ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В АППАРАТЕ
УПОЛНОМОЧЕННОГО ПО ПРАВАМ ЧЕЛОВЕКА В ВОРОНЕЖСКОЙ ОБЛАСТИ
Настоящие Правила устанавливают в аппарате Уполномоченного по правам человека в Воронежской области (далее - Аппарат) порядок действий при обработке персональных данных и процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения; порядок рассмотрения запросов субъектов персональных данных или их представителей; порядок работы с обезличенными данными; порядок доступа сотрудников в помещения, в которых ведется обработка персональных данных; порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных; типовую форму согласия на обработку персональных данных сотрудников Аппарата, иных субъектов персональных данных; типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные, типовое обязательство сотрудника Аппарата, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (трудового договора) прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей.
1. Цели обработки персональных данных
Обработка персональных данных в Аппарате осуществляется в целях:
реализации трудовых отношений;
осуществления государственных функций.
Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2. Процедуры, направленные на выявление и предотвращение
нарушений законодательства Российской Федерации в сфере
персональных данных
Аппарат устанавливает следующие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:
издание Аппаратом нормативных правовых актов по вопросам обработки и обеспечения безопасности персональных данных;
назначение ответственных за организацию обработки и обеспечение безопасности персональных данных в Аппарате;
определение сотрудников Аппарата, допущенных к обработке персональных данных и несущих в соответствии с действующим законодательством Российской Федерации ответственность за нарушение требований по обеспечению безопасности персональных данных;
ознакомление сотрудников Аппарата перед началом обработки персональных данных под роспись с положениями законодательства Российской Федерации о персональных данных, с требованиями к защите персональных данных в Аппарате, документами Аппарата, определяющими политику в отношении обработки персональных данных;
обучение сотрудников Аппарата, допущенных к обработке персональных данных, выполнению требований по их защите;
получение персональных данных лично у субъекта персональных данных или в случаях, установленных действующим законодательством, у его законных представителей;
при получении персональных данных у третьей стороны Аппарат извещает об этом субъекта персональных данных заранее, получает его письменное согласие и сообщает ему о целях, предполагаемых источниках и способах получения персональных данных;
применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
опубликование на официальном сайте Аппарата в сети Интернет документов Аппарата, определяющих политику в отношении обработки персональных данных;
осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, а также документами Аппарата.
3. Получение персональных данных
Все персональные данные получаются непосредственно от субъекта персональных данных.
Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает письменное согласие на их обработку.
Типовая форма согласия на обработку персональных данных сотрудников Аппарата, иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные приведены соответственно в приложениях 1 и 2 к настоящим Правилам.
В случае недееспособности субъекта все персональные данные субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и дает согласие на их обработку.
В случаях, когда необходимые персональные данные субъекта могут быть получены только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении необходимо сообщить о целях, правовых основаниях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение.
4. Допуск к персональным данным
Перечень должностей сотрудников Аппарата, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, и лиц их занимающих утверждается приказом Аппарата.
Каждый сотрудник, допущенный к персональным данным, обязан подписать обязательство в случае расторжения с ним служебного контракта (трудового договора) прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей. Типовая форма данного обязательства приведена в приложении 3 к настоящим Правилам.
Формирование перечня должностей сотрудников Аппарата, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным и лиц их занимающих, а также внесение предложений по его корректировке, ознакомление данных лиц с обязательством под роспись осуществляет лицо, ответственное за организацию обработки персональных данных в Аппарате.
5. Обязанности сотрудников, допущенных к обработке
персональных данных
Сотрудники Аппарата, допущенные к обработке персональных данных, обязаны:
знать и выполнять требования законодательства Российской Федерации в области персональных данных, документов Аппарата по вопросам обработки и обеспечения безопасности персональных данных, настоящих Правил;
соблюдать правила обработки персональных данных (машинных носителей персональных данных), порядок их учета и хранения, исключать доступ к ним посторонних лиц;
обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей;
не разглашать третьим лицам персональные данные, ставшие известными в связи с выполнением должностных обязанностей, информировать непосредственное руководство о фактах нарушения установленного порядка обработки персональных данных, о попытках несанкционированного доступа к персональным данным;
в случае попытки третьих лиц получить от них персональные данные сообщать непосредственному руководителю;
не использовать персональные данные с целью получения выгоды;
после прекращения права на допуск к персональным данным (расторжения служебного контракта) прекратить обработку персональных данных, не разглашать и не передавать персональные данные третьим лицам, ставшие известными в связи с исполнением должностных обязанностей.
Сотрудникам Аппарата, допущенным к обработке персональных данных, запрещается:использовать персональные данные в неслужебных целях, а также в служебных целях
при ведении телефонных переговоров, в открытой переписке, статьях и выступлениях;
передавать персональные данные по незащищенным каналам связи (факсимильная связь, электронная почта);
использовать для обработки и хранения персональных данных неучтенные машинные носители информации;
снимать копии с документов и машинных носителей информации, содержащих персональные данные, или производить выписки из них, а равно использовать различные технические средства (фото-, видео- и звукозаписывающую аппаратуру) для фиксации персональных данных;
передавать документы и машинные носители информации, содержащие персональные данные, другим сотрудникам, не допущенным к обработке персональных данных;
выполнять на дому работы, связанные с использованием персональных данных, выносить документы и машинные носители информации, содержащие персональные данные, из служебных помещений без санкции руководителя Аппарата.
6. Содержание обрабатываемых персональных данных
В Аппарате персональные данные обрабатываются в связи с реализацией трудовых отношений, а также в связи с осуществлением государственных функций.
Перечень персональных данных, обрабатываемых в Аппарате, с привязкой к целям обработки персональных данных, а также указанием информационных систем, в которых они обрабатываются, утверждается приказом Аппарата.
Формирование перечня персональных данных, обрабатываемых в Аппарате, и внесение предложений по его корректировке осуществляет лицо, ответственное за организацию обработки персональных данных в Аппарате.
7. Категории субъектов, персональные данные
которых обрабатываются
К категориям субъектов, персональные данные которых обрабатываются в Аппарате в связи с реализацией трудовых отношений, относятся:
сотрудники Аппарата;
руководители подведомственных Аппарату учреждений;
кандидаты на замещение вакантных должностей и на включение в кадровый резерв Аппарата.
К категориям субъектов, персональные данные которых обрабатываются в Аппарате в связи с осуществлением государственных функций, относятся граждане, обратившиеся в Аппарат, а также граждане, персональные данные которых обрабатываются Аппаратом в связи с осуществлением государственных функций.
8. Сроки обработки, хранения и уничтожения
персональных данных
Персональные данные, связанные с реализацией трудовых отношений, обрабатываются и хранятся в течение действия служебного контракта (трудового договора) и в течение 75 (семидесяти пяти) лет после прекращения его действия.
Персональные данные, связанные с оказанием государственных услуг и осуществлением государственных функций, обрабатываются и хранятся до достижения цели их обработки или до момента прекращения необходимости в достижении заранее заявленных целей обработки персональных данных.
В случае достижения цели обработки персональных данных или при наступлении иных законных оснований обработка персональных данных прекращается, и они уничтожаются в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено служебным контрактом, договором или соглашением, стороной которого является субъект персональных данных, либо если Аппарат не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
В случае отзыва субъектом персональных данных согласия на обработку его персональных данных их обработка прекращается, и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, они уничтожаются в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено служебным контрактом, договором или соглашением, стороной которого является субъект персональных данных, либо если Аппарат не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
Уничтожение машинных носителей персональных данных, выведенных из эксплуатации, производится на основании акта уничтожения, утверждаемого руководителем Аппарата.
Решение о стирании записей, содержащих персональные данные, в электронных базах данных принимается сотрудниками Аппарата, допущенными к обработке персональных данных, самостоятельно в срок, не превышающий тридцати дней по достижении целей обработки или с момента утраты необходимости в достижении этих целей.
9. Порядок рассмотрения запросов субъектов персональных
данных или их представителей
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных Аппаратом;
правовые основания и цели обработки персональных данных;
цели и применяемые Аппаратом способы обработки персональных данных;
наименование и место нахождения Аппарата, сведения о лицах (за исключением сотрудников Аппарата), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Аппаратом или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных";
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Аппарата, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" или другими федеральными законами.
Сведения предоставляются ответственным за организацию обработки персональных данных в Аппарате субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Аппаратом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Аппаратом, подпись субъекта персональных данных или его представителя.
Субъект персональных данных вправе требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
В случае обращения субъекта персональных данных или его представителя либо при получении запроса от субъекта персональных данных или его представителя ответственный за организацию обработки персональных данных в Аппарате обязан:
сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных;
предоставить безвозмездно возможность субъекту персональных данных или его представителю ознакомления с этими персональными данными в течение тридцати дней с даты обращения или получения запроса. В случае принятия решения об отказе в предоставлении информации о наличии персональных данных о соответствующем субъекте ему или его представителю в срок, не превышающий тридцати дней со дня обращения (либо с даты получения запроса), в письменной форме направить мотивированный ответ, содержащий ссылку на норму Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" или иного федерального закона, являющуюся основанием для такого отказа;
предоставить субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных;
в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, инициировать процедуру внесения в них необходимых изменений;
в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, инициировать процедуру уничтожения таких персональных данных;
уведомить субъекта персональных данных или его представителя, а также третьих лиц, которым персональные данные этого субъекта были переданы, о внесенных изменениях и предпринятых мерах.
Сведения должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
В случае если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно или направить повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса.
Субъект персональных данных вправе обратиться повторно в Аппарат или направить ему повторный запрос в целях получения сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения тридцати дней в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с обязательными сведениями должен содержать обоснование направления повторного запроса.
В случае несоответствия повторного запроса субъекта персональных данных указанным выше условиям такой запрос может быть отклонен. Такой отказ должен быть мотивированным.
Регистрация обращений и запросов субъектов персональных данных или их представителей, а также уполномоченного органа по защите прав субъектов персональных данных осуществляется ответственным за организацию обработки персональных данных в Аппарате в журнале. Листы журнала нумеруются, прошиваются и опечатываются.
Журнал регистрации обращений и запросов субъектов персональных данных или их представителей, уполномоченного органа по защите прав субъектов персональных данных вносится в номенклатуру дел и журналов Аппарата с постановкой на инвентарный учет. Форма журнала приведена в приложении 4 к настоящим Правилам.
10. Порядок работы с обезличенными данными
Обезличивание персональных данных в Аппарате проводится с целью снижения ущерба от утечки персональных данных, снижения уровня защищенности персональных данных, обрабатываемых в информационной системе и по достижении целей обработки персональных данных или утраты необходимости в достижении этих целей.
Способы обезличивания персональных данных, применяемые в Аппарате:
замена части сведений идентификаторами;
обобщение - понижение точности некоторых сведений.
Решение о необходимости обезличивания персональных данных и конкретных формах ее реализации принимает руководитель Аппарата.
Ответственный за организацию обработки персональных данных в Аппарате готовит предложения по обезличиванию персональных данных, обрабатываемых в информационных системах, обоснованию такой необходимости и способам обезличивания.
Перечень должностей сотрудников Аппарата, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, утверждается приказом Аппарата.
Контроль за соблюдением порядка обезличивания персональных данных осуществляется ответственными за организацию обработки и обеспечение безопасности персональных данных в Аппарате в рамках внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и документами Аппарата.
Обезличенные персональные данные не подлежат разглашению.
11. Порядок доступа сотрудников в помещения, в которых
ведется обработка персональных данных
Для помещений, в которых ведется обработка персональных данных, организуется режим безопасности, при котором обеспечивается сохранность документов и машинных носителей информации, содержащих персональные данные, средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.
В помещениях, где размещены технические средства, участвующие в обработке персональных данных, а также хранятся машинные носители персональных данных (далее - Помещения), право самостоятельного доступа в рабочие дни имеют только сотрудники, включенные в Перечень лиц, имеющих доступ в Помещения, утвержденный приказом Аппарата.
Нахождение иных лиц в Помещениях возможно только в сопровождении сотрудника Аппарата, имеющего право самостоятельного доступа в это Помещение на время, ограниченное служебной необходимостью. При этом должна быть исключена возможность доступа посторонних лиц к обрабатываемым персональным данным, в том числе через выводимую на экран монитора и принтер информацию, а также к машинным носителям персональных данных.
Технические средства, участвующие в обработке персональных данных, в Помещении должны располагаться таким образом, чтобы исключить случайный просмотр обрабатываемой информации посторонними лицами, вошедшими в Помещение, а также через двери и окна Помещения.
В случае отсутствия сотрудников, имеющих право самостоятельного доступа, в Помещении в рабочее, а также в нерабочее время Помещение должно закрываться на ключ.
Уборка Помещения должна проводиться только в присутствии сотрудника, имеющего право самостоятельного доступа в Помещение.
На время проведения ремонта Помещения все технические средства, участвующие в обработке персональных данных, а также документы и машинные носители информации, содержащие персональные данные, переносятся в другое Помещение, используемое для обработки персональных данных.
В случае возникновения нештатных ситуаций необходимо незамедлительно сообщать о них руководителю Аппарата. Доступ в Помещение с целью устранения нештатных ситуаций, а также в нерабочее время осуществляется с разрешения руководителя Аппарата. В случае привлечения для устранения внештатных ситуаций внешних исполнителей и сотрудников Аппарата, не включенных в Перечень лиц, имеющих доступ в Помещение, доступ в Помещение осуществляется с разрешения руководителя Аппарата в присутствии сотрудника, имеющего право самостоятельного доступа в Помещение.
Контроль за соблюдением порядка доступа сотрудников в Помещения осуществляют ответственные за организацию обработки и обеспечение безопасности персональных данных в Аппарате.
12. Порядок осуществления внутреннего контроля соответствия
обработки персональных данных требованиям к защите
персональных данных
В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и документами Аппарата, проводятся периодические проверки условий обработки персональных данных. Проверки проводятся ответственными за организацию обработки и обеспечение безопасности персональных данных в аппарате.
Проверки осуществляются путем опроса, а также путем осмотра рабочих мест сотрудников Аппарата, участвующих в процессе обработки персональных данных.
Контролируемые вопросы в ходе проведения проверки:
наличие у сотрудников допуска к обработке персональных данных;
наличие согласий субъектов на обработку их персональных данных;
соблюдение целей, состава и сроков обработки персональных данных;
соблюдение правил по обезличиванию персональных данных;
соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных;
соблюдение сотрудниками правил парольной политики;
соблюдение сотрудниками правил антивирусной защиты;
соблюдение сотрудниками правил работы с машинными носителями персональных данных;
соблюдение порядка работы со средствами защиты информации.
По итогам каждой проверки составляется протокол проверки соответствия обработки персональных данных требованиям к защите персональных данных по форме, приведенной в приложении 5 к настоящим Правилам.
При выявлении в ходе проверки нарушений в протоколе указываются мероприятия по устранению этих нарушений и сроки их исполнения. О результатах проверки и мерах, необходимых для устранения выявленных нарушений, ответственный за организацию обработки персональных данных докладывает руководителю Аппарата.
Протоколы проверок подписываются ответственными за организацию обработки и обеспечение безопасности персональных данных и утверждаются руководителем Аппарата. Хранятся протоколы проверок у ответственного за организацию обработки персональных данных в течение пяти лет.