Общие положения

1.1. Положение об обработке и защите персональных данных (далее – Положение) разработано в соответствии с п.2 ч.1 статьи 18.1 Федерального закона от 27.07.2006 года №152-ФЗ «О персональных данных» и определяет порядок сбора, хранения, передачи и иных видов обработки персональных данных в департаменте градостроительной деятельности и развития агломераций Нижегородской области (далее – Департамент), устанавливает требования к обработке и защите персональных данных, определяет права, обязанности и ответственность уполномоченных лиц Департамента, осуществляющих обработку и защиту персональных данных.
1.2. Целями настоящего Положения являются:
— определение порядка обработки персональных данных;
— обеспечение соответствия законодательству Российской Федерации действий должностных лиц, имеющих доступ и обрабатывающих персональные данные;
— обеспечение защиты персональных данных.
1.3. Задачами настоящего Положения являются:
— определение принципов и порядка обработки персональных данных;
— определение условий обработки персональных данных, способов защиты персональных данных;
— определение прав и обязанностей Департамента и субъектов персональных данных при обработке персональных данных.
1.4. Действие настоящего Положения распространяется на персональные данные, обрабатываемые Департаментом как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования таких средств.
1.5. Все работники Департамента, допущенные к работе с персональными данными, в обязательном порядке должны быть ознакомлены с настоящим Положением под подпись в «Журнале учета ознакомления должностных лиц с правилами обеспечения безопасности персональных данных» (Приложение 1). Ответственным за ведение журнала является работник Департамента, назначенный ответственным за организацию обработки персональных данных.
1.6. Настоящее Положение вступает в силу с момента его утверждения директором департамента и действует бессрочно до замены его новым Положением.
1.7. Пересмотр Положения производится в следующих случаях:
— при изменении процессов и технологий обработки персональных данных в Департаменте;
— по результатам проверок органа по защите прав субъектов персональных данных, выявившим несоответствия требованиям законодательства РФ по обеспечению безопасности персональных данных;
— при изменении требований законодательства РФ к порядку обработки и обеспечению безопасности персональных данных;
— в случае выявления существенных нарушений по результатам внутренних проверок системы защиты персональных данных.
1.8 Ответственным за пересмотр данного Положения является работник Департамента, назначенный ответственным за организацию обработки персональных данных. Измененное Положение утверждается приказом директора Департамента.

2. Нормативные ссылки

1. Федеральный закон от 27 июля 2006 года № 149 «Об информации, информационных технологиях и о защите информации»;
2. Федеральный закон от 27 июля 2006 года № 152 «О персональных данных»;
3. Постановление Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
4. Постановление Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
5. Приказ ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
6. Трудовой кодекс Российской Федерации;
7. Гражданский кодекс Российской Федерации;
8. «Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденный Приказом Министерства Культуры Российской Федерации № 558 от 25 августа 2010 года.

3. Сокращения, обозначения и используемые термины

Департамент: Департамент градостроительной деятельности и развития агломераций Нижегородской области
ИНН: индивидуальный номер налогоплательщика
ИСПДн: информационная система персональных данных
ПДн: персональные данные
ПФР: Пенсионный фонд Российской Федерации
ФНС: Федеральная налоговая служба
ФСС: Фонд социального страхования
РФ: Российская Федерация
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Субъект персональных данных – физическое лицо, обладающее персональными данными прямо или косвенно его определяющими.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

4. Принципы обработки персональных данных

4.1. Обработка персональных данных в Департаменте осуществляется на основании следующих принципов:
— обработка персональных данных осуществляется на законной и справедливой основе;
— обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
— не допускается объединение баз данных, содержащих персональных данные, обработка которых осуществляется в целях, несовместных между собой;
— обработке подлежат только те персональные данные, которые отвечают целям их обработки;
— содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки;
— при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.

5. Общий порядок обработки

5.1. Приказом Директора департамента назначается лицо, ответственное за организацию обработки персональных данных, в соответствии с «Инструкцией ответственного за организацию обработки персональных данных».
5.2. Обработка персональных данных в структурных подразделениях Департамента ведётся в объёме, определяемом положениями о подразделениях. Работники Департамента допускаются к обработке персональных данных в объёме, определяемом должностными обязанностями.
5.3. При определении объема и содержания, обрабатываемых персональных данных Департамент руководствуется Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 152 «О персональных данных» и другими нормативными актами. Объем и содержание, обрабатываемых персональных данных, способы обработки ПДн, должны соответствовать целям обработки ПДн.
5.4. Все документы, содержащие персональные данные, должны быть уничтожены установленным порядком по достижении цели, для которой они собирались и использовались, в случае истечения срока обработки персональных данных, установленного при сборе ПДн, а также в случае отзыва согласия субъекта персональных данных, если отсутствуют иные законные основания обработки персональных данных.
5.5. В Департаменте ведётся обработка персональных данных в следующих информационных системах персональных данных:
— «1С:Зарплата»
— «1С:Бухгалтерия»
— «КонтурЭкстерн»
— Реестр государственных служащих
— ИСОГД

6. Получение (сбор) персональных данных

6.1. Департамент осуществляет сбор следующих персональных данных:
— фамилия, имя, отчество;
— дата рождения (число, месяц, год);
— место рождения;
— пол;
— гражданство;
— адрес регистрации;
— адрес проживания;
— телефонный номер (домашний, мобильный);
— паспортные данные (серия, номер паспорта, кем и когда выдан);
— семейное положение и состав семьи (муж/жена, дети);
— данные полиса соц. защиты (при наличии);
— подразделение;
— должность;
— ИНН;
— номер страхового свидетельства обязательного пенсионного страхования;
сведения об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);
— сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);
— информация о приеме на работу (наименование предприятия, подразделение, должность, перемещения по должности, увольнение);
— данные о трудовом договоре (№ трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, изменения к трудовому договору);
— сведения об окладе;
— фотография (для прикрепления к карточке работника).
6.2. Субъектами персональных данных являются:
— работники (в том числе уволенные);
— родственники работников;
— соискатели на замещение вакантных должностей;
— абоненты (клиенты Департамента – физические лица и представители юридических лиц);
— посетители;
— исполнители по договорам на выполнение работ / оказание услуг.
6.3. Для каждой категории субъектов персональных данных определены цели обработки их персональных данных.
6.4. Целями обработки персональных данных работников Департамента являются:
— управление персоналом в соответствии с требованиями законов и нормативных актов РФ;
— осуществление контрольно-пропускного режима;
— расчет заработной платы по любым видам начислений и удержаний;
— формирование отчетов для представления в контролирующие органы (ПФР, ФНС, военные комиссариаты);
— выплата заработной платы через банки;
— оформление полисов страхования работников.
6.5. Целями обработки персональных данных уволенных работников Департамента являются:
— ведение кадрового делопроизводства;
— сдача отчетности в ПФР, ФНС.
6.6. Целями обработки персональных данных родственников работников Департамента являются:
— учет налоговых льгот при начислении заработной платы;
— исполнение обязанностей работодателя при возникновении несчастного случая.
6.7. Целями обработки персональных данных абонентов являются:
— заключение договоров с физическими и юридическими лицами;
— расчет и начисление оплаты за предоставленные услуги;
— прием платежей за оказанные услуги;
— выдача градостроительного плана.
6.8. Целями обработки персональных данных соискателей на замещение вакантных должностей являются:
— подбор персонала на замещение вакантных должностей;
— формирование кадрового резерва.
6.9. Персональные данные следует получать лично у субъекта персональных данных. Если персональные данные возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Департамент должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
6.10. Департамент освобождается от обязанности предоставить субъекту персональных данных указанные выше сведения в случаях, если:
— субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
— персональные данные получены оператором на основании федерального закона;
— персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
— оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
— предоставление субъекту персональных данных указанных выше сведений нарушает права и законные интересы третьих лиц.
6.11. Запрещается требовать от лиц, поступающих на работу, документы, помимо предусмотренных Трудовым кодексом Российской Федерации, иными федеральными законами, указами Президента РФ и Постановлениями Правительства РФ.
6.12. Запрещается запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
6.13. Департамент не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его политических, религиозных, философских и иных убеждениях, а также частной жизни, без его согласия в письменной форме. Департамент не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым Кодексом РФ или иными федеральными законами.
6.14. При принятии решений, затрагивающих интересы субъекта персональных данных, Департамент не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или с использованием электронных средств доставки.

7. Доступ к персональным данным

7.1. Лица, доступ которых к персональным данным, обрабатываемым в информационных системах Департамента, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании перечня, утвержденного директором департамента, и только после подписания письменного согласия о соблюдении конфиденциальности персональных данных и соблюдении правил их обработки (Приложение 2).
7.2. Работники, имеющие доступ к персональным данным, имеют право получать и обрабатывать только те персональные данные, которые необходимы им для выполнения конкретных трудовых функций.
7.3. В случае если Департамент пользуется услугами юридических и физических лиц на основании заключенных договоров (либо иных оснований), и в силу данных договоров они должны иметь доступ к персональным данным, обрабатываемым в Департаменте, то соответствующие данные предоставляются Департаментом только после подписания с ними соглашения о неразглашении конфиденциальной информации или включения в договоры пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных.
7.4. Государственным органам, осуществляющим функции контроля (надзора) предоставляют права доступа к персональным данным, обрабатываемым в Департаменте, только в сфере их компетенции и в объеме, предусмотренном действующим законодательством.
7.5. Субъект персональных данных, данные о котором обрабатываются в Департаменте, имеет право на свободный доступ к своим персональным данным, получение копий своих персональных данных (за исключением случаев предусмотренных федеральным законом) на основании его письменного запроса.
7.6. Департамент обязан в порядке, предусмотренном Федеральным законом от 27 июля 2006 года №152 «О персональных данных», сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя, либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.

8. Обработка персональных данных без использования средств автоматизации

8.1. Работники Департамента, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации, о категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.
8.2. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков).
8.3. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных для каждой категории персональных данных должен использоваться отдельный материальный носитель.
8.4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться следующие условия:
— типовая форма или связанные с ней документы (инструкции по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес Департамента, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Департаментом способов обработки персональных данных;
— типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных;
— типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
— типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
8.5. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию Департамента, или в иных аналогичных целях, должны соблюдаться следующие условия:
— необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом Департамента, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию Департамента без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;
— копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;
— персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию Департамента.
8.6. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, предпринимаются меры по обеспечению раздельной обработки персональных данных, в частности:
— при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
— при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
8.7. Данные правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
8.8. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

9. Передача персональных данных

9.1. Запрещается передавать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях установленных законодательством РФ.
9.2. Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи, а также представителям субъекта только с письменного разрешения самого субъекта, за исключением случаев, когда передача персональных данных субъекта без его согласия допускается действующим законодательством РФ.
9.3. Запрещается сообщать персональные данные в коммерческих целях без его письменного согласия субъекта персональных данных.
9.4. Документы, содержащие персональные данные субъекта, могут быть отправлены в сторонние организации через организацию федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие персональные данные, вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством предусмотрена ответственность. Далее, конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.
9.5. Внутри Департамента без письменного согласия субъекта персональных данных разрешается передача (предоставление) персональных данных в структурные подразделения и комиссии, необходимые им для выполнения своих функций.
9.6. Лица, получающие персональные данные, должны быть предупреждены, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.
9.7. Лица, получающие персональные данные, обязаны соблюдать режим конфиденциальности (данное требование не распространяется на обмен персональными данными субъектов персональных данных в порядке, установленном федеральным законодательством).
9.8. Разрешается передавать персональные данные представителям субъектов персональных данных в порядке, установленном существующим законодательством, и ограничивать эту информацию данными, необходимыми для выполнения указанными представителями их функций.

10. Порядок уничтожения персональных данных

10.1. Уничтожение документов, содержащих персональные данные, производится:
— по достижении целей их обработки согласно номенклатуре дел и документов;
— по достижении окончания срока хранения персональных данных, оговоренного в соответствующем соглашении заинтересованных сторон;
— в случае выявления неправомерной обработки персональных данных в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки персональных данных.
10.2. Уничтожение персональных данных, находящихся на машинных носителях информации, выполняется средствами информационной системы (операционной системы, системы управления базами данных).
10.3. Уничтожение производится по мере необходимости, в зависимости от объемов, накопленных для уничтожения документов. Для уничтожения материальных носителей и информации на материальных носителях документально создается экспертная комиссия в составе не менее 2 человек. Уничтожение осуществляется по акту (Приложение 6). Накапливаемые для уничтожения документы, копии документов, черновики, содержащие персональные данные, должны храниться отдельно.

11. Особенности обработки персональных данных работников Департамента

11.1. В личное дело работника вносятся его персональные данные и иные сведения, связанные с поступлением на работу, ее прохождением, увольнением и необходимые для обеспечения деятельности Департамента.
11.2. Личные дела работников находятся в Отделе кадров в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа.
11.3. К личному делу приобщаются:
— заявление о приеме на работу;
— копия паспорта;
— копии свидетельств о государственной регистрации актов гражданского состояния;
— копии документов о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания (если таковые имеются);
— копии приказов о переводах, перемещениях, поощрениях, награждении государственными наградами, присвоении почетных званий, присуждении государственных премий, наложении дисциплинарных взысканий до снятия или отмены (если таковые имеются);
— экземпляр трудового договора, а также экземпляры письменных дополнительных соглашений о внесении изменений и дополнений в трудовой договор;
— копии документов воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);
— копия страхового свидетельства обязательного пенсионного страхования;
— копия свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации;
— копия страхового медицинского полиса обязательного медицинского страхования граждан;
— фотография.
11.4. Личное дело работника ведется на протяжении всей трудовой деятельности работника в Департаменте. Персональные данные работников могут обрабатываться в электронном виде в информационной системе персональных данных «1С:Зарплата», «1С:Бухгалтерия»
11.5. Сроки хранения персональных данных работников определяются на основании «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденным Приказом Министерства Культуры Российской Федерации № 558 от 25 августа 2010 г. В частности, личные дела руководителей организации, членов руководящих, исполнительных, контрольных органов организации, работников, имеющих государственные и иные звания, премии, награды, ученые степени и звания, хранятся постоянно, а иных работников — в течение 75 лет.

12. Обязанности лиц, допущенных к обработке персональных данных

12.1. Работники, допущенные к обработке персональных данных, обязаны:
— знать и выполнять требования настоящего Положения;
— осуществлять обработку персональных данных в целях, определенных данным Положением;
— знакомиться только с теми персональными данными, к которым предоставлен доступ для выполнения их трудовых обязанностей;
— хранить в тайне известные им сведения о персональных данных, информировать своего непосредственного руководителя о фактах нарушения порядка обработки персональных данных и о попытках несанкционированного доступа к ним;
— предупреждать лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены;
— выполнять требования по защите полученных персональных данных;
— соблюдать правила пользования документами, содержащими персональные данные, порядок их обработки и защиты;
— предоставлять письменные объяснения о допущенных нарушениях установленного порядка обработки персональных данных, а также о фактах их разглашения.

13. Обеспечение безопасности персональных данных

13.1. Принципы обеспечения безопасности персональных данных

13.1.1. Защита персональных данных субъектов от неправомерного их использования или утраты обеспечивается Департаментом в установленном действующем законодательством и локальными актами Департамента порядке, выполнением комплекса организационных и технических мер, обеспечивающих их безопасность.
13.1.2. Меры по обеспечению информационной безопасности персональных данных при их обработке распространяются как на персональные данных, зафиксированные на бумажных носителях, так и на персональные данные в электронном виде.
13.1.3. Для осуществления мероприятий по обеспечению безопасности персональных данных в Департаменте приказом директора Департамента назначаются лица, ответственные за обеспечение безопасности персональных данных в информационных системах персональных данных и в структурных подразделениях.
13.1.4. Организацию защиты персональных данных в подразделениях Общества обеспечивают лица, ответственные за обеспечение безопасности персональных данных в структурных подразделениях.
13.1.5. Получение и обработка уполномоченными лицами персональных данных производится после подписания субъектом персональных данных согласия (Приложения 3-5) в случаях, если это требуется законодательством.

13.2. Меры по обеспечению безопасности персональных данных

13.2.1. Хранение персональных данных в структурных подразделениях Департамента, работники которых имеют допуск к персональным данным, осуществляется в порядке, исключающем к ним доступ третьих лиц. Хранение персональных данных должно происходить в порядке, исключающем их утрату или неправомерное использование.
13.2.2. Помещения, в которых ведется обработка персональных данных, должны обеспечивать сохранность персональных данных, исключать возможность бесконтрольного проникновения в них посторонних лиц.
13.2.3. В течение рабочего дня ключи от шкафов (ящиков, хранилищ), в которых содержатся документы с персональными данными, а также помещений, где находятся средства вычислительной техники, предназначенные для обработки персональных данных, находятся на хранении у лиц, ответственных за обеспечение безопасности персональных данных в структурном подразделении.
13.2.4. По окончании рабочего времени помещения, предназначенные для обработки персональных данных, должны быть закрыты на ключ, бесконтрольный доступ в такие помещения должен быть исключен.
13.2.5. Не допускается отвечать на вопросы, связанные с передачей персональных данных по телефону или факсу.
13.2.6. В Департаменте осуществляется учет машинных носителей персональных данных.
13.2.7. Организация защиты персональных данных, обрабатываемых в информационных системах персональных данных, осуществляется в рамках действующей системы защиты информации.
13.2.8. Доступ к информационным системам персональных данных защищается системой паролей. Доступ с мобильных устройств к ресурсам Департамента запрещен.
13.2.9. При взаимодействии с информационными системами сторонних организаций (внешние информационные системы) обеспечение защиты ПДн осуществляется соответствующими организациями (инициаторами передачи). Иная передача ПДн по каналам связи, имеющим выход за пределы контролируемой зоны, осуществляется по зашифрованным каналам.

13.3. Порядок осуществления взаимодействия, сопровождающего предоставление персональных данных

13.3.1. В целях обеспечения информационной безопасности Департамента при взаимоотношении с третьими лицами должны обеспечиваться действующие правила по обеспечению информационной безопасности, и выполняться следующие меры:
— должно заключаться соглашение о неразглашении персональных данных;
— по возможности должен проводиться мониторинг действий третьих лиц в информационных системах Департамента;
— по возможности предусмотреть в договорах с третьими лицами право Департамента на проведение аудита обеспечения информационной безопасности той информации, которую Департамент передает третьему лицу.
13.3.2. В случае заключения договора с юридическим лицом, предметом которого является передача информации, принадлежащей Департаменту на законных основаниях, Департамент должен удостовериться до заключения договора в адекватном уровне обеспечения информационной безопасности юридического лица. Адекватным уровнем может являться: наличие аудиторского заключения независимого аудитора об уровне информационной безопасности как юридического лица в целом, так и отдельного направления деятельности в частности. Обязательным является наличие доказательств выполнения действующего законодательства РФ по защите персональных данных.
13.3.3. Любое соединение информационной системы персональных данных с внешней информационной системой должно быть согласовано с лицом, ответственным за обеспечение безопасности персональных данных в информационной системе персональных данных. Любой доступ должен быть ограничен и протестирован на возможные уязвимости. Необходимо применять принцип многоуровневой защиты (несколько уровней брандмауэров, отключение протоколов и т.д.). Внешний доступ должен также отвечать следующим характеристикам:
— третья сторона должна подписать соглашение о взятие на себя обязательств по обеспечению информационной безопасности своей части сети, соединенной с сетью Департамента;
— должна быть обеспечена аутентификация и контроль доступа.
13.3.4. Передача персональных данных по незащищенным каналам связи запрещается.

14. Права субъектов персональных данных

14.1. Получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
14.2. Осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;
14.3. Определять своих представителей для защиты своих персональных данных;
14.4. Требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением федерального закона (субъект персональных данных, при отказе Департамента или уполномоченного ему лица исключить или исправить персональные данные, имеет право заявить в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие; персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения);
14.5. Требовать от Департамента или уполномоченного ему лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них изменениях или исключениях из них;
14.6. Обжаловать в суде любые неправомерные действия или бездействие руководителя организации или уполномоченного им лица при обработке и защите персональных данных;
14.7. Вносить предложения по мерам защиты персональных данных.

15. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

15.1. Должностные лица, имеющие доступ к персональным данным, несут личную ответственность за нарушение режима защиты персональных данных в соответствии с законодательством Российской Федерации.
15.2. Каждый работник Департамента, получающий для работы содержащий персональные данные документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
15.3. Работники Департамента, которым сведения о персональных данных стали известны в силу их служебного положения, несут ответственность за их разглашение.
15.4. Обязательства по соблюдению конфиденциальности персональных данных остаются в силе и после окончания работы с ними вышеуказанных лиц.
15.5. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым Кодексом РФ дисциплинарные взыскания.
15.6. Ответственность за соблюдение вышеуказанного порядка обработки персональных данных несет работник Департамента.
15.7. Должностные лица, в обязанность которых входит обработка персональных данных работников Департамента, обязаны обеспечить каждому работнику, при необходимости, возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации – влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях РФ.
15.8. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым Кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

16. Контроль выполнения требований настоящего Положения

16.1. Повседневный контроль порядка обращения с персональными данными осуществляют лица, ответственные за обеспечение безопасности персональных данных в структурных подразделениях Департамента, в которых обрабатываются персональные данные субъектов.
16.2. Периодический контроль выполнения настоящего Положения возлагается на должностное лицо, назначенное директором Департамента ответственным за организацию обработки персональных данных.