ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В В ОГКУ «ЦСПН по оплате ЖКУ»

УТВЕРЖДАЮ
Директор
ОГKУ «ЦСПН по оплате ЖКУ»

______________И.Б. Теплякова
от «30» января 2020 г. № 7-п

ПОЛОЖЕНИЕ

ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В

В ОГКУ «ЦСПН по оплате ЖКУ»

Общие положения

1. Положение об обработке и защите персональных данных в областном государственном казенном учреждении «Центр социальной поддержки населения по оплате жилого помещения и коммунальных услуг» (далее – ОГКУ «ЦСПН по оплате ЖКУ») устанавливает процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных, а также определяет для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

2. Обработка персональных данных в ОГКУ «ЦСПН по оплате ЖКУ» выполняется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных субъектов, персональные данные которых обрабатываются в ОГКУ «ЦСПН по оплате ЖКУ».

3. Положение определяет политику ОГКУ «ЦСПН по оплате ЖКУ» как оператора, осуществляющего обработку персональных данных и определяющего цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

4. Настоящее Положение разработано в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 25.12.2008 № 273-ФЗ «О противодействии коррупции» (далее - Федеральный закон «О противодействии коррупции»), Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» (далее - Федеральный закон «Об организации предоставления государственных и муниципальных услуг»), Федеральным законом от 02.05. 2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» (далее - Федеральный закон «О порядке рассмотрения обращений граждан Российской Федерации»), Федеральным законом от 09.02.2009 № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», постановлениями Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», приказом Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».

5. Субъектами персональных данных являются работники ОГКУ «ЦСПН по оплате ЖКУ» (далее – работники), граждане, обратившиеся в ОГКУ «ЦСПН по оплате ЖКУ» по вопросам предоставления мер социальной помощи на оплату жилого помещения и коммунальных услуг (далее – заявители), получатели мер социальной помощи на оплату жилого помещения и коммунальных услуг (далее – получатели МСП), члены их семьи, законные представители получателей социальных услуг.

6. Перечень должностей ОГКУ «ЦСПН по оплате ЖКУ», замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, определен в приложении № 1 к Положению (далее – перечень).

7. Перечень мест хранения материальных носителей персональных данных, лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ, лицответственных за реализацию мер необходимых для обеспечения условий сохранности персональных данных и исключающих несанкционированный к ним доступ, определен в приложении № 2 к Положению.

8. Лица непосредственно осуществляющие обработку персональных данных должны быть ознакомлены под роспись с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, данным Положением, иными локальными актами ОГКУ «ЦСПН по оплате ЖКУ» по вопросам обработки персональных данных, а также Правилами обращения со служебной информацией ограниченного доступа в исполнительных органах государственной власти Томской области и подведомственных им организациях, утвержденными губернатором Томской области (форма журнала ознакомления приведена в приложении № 3 к Положению), а также подписывают обязательство о неразглашении конфиденциальной информации, персональных данных, не содержащих сведений, составляющих государственную тайну (приложении № 4 к Положению).

9. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники ОГКУ «ЦСПН по оплате ЖКУ» или лица, осуществляющие такую обработку по договору с ОГКУ «ЦСПН по оплате ЖКУ»), должны быть под роспись проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами ОГКУ «ЦСПН по оплате ЖКУ».

10. Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в ОГКУ «ЦСПН по оплате ЖКУ» определены в приложении № 5 к Положению.

11. ОГКУ «ЦСПН по оплате ЖКУ» осуществляет опубликование или иным образом обеспечивает неограниченный доступ к Положению, а также доступ к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

12. Обработка персональных данных в ОГКУ «ЦСПН по оплате ЖКУ» осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области персональных данных.

13. Основные понятия, используемые в Положении:

- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

- обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:

- сбор;

- запись;

- систематизацию;

- накопление;

- хранение;

- уточнение (обновление, изменение);

- извлечение;

- использование;

- передачу (распространение, предоставление, доступ);

- блокирование;

- удаление;

- уничтожение.

- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Правовые основания обработки персональных данных

14. Правовыми основаниями обработки персональных данных в связи с реализацией трудовых отношений в ОГКУ «ЦСПН по оплате ЖКУ» являются:

- Трудовой кодекс Российской Федерации;

- Гражданский кодекс Российской Федерации;

- Налоговый кодекс Российской Федерации;

- Правила внутреннего трудового распорядка работников ОГКУ «ЦСПН по оплате ЖКУ»;

- Коллективный договор между ОГКУ «ЦСПН по оплате ЖКУ» и работниками;

- трудовой договор, заключенный между ОГКУ «ЦСПН по оплате ЖКУ» и работником;

- Согласие на обработку персональных данных работника;

15. Правовыми основаниями обработки персональных данных в связи с

предоставлением социальных услуг в ОГКУ «ЦСПН по оплате ЖКУ» являются:

- Конституция Российской Федерации;

- Жилищный кодекс Российской Федерации;

- Федеральные закону:

- от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;

- от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» (далее - Федеральный закон «Об организации предоставления государственных и муниципальных услуг»);

- от 17.07.1999 № 178-ФЗ «О государственной социальной помощи» (далее - Федеральный закон «О государственной социальной помощи»);

- от 12.12.1995 № 5-ФЗ «О ветеранах»;

- от 24.11.1995 № 181-ФЗ «О социальной защите инвалидов в Российской Федерации»;

- от 26.11.1998 № 175-ФЗ «О социальной защите граждан Российской Федерации, подвергшихся воздействию радиации вследствие аварии в 1957 году на п/о «Маяк» и сбросов радиоактивных отходов в р. Теча»;

- от 10.01.2002 № 2-ФЗ «О социальных гарантиях гражданам, подвергшимся радиационному воздействию вследствие ядерных испытаний на Семипалатинском полигоне»;

- от 15.05.1991 № 1244-1 «О социальной защите граждан, подвергшихся воздействию радиации вследствие катастрофы на Чернобыльской АЭС»;

- Указ Президента РФ от 15.10.1992 № 1235 «Предоставлении льгот бывшим несовершеннолетним узникам концлагерей, гетто и других мест принудительного содержания, созданными фашистами и их союзниками в период второй мировой войны»;

- Постановление Правительства РФ от 14.12.2005 № 761 «О предоставлении субсидий на оплату жилого помещения и коммунальных услуг»;

- Постановление ВС СССР от 27.12.1991 № 2123-1 «О распространении закона «О социальной защите граждан, подвергшихся воздействию радиации вследствие катастрофы на ЧАЭС» на граждан из подразделений особого риска»;

- Законы Томской области:

- от 16.12.2004 № 254-ОЗ «О мерах социальной поддержки отдельных категорий граждан, проживающих на территории Томской области»;

- от 16.12.2004 № 253-ОЗ «О социальной поддержке граждан, имеющих несовершеннолетних детей»;

- от 04.05.2005 № 66-ОЗ «О дополнительных мерах инвалидов и участников Великой Отечественной войны, на территории Томской области»;

- от 08.06.2006 № 123-ОЗ «О дополнительных мерах социальной поддержки отдельных категорий граждан при предоставлении субсидий на оплату жилого помещения и коммунальных услуг»;

- от 30.04.2009 № 59-ОЗ «О мерах социальной поддержки по оплате жилого помещения и коммунальных услуг отдельных категорий граждан, работающих (работавших) и проживающих в сельской местности и рабочих поселках на территории Томской области»;

- от 12.03.2005 № 40-ОЗ «О форме предоставления мер социальной поддержки по оплате жилья и коммунальных услуг отдельным категориям граждан»;

- Приказ ДСЗН Томской области от 30.11.2011 № 9-р-пд «О проведении работ по защите персональных данных в Департаменте и учреждениях сферы социальной защиты населения Томской области»;

- Распоряжение ДСЗН Томской области от 12.06.2013 № 2-р-пд «Об утверждении Положения о защите персональных данных, обрабатываемых в информационных системах персональных данных Департамента социальной защиты населения Томской области»;

- Соглашение от 28.12.2016 № 56 «О разграничении ответственности в области технической защиты информации» между ДСЗН Томской области, ОГКУ «ИТЦ Томской области» и ОГКУ «ЦСПН по оплате ЖКУ».

- Устав ОГКУ «ЦСПН по оплате ЖКУ», утвержденный распоряжением Департамента социальной защиты населения Томской области от 01.12.2015 № 905.

- иные федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью ОГКУ «ЦСПН по оплате ЖКУ».

- Согласие на обработку персональных данных получателей МСП (приложение № 6 к Правилам).

Условия и порядок обработки персональных данных

16. Персональные данные субъектов персональных данных, указанных в пункте 5 Положения, обрабатываются в целях:

1) обеспечения кадровой работы, содействия в выполнении осуществляемой работы, обучения и должностного роста, обеспечения установленных законодательством Российской Федерации безопасных условий труда, гарантий и компенсаций, оформления награждений Почетной грамотой Департамента, в целях обеспечения соблюдения законов и иных нормативных правовых актов Российской Федерации, подачи сведений в банк для оформления банковской карты и последующего перечисления на нее заработной платы;

2) предоставление мер социальной поддержки по оплате жилого помещения и коммунальных услуг в денежной форме отдельным категориям граждан на территории г.Томска (ежемесячных денежных выплат, компенсаций, компенсационных доплат, субсидий на оплату жилого помещения и коммунальных услуг, дополнительных мер социальной поддержки при предоставлении субсидий).

17. Обработка персональных данных работников осуществляется с письменного согласия, составленного по типовой форме (приложение № 6 к Положению) в рамках целей, определенных подпунктом 1 пункта 16 Положения. Обработка персональных данных получателей МСП осуществляется с письменного согласия, составленного по типовой форме (приложение № 7 к Положению) в рамках целей, определенных подпунктом 2 пункта 16 Положения.

18. В целях, указанных в подпункте 1 пункта 16 Положения, обрабатываются следующие категории персональных данных работников:

1) фамилия, имя, отчество (в том числе прежние фамилии, имена и отчества (при наличии) в случае их изменения; сведения о том, когда, где и по какой причине они изменялись);

2) дата рождения (число, месяц и год рождения);

3) место рождения;

4) вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, наименование органа и код подразделения органа (при наличии), выдавшего его, дата выдачи;

5) фотография;

6) сведения о гражданстве;

7) адрес и дата регистрации по месту жительства (места пребывания);

8) адрес фактического проживания (места нахождения);

9) сведения о семейном положении, о составе семьи;

10) реквизиты свидетельств государственной регистрации актов гражданского состояния и содержащиеся в них сведения;

11) сведения об образовании (наименование образовательной и (или) иной организации, год окончания, уровень профессионального образования, реквизиты документов об образовании, направление подготовки, специальность и квалификация по документу об образовании, ученая степень, ученое звание (дата присвоения, реквизиты диплома, аттестата);

12) сведения о дополнительном профессиональном образовании (профессиональной переподготовке, повышении квалификации) (наименование образовательной и (или) научной организации, год окончания, реквизиты документа о переподготовке (повышении квалификации), квалификация и специальность по документу о переподготовке (повышении квалификации), наименование программы обучения, количество часов обучения);

13) сведения о владении иностранными языками и языками народов Российской Федерации;

14) сведения о трудовой деятельности до поступления на работу в Учреждение;

15) реквизиты страхового свидетельства обязательного пенсионного страхования, содержащиеся в нем сведения;

16) идентификационный номер налогоплательщика;

17) сведения о воинском учете, реквизиты документов воинского учета, а также сведения, содержащиеся в документах воинского учета;

18) номера контактных телефонов (домашнего, служебного, мобильного);

19) результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований);

20) сведения об инвалидности, сроке действия установленной инвалидности;

21) иные персональные данные, необходимые для достижения целей, предусмотренных подпунктом 1 пункта 16 настоящего Положения.

19. Обработка персональных данных работников осуществляется отделом финансов и кадрово-правовой работы ОГКУ «ЦСПН по оплате ЖКУ» в соответствии с их должностными инструкциями и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

20. Сбор, запись, систематизация, накопление, уточнение (обновление, изменение) и передача персональных данных работников осуществляется путем:

1) непосредственного получения оригиналов необходимых документов (заявление, трудовая книжка, анкета, иные документы, предоставляемые в отдел кадров);

2) копирования оригиналов документов;

3) внесения сведений в учетные формы (на бумажных и электронных носителях);

4) формирования персональных данных в ходе кадровой работы;

5) внесения персональных данных в автоматизированную систему «1С: Предприятие 8.2 (сетевая версия) Конфигурация Зарплата и кадры бюджетного учреждения 1.0».

21. В случае возникновения необходимости получения персональных данных работника у третьей стороны следует известить его об этом заранее, получить его письменное согласие и сообщить ему о целях, предполагаемых источниках и способах получения персональных данных.

22. Запрещается получать, обрабатывать и приобщать к личному делу работника персональные данные, не предусмотренные пунктом 18 Положения, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

23. Передача (распространение, предоставление) и использование персональных данных работников осуществляется лишь в случаях и порядке, предусмотренных законодательством Российской Федерации.

24. Персональные данные граждан, обратившихся в ОГКУ «ЦСПН по оплате ЖКУ» лично, а также направивших индивидуальные или коллективные письменные обращения (жалобы) или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением граждан о результатах рассмотрения в соответствии с Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации».

В соответствии с законодательством Российской Федерации в ОГКУ «ЦСПН по оплате ЖКУ» подлежат рассмотрению обращения граждан Российской Федерации, иностранных граждан, лиц без гражданства.

25. При рассмотрении обращений граждан Российской Федерации, иностранных граждан, лиц без гражданства подлежат обработке их следующие персональные данные:

1) фамилия, имя, отчество (последнее при наличии);

2) почтовый адрес;

3) адрес электронной почты;

4) указанный в обращении контактный телефон;

5) иные персональные данные, указанные в обращении, а также ставшие известными в ходе личного приема граждан или в процессе рассмотрения обращения.

26. В целях, указанных в подпункте 2 пункта 16 Положения, обрабатываются следующие категории персональных данных заявителей и получателей социальных услуг:

1) фамилия, имя, отчество (последнее при наличии);

2) дата рождения (число, месяц и год рождения);

3) место рождения;

5) сведения о гражданстве;

6) адрес и дата регистрации по месту жительства (места пребывания);

7) адрес фактического проживания (места нахождения);

8) документ, подтверждающий правовое основание владения или пользования жилым помещением;

9) сведения о семейном положении, о составе семьи;

11) сведения о трудовой деятельности;

12) сведения о размере доходов;

13) реквизиты страхового свидетельства обязательного пенсионного страхования, содержащиеся в нем сведения;

14) номера контактных телефонов (домашнего, служебного, мобильного);

15) сведения об инвалидности, сроке действия установленной инвалидности;

16) иные персональные данные, необходимые для достижения целей, предусмотренных подпунктом 2 пункта 16 настоящего Положения.

27. В целях, указанных в подпункте 2 пункта 16 настоящего Положения, обрабатываются следующие категории персональных данных законного представителя:

1) фамилия, имя, отчество (последнее при наличии);

2) дата рождения;

3) реквизиты документа, подтверждающего личность;

4) адрес места жительства;

5) сведения, содержащиеся в документе, подтверждающего полномочия законного представителя.

28. Обработка персональных данных, необходимых в связи с предоставлением социальной поддержки, социальных услуг, осуществляется структурными подразделениями ОГКУ «ЦСПН по оплате ЖКУ», ответственными за предоставление соответствующих социальных услуг, социальной поддержки, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

29. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных, необходимых в связи с предоставлением социальной поддержки, социальных услуг, осуществляется непосредственно от субъектов персональных данных путем:

1) получения подлинников документов, необходимых для предоставления социальных услуг, в том числе заявления (обращения);

2) заверения необходимых копий документов;

3) размещения в Единой государственной информационной системе социального обеспечения информации о получателях социальных услуг в соответствии с Федеральным законом «О государственной социальной помощи».

4) внесения сведений в учетные формы (на бумажных и электронных носителях);

5) формирования личного дела получателя социальных услуг;

6) внесения персональных данных в информационные системы ОГКУ «ЦСПН по оплате ЖКУ».

30. При обработке персональных данных, необходимых в связи с предоставлением социальной поддержки, социальных услуг, запрещается запрашивать у субъектов персональных данных и третьих лиц персональные данные в случаях, не предусмотренных законодательством Российской Федерации.

31. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, работник, который принимает документы, обязан разъяснить заявителю юридические последствия отказа предоставить персональные данные.

32. Не допускается разглашение информации, отнесенной законодательством Российской Федерации к информации конфиденциального характера или служебной информации о получателях МСП, работниками ОГКУ «ЦСПН по оплате ЖКУ», которым эта информация стала известна в связи с исполнением профессиональных и (или) иных обязанностей. Разглашение информации о получателях МСП влечет за собой ответственность в соответствии с законодательством Российской Федерации.

33. С согласия получателя МСП или его законного представителя, данного в письменной форме, допускается передача информации о получателе МСП другим лицам, в том числе должностным лицам, в интересах получателя МСП или его законного представителя, включая средства массовой информации и официальный сайт ОГКУ «ЦСПН по оплате ЖКУ» в информационно-телекоммуникационной сети «Интернет».

34. Предоставление информации о получателе МСП без его согласия или без согласия его законного представителя допускается:

1) по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством либо по запросу органов прокуратуры в связи с осуществлением ими прокурорского надзора;

2) по запросу иных органов, наделенных полномочиями по осуществлению государственного контроля (надзора) в сфере социального обслуживания;

3) при обработке персональных данных в рамках межведомственного информационного взаимодействия, а также при регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг в соответствии с законодательством об организации предоставления государственных и муниципальных услуг;

4) в иных установленных законодательством Российской Федерации случаях.

Порядок обработки персональных данных

в автоматизированных информационных системах

35. Обработка персональных данных в ОГКУ «ЦСПН по оплате ЖКУ» может осуществляться с использованием автоматизированных информационных систем персональных данных (далее – информационные системы) перечень которых приведен в приложении № 8 к Положению.

36. Блок-схема размещения информационных систем в ОГКУ «ЦСПН по оплате ЖКУ» приведена вприложении № 9 к Положению.

37. Информационные системы и автоматизированные рабочие места содержат персональные данные указанные в настоящем Положении.

38. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, осуществляется областным государственным казенным учреждением «Информационно-технический центр Томской области».

39. Перечень лиц, имеющих самостоятельный доступ к информационным ресурсам информационных систем персональных данных, уровень их полномочий и вид выполняемых функций представлен в разрешительной системе (матрице) доступа, утвержденной директором ОГКУ «ЦСПН по оплате ЖКУ».

40. Работникам, имеющим право осуществлять обработку персональных данных в информационных системах, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными инструкциями работников, имеющих право осуществлять обработку персональных данных.

Информация может вноситься как в автоматическом режиме, так и в ручном режиме при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

41. Доступ работников, имеющих право осуществлять обработку персональных данных, к персональным данным, находящимся в информационных системах, предусматривает обязательное прохождение процедуры идентификации и аутентификации.

Обработка персональных данных в рамках

межведомственного информационного взаимодействия

42. ОГКУ «ЦСПН по оплате ЖКУ» в соответствии с законодательством Российской Федерации осуществляет обработку персональных данных в рамках межведомственного информационного взаимодействия с региональными органами государственной власти, территориальными органами Пенсионного фонда Российской Федерации.

Сроки обработки и хранения персональных данных

43. Сроки обработки и хранения персональных данных в ОГКУ «ЦСПН по оплате ЖКУ» определяются в соответствии с законодательством Российской Федерации, Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным приказом Минкультуры России от 25.08.2010 № 558, Приказом Минтруда России от 25.07.2014 № 485н «Об утверждении рекомендаций по формированию и ведению регистра получателей социальных услуг», Номенклатурой дел ОГКУ «ЦСПН по оплате ЖКУ».

44. Если сроки обработки и хранения персональных данных не установлены законодательством Российской Федерации, региональным законодательством, нормативными правовыми актами ОГКУ «ЦСПН по оплате ЖКУ», то обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели их обработки и хранения.

45. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться условия, перечисленные в пункте 7 Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

46. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях, в специальных разделах или на полях форм (бланков).

47. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в целях, определенных настоящим Положением.

48. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений ОГКУ «ЦСПН по оплате ЖКУ».

49. Срок хранения персональных данных, внесенных в информационные системы, должен соответствовать сроку хранения бумажных оригиналов.

Порядок уничтожения персональных данных

при достижении целей обработки или при наступлении иных

законных оснований

50. Руководителями структурных подразделений ОГКУ «ЦСПН по оплате ЖКУ» осуществляется систематический контроль и выделение документов, содержащих персональные данные с истекшими сроками хранения, подлежащих уничтожению.

51. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании экспертной комиссии по организации и проведению работы по экспертизе документов, отбору и подготовке на постоянное хранение документов, которая утверждается приказом директором ОГКУ «ЦСПН по оплате ЖКУ» (далее - экспертная комиссия).

По итогам заседания экспертной комиссии составляется протокол и акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем и членами экспертной комиссии и утверждается директором ОГКУ «ЦСПН по оплате ЖКУ».

52. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится Администратором баз данных.

Рассмотрение запросов субъектов персональных данных

или их представителей

53. Субъекты персональных данных имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных в ОГКУ «ЦСПН по оплате ЖКУ»;

2) правовые основания и цели обработки персональных данных;

3) применяемые в ОГКУ «ЦСПН по оплате ЖКУ» способы обработки персональных данных;

4) наименование и место нахождения ОГКУ «ЦСПН по оплате ЖКУ», сведения о гражданах (за исключением работников), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ОГКУ «ЦСПН по оплате ЖКУ» или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких персональных данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения в ОГКУ «ЦСПН по оплате ЖКУ»;

7) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;

8) сведения об осуществленной или предполагаемой трансграничной передаче персональных данных;

9) наименование организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ОГКУ «ЦСПН по оплате ЖКУ», если обработка поручена или будет поручена такой организации или лицу;

10) иную информацию, предусмотренную законодательством Российской Федерации в области персональных данных.

54. Субъекты персональных данных вправе требовать от ОГКУ «ЦСПН по оплате ЖКУ» уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

55. Информация, предусмотренная пунктом 53 настоящего Положения, должна быть предоставлена субъекту персональных данных в доступной форме, и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

56. Информация, предусмотренная пунктом 53 настоящего Положения, предоставляется субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя, содержащего:

1) номер, серию документа, удостоверяющего личность субъекта персональных данных или его представителя, дату выдачи, наименование органа, выдавшего его;

2) информацию, подтверждающую участие субъекта персональных данных в правоотношениях с ОГКУ «ЦСПН по оплате ЖКУ», либо информацию, иным образом подтверждающую факт обработки персональных данных в ОГКУ «ЦСПН по оплате ЖКУ», заверенную подписью субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

57. В случае если информация предусмотренная пунктом 53 Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных, субъект персональных данных вправе повторно обратиться в ОГКУ «ЦСПН по оплате ЖКУ» лично или направить повторный запрос в целях получения указанной информации и ознакомления с персональными данными не ранее, чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен законодательством Российской Федерации или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

58. Субъект персональных данных вправе повторно обратиться в ОГКУ «ЦСПН по оплате ЖКУ» лично или направить повторный запрос в целях получения информации, предусмотренной пунктом 53 Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 57 Положения, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 56 Положения, должен содержать обоснование направления повторного запроса.

59. ОГКУ «ЦСПН по оплате ЖКУ» (уполномоченное должностное лицо ОГКУ «ЦСПН по оплате ЖКУ») вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 57 и 58 Положения. Такой отказ должен быть мотивированным.

60. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами (пункт 8 статьи 14 Федерального закона «О персональных данных»).

61. Регламент реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений приведен в приложении № 10 к настоящему Положению.

Внутренний контроль соответствия обработки персональных

данных в ОГКУ «ЦСПН по оплате ЖКУ» установленным требованиям

62. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в ОГКУ «ЦСПН по оплате ЖКУ» организовывается проведение плановых и внеплановых проверок условий обработки персональных данных на предмет соответствия Федеральному закону «О персональных данных», принятым в соответствии с ним нормативным правовым актам и локальными актами ОГКУ «ЦСПН по оплате ЖКУ» (далее - проверки).

63. Проверки проводятся в ОГКУ «ЦСПН по оплате ЖКУ» на основании ежегодного плана (плановые проверки) (типовая форма плана приведена в приложении № 11 к Положению) или на основании поступившего в ОГКУ «ЦСПН по оплате ЖКУ» письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки).

Ежегодный план проверок разрабатывается и утверждается комиссией ОГКУ «ЦСПН по оплате ЖКУ» для осуществления внутреннего контроля соответствия обработки персональных данных требованиям, предусмотренным Федеральным законом «О персональных данных» (далее - Комиссия).

64. В плане по каждой проверке устанавливаются объект внутреннего контроля, проверяемый период, срок проведения проверки, ответственные исполнители.

65. Проверки проводятся Комиссией, создаваемой приказом директора ОГКУ «ЦСПН по оплате ЖКУ». В проведении проверки не может участвовать работник прямо или косвенно заинтересованный в ее результатах.

66. Основанием для проведения внеплановой проверки является поступившее в ОГКУ «ЦСПН по оплате ЖКУ» письменное обращение субъекта персональных данных или его представителя о нарушении правил обработки персональных данных.

67. Проведение внеплановой проверки организуется в течение пяти рабочих дней с момента поступления обращения.

68. Срок проведения проверки не может превышать месяц со дня принятия решения о ее проведении.

69. Члены Комиссии, получившие доступ к персональным данным субъектов персональных данных в ходе проведения проверки, обеспечивают конфиденциальность персональных данных субъектов персональных данных, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных.

70. По результатам каждой проверки Комиссией проводится заседание. Решения, принятые на заседаниях Комиссии, оформляются протоколом (типовая форма протокола приведена в приложении № 12 к Положению) и передаются ответственному за организацию обработки персональных данных в ОГКУ «ЦСПН по оплате ЖКУ».

71. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, директору ОГКУ «ЦСПН по оплате ЖКУ» докладывает ответственный за организацию обработки персональных данных в ОГКУ «ЦСПН по оплате ЖКУ»;

72. По существу поставленных в обращении (жалобе) вопросов Комиссия в течение 5 рабочих дней со дня окончания проверки дает письменный ответ заявителю.

Порядок доступа в помещения, в которых ведется обработка

персональных данных

73. К помещениям, в которых ведется обработка персональных данных (далее - помещения ПДн), относятся помещения, в которых происходит обработка персональных данных, как с использованием средств автоматизации, так и без таковых.

74. Доступ в помещения ПДн осуществляется в соответствии с перечнем.

75. На момент присутствия посторонних лиц в помещении ПДн должны быть приняты меры по недопущению ознакомления посторонних лиц с персональными данными.

76. Бесконтрольный доступ посторонних лиц в помещения ПДн должен быть исключен.

77. Персональные данные, содержащиеся на бумажных носителях, должны храниться в запираемом шкафу или сейфе.

78. Для помещений ПДн должен быть организован режим обеспечения безопасности, при котором обеспечивается сохранность носителей информации, содержащих персональные данные, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц. Данный режим должен обеспечиваться в том числе:

- запиранием помещения ПДн на ключ, в частности, при выходе из него в рабочее время. Последний сотрудник, покидающий помещение ПДн обязан закрыть его на ключ, при этом запрещается оставлять ключ в замке указанного помещения.

- запиранием помещения ПДн на ключ по окончании рабочего дня. Последний сотрудник, покидающий помещение ПДн обязан закрыть его на ключ.

- закрытием шкафов и сейфов, где хранятся носители информации, содержащие персональные данные, на время отсутствия в помещении сотрудников ОГКУ «ЦСПН по оплате ЖКУ», замещающих должности согласно перечню.

Лица, имеющие право доступа в помещения ПДн, несут ответственность за недопущение пребывания в указанном помещении сторонних лиц.

79. Доступ в помещения ПДн в нерабочее время разрешен только по письменной заявке работника, согласованной с его непосредственным руководителем.

80. При обнаружении повреждений замков или других признаков, указывающих на возможное проникновение посторонних лиц в помещения ПДн, эти помещения не вскрываются, а составляется акт и о случившемся немедленно ставятся в известность ответственный за обработку персональных данных в ОГКУ «ЦСПН по оплате ЖКУ» и правоохранительные органы. Одновременно принимаются меры по охране места происшествия и до прибытия работников правоохранительных органов в эти помещения никто не допускается.

81. В случае нарушения порядка доступа в помещения ПДн сотрудники могут быть привлечены к ответственности в соответствии с действующим законодательством.

82. Текущий контроль за соблюдением порядка доступа в помещения ПДн осуществляется руководителями структурных подразделений ОГКУ «ЦСПН по оплате ЖКУ», сотрудники которых обрабатывают персональные данные (как с использованием средств автоматизации, так и без их использования).

Ответственный за организацию обработки

персональных данных

83. Ответственный за организацию обработки персональных данных в ОГКУ «ЦСПН по оплате ЖКУ» (далее - ответственный за обработку персональных данных) назначается директором ОГКУ «ЦСПН по оплате ЖКУ».

84. Ответственный за обработку персональных данных в своей работе руководствуется законодательством Российской Федерации в области персональных данных и настоящим Положением.

85. Ответственный за обработку персональных данных обязан:

1) организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в ОГКУ «ЦСПН по оплате ЖКУ», от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;

2) осуществлять внутренний контроль за соблюдением лицами, уполномоченными на обработку персональных данных, требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;

3) доводить до сведения лиц, уполномоченных на обработку персональных данных, положения законодательства Российской Федерации в области персональных данных, локальные акты по вопросам обработки персональных данных, требования к защите персональных данных;

4) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в ОГКУ «ЦСПН по оплате ЖКУ»;

5) в случае нарушения в ОГКУ «ЦСПН по оплате ЖКУ» требований к защите персональных данных, принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

86. Ответственный за обработку персональных данных вправе:

1) иметь доступ к информации, касающейся обработки персональных данных в ОГКУ «ЦСПН по оплате ЖКУ» и включающей:

цели обработки персональных данных;

категории обрабатываемых персональных данных;

категории субъектов персональных данных, персональные данные которых обрабатываются;

правовые основания обработки персональных данных;

перечень действий с персональными данными, общее описание используемых в ОГКУ «ЦСПН по оплате ЖКУ» способов обработки персональных данных;

описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

дату начала обработки персональных данных;

срок или условия прекращения обработки персональных данных;

сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации;

2) привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в ОГКУ «ЦСПН по оплате ЖКУ», работников с возложением на них соответствующих обязанностей.

93. Ответственный за обработку персональных данных несет ответственность за надлежащее выполнение функций по организации обработки персональных данных в ОГКУ «ЦСПН по оплате ЖКУ» в соответствии с законодательством Российской Федерации в области персональных данных.

Приложение № 1

к Положению об обработке и защите персональных данных в ОГКУ «ЦСПН по оплате ЖКУ»,

утвержденному приказом ОГКУ «ЦСПН по оплате ЖКУ» от 30.01.2020 № 7-п

ПЕРЕЧЕНЬ

должностей ОГКУ «ЦСПН по оплате ЖКУ», замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным

Директор

Секретарь

Отдел финансов и кадрово-правовой работы

Главный бухгалтер

Бухгалтер 1 категории

Инспектор по кадрам

Юрисконсульт

Отдел контроля за назначением и выплатой мер социальной поддержки

Начальник отдела

Ведущий специалист по контролю за назначением и выплатой мер социальной поддержки

Специалист 1 категории по контролю за назначением и выплатой мер социальной поддержки

Отдел по приему и обработке документов для предоставления мер социальной поддержки

Начальник отдела

Ведущий специалист по назначению, выплате мер социальной поддержки

Специалист 1 категории по назначению, выплате мер социальной поддержки

Отдел автоматизированных информационных технологий

Начальник отдела

Ведущий специалист – администратор баз данных

Специалист 1 категории – администратор баз данных

Приложение № 2

к Положению об обработке и защите персональных данных в ОГКУ «ЦСПН по оплате ЖКУ»,

утвержденному приказом ОГКУ «ЦСПН по оплате ЖКУ», от 30.01.2020 № 7-п

Перечень мест хранения материальных носителей персональных данных,

лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ, лицответственных за реализацию мер необходимых для обеспечения условий сохранности персональных данных и исключающих несанкционированный к ним доступ

Номер кабинета	Специально отведенное место хранения персональных данных (материальных носителей)	Категория персональных данных	Лицо, осуществляющее обработку персональных данных либо имеющее к ним доступ (должность, фамилия, имя, отчество)	Ответственное лицо (должность, фамилия, имя, отчество)
Отдел финансов и кадрово-правовой работы
Кабинет № 103	Сейф, запирающийся на ключ, запирающееся на ключ помещение, опечатывается	Справки, листы нетрудоспособности, отчеты в налоговую инспекцию и внебюджетные фонды, копии документов сотрудников, персональные данные граждан, необходимые для начисления и выплаты заработной платы, пособий по временной нетрудоспособности и прочих доходов, пособий и выплат, в том числе для проверки правильности их исчисления; исполнения требований налогового и пенсионного законодательства, в т.ч. в связи с исчислением и уплатой налога на доходы физических лиц, страховых взносов; средства криптографической защиты информации (СКЗИ) и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ	Главный бухгалтер – Л.Ф.Трубочева Бухгалтер 1 категории – Н.П. Пристяжникова Бухгалтер 1 категории – И.В. Мамутова Бухгалтер 1 категории – Т.Н. Сохарева	Главный бухгалтер – Л.Ф.Трубочева
Кабинет № 227	Сейф, запирающийся на ключ, запирающееся на ключ помещение	Трудовые книжки, журналы учета трудовых книжек; документы воинского учета, содержащие персональные данные работников, личные дела сотрудников	Инспектор по кадрам – М.В. Тищенко Юрисконсульт – Е.И. Селянинова	Инспектор по кадрам – Тищенко М.В.
Отдел автоматизированных информационных технологий
Кабинет № 201	Сейф, запирающийся на ключ, запирающееся на ключ помещение, опечатывается	Используемые средства криптографической защиты информации (СКЗИ) и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ	Начальник отдела – В.Г. Ефанова Ведущий специалист – администратор баз данных – И.К. Бушкова Ведущий специалист по контролю за назначением и выплатой мер социальной поддержки – Л.А. Ротканк Специалист 1 категории – администратор баз данных – О.В. Жильцов	Начальник отдела – В.Г. Ефанова
Кабинет № 229	Запирающееся на ключ помещение, опечатывается	Используемые средства криптографической защиты информации (СКЗИ) и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ	Ведущий специалист – администратор баз данных – С.Ю. Гуторова Специалист 1 категории – администратор баз данных – С.Н. Синчукова	Ведущий специалист – администратор баз данных – С.Ю. Гуторова

Приложение № 3

к Положению об обработке и защите персональных данных в ОГКУ «ЦСПН по оплате ЖКУ»,

утвержденному приказом ОГКУ «ЦСПН по оплате ЖКУ» от 30.01.2020 № 7-п

ЖУРНАЛ

ознакомления сотрудников ОГКУ «ЦСПН по оплате ЖКУ», непосредственно осуществляющих обработку персональных данных,

с положениями законодательства Российской Федерации о персональных данных,

в том числе требованиями к защите персональных данных, документами,

определяющими политику в отношении обработки персональных данных,

локальными актами по вопросам обработки персональных данных

Рег. №___

Начат: «____» ___________ 20___ г.

Окончен:«____» ___________ 20___ г.

На ________ листах

Срок хранения ________ лет

№ п/п	Фамилия, имя, отчество	Должность	Структурное подразделение	Отметка об ознакомлении с Положением об обработке и защите персональных данных в ОГКУ «ЦСПН по оплате ЖКУ», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлениями Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Правилами обращения со служебной информацией ограниченного доступа в исполнительных органах государственной власти Томской области и подведомственных им организациях, утвержденными губернатором Томской области
№ п/п	Фамилия, имя, отчество	Должность	Структурное подразделение	Подпись	Дата
1	2	3	4	5	6

Приложение № 4

к Положению об обработке и защите персональных данных ОГКУ «ЦСПН по оплате ЖКУ»,

утвержденному приказом ОГКУ «ЦСПН по оплате ЖКУ»от 30.01.2020 № 7-п

Типовая форма обязательства о неразглашении конфиденциальной информации, персональных данных, не содержащих сведений, составляющих государственную тайну

Я,_____________________________________________________________________________________________,

(имя, фамилия, отчество)

паспорт серия ________ № _______________, выдан «_____» _______________________ _______________ г.

_____________________________________________________________________________________________,

(кем выдан)

зарегистрированной(го) по адресу: _______________________________________________________________,

исполняющий (ая) должностные обязанности по занимаемой должности

_______________________________________________________________________________________________

(должность, наименование структурного подразделения)

предупрежден(а) о том, что на период исполнения мною должностных обязанностей по трудовому договору, заключенному между мною и ОГКУ «ЦСПН по оплате ЖКУ», мне будет предоставлен допуск к конфиденциальной информации, персональным данным, не содержащим сведений, составляющих государственную тайну. Настоящим добровольно принимаю на себя обязательства:

1. Не разглашать третьим лицам и работникам ОГКУ «ЦСПН по оплате ЖКУ», не имеющим на это право в силу выполняемых ими должностных обязанностей, конфиденциальные сведения, персональные данные, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей.

2. Не передавать и не раскрывать третьим лицам (за исключением случаев, когда это необходимо в целях предусмотренных законодательством Российской федерации для реализации полномочий возложенных на ОГКУ «ЦСПН по оплате ЖКУ») и работникам ОГКУ «ЦСПН по оплате ЖКУ», не имеющим на это право в силу выполняемых ими должностных обязанностей, конфиденциальные сведения, персональные данные, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей.

З. В случае попытки третьих лиц или работников ОГКУ «ЦСПН по оплате ЖКУ», не имеющих на это право в силу выполняемых ими должностных обязанностей, получить от меня конфиденциальные сведения, персональные данные, сообщать непосредственному начальнику, а также ответственному за организацию обработки персональных данных в ОГКУ «ЦСПН по оплате ЖКУ».

4. Не использовать конфиденциальные сведения, персональные данные с целью получения выгоды.

5. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты конфиденциальных сведений, персональных данных.

6. Я ознакомлен (а) с требованиями по соблюдению конфиденциальности обрабатываемых мною персональных данных субъектов персональных данных и обязуюсь после прекращения моих прав на допуск к конфиденциальной информации, персональным данным (переход на должность, не предусматривающую доступ к конфиденциальной информации, персональным данным или прекращения служебного контракта (трудового договора)), не обрабатывать, не разглашать и не передавать третьим лицам и неуполномоченным на это работникам ОГКУ «ЦСПН по оплате ЖКУ» известную мне конфиденциальную информацию, персональные данные;

7. Я ознакомлен (а) с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Положением об обработке и защите персональных данных в ОГКУ «ЦСПН по оплате ЖКУ», Правилами обращения со служебной информацией ограниченного доступа в исполнительных органах государственной власти Томской области и подведомственных им организациях, утвержденными губернатором Томской области (№ 283р от 20.11.2018);

Я проинформирован (а) о факте обработки мною персональных данных, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством Российской Федерации, органами исполнительной власти Томской области, а также локальными правовыми актами ОГКУ «ЦСПН по оплате ЖКУ».

Я ознакомлен (а) с предусмотренной действующим законодательством Российской Федерации ответственностью за нарушение неприкосновенности частной жизни и установленного Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных);

Я предупрежден (а), что в случае нарушения данного обязательства буду привлечен (а) к дисциплинарной ответственности и/или иной ответственности в соответствии с законодательством Российской Федерации.

_________________________________ ____________________

(фамилия, инициалы) (подпись)

«_________»______________20___г.

Приложение № 5

к Положению об обработке и защите персональных данных в ОГКУ «ЦСПН по оплате ЖКУ»,

утвержденному приказом ОГКУ «ЦСПН по оплате ЖКУ» от 30.01.2020 № 7-п

ПРАВИЛА

оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в ОГКУ «ЦСПН по оплате ЖКУ»

Общие положения
Термины и определения
Описание вреда субъектам персональных данных
Методика оценки возможного вреда субъектам
персональных данных в случае нарушения Федерального закона«О персональных данных»
Требования к мерам защиты
АС «Единая система социальной защиты населения Томской области»
АС «1С: Предприятие (Сетевая версия). Конфигурация Зарплата + Кадры»

1.1. Настоящие Правила оценки возможного вреда субъектам персональных данных и принятия мер по его предотвращению (далее – Правила) определяют порядок оценки вреда, который может быть причинён субъектам персональных в случае нарушения федерального законодательства по защите персональных данных, в частности Федерального закона № 152-ФЗ «О персональных данных» (Федеральный закон «О персональных данных»), и отражают соотношение указанного возможного вреда и принимаемых ОГКУ «ЦСПН по оплате ЖКУ» мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных».

1.2. Настоящие Правила разработаны в соответствии с действующим законодательством Российской Федерации в области обработки и защиты персональных данных.

2.1. В настоящих Правилах используются основные понятия:

2.1.1. Информация – сведения (сообщения, данные) независимо от формы их представления.

2.1.2. Безопасность информации – состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность.

2.1.3. Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

2.1.4. Целостность информации – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими право на такое изменение.

2.1.5. Доступность информации – состояние информации (ресурсов информационной системы), при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно.

2.1.6. Убытки – расходы, которые лицо, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб), а также неполученных доходов, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено.

2.1.7. Моральный вред – физические или нравственные страдания, причиняемые действиями, нарушающими личные неимущественные права гражданина либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом.

2.1.8. Оценка возможного вреда – определение уровня вреда на основании учёта причинённых убытков и морального вреда, нарушения конфиденциальности, целостности и доступности персональных данных.

3.1. Вред субъекту персональных данных возникает в результате неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

3.2. Перечисленные неправомерные действия определяются как следующие нарушения безопасности информации:

3.2.1. Неправомерное предоставление, распространение и копирование персональных данных являются нарушением конфиденциальности персональных данных.

3.2.2. Неправомерное уничтожение и блокирование персональных данных является нарушением доступности персональных данных.

3.2.3. Неправомерное изменение персональных данных является нарушением целостности персональных данных.

3.2.4. Нарушение права субъекта требовать от ОГКУ «ЦСПН по оплате ЖКУ» уточнения его персональных данных, их блокирования или уничтожение является нарушением целостности информации.

3.2.5. Нарушение права субъекта на получение информации, касающейся обработки его персональных данных, является нарушением доступности персональных данных.

3.2.6. Обработка персональных данных, выходящая за рамки установленных и законных целей обработки, в объёме больше необходимого для достижения установленных и законных целей и дольше установленных сроков является нарушением конфиденциальности персональных данных.

3.2.7. Неправомерное получение персональных данных от лица, не являющегося субъектом персональных данных, является нарушением конфиденциальности персональных данных.

3.2.8. Принятие решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных без согласия на то в письменной форме субъекта персональных данных или непредусмотренное федеральными законами, является нарушением конфиденциальности персональных данных.

3.3. Субъекту персональных данных может быть причинён вред в форме:

3.3.1. Убытков – расходов, которые лицо, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб), а также неполученных доходов, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено.

3.3.2. Морального вреда – физических или нравственных страданий, причиняемых действиями, нарушающими личные неимущественные права гражданина либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом.

4.1. Оценка возможного вреда должна производиться коллегиально. В комиссии должно быть не менее трех человек.

4.2. В оценке возможного вреда исходить из учёта последствий допущенного нарушения принципов обработки персональных данных. Вводится четыре уровня возможного вреда:

нулевой – вред субъекту персональных данных не причиняется;

низкий – последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, либо только нарушение доступности персональных данных;

средний – последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, повлекшее убытки и моральный вред, либо только нарушение доступности персональных данных, повлекшее убытки и моральный вред, либо только нарушение конфиденциальности персональных данных;

высокий – во всех остальных случаях.

4.3. Каждому уровню возможного вреда сопоставляется числовая оценка, а именно:

0 – при нулевом уровне вреда;

0,05 – при низком уровне вреда;

0,1 – при среднем уровне вреда;

0,2 – при высоком уровне вреда.

4.4. Каждым членом комиссии на основании собственного субъективного мнения выставляется одна из возможных оценок возможного вреда субъекту для каждой актуальной угрозы безопасности его персональных данных из-за несанкционированного, в том числе случайного, доступа к его персональным данным.

4.5. Все коэффициенты оценок суммируются по каждой актуальной угрозе.

4.6. По значению суммарной оценки Вр определяется возможный вред следующим образом:

если Вр >0,9, то вред субъектам ПДн признается высоким;

если 0,5<Вр ≤0,9, то вред субъектам ПДн признается средним;

если 0,2<Вр ≤0,5, то вред субъектам ПДн признается низким;

если 0 <Вр ≤0,5, то вред субъектам ПДн признается нулевым.

4. Порядок проведения оценки возможного вреда, а также соотнесения возможного вреда и реализуемых ОГКУ «ЦСПН по оплате ЖКУ» мер

Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Федерального закона «О персональных данных», соотношению указанного вреда и принимаемых ОГКУ «ЦСПН по оплате ЖКУ» мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным Федеральным законом, осуществляется комиссией по защите персональных данных ОГКУ «ЦСПН по оплате ЖКУ» (далее - Комиссия) в соответствии с Методикой, описанной в разделе 4 настоящих Правил, с составлением акта оценки вреда, который может быть причинен субъекту персональных данных, в случае нарушения требований Федерального закона «О персональных данных» согласно Приложению к настоящим Правилам.

Состав реализуемых ОГКУ «ЦСПН по оплате ЖКУ» мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» определяется Комиссией исходя из правомерности и разумной достаточности указанных мер. При необходимости допускается привлечение сторонних экспертов в области защиты информации.

5.1. С использованием данных обрабатываемых категориях персональных данных, на основе требований, предъявляемых к обработке персональных данных, предусмотренных действующим законодательством, формулируются и применяются конкретные организационные и технические меры защиты, которые могут быть использованы при обработке персональных данных.

Приложение 1 к правилам

Соотношение вреда и принимаемых ОГКУ «ЦСПН по оплате ЖКУ» мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом

«О персональных данных»

№ п\п	Требования Федерального закона «О персональных данных», которые могут быть нарушены	Возможные нарушение безопасности информации и причинённый субъекту вред		Уровень возможного вреда	Принимаемые меры по обеспечению выполнения обязанностей оператора персональных данных
1.	Порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных	Убытки и моральный вред	+	средний	В соответствии с законодательством в области защиты информации и Положением по обеспечению безопасности персональных данных
		Целостность	-
		Доступность	-
		Конфиденциальность	+
2.	Порядок и условия применения средств защиты информации	Убытки и моральный вред	+	средний	Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
		Целостность	-
		Доступность	-
		Конфиденциальность	+
3.	Эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных	Убытки и моральный вред	+	высокий	В соответствии с Правилами обработки персональных данных
		Целостность	+
		Доступность	+
		Конфиденциальность	+
4.	Состояние учета машинных носителей персональных данных	Убытки и моральный вред	-	низкий	Инструкция по учету машинных носителей информации
		Целостность	+
		Доступность	-
		Конфиденциальность	-
5.	Соблюдение правил доступа к персональным данным	Убытки и моральный вред	+	высокий	В соответствии с принятыми организационными мерами
		Целостность	+
		Доступность	-
		Конфиденциальность	+
6.	Наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер	Убытки и моральный вред	+	высокий	Мониторинг средств защиты информации на наличие фактов доступа к персональным данным
		Целостность	-
		Доступность	+
		Конфиденциальность	+
7.	Мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним	Убытки и моральный вред	-	низкий	Применение резервного копирования
		Целостность	+
		Доступность	+
		Конфиденциальность	-
8.	Осуществление мероприятий по обеспечению целостности персональных данных	Убытки и моральный вред	-	низкий	Организация режима доступа к техническим и программным средствам
		Целостность	+
		Доступность	-
		Конфиденциальность	-

_________________________________________

УТВЕРЖДАЮ

Директор ОГКУ «ЦСПН по оплате ЖКУ»

___________ ______________

«___» __________________ 20__ г.

АКТ

Комиссия ОГКУ «ЦСПН по оплате ЖКУ» во исполнение требований пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных», в составе:

Председатель комиссии:
ФИО	- замещаемая должность
	(Эксперт № 1)
Секретарь:
ФИО	- замещаемая должность
	(Эксперт № 2)
Члены комиссии:
ФИО	- замещаемая должность
	(Эксперт № 3)
ФИО	- замещаемая должность
	(Эксперт № 4)
ФИО	- замещаемая должность
	(Эксперт № 5)
ФИО	- замещаемая должность
	(Эксперт № 6)
ФИО	- замещаемая должность
	(Эксперт № 7)
ФИО	- замещаемая должность
	(Эксперт № 8)

руководствуясь Правилами оценки вреда, который может быть причинен

субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных в ОГКУ «ЦСПН по оплате ЖКУ», определила:

ТИПЫ актуальных угроз безопасности ПДн	ОЦЕНКИ возможного вреда субъекту ПДн, определенные членами комиссии								Определение возможного вреда (Вр)
ТИПЫ актуальных угроз безопасности ПДн	Эксперт 1	Эксперт 2	Эксперт 3	Эксперт 4	Эксперт 5	Эксперт 6	Эксперт 7	Эксперт 8	Определение возможного вреда (Вр)
Уничтожение, изменение, блокирование ПДн									Вр = __ вред субъектам ПДн
Копирование, предоставление, распространение									Вр = __ вред субъектам ПДн
Использование ПДн в криминальных целях									Вр = __ вред субъектам ПДн
Публикация ПДн в открытом доступе									Вр = __ вред субъектам ПДн
Рекламный СПАМ по телефонной и электронной связи									Вр = __ вред субъектам ПДн

Председатель комиссии:

__________________________ __________________ ____________________

должность подпись Ф.И.О.

Члены комиссии:

__________________________ __________________ ____________________

должность подпись Ф.И.О.

__________________________ __________________ ____________________

должность подпись Ф.И.О.

__________________________ __________________ ____________________

должность подпись Ф.И.О.

__________________________ __________________ ____________________

должность подпись Ф.И.О.

__________________________ __________________ ____________________

должность подпись Ф.И.О.

__________________________ __________________ ____________________

должность подпись Ф.И.О.

«___» _____ 201_ года

Приложение № 6

к Положению об обработке и защите персональных данных в ОГКУ «ЦСПН по оплате ЖКУ»,

утвержденному приказом ОГКУ «ЦСПН по оплате ЖКУ» от 30.01.2020 № 7-п

ТИПОВАЯ ФОРМА СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ ОГКУ «ЦСПН по оплате ЖКУ»

Я,_____________________________________________________________________________________________________, паспорт серия _____ № ______ выдан «__» ______ г. __________________________________________________________,

(кем выдан)

зарегистрированной(го) по адресу: ________________________ даю _____________________________________________

(наименование оператора)

(ОГРН _____________, ИНН __________), зарегистрированному по адресу: ______________________ _________________________________________________, (далее – оператор) согласие на обработку своих персональных данных.

В лице представителя субъекта персональных данных (заполняется в случае получения согласия от представителя субъекта персональных данных)

________________________________________________________________________________________________________

(фамилия, имя, отчество полностью)

паспорт серия _____ № ______ выдан «__» ______ г. __________________________________________________________,

(кем выдан

проживающий по адресу: __________________________________________________________________________________

действующий от имени субъекта персональных данных на основании ____________________________________________

________________________________________________________________________________________________________

(реквизиты доверенности или иного документа, подтверждающего полномочия представителя)

Цель обработки персональных данных:

- обеспечение соблюдения требований законодательства Российской Федерации;

- оформление и регулирование трудовых отношений;

- отражение информации в кадровых документах;

- начисление заработной платы;

- исчисление и уплата налоговых платежей, предусмотренных законодательством Российской Федерации;

- представление законодательно установленной отчетности в отношении физических лиц в ИФНС и внебюджетные фонды;

- подача сведений в банк для оформления банковской карты и последующего перечисления на нее заработной платы;

- предоставление налоговых вычетов;

- обеспечение безопасных условий труда;

- исполнение обязательств, предусмотренных договорами _____________________________________________________

(указать какими)

________________________________________________________________________________________________________

(указать иные цели (при наличии)

__________________________________________________________________________________________________________________________________

Перечень персональных данных, на обработку которых дается согласие:

- фамилия, имя, отчество;

- год, месяц, дата и место рождения;

- свидетельство о гражданстве (при необходимости);

- реквизиты документа, удостоверяющего личность;

- идентификационный номер налогоплательщика, дата постановки его на учет, реквизиты свидетельства постановки на учет в налоговом органе;

- номер свидетельства обязательного пенсионного страхования, дата регистрации в системе обязательного пенсионного страхования;

- номер полиса обязательного медицинского страхования;

- адрес фактического места проживания и регистрации по месту жительства и (или) по месту пребывания;

- почтовый и электронный адреса;

- номера телефонов;

- фотографии;

- сведения об образовании, профессии, специальности и квалификации, реквизиты документов об образовании;

- сведения о семейном положении и составе семьи;

- сведения об имущественном положении, доходах, задолженности;

- сведения о занимаемых ранее должностях и стаже работы, воинской обязанности, воинском учете;

________________________________________________________________________________________________________

(указать иные категории ПДн, в случае их обработки)

Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных:

Обработка вышеуказанных персональных данных будет осуществляться путем смешанной (автоматизированной, не автоматизированной) обработки персональных данных.

Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка вышеуказанных персональных данных будет осуществляться путем ________________________________

___________________________________________________________________________ обработки персональных данных.

(указать способ обработки (смешанной, автоматизированной, неавтоматизированной)

Даю согласие на передачу (предоставление) оператором моих данных:

________________________________________________________________________________________________________

(указать полное наименование юридического лица;фамилия, имя, отчество и адрес физического лица; передачу которым дается согласие)

путем __________________________________________________________________________________________________

(предоставления, допуска, предоставления)

Срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

Настоящее согласие на обработку персональных данных действует с момента его представления оператору
до «__» _________20___ г. или на период действия ________________ и может быть отозвано мной в любое время путем подачи оператору заявления в простой письменной форме.

Персональные данные субъекта подлежат хранению в течение сроков, установленных законодательством Российской Федерации. Персональные данные уничтожаются: по достижению целей обработки персональных данных; при ликвидации или реорганизации оператора; на основании письменного обращения субъекта персональных данных с требованием о прекращении обработки его персональных данных (оператор прекратит обработку таких персональных данных в течение 3 (трех) рабочих дней, о чем будет направлено письменное уведомление субъекту персональных данных в течение 10 (десяти) рабочих дней.

Мне разъяснены юридические последствия отказа предоставить свои персональные данные уполномоченным на обработку персональных данных лицам ОГКУ «ЦСПН по оплате ЖКУ».

____________________________________ /______________/ «__» ________ 20__г.

Приложение № 7

к Положению об обработке и защите персональных данных в ОГКУ «ЦСПН по оплате ЖКУ»,

утвержденному приказом ОГКУ «ЦСПН по оплате ЖКУ» от 30.01.2020 № 7-п

ТИПОВАЯ ФОРМА СОГЛАСИЯ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛУЧАТЕЛЯ СОЦИАЛЬНОЙ ПОДДЕРЖКИ, СОЦИАЛЬНЫХ УСЛУГ

(кем выдан)

зарегистрированной(го) по адресу: ________________________ даю _____________________________________________

(наименование оператора)

________________________________________________________________________________________________________

(фамилия, имя, отчество полностью)

паспорт серия _____ № ______ выдан «__» ______ г. __________________________________________________________,

(кем выдан

проживающий по адресу: __________________________________________________________________________________

действующий от имени субъекта персональных данных на основании ____________________________________________

________________________________________________________________________________________________________

(реквизиты доверенности или иного документа, подтверждающего полномочия представителя)

Цель обработки персональных данных:

предоставление мер социальной поддержки по оплате жилого помещения и коммунальных услуг в денежной форме отдельным категориям граждан на территории г.Томска (ежемесячных денежных выплат, компенсационных доплат, субсидий на оплату жилого помещения и коммунальных услуг, дополнительных мер социальной поддержки при предоставлении субсидий).

Перечень персональных данных, на обработку которых дается согласие:

- фамилия, имя, отчество;

- год, месяц, дата и место рождения;

- реквизиты документа, удостоверяющего личность гражданина;

- адрес фактического проживания и регистрации по месту жительства и (или) по месту пребывания;

- реквизиты документа, подтверждающие правовое основание проживания в жилом помещении;

- сведения о семейном положении и составе семьи;

- реквизиты свидетельств государственной регистрации актов гражданского состояния и содержащиеся в них сведения;

- сведения о трудовой деятельности;

- сведения о размере доходов;

- реквизиты страхового свидетельства обязательного пенсионного страхования, содержащиеся в нем сведения;

- номера контактных телефонов (домашнего, служебного, мобильного);

- сведения об инвалидности, сроке действия установленной инвалидности;

________________________________________________________________________________________________________

________________________________________________________________________________________________________

Обработка вышеуказанных персональных данных будет осуществляться путем ________________________________

___________________________________________________________________________ обработки персональных данных.

(указать способ обработки (смешанной, автоматизированной, неавтоматизированной)

Даю согласие на передачу (предоставление) оператором моих данных: ___________________________________________

________________________________________________________________________________________________________

путем __________________________________________________________________________________________________

(предоставления, допуска, предоставления)

____________________________________ /______________/ «__» ________ 20__г.

Перечень информационных систем персональных данных

ОГКУ «ЦСПН по оплате ЖКУ»

Категорий персональных данных:

1) фамилия, имя, отчество (последнее при наличии);

2) год, месяц, дата и место рождения;

3) адрес фактического проживания и регистрации по месту жительства (или) по месту пребывания;

4) реквизиты документа, удостоверяющего личность гражданина;

5) сведения о семейном положении, о составе семьи;

6) реквизиты свидетельств государственной регистрации актов гражданского состояния и содержащиеся в них сведения;

7) указанный в обращении контактный телефон;

8) иные персональные данные, указанные в обращении, а также ставшие известными в ходе личного приема граждан или в процессе рассмотрения обращения.

Категорий персональных данных:

22) фамилия, имя, отчество (последнее при наличии);

23) год, месяц, дата и место рождения;

24) реквизиты документа, удостоверяющего личность гражданина;

25) адрес фактического проживания и регистрации по месту жительства (или) по месту пребывания;

26) сведения о семейном положении, о составе семьи;

27) сведения об образовании (наименование образовательной и (или) иной организации, год окончания, уровень профессионального образования, реквизиты документов об образовании, направление подготовки, специальность и квалификация по документу об образовании, ученая степень, ученое звание (дата присвоения, реквизиты диплома, аттестата);

28) реквизиты страхового свидетельства обязательного пенсионного страхования, содержащиеся в нем сведения;

29) идентификационный номер налогоплательщика;

30) сведения о воинском учете, реквизиты документов воинского учета, а также сведения, содержащиеся в документах воинского учета;

31) номера контактных телефонов (домашнего, служебного, мобильного);

32) иные персональные данные, необходимые для достижения целей.

Приложение № 9

к Положению об обработке и защите персональных данных в ОГКУ «ЦСПН по оплате ЖКУ»

утвержденному приказом ОГКУ «ЦСПН по оплате ЖКУ» от 30.01.2020 № 7-п

БЛОК-СХЕМЫ

расположения АИС в ОГКУ «ЦСПН по оплате ЖКУ»

Кабинет (серверная) Сервер

Тверская 74

1 этаж

Кабинет 102 (секретарь)

АРМ № 1: АС «ЕС СЗН ТО»

Кабинет 103 (бухгалтерия)

АИС № 1: С:Предприятие 8 (Зарплата и кадры)

Кабинет 123(отдел контроля за назначением и выплатой мер социальной поддержки)

АРМ № 1: АС «ЕС СЗН ТО»

АРМ № 2: АС «ЕС СЗН ТО»

АРМ № 3: АС «ЕС СЗН ТО»

Операционный зал

АРМ № 1: АС «ЕС СЗН ТО»

АРМ № 2: АС «ЕС СЗН ТО»

АРМ № 3: АС «ЕС СЗН ТО»

АРМ № 4: АС «ЕС СЗН ТО»

АРМ № 5: АС «ЕС СЗН ТО»

Кабинет 104(отдел по приему и обработке документов для предоставления мер социальной поддержки)

АРМ № 1: АС «ЕС СЗН ТО»

АРМ № 2: АС «ЕС СЗН ТО»

АРМ № 3: АС «ЕС СЗН ТО»

АРМ № 4: АС «ЕС СЗН ТО»

Кабинет 106(отдел по приему и обработке документов для предоставления мер социальной поддержки)

АРМ № 1: АС «ЕС СЗН ТО»

АРМ № 2: АС «ЕС СЗН ТО»

АРМ № 3: АС «ЕС СЗН ТО»

АРМ № 4: АС «ЕС СЗН ТО»

Кабинет 108 (начальник отдела за назначением и выплатой мер социальной поддержки)

АРМ № 1: АС «ЕС СЗН ТО»

2 этаж

Кабинет 204 (директор)

АРМ № 1: АС «ЕС СЗН ТО»

Кабинет 228(отдел контроля за назначением и выплатой мер социальной поддержки)

АРМ № 1: АС «ЕС СЗН ТО»

АРМ № 2: АС «ЕС СЗН ТО»

АРМ № 3: АС «ЕС СЗН ТО»

Кабинет 201(отдел автоматизированных информационных технологий)

АРМ № 1: АС «ЕС СЗН ТО»

АРМ № 2: АС «ЕС СЗН ТО»

АРМ № 3: АС «ЕС СЗН ТО»

АРМ № 4: АС «ЕС СЗН ТО»

Кабинет 229(отдел автоматизированных информационных технологий)

АРМ № 1: АС «ЕС СЗН ТО»

АРМ № 2: АС «ЕС СЗН ТО»

Сервер Ленина 199

Операционный зал

АРМ № 1: АС «ЕС СЗН ТО»

АРМ № 2: АС «ЕС СЗН ТО»

АРМ № 3: АС «ЕС СЗН ТО»

АРМ № 4: АС «ЕС СЗН ТО»

Кабинет

АРМ № 1: АС «ЕС СЗН ТО»

АРМ № 2: АС «ЕС СЗН ТО»

АРМ № 3: АС «ЕС СЗН ТО»

АРМ № 4: АС «ЕС СЗН ТО»

АРМ № 5: АС «ЕС СЗН ТО»

Сервер Больничная 2/1

Операционный зал

АРМ № 1: АС «ЕС СЗН ТО»

АРМ № 2: АС «ЕС СЗН ТО»

АРМ № 3: АС «ЕС СЗН ТО»

АРМ № 4: АС «ЕС СЗН ТО»

Кабинет

АРМ № 1: АС «ЕС СЗН ТО»

АРМ № 2: АС «ЕС СЗН ТО»

Сервер Ивана Черных 129/1

АРМ № 1: АС «ЕС СЗН ТО»

АРМ № 2: АС «ЕС СЗН ТО»

АРМ № 3: АС «ЕС СЗН ТО»

АРМ № 4: АС «ЕС СЗН ТО»

АРМ № 5: АС «ЕС СЗН ТО»

Приложение № 11

к Положению об обработке и защите персональных данных в ОГКУ «ЦСПН по оплате ЖКУ»,

утвержденному приказом от 30.01.2020 № 7-п

УТВЕРЖДАЮ

Директор ОГКУ «ЦСПН по оплате ЖКУ»

____________________ ______________ «___»________________________20__ г.

План внутренней проверки условий обработки персональных данных

ОГКУ «ЦСПН по оплате ЖКУ»

№	Тема проверки	Нормативный документ, предъявляющий требования	Срок проведения	Исполнитель
	Соблюдение пользователями информационных систем персональных данных парольной политики
	Соблюдение пользователями информационных систем персональных данных антивирусной политики
	Соблюдение пользователями информационных систем персональных данных правил работы со съемными носителями персональных данных
	Соблюдение ответственными за криптографические средства защиты информации правил работы с ними
	Соблюдение порядка доступа в помещения, где расположены элементы информационных систем персональных данных	Положение об обработке и защите персональных данных в ОГКУ «ЦСПН по оплате ЖКУ»
	Соблюдение порядка резервирования баз данных и хранения резервных копий
	Соблюдение порядка работы со средствами защиты информации
	Знание пользователей информационных систем персональных данных о своих действиях во внештатных ситуациях
	Хранение бумажных носителей с персональными данными	Положение об обработке и защите персональных данных в ОГКУ «ЦСПН по оплате ЖКУ»
	Доступ к бумажным носителям с персональными данными
	Доступ в помещения, где обрабатываются и хранятся бумажные носители с персональными данными	Положение об обработке и защите персональных данных в ОГКУ «ЦСПН по оплате ЖКУ»

Приложение № 12

к Положению об обработке и защите персональных данных в ОГКУ «ЦСПН по оплате ЖКУ»,

утвержденному приказом ОГКУ «ЦСПН по оплате ЖКУ» от 30.01.2020 № 7-п

Протокол проведения внутренней проверки условий обработки

персональных данных

Настоящий Протокол составлен в том, что «__» _______________ 20__ г. ответственным за организацию обработки персональных данных (комиссией по

внутреннему контролю) проведена проверка _________________________________.

(тема проверки)

Проверка осуществлялась в соответствии с требованиями

___________________________________________________________________________

В ходе проверки проверено:

___________________________________________________________________________

Выявленные нарушения:

___________________________________________________________________________

Меры по устранению нарушений:

___________________________________________________________________________

Срок устранения нарушений: ____________________.

Председатель комиссии/ответственный за организацию обработки персональных данных в наименование учреждения _______________ И.О. Фамилия

Члены комиссии:

Должность _______________ И.О. Фамилия

Политика в отношении обработки персональных данных

ПОЛИТИКА
в отношении обработки персональных данных
в областном государственном казенном учреждении
«Центр социальной поддержки населения по оплате жилого помещения и коммунальных услуг»

1. Общие положения

1.1 Политика в отношении обработки персональных (далее – Политика) направлена на защиту прав и свобод физических лиц (субъектов персональных данных), персональные данные которых обрабатываются в областном государственном казенном учреждении «Центр социальной поддержки населения по оплате жилого помещения и коммунальных услуг» (далее – ОГКУ «ЦСПН по оплате ЖКУ»).

1.2. Политика разработана в соответствии с п. 2 ст. 18.1 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» и иных нормативных правовых актов Российской Федерации в области персональных данных.

1.3 Политика размещается на сайте ОГКУ «ЦСПН по оплате ЖКУ» в общем доступе и вступает в силу с момента размещения, если иное не будет предусмотрено новой редакцией Политики.

1.4 Пересмотр, дополнение, изменение настоящей Политики осуществляется в связи с изменениями законодательства Российской Федерации в области персональных данных, по результатам анализа актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности персональных данных, а также по результатам других мероприятий.

2. Законодательные и иные нормативные правовые акты

2.1. Политика в отношении обработки персональных данных в ОГКУ «ЦСПН по оплате ЖКУ» определяется в соответствии со следующими нормативными правовыми актами:

— Указ Президента Российской Федерации от 06 марта 1997 года № 188 «Об утверждении Перечня сведений конфиденциального характера»;

— Федеральный закон Российской Федерации от 27 июля 2006 года № 152 ФЗ «О персональных данных»;

— Федеральный закон Российской Федерации от 27 июля 2006 года № 149 ФЗ «Об информации, информационных технологиях и о защите информации»;

— Трудовой кодекс Российской Федерации;

— постановление Правительства Российской Федерации «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15 сентября 2008 года № 687;

— постановление Правительства Российской Федерации «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» от 1 ноября 2012 года № 1119;

— приказ Федеральной службы по техническому и экспортному контролю Российской Федерации «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18 февраля 2013 года № 21;

— иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.

2.2. В целях реализации положений Политики в ОГКУ «ЦСПН по оплате ЖКУ» разрабатываются соответствующие локальные нормативные акты и иные документы, в том числе:

— положение об обработке персональных данных в ОГКУ «ЦСПН по оплате ЖКУ»;

— перечень информационных систем персональных данных, обрабатываемых в ОГКУ «ЦСПН по оплате ЖКУ»;

— должностная инструкция ответственного за обработку персональных данных в ОГКУ «ЦСПН по оплате ЖКУ»»;

— иные локальные нормативные акты и документы, регламентирующие в ОГКУ «ЦСПН по оплате ЖКУ» вопросы обработки персональных данных.

3. Основные термины и определения

Автоматизированная обработка персональных данных— обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных— временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).

Информация— сведения (сообщения, данные) независимо от формы их представления.

Информационная система персональных данных— совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Обработка персональных данных— любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обезличивание персональных данных— действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Оператор— государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные— любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Предоставление персональных данных— действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных— действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Уничтожение персональных данных— действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

4. Сведения об обработке персональных данных

4.1. ОГКУ «ЦСПН по оплате ЖКУ», являясь оператором персональных данных, осуществляет обработку персональных данных работников ОГКУ «ЦСПН по оплате ЖКУ» и других субъектов персональных данных, не состоящих с ОГКУ «ЦСПН по оплате ЖКУ» в трудовых отношениях.

4.2. Обработка персональных данных в ОГКУ «ЦСПН по оплате ЖКУ» осуществляется на основе следующих принципов:

— на законной и справедливой основе;

— обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;

— не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

— не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

— обработке подлежат только персональные данные, которые отвечают целям их обработки;

— содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;

— при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;

— хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

— обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки. Уничтожение осуществляется способом, исключающим возможность их восстановления.

4.3. Персональные данные обрабатываются в ОГКУ «ЦСПН по оплате ЖКУ» в целях:

— осуществления уставной деятельности ОГКУ «ЦСПН по оплате ЖКУ»: оказания услуг, выполнения работ для обеспечения реализации предусмотренных законодательством Российской Федерации полномочий органов государственной властиТомской области в сфере социальной поддержки и социального обслуживания граждан;

— ведения кадрового учета работников ОГКУ «ЦСПН по оплате ЖКУ»;

— обеспечения пропускного режима в здании ОГКУ «ЦСПН по оплате ЖКУ»;

— в иных законных целях.

5. Перечень субъектов, персональные данные которых обрабатываются

5.1. В ОГКУ «ЦСПН по оплате ЖКУ» обрабатываются персональные данные следующих категорий субъектов:

— работники ОГКУ «ЦСПН по оплате ЖКУ»;

— другие субъекты персональных данных (для обеспечения реализации целей обработки, указанных в разделе 4 Политики).

6. Перечень обрабатываемых персональных данных

6.1. Перечень персональных данных, обрабатываемых в ОГКУ «ЦСПН по оплате ЖКУ», определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами ОГКУ «ЦСПН по оплате ЖКУ» с учетом целей обработки персональных данных, указанных в разделе 4 Политики.

6.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в ОГКУ «ЦСПН по оплате ЖКУ» не осуществляется.

7. Организация и условия обработки персональных данных

7.1. ОГКУ «ЦСПН по оплате ЖКУ» при осуществлении обработки персональных данных:

— принимает организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

— принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов ОГКУ «ЦСПН по оплате ЖКУ» в области персональных данных;

— издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных в ОГКУ «ЦСПН по оплате ЖКУ»;

— публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;

— прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;

— совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.

7.2. Обработка персональных данных в ОГКУ «ЦСПН по оплате ЖКУ» осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.

7.3. Доступ к обрабатываемым в ОГКУ «ЦСПН по оплате ЖКУ» персональным данным разрешается только работникам ОГКУ «ЦСПН по оплате ЖКУ», занимающим должности, включенные в перечень должностей, при замещении которых осуществляется обработка персональных данных.

7.4. Обработка персональных данных в ОГКУ «ЦСПН по оплате ЖКУ» осуществляется следующими способами:

— смешанная обработка персональных данных с передачей по внутренней сети;

— неавтоматизированная обработка персональных данных;

Трансграничная передача персональных данных не осуществляется.

7.5 Сроки обработки персональных данных субъектов персональных данных определяются в соответствии с действующим законодательством Российской Федерации и иными нормативными правовыми актами.

8. Права субъектов персональных данных

8.1. Субъекты персональных данных имеют право на:

— получение персональных данных, относящихся к данному субъекту, и информации, касающейся их обработки в ОГКУ «ЦСПН по оплате ЖКУ»;

— уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

— отзыв согласия на обработку персональных данных;

— защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсации морального вреда в судебном порядке;

— осуществление иных прав, предусмотренных законодательством Российской Федерации.

9. Меры, направленные на обеспечение выполнения обязанностей при обработке и защите персональных данных.

9.1. Меры, необходимые и достаточные для обеспечения выполнения ОГКУ «ЦСПН по оплате ЖКУ» обязанностей оператора, предусмотренных законодательством Российской Федерации в области персональных данных, включают:

— проведение методической работы с работниками ОГКУ «ЦСПН по оплате ЖКУ» занимающими должности, включенные в перечень должностей, при замещении которых осуществляется обработка персональных данных;

— получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;

— хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;

— осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным нормативным актам ОГКУ «ЦСПН по оплате ЖКУ»;

— иные меры, предусмотренные законодательством Российской Федерации в области персональных данных.

9.2. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными нормативными актами ОГКУ «ЦСПН по оплате ЖКУ», регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных ОГКУ «ЦСПН по оплате ЖКУ».

10. Контроль за соблюдением законодательства Российской Федерации и локальных нормативных актов

10.1. Внутренний контроль в ОГКУ «ЦСПН по оплате ЖКУ» осуществляется с целью проверки соответствия обработки персональных данных в ОГКУ «ЦСПН по оплате ЖКУ» законодательству Российской Федерации и нормативным актам, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Российской Федерации.

10.2. Внутренний контроль за соблюдением ОГКУ «ЦСПН по оплате ЖКУ» законодательства Российской Федерации и локальных нормативных актов ОГКУ «ЦСПН по оплате ЖКУ» осуществляется лицом, ответственным за организацию обработки персональных данных в ОГКУ «ЦСПН по оплате ЖКУ».

Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"

РОССИЙСКАЯ ФЕДЕРАЦИЯ

ФЕДЕРАЛЬНЫЙ ЗАКОН

О ПЕРСОНАЛЬНЫХ ДАННЫХ

скачать документ

Принят

Государственной Думой

8 июля 2006 года

Одобрен

Советом Федерации

14 июля 2006 года

Список изменяющих документов

(в ред. Федеральных законов от 25.11.2009 N 266-ФЗ,

от 27.12.2009 N 363-ФЗ, от 28.06.2010 N 123-ФЗ, от 27.07.2010 N 204-ФЗ,

от 27.07.2010 N 227-ФЗ, от 29.11.2010 N 313-ФЗ от 23.12.2010 N 359-ФЗ,

от 04.06.2011 N 123-ФЗ, от 25.07.2011 N 261-ФЗ, от 05.04.2013 N 43-ФЗ,

от 23.07.2013 N 205-ФЗ, от 21.12.2013 N 363-ФЗ, от 04.06.2014 N 142-ФЗ,

от 21.07.2014 N 216-ФЗ, от 21.07.2014 N 242-ФЗ, от 03.07.2016 N 231-ФЗ,

от 22.02.2017 N 16-ФЗ, от 01.07.2017 N 148-ФЗ, от 29.07.2017 N 223-ФЗ,

от 31.12.2017 N 498-ФЗ)

Статья 1. Сфера действия настоящего Федерального законаГлава 1. ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

(часть 1 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) утратил силу. - Федеральный закон от 25.07.2011 N 261-ФЗ;

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;

5) утратил силу. - Федеральный закон от 29.07.2017 N 223-ФЗ.

3. Предоставление, распространение, передача и получение информации о деятельности судов в Российской Федерации, содержащей персональные данные, ведение и использование информационных систем и информационно-телекоммуникационных сетей в целях создания условий для доступа к указанной информации осуществляются в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации".

(часть 3 введена Федеральным законом от 29.07.2017 N 223-ФЗ)

Статья 2. Цель настоящего Федерального закона

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Статья 4. Законодательство Российской Федерации в области персональных данных

1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее - нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию.

(часть 2 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

Глава 2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 5. Принципы обработки персональных данных (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Статья 6. Условия обработки персональных данных (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

(п. 3 в ред. Федерального закона от 29.07.2017 N 223-ФЗ)

3.1) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);

(п. 3.1 введен Федеральным законом от 29.07.2017 N 223-ФЗ)

4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

(в ред. Федерального закона от 05.04.2013 N 43-ФЗ)

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

(в ред. Федеральных законов от 21.12.2013 N 363-ФЗ, от 03.07.2016 N 231-ФЗ)

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

(в ред. Федерального закона от 03.07.2016 N 231-ФЗ)

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

1.1. Обработка персональных данных объектов государственной охраны и членов их семей осуществляется с учетом особенностей, предусмотренных Федеральным законом от 27 мая 1996 года N 57-ФЗ "О государственной охране".

(часть 1.1 введена Федеральным законом от 01.07.2017 N 148-ФЗ)

2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

Статья 7. Конфиденциальность персональных данных (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Статья 8. Общедоступные источники персональных данных

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

Статья 10. Специальные категории персональных данных

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные сделаны общедоступными субъектом персональных данных;

(п. 2 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

(п. 2.1 введен Федеральным законом от 25.11.2009 N 266-ФЗ)

2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ "О Всероссийской переписи населения";

(п. 2.2 введен Федеральным законом от 27.07.2010 N 204-ФЗ)

2.3) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;

(п. 2.3 введен Федеральным законом от 25.07.2011 N 261-ФЗ, в ред. Федерального закона от 21.07.2014 N 216-ФЗ)

3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

(п. 3 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

6) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

(п. 6 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;

(п. 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

7.1) обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;

(п. 7.1 введен Федеральным законом от 23.07.2013 N 205-ФЗ)

8) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;

(п. 8 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

9) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;

(п. 9 введен Федеральным законом от 25.07.2011 N 261-ФЗ)

10) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.

(п. 10 введен Федеральным законом от 04.06.2014 N 142-ФЗ)

3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

Статья 11. Биометрические персональные данные (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.

(в ред. Федеральных законов от 04.06.2014 N 142-ФЗ, от 31.12.2017 N 498-ФЗ)

Статья 12. Трансграничная передача персональных данных (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

2. Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных. Государство, не являющееся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, может быть включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер безопасности персональных данных.

3. Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных.

4. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

1) наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;

2) предусмотренных международными договорами Российской Федерации;

3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;

4) исполнения договора, стороной которого является субъект персональных данных;

5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

Глава 3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 14. Право субъекта персональных данных на доступ к его персональным данным (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения, указанные в части 7 настоящей статьи, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

4. В случае, если сведения, указанные в части 7 настоящей статьи, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящей статьи, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 настоящей статьи, должен содержать обоснование направления повторного запроса.

6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 настоящей статьи. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

Статья 17. Право на обжалование действий или бездействия оператора

1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Глава 4. ОБЯЗАННОСТИ ОПЕРАТОРА

Статья 18. Обязанности оператора при сборе персональных данных (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона.

2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных;

5) источник получения персональных данных.

4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 3 настоящей статьи, в случаях, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

5) предоставление субъекту персональных данных сведений, предусмотренных частью 3 настоящей статьи, нарушает права и законные интересы третьих лиц.

5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.

(часть 5 введена Федеральным законом от 21.07.2014 N 242-ФЗ)

Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом (введена Федеральным законом от 25.07.2011 N 261-ФЗ)

1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

3. Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.

4. Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Статья 20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 настоящего Федерального закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных (в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

2. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

3. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

4. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 - 5 настоящей статьи, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

Статья 22. Уведомление об обработке персональных данных

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) обрабатываемых в соответствии с трудовым законодательством;

(п. 1 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

4) сделанных субъектом персональных данных общедоступными;

(п. 4 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

(п. 9 введен Федеральным законом от 25.07.2011 N 261-ФЗ)

3. Уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

(п. 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

(п. 7.1 введен Федеральным законом от 25.07.2011 N 261-ФЗ)

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных;

10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

(п. 10 введен Федеральным законом от 25.07.2011 N 261-ФЗ)

10.1) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;

(п. 10.1 введен Федеральным законом от 21.07.2014 N 242-ФЗ)

11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

(п. 11 введен Федеральным законом от 25.07.2011 N 261-ФЗ)

4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.

6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

(часть 7 в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях (введена Федеральным законом от 25.07.2011 N 261-ФЗ)

1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.

2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.

3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона.

4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

Глава 5. ГОСУДАРСТВЕННЫЙ КОНТРОЛЬ И НАДЗОР ЗА ОБРАБОТКОЙ

ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ

ТРЕБОВАНИЙ НАСТОЯЩЕГО ФЕДЕРАЛЬНОГО ЗАКОНА

(в ред. Федерального закона от 22.02.2017 N 16-ФЗ)

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

1. Уполномоченным органом по защите прав субъектов персональных данных является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

(часть 1 в ред. Федерального закона от 22.02.2017 N 16-ФЗ)

1.1. Уполномоченный орган по защите прав субъектов персональных данных обеспечивает, организует и осуществляет государственный контроль и надзор за соответствием обработки персональных данных требованиям настоящего Федерального закона и принятых в соответствии с ним нормативных правовых актов (государственный контроль и надзор за обработкой персональных данных). Порядок организации и проведения проверок юридических лиц и индивидуальных предпринимателей, являющихся операторами, уполномоченным органом по защите прав субъектов персональных данных, а также порядок организации и осуществления государственного контроля и надзора за обработкой персональных данных иными лицами, являющимися операторами, устанавливается Правительством Российской Федерации.

(часть 1.1 введена Федеральным законом от 22.02.2017 N 16-ФЗ)

2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:

1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;

3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

3.1) ограничивать доступ к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, в порядке, установленном законодательством Российской Федерации;

(п. 3.1 введен Федеральным законом от 21.07.2014 N 242-ФЗ)

4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;

5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представлять интересы субъектов персональных данных в суде;

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

5.1) направлять в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, применительно к сфере их деятельности, сведения, указанные в пункте 7 части 3 статьи 22 настоящего Федерального закона;

(п. 5.1 введен Федеральным законом от 25.07.2011 N 261-ФЗ)

6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;

9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.

4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.

5. Уполномоченный орган по защите прав субъектов персональных данных обязан:

1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;

2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;

3) вести реестр операторов;

4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;

5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, федерального органа исполнительной власти в области государственной охраны или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;

(в ред. Федерального закона от 01.07.2017 N 148-ФЗ)

6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;

7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.

5.1. Уполномоченный орган по защите прав субъектов персональных данных осуществляет сотрудничество с органами, уполномоченными по защите прав субъектов персональных данных в иностранных государствах, в частности международный обмен информацией о защите прав субъектов персональных данных, утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.

(часть 5.1 введена Федеральным законом от 25.07.2011 N 261-ФЗ)

6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.

7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.

8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.

9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.

Статья 24. Ответственность за нарушение требований настоящего Федерального закона

1. Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.

(в ред. Федерального закона от 25.07.2011 N 261-ФЗ)

2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

(часть 2 введена Федеральным законом от 25.07.2011 N 261-ФЗ)

Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Статья 25. Заключительные положения

1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.

2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.

2.1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.

(часть 2.1 введена Федеральным законом от 25.07.2011 N 261-ФЗ)

3. Утратил силу. - Федеральный закон от 25.07.2011 N 261-ФЗ.

4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

5. Отношения, связанные с обработкой персональных данных, осуществляемой государственными органами, юридическими лицами, физическими лицами при предоставлении государственных и муниципальных услуг, исполнении государственных и муниципальных функций в субъекте Российской Федерации - городе федерального значения Москве, регулируются настоящим Федеральным законом, если иное не предусмотрено Федеральным законом "Об особенностях регулирования отдельных правоотношений в связи с присоединением к субъекту Российской Федерации - городу федерального значения Москве территорий и о внесении изменений в отдельные законодательные акты Российской Федерации".

(часть 5 введена Федеральным законом от 05.04.2013 N 43-ФЗ)

Президент

Российской Федерации

В.ПУТИН

Москва, Кремль

27 июля 2006 года

N 152-ФЗ