Приказ №23

МКУ «УПРАВЛЕНИЕ ПО КУЛЬТУРЕ ТАЛОВСКОГО МУНИЦИПАЛЬНОГО РАЙОНА» ПРИКАЗ от 22 февраля 2017 года № 23 р.п. Таловая Об обработке и защите персональных данных в МКУ «Управление по культуре Таловского муниципального района» В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и подпунктом «б» пункта 1 перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного Постановлением Правительства Российской Федерации от 21.03.2012 № 211 приказываю: 1. Утвердить: 1.1. Положение об обработке и защите персональных данных МКУ «Управление по культуре Таловского муниципального района» согласно приложению № 1. 1.2. Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований, в МКУ «Управление по культуре Таловского муниципального района» согласно приложению № 2. 1.3. Правила рассмотрения запросов субъектов персональных данных или их представителей в МКУ «Управление по культуре Таловского муниципального района» согласно приложению № 3. 1.4. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в МКУ «Управление по культуре Таловского муниципального района» согласно приложению № 4. 1.5. Правила работы с обезличенными персональными данными в МКУ «Управление по культуре Таловского муниципального района» согласно приложению № 5. 1.6. Перечень информационных систем персональных данных МКУ «Управление по культуре Таловского муниципального района» согласно приложению № 6. 1.7. Типовую форму согласия на обработку персональных данных МКУ «Управление по культуре Таловского муниципального района» согласно приложению № 7. 1.8. Типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные МКУ «Управление по культуре Таловского муниципального района» согласно приложению № 8. 1.9. Типовое обязательство о неразглашении персональных данных субъекта персональных данных непосредственно осуществляющих их обработку МКУ «Управление по культуре Таловского муниципального района» согласно приложению № 9. 1.10. Порядок доступа работников МКУ «Управление по культуре Таловского муниципального района» в помещения, в которых ведется обработка персональных данных согласно приложению № 10. 2. Должностным лицам, ответственным за реализацию мер по обеспечению сохранности персональных данных, обеспечить защиту персональных данных в соответствии с настоящим приказом. 3. Контроль за исполнением приказа оставляю за собой. Руководитель Н.В. Литвинова Приложение № 1 к приказу МКУ «Управление по культуре Таловского муниципального района» от 22 февраля 2017 года № 23 Положение об обработке и защите персональных данных в МКУ «Управление по культуре Таловского муниципального района» 1.1. Настоящее Положение об обработке и защите персональных данных в МКУ «Управление по культуре Таловского муниципального района» (далее – Положение) разработано во исполнение: а) Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных»; б) постановления Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»; в) постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; г) постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; д) приказа ФСТЭК России от 11 февраля 2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и определяет политику МКУ «Управление по культуре Таловского муниципального района» в отношении обработки персональных данных. 1.2. Настоящее Положение является обязательным для исполнения всеми работниками МКУ «Управление по культуре Таловского муниципального района» (далее – учреждение). 1.3. Настоящее Положение: а) устанавливает процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; б) определяет для каждой цели обработки персональных данных: 1) содержание обрабатываемых персональных данных; 2) категории субъектов, персональные данные которых обрабатываются; 3) сроки их обработки и хранения; 4) порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований; 5) перечни персональных данных, обрабатываемых в связи с реализацией трудовых отношений, а также в связи с оказанием муниципальных услуг и осуществлением муниципальных функций; 6) оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»; в) определяют соотношение вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»; г) устанавливают правила рассмотрения запросов субъектов персональных данных или их представителей; д) устанавливают правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора; е) устанавливают типовую форму согласия на обработку персональных данных работников администрации и иных субъектов персональных данных; ё) устанавливают типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные; ж) устанавливают правила работы с обезличенными данными; з) определяют перечень должностей работников администрации, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных; и) определяют перечень информационных систем персональных данных; к) определяют перечень должностей работников учреждения, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным; л) устанавливают порядок ознакомления работников учреждения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных); м) устанавливают перечень и правила ведения иных локальных актов по вопросам обработки персональных данных, включая: 1) порядок доступа работников учреждения в помещения, в которых ведется обработка персональных данных; 2) должностную инструкцию ответственного за организацию обработки персональных данных; 3) типовое обязательство работников учреждения, непосредственно осуществляющих обработку персональных данных, в случае расторжения с ними трудового договора прекратить обработку персональных данных, ставших известными в связи с исполнением должностных обязанностей. 2. Требования по обработке персональных данных. 2.1. В настоящем Положении используются следующие основные понятия: 1) персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); 2) оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; 3) обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая: а) сбор; б) запись; в) систематизацию; г) накопление; д) хранение; е) уточнение (обновление, изменение); ж) извлечение; з) использование; и) передачу (распространение, предоставление, доступ); к) обезличивание; л) блокирование; м) удаление; н) уничтожение персональных данных; 4) автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники; 5) распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц; 6) предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; 7) блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); 8) уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; 9) обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; 10) информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; 11) трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу; 12) конфиденциальность персональных данных – обязанность операторов и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом; 13) специальные категории персональных данных – персональные данные, в том числе, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, о судимости; 14) биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность; 15) использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц; 16) информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов; 17) информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники; 18) доступ к информации – возможность получения информации и ее использования; 19) обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам; 20) документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель; 21) под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах; 22) базой данных является представленная в объективной форме совокупность самостоятельных материалов, систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины (далее - ЭВМ); 23) к юридическим последствиям относятся случаи возникновения, изменения или прекращения личных либо имущественных прав граждан или иным образом затрагивающее его права, свободы и законные интересы. 2.1.1. Иные понятия в настоящем Положении используются в значениях, определенных действующим законодательством Российской Федерации либо их значение дается по тексту. 2.2. Принципы обработки персональных данных: 2.2.1. Обработка персональных данных должна осуществляться на основе следующих принципов: 1) обработка персональных данных должна осуществляться на законной и справедливой основе; 2) обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей; 3) не допускается обработка персональных данных, несовместимая с целями сбора персональных данных; 4) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; 5) обработке подлежат только персональные данные, которые отвечают целям их обработки; 6) содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки; 7) обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки; 8) при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных; 9) оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных; 10) хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; 11) обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом; 12) обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну; 13) обязанность лица, осуществляющего обработку персональных данных по поручению оператора, соблюдения принципов и правил обработки персональных данных; 14) соблюдения принципов и правил обработки персональных данных при поручении такой обработки другому лицу; 15) соблюдение конфиденциальности персональных данных; 16) обработки персональных данных (в том числе при обработке общедоступных персональных данных, специальных категорий персональных данных, биометрических персональных данных, при принятии решений на основании исключительно автоматизированной обработки персональных данных, при трансграничной передаче персональных данных) с письменного согласия субъектов персональных данных либо на ином законом основании; 17) соблюдения законности при осуществлении трансграничной передачи персональных данных; 18) соблюдением обязанностей, возлагаемых на оператора персональных данных, действующим законодательством и иными нормативными актами по обработке персональных данных; 19) принятии мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством в области персональных данных; 20) принятии необходимых правовых, организационных и технических мер или обеспечении их принятия для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных; 21) недопустимости ограничения прав и свобод человека и гражданина по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных; 22) недопустимости использования оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных; 23) личной ответственности должностных лиц, осуществляющих обработку персональных данных; 24) документального оформления всех принятых решений по обработке и обеспечению безопасности персональных данных. 2.2.2. Нарушение указанных принципов обработки персональных данных категорически запрещается. 2.3. Цели обработки персональных данных 2.3.1. Учреждение, являясь оператором персональных данных, должно определять цели обработки персональных данных в своих информационных системах персональных данных. 2.3.2. Цели обработки персональных данных в информационных системах персональных данных должны быть четко определены и соответствовать: 1) заявленным в Положении основным полномочиям и правам учреждения; 2) перечням задач или функций должностных лиц учреждения, указанным в положениях о должностных обязанностях. 2.3.3. Определение целей обработки персональных данных в информационных системах персональных данных производится в соответствии с Правилами обработки персональных данных конкретных информационных систем персональных данных учреждения. 2.3.4. Цели обработки персональных данных определяют: 1) содержание и объем обрабатываемых персональных данных; 2) категории субъектов, персональные данные которых обрабатываются; 3) сроки их обработки и хранения; 4) порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований. 2.3.5. Цели обработки персональных данных должны быть: 1) конкретны; 2) заранее определены; 3) законны; 4) заявлены. 2.3.6. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. 2.3.7. Совместимость целей определяется по наличию общей цели связанной с заявленными в Положении основными полномочиями и правами администрации или по наличию общей цели, определяемой действующим законодательством Российской Федерации. 2.4. Способы и правила обработки персональных данных в информационных системах персональных данных в зависимости от применения средств автоматизации. 2.4.1. Способы обработки персональных данных в информационных системах персональных данных: 1) обработка персональных данных без использования средств автоматизации; 2) обработка персональных данных с использованием средств автоматизации; 3) исключительно автоматизированная обработка персональных данных; 4) смешанная обработка персональных данных. 2.5. Правила обработки персональных данных без использования средств автоматизации. 2.5.1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). 2.5.2. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель. 2.5.3. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых, заведомо не совместимы. 2.5.4. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности, при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных, осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных. 2.5.5. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться следующие условия: 1) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать: а) сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации; б) имя (наименование) и адрес оператора; в) фамилию, имя, отчество и адрес субъекта персональных данных; г) источник получения персональных данных; д) сроки обработки персональных данных; е) перечень действий с персональными данными, которые будут совершаться в процессе их обработки; ж) общее описание используемых оператором способов обработки персональных данных; 2) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации – при необходимости получения письменного согласия на обработку персональных данных; 3) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных; 4) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых, заведомо не совместимы. 2.5.6. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными. 2.6. Правила обработки персональных данных средствами автоматизации. 2.6.1. Обработка персональных данных средствами автоматизации в администрации допускается только в следующих случаях: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 2) обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на администрацию функций, полномочий и обязанностей; 3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта); 4) обработка персональных данных необходима для предоставления муниципальной услуги в соответствии с Федеральным законом «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг; 5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; 6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; 7) обработка персональных данных необходима для осуществления прав и законных интересов учреждения или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; 8) обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных; 9) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных); 10) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. 2.6.2. Обработка персональных данных средствами автоматизации должна осуществляться на основании правил, инструкций, руководств, регламентов и иных документов, определяющих технологический процесс обработки информации, содержащих такие данные, определенные для выполнения конкретных операций с заранее определенными целями, с учетом требований настоящего Положения. 2.7. Обработка персональных данных с согласия субъекта персональных данных. 2.7.1. В случае если обработка персональных данных субъекта персональных данных в информационной системе персональных данных осуществляется на основании согласия и не имеется оснований для обработки таких персональных данных без получения согласия, должны выполняться указанные в настоящем пункте положения. 2.7.2. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. 2.7.3. Согласие на обработку персональных данных должно быть: 1) конкретным; 2) информированным; 3) сознательным. 2.7.4. Согласие на обработку персональных данных учреждения может быть дано субъектом персональных данных или его представителем только в письменной форме. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. 2.7.5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления муниципальных услуг, устанавливается Правительством Российской Федерации. 2.7.6. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором. 2.7.7. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных. 2.7.8. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни. 2.7.9. В случае получения согласия от законного представителя субъекта персональных данных или наследников субъекта персональных данных они обязаны представить документы, подтверждающие их полномочия. 2.7.10. Допускается включение согласия в типовые формы (бланки) материальных носителей персональных данных и в договоры с субъектами персональных данных. 2.7.11. Письменные согласия субъектов персональных данных должны храниться в учреждении. 2.7.12. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных путем направления обращения в учреждение. 2.7.12.1. Обработка персональных данных без согласия субъекта персональных данных. 2.7.12.2. Обработка персональных данных, осуществляемая без получения согласия на такую обработку от субъекта персональных данных может осуществляться только по основаниям, указанным в пункте 2.5., при этом обязанность предоставить доказательство наличия таких оснований возлагается на учреждение. 2.7.12.3. Порядок определения оснований обработки персональных данных без согласия на обработку персональных данных от субъекта персональных данных, их определения, оформления и предоставления приведен в пунктах 2.20, 2.22. и 2.45. настоящего Положения. 2.8. Правила исключительно автоматизированной обработки персональных данных. 2.8.1. При исключительно автоматизированной обработке персональных данных должны выполняться правила обработки персональных данных средствами автоматизации. 2.8.2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных. 2.8.3. В остальных случаях принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы запрещается. 2.8.4. При исключительно автоматизированной обработке персональных данных необходимо: 1) разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных; 2) разъяснить возможные юридические последствия такого решения; 3) предоставить возможность заявить возражение против такого решения; 4) рассмотреть возражение; 5) уведомить субъекта персональных данных о результатах рассмотрения такого возражения в порядке определенном в пункте 2.49. настоящего Положения в сроки, предусмотренные пунктом 2.46. настоящего Положения. 2.9. Правила смешенной обработки персональных данных. 2.9.1. При смешанной обработке персональных данных необходимо выполнять правила объединяющие правила обработки персональных данных при их обработке каждым из используемых при смешанной обработке персональных данных способов. 2.9.2. Правила обработки персональных данных средствами автоматизации при поручении обработки персональных данных. 2.9.2.1. Правила обработки персональных данных средствами автоматизации при поручении обработки персональных данных другому лицу: а) учреждение вправе поручить обработку персональных данных другому лицу (поручение оператора): 1) с согласия субъекта персональных данных; 2) если иное не предусмотрено федеральным законом; 3) на основании заключаемого с этим лицом договора, в том числе муниципального контракта; 4) либо путем принятия соответствующего акта. 2.9.2.2. Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Положением. 2.9.2.3. В поручении оператора: 1) должен быть определен перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных; 2) должны быть определены цели обработки персональных данных; 3) должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных; 4) должна быть установлена обязанность такого лица обеспечивать безопасность персональных данных при их обработке; 5) должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с настоящим Положением и техническим заданием на создание системы защиты персональных данных; 6) установлена ответственность такого лица перед учреждением, в случаях нарушений установленных требований и законодательства Российской Федерации в области персональных данных; 7) при необходимости получения согласий на обработку персональных данных от субъектов персональных данных, предусмотрен порядок сбора и передачи в учреждение таких согласий субъектов персональных данных. 2.9.2.4. В случае если учреждение поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет непосредственно само учреждение. 2.9.2.5. В случае необходимости получения согласия на обработку персональных данных от субъекта персональных данных обязанность получения таких согласий возлагается на учреждение. 2.10. Правила обработки персональных данных средствами автоматизации при поручении обработки персональных данных другим лицом. 2.10.1. В случае поручения обработки персональных данных средствами автоматизации учреждением другим лицом, такое лицо своим поручением оператору обязано: 1) определить перечень действий (операций) с персональными данными, которые будут совершаться учреждением при осуществлении обработки персональных данных; 2) определить цели обработки персональных данных; 3) указать требования к защите обрабатываемых персональных данных. 2.10.2. В случае не определения такой информации и требований другим лицом, учреждение обязано добиться их определения и документального оформления. 2.10.3. В случае принятия поручения оператора от другого лица учреждением без указанной информации и требований, такая обработка не считается обработкой осуществляемой по поручению оператора, учреждение будет являться оператором персональных данных. При этом обработка персональных данных должна выполняться в соответствии с настоящим Положением за исключением пункта 2.9.2. 2.10.4. Учреждение обязано выполнить все требования установленные другим лицом в поручении оператора и за все нарушения в обработке персональных данных несет ответственность перед таким лицом. 2.10.5. Учреждение при осуществлении обработки персональных данных по поручению оператора не обязана получать согласие субъекта персональных данных на обработку его персональных данных. 2.11. Особые правила обработки персональных данных в информационных системах персональных данных в зависимости от категории обрабатываемых персональных данных. 2.11.1. В учреждении устанавливаются следующие особые правила обработки персональных данных в зависимости от категории обрабатываемых персональных данных: 1) обработка специальных категорий персональных данных; 2) обработка общедоступных персональных данных. 2.11.2. Особые правила обработки персональных данных в информационных системах персональных данных в зависимости от категории обрабатываемых персональных данных являются дополнительными способами и правилами обработки персональных данных в информационных системах персональных данных в зависимости от применения средств автоматизации указанным в пункте 2.4. настоящего Положения. 2.12. Правила обработки специальных категорий персональных данных. 2.12.1. К специальным категориям персональных данных относятся сведения касающиеся: 1) расовой принадлежности; 2) национальной принадлежности; 3) политических взглядов; 4) религиозных убеждений; 5) философских убеждений; 6) состояния здоровья; 7) интимной жизни; 8) судимости. 2.12.2. В учреждении категорически запрещается обработка специальных категорий персональных данных касающихся: 1) расовой принадлежности; 2) национальной принадлежности; 3) политических взглядов; 4) религиозных убеждений; 5) философских убеждений; 6) интимной жизни. 2.12.3. В учреждении разрешается обработка сведений специальных категорий персональных данных касающиеся состояния здоровья и судимости в минимально необходимом объеме при обязательном соблюдении любого из следующих условий: 1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных; 2) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях; 3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно; 4) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия; 5) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, о противодействии терроризму, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации; 6) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством; 7) обработка персональных данных о судимости осуществляется в пределах полномочий, предоставленных учреждению в соответствии с законодательством Российской Федерации. 2.12.4. Обработка специальных категорий персональных данных в остальных случаях в учреждении не допускается. 2.12.5. Обработка специальных категорий персональных данных, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом. 2.13. Правила обработки биометрических персональных данных 2.13.1. К биометрическим персональным данным относятся сведения (обязательно выполнение всех трех условий одновременно), характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. 2.13.2. Обработка биометрических персональных данных в учреждении запрещена. 2.14. Правила обработки общедоступных персональных данных. 2.14.1. Общедоступные персональные данные физических лиц, полученные из сторонних общедоступных источников персональных данных, в учреждении обрабатываются в исключительных случаях в сроки, не превышающие необходимых для их использования. При этом совместно с такими данными должны собираться реквизиты их источника и подтверждение согласия субъекта персональных данных на включение такой информации в общедоступные источники персональных данных, так как в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на учреждение. По достижении целей обработки общедоступных персональных данных они подлежат немедленному уничтожению. 2.14.2. С целью информационного обеспечения и осуществления взаимодействия как внутри учреждения, так и со сторонними физическими и юридическими лицами. В учреждении могут создаваться общедоступные источники персональных данных. Создание общедоступного источника персональных данных осуществляется по решению руководителя учреждения. В решении о создании общедоступного источника персональных данных должны быть указаны: 1) цель создания общедоступного источника персональных данных; 2) ссылка на нормативный акт, устанавливающий необходимость создания общедоступного источника персональных данных (при наличии); 3) перечень персональных данных, которые вносятся в общедоступный источник персональных данных; 4) порядок включения персональных данных в общедоступный источник персональных данных; 5) порядок уведомления пользователей общедоступного источника персональных данных об исключении из него персональных данных либо внесении в него изменений; 6) порядок получения письменного согласия субъекта персональных данных на включение персональных данных в общедоступный источник персональных данных; 7) ссылка на нормативный акт, устанавливающий порядок исключения персональных данных из общедоступного источника персональных данных. 2.14.3. В общедоступный источник персональных данных с письменного согласия субъекта персональных данных могут включаться: должность, фамилия, имя, отчество, абонентский номер рабочего телефона, место получения образования, достигнутые результаты и другая информация. 2.14.4. Включение в общедоступные источники персональных данных персональных данных субъекта персональных данных допускается только на основании его письменного согласия. 2.14.5. Исключение персональных данных из указанного общедоступного источника осуществляется при утрате необходимости в обработке таких данных, либо на основании заявления субъекта персональных данных в установленном настоящим Положением и действующим законодательством Российской Федерации порядке. 2.15. Особые правила обработки персональных данных в информационных системах персональных данных в зависимости от цели обработки персональных данных. 2.15.1. В учреждении устанавливаются следующие особые правила обработки персональных данных в зависимости от цели обработки персональных данных: 1) правила обработки персональных данных с целью однократного пропуска субъекта персональных данных на охраняемую территорию; 2) правила обработки персональных данных при трансграничной передаче персональных данных; 3) правила работы с обезличенными данными; 4) правила обработки персональных данных в целях политической агитации. 2.15.2. Особые правила обработки персональных данных в информационных системах персональных данных в зависимости от цели обработки персональных данных являются дополнительными способами и правилами обработки персональных данных в информационных системах персональных данных в зависимости от применения средств автоматизации указанным в пункте 2.4 настоящего Положения. 2.16. Правила обработки персональных данных с целью однократного пропуска субъекта персональных данных на охраняемую территорию. 2.16.1. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию учреждения, должны соблюдаться следующие условия: 1) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена распорядительным актом учреждения, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (по должностям), имеющих доступ к материальным носителям и перечень лиц, ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится учреждение, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных; 2) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается; 3) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на охраняемую территорию. 2.16.2. Учреждение не осуществляет обработку персональных данных с целью однократного пропуска субъекта персональных данных на охраняемую территорию. 2.17. Правила обработки персональных данных при трансграничной передаче персональных данных. 2.17.1. Трансграничной передачей персональных данных называется передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. 2.17.2. Трансграничной передачи персональных данных учреждением не осуществляется. 2.17.3. В случае принятия учреждением решения о трансграничной передаче персональных данных, такие данные могут обрабатываться только в следующих случаях: 1) при наличии согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных; 2) предусмотренных международными договорами Российской Федерации; 3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства; 4) исполнения договора, стороной которого является субъект персональных данных; 5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных. 2.17.4. Учреждение до начала осуществления трансграничной передачи персональных данных обязано убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных. 2.18. Правила работы с обезличенными данными. 2.18.1. Обезличиванием персональных данных называются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. 2.18.2. Порядок обезличивания в учреждении установлен пунктом 2.35. настоящего Положения. 2.19. Правила обработки персональных данных в целях политической агитации. 2.19.1. Учреждение не осуществляет обработки персональных данных в целях политической агитации. 2.19.2. Учреждение по требованию субъекта персональных данных обязано немедленно прекратить обработку его персональных данных, осуществляемую в целях политической агитации. 2.20. Необходимость обработки персональных данных 2.20.1. Необходимость обработки персональных данных определяется заранее определенной и документированной целью обработки персональных данных и может устанавливаться (требоваться) нормативным правовым актом (например, федеральным законом) или определяется принятым в учреждении порядком выполнения определенных операций по обработке информации, в рамках заявленных в Положении основных полномочий и прав, либо в рамках перечня задач или функций должностных лиц, указанных в положениях о должностных обязанностях. 2.20.2. Принятый в учреждении порядок выполнения определенных операций по обработке информации, в рамках которых производится обработка персональных данных, должен быть отражен в локальном нормативном акте. 2.20.3. Обработка персональных данных без определения правового основания ее необходимости категорически запрещается. 2.21. Перечни персональных данных, используемые для решения задач и функций отделами учреждения. 2.21.1. Для решения тех или иных задач и функций отделами учреждения определяются наборы персональных данных, обработка которых вызвана заранее определенной и документированной целью обработки персональных данных. 2.21.2. Обработка персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных недопустима. 2.21.3. Перечни персональных данных, используемых для решения конкретных задач и функций отделами, в учреждении оформляются в порядке, установленном пунктом 2.66 настоящего Положения. 2.22. Правовое основание обработки персональных данных. 2.22.1. Правовое основание обработки персональных данных включает в себя: 1) определение законности целей обработки персональных данных; 2) оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных; 3) определение заданных характеристик безопасности персональных данных; 4) определение сроков обработки, в том числе хранения персональных данных, осуществление контроля за соблюдением сроков обработки персональных данных и фактов достижения целей обработки персональных данных. 2.23. Определение законности целей обработки персональных данных. 2.23.1. Заявляемые в качестве целей обработки персональных данных цели должны быть законны. Законность целей обработки персональных данных в учреждении определяется их соответствием случаям, указанным в пункте 2.6. настоящего Положения. 2.23.2. Причем, кроме самого факта обработки персональных данных, должны рассматриваться и, соответственно, иметь правовое основание, особые правила обработки определенных наборов персональных данных (таких как специальные категории персональных данных, биометрические персональные данные и др.), особые способы обработки персональных данных (обработка без использования средств автоматизации, исключительно автоматизированная обработка персональных данных и др.), а так же особые цели обработки персональных данных (однократный пропуск на охраняемую территорию, трансграничная передача персональных данных и др.). 2.23.3. При определении правовых оснований обработки персональных данных должны определяться реквизиты федерального закона, а также иных подзаконных актов, и документов органов государственной власти, которые требуют обработку персональных данных или иных документов, являющихся такими основаниями. 2.23.4. Обработка персональных данных без документально определенного и оформленного правового основания обработки персональных данных не допускается. 2.24. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных. 2.24.1. Оценкой вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных является определение юридических или иным образом затрагивающих права и законные интересы последствий в отношении субъекта персональных данных, которые могут возникнуть в случае нарушения требований по обработке и обеспечению безопасности персональных данных. 2.24.2. К юридическим последствиям относятся случаи возникновения, изменения или прекращения личных либо имущественных прав граждан или иным образом затрагивающее его права, свободы и законные интересы. 2.24.3. При обработке персональных данных должны определяться и документально оформляться все возможные юридические или иным образом затрагивающие права и законные интересы последствия в отношении субъекта персональных данных, которые могут возникнуть в случае нарушения требований по обработке и обеспечению безопасности персональных данных при выполнении заявленных в Положении основных полномочий и прав учреждения, либо в рамках перечня задач или функций должностных лиц, указанных в положениях о должностных обязанностях с учетом особых правил и способов обработки персональных данных. 2.24.4. Определение таких юридических последствий необходимо для недопущения нарушения и обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также определения соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных и принимаемых мер. 2.24.5. Обработка персональных данных без оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных не допускается. 2.24.6. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных документально оформляется в установленном законом порядке. 2.25. Заданные характеристики безопасности персональных данных. 2.25.1. Всеми лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных. 2.25.2. Конфиденциальность персональных данных – это обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. 2.25.3. Вне зависимости от необходимости обеспечения конфиденциальности персональных данных, при обработке персональных данных должно определяться наличие требований по обеспечению иных характеристик безопасности персональных данных, отличных от нее. 2.25.4. К таким характеристикам относятся: 1) требование по обеспечению защищенности от уничтожения персональных данных; 2) требование по обеспечению защищенности от изменения персональных данных; 3) требование по обеспечению защищенности от блокирования персональных данных; 4) требование по обеспечению защищенности от иных несанкционированных действий. 2.25.5. Обеспечение указанных характеристик безопасности персональных данных может устанавливаться: 1) федеральным законом, а также иным подзаконным актом, документом органов государственной власти; 2) локальным актом учреждения. 2.25.6. При определении необходимости обеспечения характеристик безопасности персональных данных, отличных от конфиденциальности, локальным актом учреждения, основным критерием должна служить оценка вреда, который может быть причинен субъектам персональных данных, с чьими персональными данными произошло нарушение таких характеристик безопасности персональных данных. 2.25.7. При принятии учреждением решения на обеспечение характеристик безопасности персональных данных, отличных от конфиденциальности, оно должно быть определено и документально оформлено. 2.25.8. Обработка персональных данных без документально определенного и оформленного решения по определению характеристик безопасности персональных данных не допускается. 2.26. Определение сроков обработки, в том числе хранения персональных данных, осуществление контроля за соблюдением сроков обработки персональных данных и фактов достижения целей обработки персональных данных. 2.26.1. На основании определенных целей обработки персональных данных, способов обработки и образующихся в процессе такой обработки различных видов документов устанавливаются сроки такой обработки персональных данных, в том числе хранения. 2.26.2. Указанные сроки должны быть определены и документально оформлены. 2.26.3. Определение сроков хранения осуществляется в соответствии с требованиями архивного законодательства Российской Федерации, в том числе, в соответствии с перечнями типовых архивных документов с указанием сроков их хранения. 2.26.4. При использовании документов, содержащих персональные данные, в различных целях, определение сроков обработки, в том числе хранения, таких документов устанавливается по максимальному сроку. При этом в случае наличия персональных данных в таких документах, обработка которых более не требуется, производятся действия по уничтожению таких данных в порядке, определяемым пунктом 2.27 настоящего Положения. 2.26.5. Обработка персональных данных без документально определенных и оформленных сроков обработки, в том числе хранения персональных данных не допускается. С целью выполнения требования по уничтожению либо обезличиванию персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, в администрации создается комиссия, определяющая факт достижения целей обработки персональных данных и достижение предельных сроков хранения документов, содержащих персональные данные. Порядок работы данной комиссии устанавливается отдельным Положением. Правила, устанавливаемые таким Положением, не должны противоречить настоящему Положению. 2.27. Действия (операции) с персональными данными. 2.27.1. Обработкой персональных данных называется любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая: 1) сбор персональных данных; 2) запись персональных данных; 3) систематизацию персональных данных; 4) накопление персональных данных; 5) хранение персональных данных; 6) уточнение (обновление) персональных данных; 7) уточнение (изменение) персональных данных; 8) извлечение персональных данных; 9) использование персональных данных; 10) передачу (распространение) персональных данных; 11) передачу (предоставление) персональных данных; 12) передачу (доступ) персональных данных; 13) обезличивание персональных данных; 14) блокирование персональных данных; 15) удаление персональных данных; 16) уничтожение персональных данных. 2.27.2. Указанные действия (операции) с персональными данными в информационных системах персональных данных должны быть определены и документально оформлены в порядке, установленном настоящим Положением. При документальном оформлении действий (операций) с персональными данными рекомендуется использовать только указанные термины. 2.27.3. Обработка персональных данных без определенных и документально оформленных действий (операций) совершаемых с персональными данными не допускается. 2.28. Осуществление сбора персональных данных. 2.28.1. Способы сбора персональных данных и источники их получения. 2.28.2. В учреждении применяются следующие способы получения персональных данных субъектов персональных данных: 1) заполнение субъектом персональных данных соответствующих форм (в том числе для заключения договора); 2) получение персональных данных от третьих лиц; 3) получение данных на основании запроса третьим лицам; 4) сбор данных из общедоступных источников. 2.28.3. Получение персональных данных в учреждении допускается только: 1) непосредственно от субъекта персональных данных; 2) из общедоступных источников; 3) от третьих лиц по основаниям, указанным в пункте 2.6. настоящего Положения. 2.28.4. Получение персональных данных из иных источников не допускается. 2.28.5. В связи с необходимостью постоянного контроля за наличием персональных данных в общедоступных источниках персональных данных, получение и использование таких данных является не рекомендуемым и должно осуществляться только в исключительных случаях в сроки, не превышающие необходимых для принятия соответствующего решения. 2.29. Правила сбора персональных данных. 2.29.1. При сборе персональных данных учреждение обязано предоставить субъекту персональных данных по его просьбе информацию, предусмотренную пунктом 2.54. настоящего Положения. 2.29.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, учреждение обязано разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные (пункт 2.23. настоящего Положения). 2.29.3. Если основания на обработку персональных данных без согласия отсутствуют, то необходимо получение согласия субъекта персональных данных на обработку его персональных данных в соответствии с пунктом 2.59. настоящего Положения. Обработка персональных данных без получения такого согласия категорически запрещается. 2.29.4. Сбор персональных данных должен осуществляться с учетом правил и особых правил обработки персональных данных, предусмотренных пунктами 2.4. - 2.22. настоящего Положения. 2.29.5. Если персональные данные получены не от субъекта персональных данных, учреждение до начала обработки таких персональных данных обязано предоставить субъекту персональных данных следующую информацию: 1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя; 2) цель обработки персональных данных и ее правовое основание; 3) предполагаемые пользователи персональных данных; 4) установленные права субъекта персональных данных; 5) источник получения персональных данных. 2.29.6. Учреждение освобождается от обязанности предоставить субъекту персональных данных сведения, в случаях, если: 1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором; 2) персональные данные получены учреждением на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных; 3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника; 4) учреждение осуществляет обработку персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных; 5) предоставление субъекту персональных данных сведений, которые учреждение обязано предоставить субъекту персональных данных до начала обработки таких персональных данных, если персональные данные получены не от субъекта персональных данных, нарушает права и законные интересы третьих лиц. 2.30. Осуществление систематизации, накопления, уточнения и использования персональных данных. 2.30.1. Систематизация, накопление, уточнение, использование персональных данных могут осуществляться любыми законными способами в соответствии с правилами, инструкциями, руководствами, регламентами и иными документами, определяющими технологический процесс обработки информации. 2.30.2. В учреждении могут быть установлены особенности учета персональных данных в информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей информационной системе персональных данных, конкретному субъекту персональных данных. 2.30.3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в информационных системах персональных данных, конкретному субъекту персональных данных. 2.30.4. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в информационных системах персональных данных, конкретному субъекту персональных данных. 2.30.5. Уточнение персональных данных должно производиться только на основании полученной в установленном законом порядке информации. 2.30.6. Решение об уточнении персональных данных субъекта персональных данных принимается лицом, ответственным за организацию обработки персональных данных в учреждении. 2.30.7. Использование персональных данных должно осуществляться исключительно в заявленных целях. Использование персональных данных в заранее не определенных и не оформленных установленным образом целях категорически не допускается. 2.31. Осуществление записи и извлечения персональных данных. 2.31.1. Запись персональных данных в информационные системы персональных данных учреждения может осуществляться с любых носителей информации или из других информационных систем персональных данных. 2.31.2. Извлечение персональных данных из информационных систем персональных данных может осуществляться с целью: 1) вывода персональных данных на бумажный или иной носитель информации, не предназначенный для его обработки средствами вычислительной техники; 2) вывода персональных данных на носители информации, предназначенные для их обработки средствами вычислительной техники. 2.31.3. При извлечении персональных данных должен проводиться учет носителей информации. 2.31.4. При осуществлении записи и извлечения персональных данных должны соблюдаться условия обработки персональных данных, конфиденциальность персональных данных и иные требования, указанные в настоящем Положении. 2.32. Осуществление передачи персональных данных. 2.32.1. Передача персональных данных в учреждении должна осуществляться с соблюдением настоящего Положения и действующего законодательства Российской Федерации. 2.32.2. В учреждении приняты следующие способы передачи персональных данных субъектов персональных данных: 1) передача персональных данных на электронных носителях информации посредством нарочного; 2) передача персональных данных на бумажных носителях посредством нарочного; 3) передача персональных данных на электронных носителях посредством почтовой связи; 4) передача персональных данных на бумажных носителях посредством почтовой связи; 5) передача персональных данных по каналам электрической связи. 2.32.3. Перед осуществлением передачи персональных данных проверяется основание на осуществление такой передачи и наличие согласия на передачу персональных данных в согласии субъекта персональных данных на обработку персональных данных или наличие иных законных оснований, предусмотренных пунктом 2.6. настоящего Положения. 2.32.4. Передача персональных данных должна осуществляться на основании: 1) договора с третьей стороной, которой осуществляется передача персональных данных; 2) запроса, полученного от третьей стороны, которой осуществляется передача персональных данных; 3) исполнения возложенных законодательством Российской Федерации на учреждение функций, полномочий и обязанностей. 2.32.5. Передача персональных данных без согласия или иных законных оснований категорически запрещается. 2.32.6. Передача персональных данных должна осуществляться с учетом правил и особых правил обработки персональных данных, предусмотренных пунктами 2.4. - 2.22. настоящего Положения. 2.33. Осуществление хранения персональных данных. 2.33.1. Хранение персональных данных в учреждении допускается только в форме документов – зафиксированной на материальном носителе информации (содержащей персональные данные) с реквизитами, позволяющими ее идентифицировать и определить субъекта персональных данных. При этом предусматриваются следующие виды документов: 1) изобразительный документ – документ, содержащий информацию, выраженную посредством изображения какого-либо объекта; 2) фотодокумент – изобразительный документ, созданный фотографическим способом; 3) текстовой документ – документ, содержащий речевую информацию, зафиксированную любым типом письма или любой системой звукозаписи; 4) письменный документ – текстовой документ, информация которого зафиксирована любым типом письма; 5) рукописный документ – письменный документ, при создании которого знаки письма наносят от руки; 6) машинописный документ – письменный документ, при создании которого знаки письма наносят техническими средствами; 7) документ на машинном носителе – документ, созданный с использованием носителей и способов записи, обеспечивающих обработку его информации электронно-вычислительной машиной. 2.33.2. Хранение персональных данных в учреждении осуществляется в форме, позволяющей определить субъект персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого выгодоприобретателем или поручителем по которому является субъект персональных данных. 2.33.3. Хранение персональных данных в информационных системах персональных данных учреждения и вне таких систем осуществляется только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного: 1) доступа к ним; 2) их уничтожения; 3) изменения; 4) блокирования; 5) копирования; 6) предоставления; 7) распространения. 2.34. Осуществление блокирования персональных данных. 2.34.1. Блокированием персональных данных называется временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). 2.34.2. Блокирование персональных данных конкретного субъекта персональных данных должно осуществляться во всех информационных системах персональных данных учреждения, включая архивы баз данных, содержащих такие персональные данные, информационных систем персональных данных. 2.34.3. Блокирование персональных данных в учреждении осуществляется: 1) в случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных с момента такого обращения или получения указанного запроса на период проверки; 2) в случае отсутствия возможности уничтожения персональных данных в установленные сроки до их уничтожения. 2.34.4. После устранения выявленной неправомерной обработки персональных данных учреждение осуществляет снятие блокирования персональных данных. 2.34.5. Решение о блокировании и снятии блокирования персональных данных субъекта персональных данных принимается ответственным за организацию обработки персональных данных в учреждении. 2.35. Осуществление обезличивания персональных данных. 2.35.1. Обезличивание персональных данных в учреждении при обработке персональных данных с использованием средств автоматизации осуществляется с помощью специализированного программного обеспечения на основании нормативных правовых актов, правил, инструкций, руководств, регламентов, инструкций на такое программное обеспечение и иных документов для достижения заранее определенных и заявленных целей. 2.35.2. Допускается обезличивание персональных данных при обработке персональных данных без использования средств автоматизации производить способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). 2.36. Осуществление удаления и уничтожения персональных данных. 2.36.1. Уничтожение персональных данных это действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. 2.36.2. Уничтожение персональных данных в учреждении производится только в следующих случаях: 1) обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом; 2) персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки; 3) в случае выявления неправомерной обработки персональных данных, если обеспечить правомерность обработки персональных данных невозможно; 4) в случае достижения цели обработки персональных данных; 5) в случае отзыва субъектом персональных данных согласия на обработку его персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных. 2.36.3. По факту уничтожения персональных данных обязательно проверяется необходимость уведомления об этом и в случае наличия такого требования, осуществляется уведомление указанных в таком требовании лиц, в порядке, приведенном в пункте 2.49. настоящего Положения. 2.36.4. При уничтожении персональных данных необходимо: 1) убедиться в необходимости уничтожения персональных данных; 2) убедиться в том, что уничтожаются те персональные данные, которые предназначены для уничтожения; 3) уничтожить персональные данные подходящим способом, в соответствии с настоящим Положением или способом, указанным в соответствующем требовании или распорядительном документе; 4) проверить необходимость уведомления об уничтожении персональных данных; 5) при необходимости, уведомить об уничтожении персональных данных требуемых лиц. 2.36.5. При уничтожении персональных данных применяются следующие способы: 1) измельчение в бумагорезательной (бумагоуничтожительной) машине – для документов, исполненных на бумаге; 2) тщательное вымарывание (с проверкой тщательности вымарывания) – для сохранения возможности обработки иных данных, зафиксированных на материальном носителе, содержавшем персональные данные; 3) измельчение в специальной бумагорезательной (бумагоуничтожительной) машине или физическое уничтожение (разрушение) носителей информации – для носителей информации на оптических дисках; 4) физическое уничтожение частей носителей информации – разрушение или сильная деформация – для носителей информации на жестком магнитном диске (уничтожению подлежат внутренние диски и микросхемы); SSD-дисках, USB- и Flash-носителях (уничтожению подлежат модули и микросхемы долговременной памяти); 5) стирание с помощью сертифицированных средств уничтожения информации – для записей в базах данных и отдельных документов на машинном носителе. 2.36.6. При уничтожении персональных данных необходимо учитывать их наличие в архивных базах данных и производить уничтожение во всех копиях базы данных, если иное не установлено действующим законодательством Российской Федерации. 2.36.7. При необходимости уничтожения части персональных данных допускается уничтожать материальный носитель одним из указанных в настоящем Положении способов, с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению. 2.36.8. Уничтожение персональных данных производится лицами, обрабатывающими персональные данные в соответствующей информационной системе персональных данных, в которой производится уничтожение персональных данных, только в присутствии лица, ответственного за организацию обработки персональных данных в учреждении. 2.36.9. По факту уничтожения персональных данных составляется акт уничтожения персональных данных, который подписывается лицами, производившими уничтожение, заверяется лицом, ответственным за организацию обработки персональных данных учреждения, присутствовавшим при уничтожении и утверждается руководителем учреждения. 2.36.10. Хранение актов уничтожения персональных данных осуществляется в течение срока исковой давности, если иное не установлено нормативно-правовыми актами Российской Федерации. 2.37. Круг субъектов, персональные данные которых подлежат обработке. 2.37.1. Круг субъектов, персональные данные которых подлежат обработке в информационных системах персональных данных учреждения, определяется целью обработки персональных данных в каждой информационной системе персональных данных. 2.38. Перечни должностей работников учреждения, замещение которых предусматривает осуществление обработки персональных данных. 2.38.1. Лицо, ответственное за организацию обработки персональных данных в учреждении готовит и уточняет: 1) перечень должностей работников учреждения, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, в котором указываются должности работников учреждения, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным для каждой информационной системы персональных данных, а также уровень полномочий в них; 2) перечень должностей работников учреждения, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных. 2.38.2. Указанные перечни должностей работников учреждения подписываются лицом, ответственным за организацию обработки персональных данных и утверждаются руководителем учреждения. 2.39. Права и обязанности при обработке персональных данных. 2.39.1. Субъект персональных данных, чьи персональные данные обрабатываются в учреждении, имеет право: 1) на получение сведений о подтверждении факта обработки персональных данных учреждением; 2) на получение сведений о правовых основаниях и цели обработки персональных данных; 3) на получение сведений о цели и применяемых учреждением способов обработки персональных данных; 4) на получение сведений о наименовании и месте нахождения учреждения, сведений о лицах (за исключением сведений о работниках учреждения), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с учреждением или на основании федерального закона; 5) на получение сведений об обрабатываемых персональных данных, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 6) на получение сведений о сроках обработки персональных данных, в том числе сроках их хранения; 7) на получение сведений о порядке осуществления субъектом персональных данных своих прав, предусмотренных законодательством в области персональных данных; 8) на получение информации об осуществленной или о предполагаемой трансграничной передаче данных; 9) на получение сведений о наименовании и адресе лица, осуществляющего обработку персональных данных по поручению учреждения, если обработка поручена или будет поручена такому лицу; 10) на получение иных сведений, предусмотренных законодательством в области персональных данных и другими федеральными законами; 11) требовать от учреждения уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; 12) принимать предусмотренные законом меры по защите своих прав; 13) требовать от учреждения предоставления ему персональных данных в доступной форме; 14) повторного обращения и запроса в целях получения сведений и ознакомления с его персональными данными; 15) требовать разъяснения порядка принятия решения на основании исключительно автоматизированной обработки его персональных данных; 16) заявить возражение против принятия решения на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы; 17) требовать разъяснения порядка принятия и возможные юридические последствия принятия решения на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, а также разъяснения порядка защиты субъектом персональных данных своих прав и законных интересов; 18) обжаловать действия или бездействие учреждения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что учреждение осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы; 19) на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке; 20) требовать предоставления безвозмездно субъекту персональных данных или его представителю возможности ознакомления с персональными данными, относящимися к этому субъекту персональных данных; 21) принимать решение о предоставлении его персональных данных и давать согласие на их обработку свободно, своей волей и в своем интересе; 22) отзывать согласие на обработку персональных данных. 2.39.2.Кроме указанных прав в вопросах обработки его персональных данных субъект персональных данных обладает другими правами, предоставляемыми ему действующим законодательством Российской Федерации. 2.40. Обязанности субъекта персональных данных. 2.40.1. Субъект персональных данных, чьи персональные данные обрабатываются в учреждении, обязан: 1) предоставлять свои персональные данные в случаях, когда федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных; 2) с целью соблюдения его законных прав и интересов подавать только достоверные персональные данные. 2.40.2. Кроме указанных обязанностей в вопросах обработки его персональных данных на субъекта персональных данных налагаются иные обязанности, предусмотренные действующим законодательством Российской Федерации. 2.41. Права и обязанности учреждения при обработке персональных данных субъектов персональных данных. 2.41.1. Права учреждения при обработке персональных данных субъектов персональных данных 2.41.1.1. Учреждение при обработке персональных данных субъектов персональных данных имеет право: 1) обрабатывать персональные данные в соответствии с пунктом 2.6. настоящего Положения; 2) поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе муниципального контракта, либо путем принятия учреждением соответствующего локального акта; 3) мотивированно отказать субъекту персональных данных в выполнении повторного запроса в целях получения сведений касающейся обработки его персональных данных, при нарушении субъектом персональных данных своих обязанностей по подаче такого запроса; 4) ограничить право субъекта персональных данных на доступ к его персональным данным в соответствии с федеральными законами, в том числе, если обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма; 5) ограничить право субъекта персональных данных на доступ к его персональным данным в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц; 6) отказать субъекту персональных данных в выполнении запроса в целях получения сведений касающейся обработки его персональных данных в случае, если субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором или учреждением; 7) отказать субъекту персональных данных в выполнении запроса в целях получения сведений касающейся обработки его персональных данных в случае, если персональные данные получены на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных; 8) отказать субъекту персональных данных в выполнении запроса в целях получения сведений касающейся обработки его персональных данных в случае, если персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника; 9) отказать субъекту персональных данных в выполнении запроса в целях получения сведений касающейся обработки его персональных данных в случае, если оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных; 10) отказать субъекту персональных данных в выполнении запроса в целях получения сведений касающейся обработки его персональных данных в случае, если предоставление субъекту персональных данных таких сведений, нарушает права и законные интересы третьих лиц; 11) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных действующим законодательством в области персональных данных, если иное не предусмотрено указанным законом и другими федеральными законами; 12) если обеспечить правомерность обработки персональных данных невозможно, осуществлять или обеспечивать осуществление блокирования или уничтожения персональных данных в сроки, указанные в пункте 2.46. настоящего Положения; 13) в случае достижения цели обработки персональных данных осуществлять или обеспечивать осуществление уничтожения персональных данных в сроки, указанные в пункте 2.46. настоящего Положения; 14) в случае достижения цели обработки персональных данных продолжить обработку персональных данных, если это предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между учреждением и субъектом персональных данных; 15) в случае достижения цели обработки персональных данных продолжить обработку персональных данных, если обработка персональных данных осуществляется без согласия субъекта персональных данных на основаниях, предусмотренных пунктом 2.6. настоящего Положения или федеральными законами; 16) в случае отзыва субъектом персональных данных согласия на обработку его персональных данных продолжить обработку персональных данных, если это предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между учреждением и субъектом персональных данных; 17) в случае отзыва субъектом персональных данных согласия на обработку его персональных данных продолжить обработку персональных данных, если обработка персональных данных осуществляется без согласия субъекта персональных данных на основаниях, предусмотренных пунктом 2.6. настоящего Положения или федеральными законами; 18) в случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пункте 2.46. настоящего Положения, осуществить блокирование таких персональных данных и обеспечить уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами; 19) осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных, указанных в пункте 2.60. настоящего Положения. 2.41.2. Кроме указанных прав в вопросах обработки персональных данных субъектов персональных данных учреждение обладает другими правами, предоставляемыми ему действующим законодательством Российской Федерации. 2.42. Обязанности учреждения при обработке персональных данных субъектов персональных данных. 2.42.1. Учреждение при обработке персональных данных субъектов персональных данных обязана: 1) строго соблюдать принципы обработки персональных данных, указанные в пункте 2.2 настоящего Положения; 2) строго соблюдать правила обработки персональных данных, указанные в пункте 2.4-2.6 настоящего Положения; 3) в случае если, обработка персональных данных осуществляется по поручению оператора, строго соблюдать и выполнять требования поручения оператора; 4) не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом; 5) по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов исключить из общедоступных источников персональных данных сведения о субъекте персональных данных; 6) обеспечить конкретность и информированность согласия на обработку персональных данных; 7) получать согласие на обработку персональных данных в форме, указанной в пункте 2.59. настоящего Положения; 8) в случае получения согласия на обработку персональных данных от представителя субъекта персональных данных проверять полномочия данного представителя на дачу согласия от имени субъекта персональных данных; 9) предоставить доказательства получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований обработки персональных данных без получения согласия; 10) строго соблюдать требования, к содержанию согласия в письменной форме субъекта персональных данных на обработку его персональных данных в соответствии с пунктом 2.59. настоящего Положения; 11) незамедлительно прекратить обработку специальных категорий персональных данных, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом; 12) убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных; 13) предоставить субъекту персональных данных сведения по запросу субъекта персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных; 14) мотивировать и представить доказательства обоснованности отказа в выполнении повторного запроса субъекта персональных данных; 15) доказывать, что от субъекта персональных данных было получено предварительное согласие на обработку персональных данных в целях политической агитации; 16) немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в целях политической агитации; 17) разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов; 18) рассмотреть возражение против принятия решения на основании исключительно автоматизированной обработки его персональных данных в течение срока указанного в пункте 2.46. настоящего Положения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения; 19) предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных; 20) разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные, если предоставление персональных данных является обязательным в соответствии с федеральным законом; 21) до начала обработки персональных данных, полученных не от субъекта персональных данных, предоставить субъекту персональных данных информацию о своем наименовании и адресе, цели обработки персональных данных и ее правовом основании, предполагаемых пользователей персональных данных, установленные права субъекта персональных данных, источник получения персональных данных; 22) принимать меры, необходимые и достаточные для обеспечения выполнения своих обязанностей в области персональных данных, если иное не предусмотрено федеральными законами; 23) опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных; 24) по запросу уполномоченного органа по защите прав субъектов персональных данных представить документы и локальные акты, определяющие политику в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных; 25) принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных; 26) сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо при получении запроса субъекта персональных данных или его представителя; 27) в случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя дать в письменной форме мотивированный ответ; 28) предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных 29) внести в персональные данные необходимые изменения или уничтожить такие персональные данные в случае предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными; 30) строго соблюдать сроки по уведомлениям, блокированию и уничтожению персональных данных в соответствии с пунктом 2.46. настоящего Положения; 31) уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы; 32) сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию; 33) в случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных, оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки; 34) в случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан, осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц; 35) уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и снять блокирование персональных данных в случае подтверждения факта неточности персональных данных на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов; 36) прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора в случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора; 37) уничтожить персональные данные или обеспечить их уничтожение в случае, если обеспечить правомерность обработки персональных данных невозможно; 38) уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган об устранении допущенных нарушений или об уничтожении персональных данных; 39) прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в случае достижения цели обработки персональных данных, если обработка персональных данных осуществляется без согласия субъекта персональных данных на основаниях, предусмотренных пунктом 2.6. настоящего Положения или федеральными законами; 40) прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в случае отзыва субъектом персональных данных согласия на обработку его персональных данных, если обработка персональных данных осуществляется без согласия субъекта персональных данных на основаниях, предусмотренных пунктом 2.6. настоящего Положения или федеральными законами; 41) уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных в соответствии с пунктом 2.60. настоящего Положения; 42) уведомить уполномоченный орган по защите прав субъектов персональных данных в случае изменения сведений, указанных в уведомлении о своем намерении осуществлять обработку персональных данных; 43) назначить лицо, ответственное за организацию обработки персональных данных; 44) предоставлять лицу, ответственному за организацию обработки персональных данных, необходимые сведения, указанные в пункте 2.47. настоящего Положения; 45) неукоснительно соблюдать все требования настоящего Положения; 46) ознакомить работников учреждения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) обучить таких работников; 2.42.2. Кроме указанных обязанностей в вопросах обработки персональных данных субъектов персональных данных на учреждение налагаются иные обязанности, предусмотренные действующим законодательством Российской Федерации. 2.43. Меры, направленные на обеспечение выполнения оператором своих обязанностей. 2.43.1. Учреждение принимает меры, необходимые и достаточные для обеспечения выполнения своих обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных. Учреждение определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения указанных обязанностей, в том числе: 1) назначает ответственного за организацию обработки персональных данных в учреждении из числа сотрудников (пункт 2.47. настоящего Положения); 2) разрабатывает и утверждает должностную инструкцию ответственного за организацию обработки персональных данных в учреждении (пункт 2.47. настоящего Положения); 3) создает комиссию, в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям (пункт 4 настоящего Положения); 4) утверждает локальным актом: а) правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; б) порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований (пункт 2.36. настоящего Положения); в) правила рассмотрения запросов субъектов персональных данных или их представителей; г) правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных и локальным актам учреждения (пункт 4 настоящего Положения); д) правила работы с обезличенными данными; е) типовую форму согласия на обработку персональных данных субъектов персональных данных; ж) типовую форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные; з) оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных; и) документ, определяющий соотношение вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации в области персональных данных; к) перечень информационных систем персональных данных; л) правила обработки персональных данных, определяющие: 1) цели обработки персональных данных содержание обрабатываемых персональных данных; 2) перечни персональных данных, обрабатываемых в администрации, в связи с реализацией трудовых отношений, а также в связи с оказанием муниципальных услуг и осуществлением муниципальных функций; м) перечень должностей сотрудников государственного или муниципального органа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным; н) перечень должностей работников учреждения, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных; о) типовое обязательство работника учреждения, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей; п) порядок доступа работников учреждения в помещения, в которых ведется обработка персональных данных; 2.43.2. Принимают правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке, предусмотренные законодательством Российской Федерации в области персональных данных (пункт 3 настоящего Положения); 2.43.3. Осуществляют ознакомление работников учреждения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и (или) организуют обучение указанных сотрудников; 2.43.4. Уведомляют уполномоченный орган по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных. 2.43.5. Указанные документы, являются определяющими политику в отношении обработки персональных данных в учреждении и подлежат опубликованию на ее официальном сайте в течение 10 дней после их утверждения. К указанным документам обеспечивается неограниченный доступ. 2.44. Процедуры, направленные на предотвращение и выявление нарушений законодательства в отношении обработки персональных данных и устранение таких последствий. 2.44.1. К процедурам, направленным на предотвращение и выявление нарушений законодательства в отношении обработки персональных данных и устранение таких последствий относятся: 1) реализация мер, направленных на обеспечение выполнения оператором своих обязанностей; 2) выполнение предусмотренных законодательством в области персональных данных обязанностей, возложенных на учреждение; 3) личная ответственность работников учреждения, осуществляющих обработку либо осуществление доступа к персональным данным; 4) организация рассмотрения запросов субъектов персональных данных или их представителей и ответов на такие запросы; 5) организация внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным действующим законодательством в области персональных данных и локальными актами учреждения; 6) сокращение объема обрабатываемых данных; 7) сокращение должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным; 8) стандартизация операций осуществляемых с персональными данными; 9) порядок доступа работников учреждения в помещения, в которых ведется обработка персональных данных; 10) проведение необходимых мероприятий по обеспечению безопасности персональных данных и носителей их содержащих; 11) проведение периодических проверок условий обработки персональных данных; 12) повышение осведомленности работников учреждения, занимающих должности, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным путем их ознакомления с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами учреждения по вопросам обработки персональных данных и (или) организация обучения указанных работников учреждения; 13) блокирование, внесение изменений и уничтожение персональных данных в предусмотренных действующим законодательством в области персональных данных случаях; 14) оповещение субъектов персональных данных в предусмотренных действующим законодательством в области персональных данных случаях; 15) разъяснение прав субъектам персональных данных в вопросах обработки и обеспечения безопасности их персональных данных; 16) оказание содействия правоохранительным органам, в случаях нарушений законодательства в отношении обработки персональных данных учреждения; 17) публикация на сайте учреждения документов, определяющих политику в отношении обработки персональных данных. 2.44.2. Указанный перечень процедур, направленных на предотвращение и выявление нарушений законодательства в отношении обработки персональных данных и устранение таких последствий является открытым и может дополняться мероприятиями в конкретных случаях. 2.45. Порядок взаимодействия с субъектами персональных данных и иными лицами. 2.45.1. Настоящее Положение при определении порядка взаимодействия учреждения с субъектами персональных данных устанавливает: 1) сроки выполнения действий по защите прав субъектов персональных данных; 2) требования по уведомлениям/предоставлению информации субъектов персональных данных и в иных случаях; 3) требования к лицам, ответственным за организацию обработки персональных данных; 4) порядок разъяснения субъектам персональных данных особенностей обработки персональных данных и порядка защиты их прав; 5) порядок реагирования на обращения субъектов персональных данных; 6) порядок действий при обращениях субъектов персональных данных; 7) требования к форме запроса на предоставления персональных данных и сведений об операторе субъектом персональных данных; 8) порядок и основание отказа субъекту персональных данных в предоставлении сведений о его персональных данных; 9) порядок, форма предоставления персональных данных и сведений об операторе и объем предоставляемой информации; 10) действия в случае выявления фактов нарушения законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных; 11) порядок реализации права субъекта персональных данных на обжалование действий или бездействия учреждения; 12) порядок действий при достижении целей обработки персональных данных и отзыве согласия на обработку персональных данных; 13) порядок действий при отзыве согласия субъекта персональных данных на обработку его персональных данных. 2.46. Установленные сроки выполнения действий по защите прав субъектов персональных данных. 2.46.1. В учреждении устанавливаются следующие сроки по защите прав субъектов персональных данных: 1) в случае если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в учреждение или направить повторный запрос в целях получения таких сведений, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных; 2) в случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя учреждение обязано дать в письменной форме мотивированный ответ, содержащий ссылку на положение федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя, либо с даты получения запроса субъекта персональных данных или его представителя; 3) в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, учреждение обязано внести в них необходимые изменения; 4) в срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, учреждение обязано уничтожить такие персональные данные; 5) в случае выявления неправомерной обработки персональных данных, осуществляемой учреждением или лицом, действующим по ее поручению, в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по его поручению; 6) в случае если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий десяти рабочих дней, с даты выявления неправомерной обработки персональных данных, учреждение обязано уничтожить такие персональные данные или обеспечить их уничтожение; 7) в случае достижения цели обработки персональных данных учреждение обязано прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по его поручению) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по его поручению) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между учреждением и субъектом персональных данных, либо если учреждение не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами; 8) в случае отзыва субъектом персональных данных, согласия на обработку его персональных данных учреждение обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по его поручению) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по его поручению) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных, либо, если учреждение не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами; 9) в случае отсутствия возможности уничтожения персональных данных в течение указанных сроков, учреждение осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по его поручению) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами; 10) учреждение обязано рассмотреть возражение субъекта персональных данных о принятии на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении него или иным образом затрагивающих его права и законные интересы, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения; 11) учреждение обязано сообщить в установленном порядке, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя; 12) учреждение обязано сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса; 13) в случае подтверждения факта неточности персональных данных учреждение на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязано уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по его поручению) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных. 2.46.2. Установленные сроки обязательны к исполнению всеми должностными лицами учреждения. 2.46.3. В случае изменения сведений, указанных в уведомлении об обработке персональных данных, а также в случае прекращения обработки персональных данных учреждение обязано уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных. 2.47. Лица, ответственные за организацию обработки персональных данных. 2.47.1. В учреждении лицом, ответственным за организацию обработки персональных данных назначается заместитель руководителя учреждения. Лицо, ответственное за организацию обработки персональных данных в учреждении, получает указания непосредственно от руководителя учреждения и подотчетно ему. 2.47.2. Учреждение предоставляет лицу, ответственному за организацию обработки персональных данных сведения об обработке персональных данных в соответствии с требованиями действующего законодательства в области персональных данных. 2.47.3. Учреждение разрабатывает должностную инструкцию ответственного за организацию обработки персональных данных. 2.47.4. Основными обязанностями лица, ответственного за организацию обработки персональных данных в учреждении являются: 1) осуществление внутреннего контроля за соблюдением учреждением и ее работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных; 2) доведение до сведения работников учреждения положений законодательства Российской Федерации о персональных данных, приказов по вопросам обработки персональных данных, требований к защите персональных данных; 3) организация приема и обработки обращений и запросов субъектов персональных данных или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов. 2.48. Порядок разъяснения субъектам персональных данных особенностей обработки персональных данных и порядка защиты их прав. 2.48.1. Работники учреждения обязаны разъяснять субъектам персональных данных особенности обработки персональных данных и порядок защиты их прав в следующих случаях: 1) при принятии решения на основании исключительно автоматизированной обработки его персональных данных – разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных, возможные юридические последствия такого решения, а также порядок защиты субъектом персональных данных своих прав и законных интересов; 2) если предоставление персональных данных является обязательным в соответствии с федеральным законом – разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные. 2.48.2. Разъяснение субъектам персональных данных особенностей обработки персональных данных и порядка защиты их прав осуществляется работниками учреждения, осуществляющими непосредственные операции по обработке персональных данных или лицом, ответственным за организацию обработки персональных данных. Разъяснения осуществляются на основании настоящего Положения, правил обработки персональных данных в конкретных информационных системах персональных данных в учреждении и действующего законодательства Российской Федерации в области персональных данных. 2.48.3. Для разъяснения субъектам персональных данных особенностей обработки персональных данных и порядка защиты их прав используются официальный сайт учреждения, стенды, раздаточный материал. 2.49. Требования по уведомлениям (предоставлению информации, разъяснениям) субъектов персональных данных и в иных случаях. 2.49.1. Учреждение обязано осуществлять уведомления и предоставлять информацию в следующих случаях: 1) учреждение обязано разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов; 2) учреждение обязано рассмотреть возражение субъекта персональных данных о принятии на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении него или иным образом затрагивающих его права и законные интересы, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения; 3) если предоставление персональных данных является обязательным в соответствии с федеральным законом, учреждение обязано разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные; 4) учреждение обязано предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных; 5) учреждение обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах в случаях, когда персональные данные являются неполными, неточными или неактуальными и персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы; 6) об устранении допущенных нарушений или об уничтожении персональных данных в случае выявления неправомерной обработки персональных данных учреждение обязано уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган; 7) учреждение до начала обработки персональных данных обязано уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных; 8) в случае изменения сведений, а также в случае прекращения обработки персональных данных учреждение обязано уведомить об этом уполномоченный орган по защите прав субъектов персональных данных; 9) обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия иных законных оснований возлагается на оператора; 10) персональные данные могут быть получены учреждением от лица, не являющегося субъектом персональных данных, при условии предоставления им подтверждения наличия законных оснований обработки, в том числе передачи таких персональных данных; 11) учреждением должны быть предоставлены субъекту персональных данных запрашиваемые им сведения в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных; 12) сведения, запрашиваемые субъектом персональных данных, предоставляются субъекту персональных данных или его представителю учреждением при обращении либо при получении запроса субъекта персональных данных или его представителя; 13) обязанность представления доказательств обоснованности мотивированного отказа в выполнении повторного запроса субъекта персональных данных лежит на учреждении; 14) учреждение обязано разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов; 15) при сборе персональных данных учреждение обязано по просьбе субъекта персональных данных предоставить информацию, касающуюся обработки его персональных данных; 16) если персональные данные получены не от субъекта персональных данных, учреждение, до начала обработки таких персональных данных обязано предоставить субъекту персональных данных информацию, касающуюся обработки его персональных данных; 17) учреждение по запросу уполномоченного органа по защите прав субъектов персональных данных обязано представить документы и локальные акты, и (или) иным образом подтвердить принятие мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных действующим законодательством в области персональных данных; 18) учреждение обязано сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя; 19) учреждение обязано предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных; 20) учреждение обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах в случае выявления того, что персональные данные являются неполными, неточными или неактуальными или являются незаконно полученными или не являются необходимыми для заявленной цели обработки и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы; 21) учреждение обязано сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию; 22) учреждение обязано предоставлять лицу, ответственному за организацию обработки персональных данных в учреждении сведения, предусмотренные действующим законодательством в области персональных данных. 2.49.2. Учреждение освобождается от обязанности предоставить субъекту персональных данных сведения об обрабатываемых персональных данных, относящихся к субъекту персональных данных, в случаях, если: 1) субъект персональных данных уведомлен об осуществлении учреждением обработки его персональных данных; 2) персональные данные получены учреждением на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных; 3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника; 4) учреждение осуществляет обработку персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных; 5) предоставление субъекту персональных данных нарушает права и законные интересы третьих лиц. 2.49.3. Уведомление в указанных случаях готовиться лицом, ответственным за организацию обработки персональных данных в учреждении. Подготовленное уведомление утверждается Руководителем. Отправка уведомления осуществляется лицом, ответственным за организацию обработки персональных данных в учреждении в установленные пунктом 2.46. настоящего Положения сроки. 2.49.4. Требования к уведомлению уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных и об изменении поданных сведений устанавливаются пунктом 2.60. настоящего Положения. 2.50. Порядок реагирования на обращения субъектов персональных данных. 2.50.1. Все обращения субъектов персональных данных принимаются в письменном виде и подлежат учету, наряду с остальными входящими документами. 2.50.2. С целью соблюдения сроков по реагированию на обращения субъектов персональных данных они должны незамедлительно передаваться лицу, ответственному за организацию обработки персональных данных. 2.50.3. Ответы на обращения, не отвечающие требованиям, предъявляемым к ним действующим законодательством в области персональных данных, не производятся. 2.50.4. Передача ответов субъекту персональных данных осуществляется требуемым им способом, или, если такой способ не указан, посредством отправки заказного письма с уведомлением. 2.50.5. Передача ответов на обращения субъектов персональных данных в учреждении осуществляется в установленном порядке для исходящей корреспонденции с соблюдением указанных в пункте 2.46. настоящего Положения сроков. 2.51. Порядок действий при обращениях субъектов персональных данных. 2.51.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, при личном обращении в учреждение, либо путем направления запроса, в том числе в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации. 2.52. Требования к форме запроса на предоставления персональных данных и сведений об операторе субъектом персональных данных. 2.52.1. Письменный запрос субъекта персональных данных на получение информации, касающейся обработки его персональных данных учреждением должен содержать: 1) номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя; 2) сведения о дате выдачи указанного документа и выдавшем его органе; 3) сведения, подтверждающие участие субъекта персональных данных в отношениях с учреждением (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных; 4) подпись субъекта персональных данных или его представителя. 2.52.2. Письменные запросы, не отвечающие указанным требованиям, обработке не подлежат. 2.52.3. При личном обращении в учреждение субъект персональных данных обязан предъявить документ, удостоверяющий его личность, а его представитель – документ, удостоверяющий личность представителя и документы, подтверждающие полномочия этого представителя, и сообщить сведения, подтверждающие участие субъекта персональных данных в отношениях с учреждением (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных. 2.52.4. Данные предоставляемые субъектом персональных данных при личном обращении в учреждение фиксируется в Журнале учета лиц (организаций), получивших доступ к персональным данным, и (или) лиц (организаций), которым такая информация была предоставлена или передана. 2.53. Порядок и основание отказа субъекту персональных данных в предоставлении сведений о его персональных данных. 2.53.1. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в следующих случаях если: 1) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма; 2) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц. 2.53.2. В случае отказа в предоставлении субъекту персональных данных при обращении информации, касающейся обработки его персональных данных учреждением, либо при получении запроса субъекта персональных данных о такой информации, лицо, ответственное за организацию обработки персональных данных, составляет в письменной форме мотивированный ответ, содержащий ссылку на пункты или статьи федерального закона, являющегося основанием для такого отказа. 2.54. Порядок, форма предоставления персональных данных и сведений об операторе и объем предоставляемой информации. 2.54.1. Предоставление доступа к своим персональным данным в случае непосредственного обращения субъекта персональных данных осуществляется только по адресу: Воронежская область, р.п. Таловая, ул. Советская, 149, МКУ «Управление по культуре Таловского муниципального района». Доступ субъекта персональных данных в этом случае осуществляется в порядке, установленном в пункте 2.52. настоящего Положения. 2.54.2. Субъект персональных данных имеет право на получение при обращении или при подаче запроса информации, касающейся обработки его персональных данных, в том числе содержащей: 1) подтверждение факта обработки персональных данных учреждением; 2) правовые основания и цели обработки персональных данных; 3) цели и применяемые способы обработки персональных данных; 4) наименование и место нахождения учреждения, сведения о лицах (в том числе о работниках учреждения в объеме, предусмотренном пунктом 2.38. настоящего Положения), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с учреждением или на основании федерального закона; а) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; б) сроки обработки персональных данных, в том числе сроки их хранения; в) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством в области персональных данных; г) информацию об осуществленной или о предполагаемой трансграничной передаче данных; д) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению учреждения, если обработка поручена или будет поручена такому лицу; е) иные сведения, предусмотренные законодательством в области персональных данных или другими федеральными законами. 2.54.3. Ответ на обращения и запросы субъектов персональных данных готовится лицом, ответственным за организацию обработки персональных данных, по существу такого обращения в двух экземплярах. Запрашиваемые сведения предоставляются в соответствии с настоящим Положением, Правилами обработки персональных данных в учреждении и действующего законодательства Российской Федерации в области персональных данных. 2.54.4. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. 2.54.5. Форму предоставления данных определяет лицо, ответственное за организацию обработки персональных данных, если она не оговорена в таком обращении или запросе. Форма ответа на обращение или запрос субъекта персональных данных не должна противоречить установленным в учреждении требованиям по защите информации и обеспечению безопасности персональных данных. 2.54.6. Хранение информации об обращении или запрос субъекта персональных данных, а так же второй экземпляр ответа на такое обращение или запрос, хранятся в установленном в учреждении порядке. 2.55. Действия в случае выявления фактов нарушения законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных. 2.55.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных учреждение осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. 2.55.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных учреждение осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. 2.55.3. В случае подтверждения факта неточности персональных данных учреждение на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и снимает блокирование персональных данных. 2.55.4. В случае выявления неправомерной обработки персональных данных, осуществляемой учреждением или лицом, действующим по поручению оператора, учреждение прекращает неправомерную обработку персональных данных или обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим по поручению учреждения. 2.55.5. В случае если обеспечить правомерность обработки персональных данных невозможно, учреждение уничтожает такие персональные данные или обеспечивает их уничтожение. 2.55.6. Об устранении допущенных нарушений или об уничтожении персональных данных учреждение уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя, либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган. 2.55.7. При совершении указанных действий должны соблюдаться сроки, установленные в пункте 2.46. настоящего Положения. 2.55.8. При обнаружении нарушений правил обработки или обеспечения безопасности персональных данных лицо, ответственное за организацию обработки персональных данных в учреждении незамедлительно принимает меры по устранению таких нарушений и минимизации их последствий. При этом должен проводиться анализ таких нарушений и приниматься меры по их недопущению в дальнейшем. 2.55.9. В случае если произошло нарушение прав субъекта персональных данных и данное нарушение может повлиять на нарушение прав такого субъекта в дальнейшем, учреждение организует оповещение этого субъекта о возможных последствиях выявленных нарушений и принятых по ним мерам. Порядок такого оповещения устанавливается в каждой конкретной ситуации лицом, ответственным за организацию обработки персональных данных. 2.56. Право на обжалование действий или бездействия оператора. 2.56.1. Если субъект персональных данных считает, что учреждение осуществляет обработку его персональных данных с нарушением требований законодательства в области персональных данных или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие учреждения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. 2.56.2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. 2.57. Порядок действий при достижении целей обработки персональных данных и отзыве согласия на обработку персональных данных. 2.57.1. В случае достижения цели обработки персональных данных учреждение обязано прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению учреждения) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению учреждения). 2.57.2. При совершении указанных действий должны соблюдаться сроки, установленные в пункте 2.46. настоящего Положения. 2.58. Порядок действий при отзыве согласия субъекта персональных данных на обработку его персональных данных. 2.58.1. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных учреждение обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению учреждения) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению учреждения). 2.58.2. При совершении указанных действий должны соблюдаться сроки, установленные в пункте 2.46. настоящего Положения. 2.59. Согласие субъекта персональных данных на обработку его персональных данных. 2.59.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. 2.59.2. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. 2.59.3. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных, полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются учреждением. 2.59.4. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. 2.59.5. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, при которых такое согласие не требуется, возлагается на учреждение. 2.59.6. В учреждении обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. 2.59.7. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. 2.59.8. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); 3) наименование, адрес учреждения или иного оператора, получающего согласие субъекта персональных данных; 4) цель обработки персональных данных; 5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; 6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению учреждения, если обработка будет поручена такому лицу; 7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых в учреждении способов обработки персональных данных; 8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; 9) дата предоставления согласия; 10) подпись субъекта персональных данных. 2.59.9. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных. 2.59.10. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни. 2.59.11. Персональные данные могут быть получены учреждением от лица, не являющегося субъектом персональных данных, при условии предоставления подтверждения наличия оснований, что обработка персональных данных может осуществляться без получения согласия. 2.59.12. Согласие субъекта персональных данных оформляется в двух экземплярах, один из которых передается субъекту персональных данных, а второй – учреждению. 2.59.13. При документальном оформлении действий (операций) с персональными данными необходимо обратить особое внимание на использование термина «распространение» персональных данных, так как это действия, направленные на раскрытие персональных данных неопределенному кругу лиц, что при обработке персональных данных чаще всего является запрещенным. Указанный термин «распространение» необходимо указывать только при обработке общедоступных данных. 2.60. Уведомление об обработке (о намерении осуществлять обработку) персональных данных. 2.60.1. Учреждение уведомляет уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. При этом должны соблюдаться установленные настоящим Положением сроки подачи уведомлений. 2.60.2. Учреждение вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: 1) обрабатываемых в соответствии с трудовым законодательством; 2) полученных учреждением в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются учреждением исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; 3) относящихся к членам (участникам) общественного объединения и обрабатываемых соответствующим общественным объединением, действующим в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных его учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных; 4) сделанных субъектом персональных данных общедоступными; 5) включающих в себя только фамилии, имена и отчества субъектов персональных данных; 6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится учреждение, или в иных аналогичных целях; 7) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. 2.60.3. Уведомление готовится лицом, ответственным за организацию обработки персональных данных в учреждении, подписывается руководителем и направляется в виде документа на бумажном носителе или в форме электронного документа. 2.60.4. Уведомление должно содержать следующие сведения: 1) наименование (фамилия, имя, отчество), адрес оператора; 2) цель обработки персональных данных; 3) категории персональных данных; 4) категории субъектов, персональные данные которых обрабатываются; 5) правовое основание обработки персональных данных; 6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных; 7) описание мер направленных на обеспечение выполнения обязанностей, предусмотренных законодательством в области персональных данных и по обеспечению безопасности персональных данных при их обработке; 8) фамилия, имя, отчество физического лица, ответственного за организацию обработки персональных данных в учреждении, и номер его контактного телефона, почтовый адрес и адрес электронной почты; 9) дата начала обработки персональных данных; 10) срок или условие прекращения обработки персональных данных; 11) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; 12) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных. 2.60.5. Письменная форма уведомления устанавливается уполномоченным органом по защите прав субъектов персональных данных. 2.60.6. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения в реестр операторов. 2.60.7. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными. 2.60.8. На учреждение не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов. 2.60.9. В случае предоставления неполных или недостоверных сведений, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от учреждения уточнения предоставленных сведений до их внесения в реестр операторов. 2.60.10. В случае изменения сведений, а также в случае прекращения обработки персональных данных учреждение обязано уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в сроки, указанные в пункте 2.46. настоящего Положения. 2.60.11. В случае изменения сведений, содержащихся в уведомлении об обработке персональных данных, учреждение, являющееся инициатором таких изменений в обработке персональных данных, готовит изменения в уведомление и передает такие изменения лицу, ответственному за организацию обработки персональных данных. Дальнейшие действия по подготовке изменений в уведомление для передачи в уполномоченный орган по защите прав субъектов персональных данных осуществляются аналогично действиям при первоначальной подаче уведомления. 2.61. Информационные системы персональных данных. 2.61.1. К информационным системам персональных данных относятся совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. 2.61.2. В учреждении устанавливаются: 1) критерии определения информационных систем персональных данных; 2) наименование информационной системы персональных данных; 3) цели создания или эксплуатации информационной системы персональных данных; 4) параметры, характеризующие информационную систему персональных данных. 2.62. Критерии определения информационных систем персональных данных. 2.62.1. Все информационные системы учреждения, в которых производится обработка персональных данных, являются информационными системами персональных данных. Информационная система персональных данных состоит из совокупности: 1) базы данных, в состав которой входят персональные данные; 2) информационных технологий, позволяющих осуществлять обработку, содержащихся в базе данных персональных данных; 3) технических средств, позволяющих осуществлять обработку, содержащихся в базе данных персональных данных. 2.62.2. Обработка персональных данных может осуществляться как с использованием средств автоматизации, так и без использования таких средств. 2.62.3. Обработка персональных данных с помощью средств вычислительной техники является автоматизированной обработкой персональных данных. 2.62.4. Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах. 2.62.5. Частным случаем автоматизированной обработки персональных данных является исключительно автоматизированная обработка персональных данных, при осуществлении которой решения, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, принимаются на основании исключительно автоматизированной обработки его персональных данных. 2.62.6. Обязательным условием создания информационной системы персональных данных является наличие обособленной базы данных, содержащей персональные данные, при изоляции которой от других информационных систем персональных данных, возможна обработка содержащихся в ней персональных данных с помощью информационных технологий и технических средств, входящих в состав этой информационной системы персональных данных. 2.62.7. Допускается использование одних и тех же информационных технологий и технических средств, для обработки различных баз данных, содержащих персональные данные, при этом разделение на различные информационные системы персональных данных производится по критерию уникальности баз данных, содержащих персональные данные. 2.63. Наименование информационной системы персональных данных. 2.63.1. С целью идентификации каждой информационной системе персональных данных в учреждении присваивается наименование, которое должно отражать основное назначение данной информационной системы либо наименование программных средств обработки персональных данных в данной информационной системе персональных данных. 2.64. Цели создания или эксплуатации информационной системы персональных данных. 2.64.1. Для каждой информационной системы персональных данных определяются цели ее создания и эксплуатации. При этом определяется предполагаемое назначение информационной системы персональных данных, в соответствии с оказываемыми услугами, реализуемыми информационной системой персональных данных внутренними задачами или с определенными требованиями, предъявляемыми действующим в Российской Федерации законодательством. 2.65. Параметры, характеризующие информационную систему персональных данных. 2.65.1. Для каждой информационной системы персональных данных учреждения определяются следующие параметры, характеризующие такую информационную систему персональных данных: 1) наименование информационной системы персональных данных; 2) цели создания или эксплуатации информационной системы персональных данных; 3) цель обработки персональных данных в информационной системе персональных данных; 4) перечень персональных данных о субъекте персональных данных, обрабатываемых в информационной системе персональных данных; 5) правовое основание обработки персональных данных в информационной системе персональных данных; 6) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных; 7) действия (операции) с персональными данными; 8) источники получения персональных данных; 9) способы передачи персональных данных и их получатели; 10) определение сроков обработки, в том числе хранения персональных данных в информационной системе персональных данных; 11) заданные характеристики безопасности обрабатываемых в информационной системе персональных данных; 12) места обработки персональных данных; 13) характеристики средств автоматизации обработки персональных данных. 2.66. Перечень информационных систем персональных данных. 2.66.1. Перечень информационных систем персональных данных учреждения готовится лицом, ответственным за организацию обработки персональных и руководителем МКУ. 2.66.2. Перечень информационных систем персональных данных учреждения хранится у лица, ответственного за организацию обработки персональных данных. 2.66.3. В Перечне информационных систем персональных данных учреждения должна содержаться следующая информация: 1) наименование информационной системы персональных данных; 2) перечень работников учреждения, осуществляющих обработку персональных данных; 3) перечень средств вычислительной техники, участвующей в обработке персональных данных; 4) лицо, ответственное за эксплуатацию информационной системы персональных данных. 2.66.4. С Перечнем информационных систем персональных данных в учреждении должны быть ознакомлены все лица, ответственные за обработку персональных данных под роспись. 2.67. Требования к сотрудникам, осуществляющим доступ к персональным данным или их обработку 2.67.1. Учреждение осуществляет ознакомление своих работников, непосредственно осуществляющих обработку персональных данных или осуществляющих доступ к ним, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), приказами учреждения по вопросам обработки персональных данных, включая настоящее Положение: 1) при оформлении договора, в том числе трудового; 2) после каждого перерыва в исполнении своих обязанностей на срок более 28 рабочих дней; 3) при первоначальном допуске к обработке персональных данных в информационной системе персональных данных; 4) при назначении на новую должность, связанную с обработкой персональных данных или доступом к ним; 5) после внесения изменений в действующее законодательство Российской Федерации о персональных данных, локальные акты учреждения по вопросам обработки персональных данных, включая настоящее Положение. 2.67.2. Работники учрежждения, непосредственно осуществляющие обработку персональных данных или осуществляющие доступ к ним обязаны: 1) неукоснительно следовать принципам обработки персональных данных (пункт 2.2 настоящего Положения); 2) знать и строго соблюдать положения действующего законодательства Российской Федерации в области персональных данных; 3) знать и строго соблюдать положения локальных актов учреждения в области обработки и обеспечения безопасности персональных данных; 4) знать и строго соблюдать инструкции, руководства и иные эксплуатационные документы на применяемые средства автоматизации, в том числе программное обеспечение, и средства защиты информации; 5) соблюдать конфиденциальность персональных данных, то есть не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом; 6) не допускать нарушений требований и правил обработки и обеспечения безопасности персональных данных; 7) обо всех подозрениях и ставших известными случаях нарушений требований и правил обработки и обеспечения безопасности персональных данных сообщать лицу, ответственному за обработку персональных данных в учреждении. 2.67.3. Работники учреждения несут личную ответственность за соблюдение указанных обязанностей в предусмотренном действующим законодательством Российской Федерации объеме. 2.68. Порядок доступа сотрудников в помещения, в которых ведется обработка персональных данных 2.68.1. Доступ работников учрежденияи в помещения, в которых ведется обработка персональных данных, осуществляется по Спискам работников учреждения, допущенных в помещения, в которых ведется обработка персональных данных. Такие списки готовятся и уточняются лицом, ответственным за организацию обработки персональных данных и утверждаются руководителем МКУ. 2.68.2. Допуск в помещения, в которых ведется обработка персональных данных, иных лиц, осуществляется сотрудниками, указанными в Списках работников учреждения, допущенных в помещения, в которых ведется обработка персональных данных. Пребывание таких посторонних лиц в кабинетах, в которых ведется обработка персональных данных, допускается только в присутствии работников учреждения, указанных в Списках работников учреждения, допущенных в помещения, в которых ведется обработка персональных данных. 3. Конфиденциальность персональных данных. 3.1. Запрет раскрытия третьим лицам и распространения персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, учреждением и иными лицами, получившими доступ к персональным данным называется конфиденциальностью персональных данных. 3.2. Режим ограниченного доступа к персональным данным. 3.2.1. С целью реализации требований действующего законодательства Российской Федерации в Воронежской области по обеспечению конфиденциальности персональных данных в учреждении вводится режим ограниченного доступа к персональным данным. 3.2.2. Создание режима ограниченного доступа к персональным данным включает в себя: 1) создание и уточнение Перечня информационных систем персональных данных в учреждении; 2) создание и уточнение настоящего Положения в части касающейся обеспечения конфиденциальности персональных данных и обеспечения безопасности персональных данных; 3) создание и уточнение Перечня помещений, предназначенных для обработки персональных данных; 4) перечень должностей работников учреждения, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным; 5) определение технических средств обработки персональных данных, путем разработки, оформления и уточнения Технического паспорта (или Технических паспортов) информационных систем персональных данных учреждения; 6) разработки, оформления и уточнения Перечня информационных ресурсов, содержащих персональные данные (мест расположения баз данных или иных документов и массивов, содержащих персональные данные); 7) создание комиссии по классификации и обследованию помещений, предна-значенных для обработки персональных данных; 8) создание классификации помещений, предназначенных для обработки персональных данных на предмет соответствия требованиям к инженерно-технической укреплённости по защите объектов от преступных посягательств; 9) дополнение в гражданско-правовые договоры с контрагентами по вопросам обязательства по обеспечению охраны конфиденциальности информации и ответственности за обеспечение охраны ее конфиденциальности; 10) внесение изменений в должностные обязанности (дополнения в трудовой договор), предусматривающие регулирование отношений по использованию информации, ограниченного доступа; 11) получение расписок об ознакомлении работниками учреждения, доступ которых к информации ограниченного доступа, обладателями которой являются учреждение, ее контрагенты и клиенты, необходимо для выполнения ими своих трудовых обязанностей, с перечнем информации ограниченного доступа, установленным режимом ограничения доступа к информации и мерами ответственности за его нарушение; 12) передачу (возврат) работниками учреждения при прекращении или расторжении трудового договора, имеющихся в пользовании такого работника учреждения материальных носителей информации, содержащих персональные данные; 13) проведение начальных и периодических занятий и иных мероприятий по повышению уровня знаний работников учреждения, допущенных к обработке персональных данных по вопросам обработки и обеспечения безопасности персональных данных; 14) создание и ведение Журнала регистрации машинных носителей информации; 15) создание и ведение Журнала учета сейфов, металлических шкафов, спецхранилищ и ключей от них; 16) создание и ведение списков лиц, имеющих доступ в помещения, в которых обрабатываются персональные данные; 17) создание и ведение Журнала (-ов) приема (сдачи) под охрану помещений, в которых осуществляется обработка персональных данных; 18) документирование и реализация разрешительной системы доступа (матриц доступа) к информационным (программным) ресурсам в автоматизированных системах информационных систем персональных данных учреждения; 19) разработка инструкций о действиях работников учреждения в отношении носителей персональных данных при возникновении чрезвычайных ситуаций (стихийных бедствий, техногенных катастроф, наводнений, пожаров, нарушениях правопорядка и др.); 20) разработка инструкций для работников учреждения по вопросам обеспечения безопасности персональных данных. 3.2.3. Контроль за выполнением указанных мероприятий возлагается на лицо, ответственное за организацию обработки персональных данных в учреждении. Разрабатываемые документы подлежат утверждению руководителем МКУ. 3.3. Порядок учета и маркирования материальных носителей информации, образующихся в процессе обработки персональных данных. 3.3.1. С целью реализации режима ограниченного доступа к персональным данным в учреждении и недопущению бесконтрольного использования машинных носителей, содержащих персональные данные, вводится их поэкземплярный учет. 3.3.2. Организация и контроль за выполнением учета машинных носителей, содержащих персональные данные, возлагается на лицо, ответственное за организацию обработки персональных данных в учреждении. 3.3.3. Учет машинных носителей, содержащих персональные данные, осуществляется по Журналу учета машинных носителей информации. 4. Обеспечение безопасности персональных данных при их обработке. 4.1. В соответствии с требованиями действующего законодательства в области персональных данных при обработке персональных данных учреждение обязано принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. 4.1.1. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. 4.1.2. Для обеспечения безопасности персональных данных при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе. 4.1.3. Работы по обеспечению безопасности персональных данных при их обработке в информационных системах учреждения являются неотъемлемой частью работ по созданию информационных систем. 4.2. Принципы обеспечения безопасности персональных данных при их обработке. 4.2.1. Обеспечение безопасности персональных данных в учреждении должно осуществляться на основе следующих принципов: 1) соблюдение конфиденциальности персональных данных и иных характеристик их безопасности; 2) реализация права на доступ к персональным данным лиц, доступ которых разрешается в рамках действующего законодательства Российской Федерации и локальными актами учреждения; 3) обеспечение защиты информации, содержащей персональные данные, от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; 4) проведение мероприятий, направленных на предотвращение несанкционированной передачи их лицам, не имеющим права доступа к такой информации; 5) своевременное обнаружение фактов несанкционированного доступа к персональным данным; 6) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование; 7) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 8) постоянный контроль за обеспечением уровня защищенности персональных данных; 9) применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия. 4.2.2. Категорически запрещается нарушать указанные принципы по обеспечению безопасности персональных данных. 4.3. Требования по уровню обеспечения безопасности. 4.3.1. С целью установления методов и способов защиты информации, необходимых для обеспечения безопасности персональных данных, информационные системы персональных данных классифицируются в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства. 4.3.2. Проведение классификации информационных систем включает в себя следующие этапы: 1) сбор и анализ исходных данных по информационной системе; 2) присвоение информационной системе соответствующего класса и его документальное оформление. 4.3.3. При проведении классификации информационной системы учитываются следующие исходные данные: 1) категория обрабатываемых в информационной системе персональных данных; 2) объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе); 3) заданные характеристики безопасности персональных данных, обрабатываемых в информационной системе; 4) структура информационной системы; 5) наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена; 6) режим обработки персональных данных; 7) режим разграничения прав доступа пользователей информационной системы; 8) местонахождение технических средств информационной системы. 4.3.4. В случае выделения в составе информационной системы подсистем, каждая из которых является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем. 4.3.5. Классификация информационных систем проводится на этапе создания информационных систем или в ходе их эксплуатации (для ранее введенных в эксплуатацию и (или) модернизируемых информационных систем). 4.3.6. Результаты классификации информационных систем оформляются соответствующим Актом классификации. 4.4. Состав мероприятий по обеспечению безопасности персональных данных. 4.4.1. Мероприятия по обеспечению безопасности персональных данных должны носить комплексный характер и включать в себя правовые, организационные и технические меры, описанные в настоящем Положении. 4.4.2. Порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются настоящим Положением. 4.5. Состав мероприятий по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации 4.5.1. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. 4.5.2. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. 4.5.3. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. 4.5.4. Ответственным за организацию и контроль за обеспечение безопасности персональных данных в администрации при обработке персональных данных, осуществляемой без использования средств автоматизации, является лицо, ответственное за организацию обработки персональных данных. 4.6. Состав мероприятий по обеспечению безопасности персональных данных при их обработке, осуществляемой с использованием средств автоматизации. 4.6.1. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в учреждении включают в себя: 1) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз; 2) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем; 3) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации; 4) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией; 5) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними; 6) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных; 7) учет лиц, допущенных к работе с персональными данными в информационной системе; 8) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией; 9) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; 10) описание системы защиты персональных данных. 4.6.2. К методам и способам защиты информации в информационных системах персональных данных относятся: 1) методы и способы защиты информации, обрабатываемой техническими средствами информационной системы, от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий (далее - методы и способы защиты информации от несанкционированного доступа); 2) методы и способы защиты речевой информации, а также информации, представленной в виде информативных электрических сигналов, физических полей, от несанкционированного доступа к персональным данным, результатом которого может стать копирование, распространение персональных данных, а также иных несанкционированных действий (далее - методы и способы защиты информации от утечки по техническим каналам). 4.6.3. Методами и способами защиты информации от несанкционированного доступа являются: 1) реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам; 2) ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации; 3) разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации; 4) регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц; 5) учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение; 6) резервирование технических средств, дублирование массивов и носителей информации; 7) использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия; 8) использование защищенных каналов связи; 9) размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории; 10) организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных; 11) предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок. 4.6.4. В информационных системах, имеющих подключение к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, используются средства антивирусной защиты. 4.6.5. При взаимодействии информационных систем с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования) наряду с указанными методами и способами, основными методами и способами защиты информации от несанкционированного доступа являются: 1) межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы; 2) обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных; 3) анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности); 4) защита информации при ее передаче по каналам связи; 5) использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей; 6) использование средств антивирусной защиты; 7) централизованное управление системой защиты персональных данных информационной системы. 4.6.6. Защита речевой информации и информации, представленной в виде информативных электрических сигналов и физических полей, осуществляется в случаях, когда при определении угроз безопасности персональных данных и формировании модели угроз применительно к информационной системе являются актуальными угрозы утечки акустической речевой информации, угрозы утечки видовой информации и угрозы утечки информации по каналам побочных электромагнитных излучений и наводок. 4.6.7. Для исключения утечки персональных данных за счет побочных электромагнитных излучений и наводок в информационных системах 1 класса могут применяться следующие методы и способы защиты информации: 1) использование технических средств в защищенном исполнении; 2) использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия; 3) размещение объектов защиты в соответствии с предписанием на эксплуатацию; 4) размещение понижающих трансформаторных подстанций электропитания и контуров заземления технических средств в пределах охраняемой территории; 5) обеспечение развязки цепей электропитания технических средств с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал; 6) обеспечение электромагнитной развязки между линиями связи и другими цепями вспомогательных технических средств и систем, выходящими за пределы охраняемой территории, и информационными цепями, по которым циркулирует защищаемая информация. 4.6.8. В информационных системах 2 класса для обработки информации используются средства вычислительной техники, удовлетворяющие требованиям национальных стандартов по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам средств вычислительной техники. 4.6.9. При применении в информационных системах функции голосового ввода персональных данных в информационную систему или функции воспроизведения информации акустическими средствами информационных систем для информационной системы 1 класса реализуются методы и способы защиты акустической (речевой) информации. 4.6.10. Методы и способы защиты акустической (речевой) информации заключаются в реализации организационных и технических мер для обеспечения звукоизоляции ограждающих конструкций помещений, в которых расположена информационная система, их систем вентиляции и кондиционирования, не позволяющей вести прослушивание акустической (речевой) информации при голосовом вводе персональных данных в информационной системе или воспроизведении информации акустическими средствами. 4.6.11. Величина звукоизоляции определяется оператором исходя из характеристик помещения, его расположения и особенностей обработки персональных данных в информационной системе. 4.6.12. Размещение устройств вывода информации средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав информационной системы, в помещениях, в которых они установлены, осуществляется таким образом, чтобы была исключена возможность просмотра посторонними лицами текстовой и графической видовой информации, содержащей персональные данные. 4.6.13. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств, в том числе средств криптографической защиты информации. 4.7. Система защиты персональных данных. 4.7.1. Безопасность персональных данных при их обработке в информационных системах учреждения обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. 4.7.2. Разработка системы защиты персональных данных, частная модель угроз, осуществляется специализированной организацией на основании специального разрешения (лицензии) на осуществление данного вида деятельности. 4.8. Частная модель угроз. 4.8.1. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя: 1) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз; 2) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем. 4.8.2. Под угрозами безопасности персональных данных при их обработке в информационной системе персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных. 4.8.3. Модель угроз решает следующие задачи: 1) анализ защищенности информационной системы персональных данных от угроз безопасности персональных данных в ходе выполнения работ по обеспечению безопасности персональных данных; 2) разработка системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационной системы персональных данных; 3) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации; 4) недопущение воздействия на технические средства информационной системы персональных данных, в результате которого может быть нарушено их функционирование; 5) контроль обеспечения уровня защищенности персональных данных. 4.8.4. Модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждения должна содержать систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных, обусловленных преднамеренными или непреднамеренными действиями физических лиц, действиями зарубежных спецслужб или организаций (в том числе террористических), а также криминальных группировок, создающими условия (предпосылки) для нарушения безопасности персональных данных, которые ведут к ущербу жизненно важным интересам личности, общества и государства. 4.8.5. Модель угроз содержит единые исходные данные по угрозам безопасности персональных данных, обрабатываемых в информационной системе персональных данных, связанным: 1) с перехватом (съемом) персональных данных по техническим каналам с целью их копирования или неправомерного распространения; 2) с несанкционированным, в том числе случайным, доступом в информационной системе персональных данных с целью изменения, копирования, неправомерного распространения персональных данных или деструктивных воздействий на элементы информационной системы персональных данных и обрабатываемых в них персональных данных с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования персональных данных. 4.8.6. Состав и содержание угроз безопасности персональным данным определяется совокупностью условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным. 4.8.7. Совокупность таких условий и факторов формируется с учетом характеристик информационной системы персональных данных, свойств среды распространения информативных сигналов, содержащих защищаемую информацию, возможностей и источников угроз. 4.8.8. При обеспечении безопасности персональных данных с использованием криптографических средств защиты информации производится нейтрализация атак, готовящимися и проводимыми нарушителями, причем возможности проведения атак обусловлены их возможностями. С учетом этого все возможные атаки определяются моделью нарушителя. 4.9. Средства защиты информации. 4.9.1. Средства защиты информации, применяемые в информационных системах персональных данных, в установленном порядке проходят процедуру оценки соответствия. 4.9.2. Технические и программные средства обработки персональных данных должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. 4.9.3. Эксплуатация средств защиты информации должна осуществляться строго в соответствии с эксплуатационной документацией на такие средства. Работники учреждения, эксплуатирующие средства защиты информации, должны быть ознакомлены с такой документацией под роспись. 4.10. Требования к помещениям, в которых производится обработка персональных данных. 4.10.1. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц. 4.10.2. В учреждении специальное оборудование помещений, в которых ведется работа с персональными данными, осуществляется в соответствии с РД 78.36.003-2002 «Инженерно-техническая укрепленность. Технические средства охраны. Требования и нормы проектирования по защите объектов от преступных посягательств». 4.10.3. Помещения, в которых располагаются технические средства информационных систем персональных данных или хранятся носители персональных данных, соответствуют требованиям пожарной безопасности, установленными действующим законодательством Российской Федерации. 4.11. Порядок оценки соответствия требованиям по безопасности персональных данных. 4.11.1. Порядок оценки соответствия информационных систем персональных данных требованиям безопасности информации осуществляется в порядке, определяемом действующим законодательством Российской Федерации и Программой такой оценки. Программу проведения оценочных испытаний разрабатывает организация, проводящая такую оценку. Программа согласовывается с учреждением. 4.11.2. Программа оценки соответствия информационных систем персональных данных требованиям безопасности информации содержит: 1) перечень работ и их продолжительность; 2) методики испытаний (или используются типовые методики); 3) количественный и профессиональный состав оценочной комиссии; 4) необходимость использования контрольной аппаратуры и тестовых средств. 4.11.3. Порядок, содержание, условия и методы испытаний для оценки характеристик и показателей, соответствия их установленным требованиям, а также применяемые в этих целях контрольная аппаратура и тестовые средства определяются в методиках испытаний различных видов объектов информатизации. 4.11.4. По результатам оценки соответствия информационных систем персональных данных требованиям безопасности информации оформляются протоколы и заключение о соответствии таким требованиям. На основании заключения, в случае получения положительного решения о соответствии информационной системы персональных данных предъявляемым требованиям по обеспечению безопасности персональных данных, оформляется документ, подтверждающий выполнение требований по безопасности информации. 5. Контроль и надзор за соблюдением требований по обработке и обеспечению безопасности персональных данных. 5.1. Контроль и надзор за соблюдением требований по обработке и обеспечению безопасности персональных данных в учреждении состоит из следующих направлений: 1) внешний контроль и надзор за соблюдением требований по обработке и обеспечению безопасности персональных данных; 2) внутренний контроль и надзор за соблюдением требований по обработке и обеспечению безопасности персональных данных. 5.1.1. Внутренний контроль и надзор за соблюдением требований по обработке и обеспечению безопасности персональных данных в учреждении состоит из: 1) контроля и надзора за исполнением требований по обработке и обеспечению безопасности персональных данных; 2) оценки соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных и принимаемых мер. 5.2. Порядок внешнего контроля над соблюдением требований по обработке и обеспечению безопасности персональных данных. 5.2.1. Внешний контроль и надзор за выполнением требований законодательства в области персональных данных осуществляется федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере информационных технологий и связи, федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. 5.2.2. Внешний контроль и надзор за выполнением требований законодательства в области персональных данных осуществляется в соответствии с действующим законодательством Российской Федерации в области защиты прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля, подзаконных нормативных актов Правительства Российской Федерации, ведомственных нормативных актов и административных регламентов. 5.2.3. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи. 5.2.4. Уполномоченный орган по защите прав субъектов персональных данных имеет право: 1) запрашивать у учреждения информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию; 2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных учреждения, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий; 3) требовать от учреждения уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных; 4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства в области персональных данных; 5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представлять интересы субъектов персональных данных в суде; 6) направлять в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, применительно к сфере их деятельности, необходимые сведения; 7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью; 8) привлекать к административной ответственности лиц, виновных в нарушении Федерального закона. 5.2.5. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных. 5.2.6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке. 5.2.7. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных. 5.3. Порядок внутреннего контроля за соблюдением требований по обработке и обеспечению безопасности данных. 5.3.1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в учреждении организуется проведение периодических проверок условий обработки персональных данных. Проверки осуществляются ответственным за организацию обработки персональных данных либо комиссией, образуемой руководителем МКУ не реже одного раза в год. 5.3.2. При осуществлении внутреннего контроля соответствия обработки персональных данных установленным требованиям в учреждении производится проверка: 1) соблюдения принципов обработки персональных данных в учреждении; 2) соответствия распоряжений в области персональных данных учреждения действующему законодательству Российской Федерации; 3) выполнения работниками учреждения требований и правил (в том числе особых) обработки персональных данных в информационных системах персональных данных учреждения; 4) перечней персональных данных, используемых для решения задач и функций учреждения и необходимости обработки персональных данных в информационных системах персональных данных; 5) актуальности содержащихся в Правилах обработки персональных данных в каждой информационной системе персональных данных учреждения информации о законности целей обработки персональных данных и оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных 6) правильность осуществления сбора, систематизации, записи, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения персональных данных в каждой информационной системе персональных данных учреждения; 7) актуальность перечня должностей работников учреждения, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным; 8) актуальность перечня должностей работников учреждения, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных; 9) соблюдение прав субъектов персональных данных, чьи персональные данные обрабатываются в информационных системах персональных данных учреждения; 10) соблюдение обязанностей учреждением, предусмотренных действующим законодательством в области персональных данных; 11) порядка взаимодействия с субъектами персональных данных, чьи персональные данные обрабатываются в информационных системах персональных данных учреждения, в том числе соблюдения сроков предусмотренных действующим законодательством в области персональных данных, соблюдения требований по уведомлениям, порядка разъяснения субъектам персональных данных необходимой информации, порядка реагирования на обращения субъектов персональных данных, порядка действий при достижении целей обработки персональных данных и отзыве согласий субъектами персональных данных; 12) наличие необходимых согласий субъектов персональных данных, чьи персональные данные обрабатываются в информационных системах персональных данных учреждения; 13) актуальность сведений, содержащихся в уведомлении учреждения об обработке персональных данных; 14) актуальность перечня информационных систем персональных данных в учреждении; 15) наличие и актуальность сведений, содержащихся в Правилах обработки персональных данных для каждой информационной системы персональных данных учреждения; 16) знание и соблюдение работниками учреждения положений действующего законодательства Российской Федерации в области персональных данных; 17) знание и соблюдение работниками учреждения положений локальных актов учреждения в области обработки и обеспечения безопасности персональных данных; 18) знание и соблюдение работниками учреждения инструкций, руководств и иных эксплуатационных документов на применяемые средства автоматизации, в том числе программное обеспечение, и средства защиты информации; 19) соблюдение работниками учреждения конфиденциальности персональных данных; 20) актуальность локальных актов учреждения в области обеспечения безопасности персональных данных, в том числе в Технических паспортах информационных систем персональных данных; 21) соблюдение работниками учреждения требований по обеспечению безопасности персональных данных; 22) наличие локальных актов учреждения, технической и эксплуатационной документации технических и программных средств информационных систем персональных данных; 5.3.3. Ответственный за организацию обработки персональных данных в учреждении либо председатель комиссии докладывает руководителю МКУ о результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений. 5.4. Оценка соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных и принимаемых мер по обработке и обеспечению безопасности персональных данных. 5.4.1. Во время осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в учреждении производится оценка соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных и принимаемых мер по обработке и обеспечению безопасности персональных данных в учреждении. 5.4.2. При оценке соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных, для каждой информационной системы персональных данных учреждения производится экспертное сравнение заявленной учреждением в своих локальных актах оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных (пункт 2.24. настоящего Положения) и применяемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных действующим законодательством в области персональных данных и изложенных в настоящем Положении. 5.4.3. По итогам сравнений принимается решение о достаточности применяемых учреждением мер, направленных на обеспечение выполнения обязанностей, предусмотренных действующим законодательством в области персональных данных и возможности или необходимости принятия дополнительных мер или изменения установленного в учреждении порядка обработки и обеспечения безопасности персональных данных. 5.4.4. Оценка соотношения вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных и принимаемых мер по обработке и обеспечению безопасности персональных данных в учреждении оформляется в виде отдельного документа, подписывается лицом, ответственным за организацию обработки персональных данных либо председателем комиссии, и утверждается руководителем МКУ. 5.4.5. По результатам принятых решений, лицом, ответственным за организацию обработки персональных данных в учреждении и организуется работа по их реализации. 6. Ответственность за нарушение требований в области персональных данных. 6.1. Лица, виновные в нарушении требований действующего законодательства в области персональных данных, несут предусмотренную законодательством Российской Федерации ответственность. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков. 7. Мероприятия при возникновении обстоятельств непреодолимой силы (форс-мажор). 7.1. В случае появления обстоятельств непреодолимой силы, возникших в результате событий чрезвычайного характера, которые учреждение не могло предвидеть и предотвратить разумными мерами, должностные лица учреждения обязаны принять все возможные меры по недопущению нарушения прав субъектов персональных данных. 7.1.1. К обстоятельствам непреодолимой силы относятся события, на которые учреждение не могло оказывать влияние и за возникновение которых оно не несет ответственности: землетрясение, наводнение, пожар, забастовки, насильственные или военные действия любого характера, решения органов государственной власти препятствующие исполнению требований законодательства в области персональных данных. 7.1.2. Надлежащим доказательством наличия указанных выше обстоятельств будут служить официальные документы учреждения и органов государственной власти Российской Федерации. 7.1.3. Учреждение в случае возникновения указанных выше обстоятельств и нарушении прав субъектов персональных данных, связанных с такими обстоятельствами, извещает субъектов персональных данных всеми доступными способами. 8. Мероприятия по обработке персональных данных при проведении процедур ликвидации или реорганизации. 8.1. При ликвидации учреждения все носители персональных данных подлежат уничтожению установленными настоящим Положением способами, за исключением носителей, подлежащих передаче в соответствии с действующим законодательством Российской Федерации. 8.2. При реорганизации учреждения в форме слияния, присоединения и преобразования решение о необходимости уничтожения персональных данных или передачи их образуемому учреждению принимается в соответствии с действующим законодательством Российской Федерации. 9. Ознакомление субъектов персональных данных с документами, определяющими политику в отношении обработки персональных данных. 9.1. Настоящее Положение, а также иные документы, определяющие политику в отношении обработки персональных данных, публикуются на официальном сайте учреждения по адресу: http://www.kulturatalov.ru в течение 10 рабочих дней после их утверждения. 9.1.1. Ответственными за публикацию настоящего Положения, а также иных документов, определяющих политику в отношении обработки персональных данных в учреждении, а так же изменений к ним, являются: - работник, осуществляющий взаимодействие со СМИ (связь с общественностью); - работник, осуществляющий техническое сопровождение web-представительства (размещение информации); - ответственный за организацию обработки персональных данных в учреждении. 9.1.2. Лицом, ответственным за организацию обработки персональных данных в учреждении обеспечивается неограниченный доступ к настоящему Положению, а также иным документам, определяющим политику в отношении обработки персональных данных в учреждении любых заинтересованных лиц при личном приеме либо по запросу, совершаемому в соответствии с действующим законодательством Российской Федерации. 10. Руководящие документы, используемые в настоящем Положении. 10.1. В настоящем Положении использованы следующие руководящие документы: 1) Конституция Российской Федерации; 2) Федеральный закон РФ № 152-ФЗ от 27.07.2006 «О персональных данных»; 3) Федеральный закон РФ № 149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации»; 4) Гражданский кодекс Российской Федерации (часть четвертая); 5) Постановление Правительства № 1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; 6) Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; 7) Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами». Руководитель МКУ «Управление по культуре Таловского муниципального района» Н.В. Литвинова Приложение № 2 к приказу МКУ «Управление по культуре Таловского муниципального района» от 22 февраля 2017 года № 23 Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований в МКУ «Управление по культуре Таловского муниципального района» 1. Обработка персональных данных должна осуществляться на законной и справедливой основе. 2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. 3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. 4. Обработке подлежат только персональные данные, которые отвечают целям их обработки. 5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. 6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных. 7. Получение персональных данных. 7.1. Все персональные данные получаются непосредственно от субъекта персональных данных. 7.2. Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает письменное согласие на их обработку. 7.3. Типовая форма согласия на обработку персональных данных работников учреждения, иных субъектов персональных данных, а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные, приведены соответственно в приложениях № 7 и № 8 к настоящему приказу об обработке и защите персональных данных. 7.4. В случае недееспособности либо несовершеннолетия субъекта все персональные данные субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и дает согласие на их обработку. 7.5. В случаях, когда необходимые персональные данные субъекта могут быть получены только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении необходимо сообщить о целях, правовых основаниях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение. 8. Меры, направленные на выявление и предотвращение нарушений, предусмотренных законодательством. 8.1. Осуществление внутреннего контроля и (или) аудита, соответствия обработки персональных данных Федеральному закону от 25 июля 2011 № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» (далее - Федеральный закон) и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора. 8.2. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом. 8.3. Ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников. 9. Обеспечение безопасности персональных данных достигается, в частности: 9.1. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных. 9.2. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных. 9.3. Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации. 9.4. Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных. 9.5. Учетом машинных носителей персональных данных. 9.6. Обнаружением фактов несанкционированного доступа к персональным данным и принятием мер. 9.7. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. 9.8. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных. 10. Целями обработки персональных данных работников являются: а) обеспечение соблюдения законов и иных нормативных правовых актов; б) соблюдение порядка и правил приема на работу; в) использование в уставной деятельности с применением средств автоматизации или без таких средств, включая хранение этих данных в архивах и размещение в информационно-телекоммуникационных сетях с целью предоставления доступа к ним; г) заполнение базы данных автоматизированной информационной системы в целях повышения эффективности и быстрого поиска, проведения мониторинговых исследований, формирования статистических и аналитических отчётов в вышестоящие органы; д) обеспечение личной безопасности работников. 11. Работники МКУ «Управление по культуре Таловского муниципального района» (далее – работники учреждения), допущенные к обработке персональных данных обязаны: а) знать и выполнять требования законодательства Российской Федерации в области персональных данных, и по вопросам обработки и обеспечения безопасности персональных данных, настоящих Правил; б) соблюдать правила обработки персональных данных (машинных носителей персональных данных), порядок их учета и хранения, исключать доступ к ним посторонних лиц; в) обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей; г) не разглашать третьим лицам персональные данные, ставшие известными, в связи с выполнением должностных обязанностей, информировать непосредственное руководство о фактах нарушения установленного порядка обработки персональных данных, о попытках несанкционированного доступа к персональным данным; д) в случае попытки третьих лиц получить от них персональные данные, сообщать непосредственному руководителю; е) не использовать персональные данные с целью получения; ж) после прекращения права на допуск к персональным данным (расторжения трудового договора) прекратить обработку персональных данных, не разглашать и не передавать персональные данные третьим лицам, ставшие известными в связи с исполнением должностных обязанностей. 11.1. Работникам учреждения, допущенным к обработке персональных данных, запрещается: а) использовать персональные данные в неслужебных целях, а также в служебных целях – при ведении телефонных переговоров, в открытой переписке, статьях и выступлениях; б) передавать персональные данные по незащищенным каналам связи (факсимильная связь, электронная почта); в) использовать для обработки и хранения персональных данных не учтенные машинные носители информации; г) снимать копии с документов и машинных носителей информации, содержащих персональные данные, или производить выписки из них, а равно использовать различные технические средства (фото-, видео- и звукозаписывающую аппаратуру) для фиксации персональных данных; д) передавать документы и машинные носители информации, содержащие персональные данные другим работникам, не допущенным к обработке персональных данных; е) выполнять на дому работы, связанные с использованием персональных данных, выносить документы и машинные носители информации, содержащие персональные данные, из служебных помещений. 12. Категории субъектов, персональные данные которых обрабатываются в учреждении: 12.1. К категориям субъектов, персональные данные которых обрабатываются в учреждении в связи с реализацией трудовых отношений, относятся: а) работники учреждения; б) руководители подведомственных организаций; в) кандидаты на замещение вакантных должностей работников учреждения и на включение в кадровый резерв учреждения. 12.2. К категориям субъектов, персональные данные которых обрабатываются в учреждении в связи с оказанием муниципальных услуг и осуществлением муниципальных функций, относятся граждане, обратившиеся в учреждение в целях получения муниципальной услуги. 13. Сроки обработки, хранения и уничтожения персональных данных. 13.1. Персональные данные, связанные с реализацией трудовых отношений обрабатываются и хранятся в течение действия трудового договора и в течение 75 (семидесяти пяти) лет после его прекращения. 13.2. Персональные данные, связанные с оказанием муниципальных услуг и осуществлением муниципальных функций обрабатываются и хранятся до достижения цели их обработки или до момента прекращения необходимости в достижении заранее заявленных целей обработки персональных данных. 13.3. В случае достижения цели обработки персональных данных или при наступлении иных законных оснований обработка персональных данных прекращается и они уничтожаются в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено трудовым договором или соглашением, стороной которого является субъект персональных данных, либо если учреждение не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами. 13.4. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных их обработка прекращается и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, они уничтожаются в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено трудовым договором или соглашением, стороной которого является субъект персональных данных, либо если учреждение не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами. 13.5. Уничтожение машинных носителей персональных данных, выведенных из эксплуатации, производится на основании акта уничтожения, утверждаемого руководителем МКУ. 13.6. Решение о стирании записей, содержащих персональные данные, в электронных базах данных принимается работниками учреждения, допущенными к обработке персональных данных самостоятельно в срок, не превышающий тридцати дней по достижении целей обработки или с момента утраты необходимости в достижении этих целей. 14. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом. 15. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя. 16. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных, либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом или другими федеральными законами. 17. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных. 18. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных выше, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами. Руководитель МКУ «Управление по культуре Таловского муниципального района» Н.В. Литвинова Приложение № 3 к приказу МКУ «Управление по культуре Таловского муниципального района» от 22 февраля 2017 года № 23 Правила рассмотрения запросов субъектов персональных данных или их представителей в МКУ «Управление по культуре Таловского муниципального района» 1. Настоящими Правилами рассмотрения запросов субъектов персональных данных или их представителей в МКУ «Управление по культуре Таловского муниципального района» (далее – Правила) определяются порядок учета (регистрации), рассмотрения запросов субъектов персональных данных или их представителей (далее – запросы). 2. Настоящие Правила разработаны в соответствии Федеральным законом от 27 июля 2006 № 152 ФЗ «О персональных данных» (далее – Федеральный закон), Федеральным законом от 2 мая 2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» (в редакции от 29.06.2010 г. № 126-ФЗ, от 27.07.2010 г. № 227-ФЗ), Трудовым кодексом Российской Федерации, постановлением Правительства Российской Федерации от 15 сентября 2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 21 марта 2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами. 3. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных (часть 7 статьи 14 Федерального закона), в том числе содержащей: а) подтверждение факта обработки персональных данных в МКУ «Управление по культуре Таловского муниципального района» (далее – учреждение); б) правовые основания и цели обработки персональных данных; в) цели и применяемые оператором способы обработки персональных данных в учреждении; г) наименование и место нахождения в учреждении, сведений о лицах (за исключением работников учреждения), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с учреждением или на основании федерального закона; д) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; е) сроки обработки персональных данных, в том числе сроки их хранения; ж) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом; з) информацию об осуществленной или о предполагаемой трансграничной передаче данных; и) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению учреждения, если обработка поручена или будет поручена такому лицу; к) иные сведения, предусмотренные Федеральным законом или другими федеральными законами. 4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона. 5. Субъект персональных данных вправе требовать от учреждения уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. 6. Сведения, указанные в части 7 статьи 14 Федерального закона, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. 7. Сведения, указанные в части 7 статьи 14 Федерального закона, предоставляются субъекту персональных данных или его представителю учреждением при обращении либо при получении запроса субъекта персональных данных или его представителя. 8. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с учреждением (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных учреждением, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. 9. Рассмотрение запросов является служебной обязанностью руководителя МКУ и уполномоченных должностных лиц, в чьи обязанности входит обработка персональных данных. 10. Должностные лица учреждения обеспечивают: 1) объективное, всестороннее и своевременное рассмотрения запроса; 2) принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов персональных данных; 3) направление письменных ответов по существу запроса. 11. Ведение делопроизводства по запросам осуществляет секретарь учреждения. 12. Все поступившие запросы регистрируются в день их поступления. На запросе проставляется штамп, в котором указывается входящий номер и дата регистрации. 13. Запрос прочитывается, проверяется на повторность, при необходимости сверяется с находящейся в архиве предыдущей перепиской. В случае, если сведения, указанные в части 7 статьи 14 Федерального закона, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в администрацию или направить повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. 13.1. Субъект персональных данных вправе обратиться повторно в учреждение или направить повторный запрос в целях получения сведений, указанных в части 7 статьи 14 Федерального закона, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в настоящем пункте, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с необходимыми сведениями должен содержать обоснование направления повторного запроса. 14. Учреждение вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона. Такой отказ должен быть мотивированным. 15. Прошедшие регистрацию запросы в тот же день докладываются руководителю МКУ, либо лицу, его заменяющему, который определяет порядок и сроки их рассмотрения, дает по каждому из них письменное указание исполнителям. 16. Руководитель МКУ и другие должностные лица при рассмотрении и разрешении запроса обязаны: 1) внимательно разобраться в их существе, в случае необходимости истребовать дополнительные материалы или направить сотрудников на места для проверки фактов, изложенных в запросах, принять другие меры для объективного разрешения поставленных заявителями вопросов, выявления и устранения причин и условий, порождающих факты нарушения законодательства о персональных данных; 2) принимать по ним законные, обоснованные и мотивированные решения и обеспечивать своевременное и качественное их исполнение; 3) сообщать в письменной форме заявителям о решениях, принятых по их запросам, со ссылками на законодательство Российской Федерации, а в случае отклонения запроса - разъяснять также порядок обжалования принятого решения. 17. Учреждение обязано сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя. 18. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных, субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя уполномоченные должностные лица администрации обязаны дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона или на положения иных федеральных законов, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. 19. Учреждение обязано предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. 20. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, уполномоченные должностные лица учреждения обязаны внести в них необходимые изменения. 21. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, уполномоченные должностные лица учреждения обязаны уничтожить такие персональные данные. 22. Учреждение обязано уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы. 23. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных уполномоченные должностные лица учреждения обязаны осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки. 24. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных уполномоченные должностные лица учреждения обязаны осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. 25. В случае подтверждения факта неточности персональных данных уполномоченные должностные лица учреждения на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязаны уточнить персональные данные в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных. 26. В случае выявления неправомерной обработки персональных данных уполномоченные должностные лица учреждения в срок, не превышающий трех рабочих дней с даты этого выявления, обязаны прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных, невозможно, уполномоченные должностные лица учреждения в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязаны уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных учреждение обязано уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган. 27. Для проверки фактов, изложенных в запросах при необходимости организуются служебные проверки в соответствии с законодательством Российской Федерации. 28. По результатам служебной проверки составляется мотивированное заключение, которое должно содержать объективный анализ собранных материалов. Если при проверке выявлены факты совершения работником учреждения действия (бездействия), содержащего признаки административного правонарушения или состава преступления информация передается незамедлительно в правоохранительные органы. Результаты служебной проверки докладываются руководителю МКУ. 29. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы заявителю. 30. Ответы на запросы печатаются на бланке установленной формы и регистрируются за теми же номерами, что и запросы. 31. Руководитель МКУ осуществляет непосредственный контроль за соблюдением установленного законодательством и настоящими Правилами порядка рассмотрения запросов. 32. При осуществлении контроля обращается внимание на сроки исполнения поручений по запросам и полноту рассмотрения поставленных вопросов, объективность проверки фактов, изложенных в запросах, законность и обоснованность принятых по ним решений, своевременность их исполнения и направления ответов заявителям. 33. Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных должностных лиц ответственность в соответствии с законодательством Российской Федерации. Руководитель МКУ «Управление по культуре Таловского муниципального района» Н.В. Литвинова Приложение № 4 к приказу МКУ «Управление по культуре Таловского муниципального района» от 22 февраля 2017 года № 23 Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в МКУ «Управление по культуре Таловского муниципального района» 1. Настоящими Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных (далее – Правила) в МКУ «Управление по культуре Таловского муниципального района» (далее – учреждение) определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных. 2. Настоящие Правила разработаны в соответствии Федеральным законом от 27 июля 2006 № 152 ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 15 сентября 2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», постановлением Правительства Российской Федерации от 21 марта 2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами». 3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 № 152 ФЗ «О персональных данных». 4. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в учреждении организовывается проведение периодических проверок условий обработки персональных данных. 5. Проверки осуществляются ответственным за организацию обработки персональных данных в учреждении либо комиссией, образуемой приказом руководителя МКУ. 5.1. В проведении проверки не может участвовать работник учреждения, прямо или косвенно заинтересованный в её результатах. 6. Проверки соответствия обработки персональных данных установленным требованиям в учреждении проводятся на основании утвержденного руководителем МКУ ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего в учреждение письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления. 7. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены: 1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных; 2) порядок и условия применения средств защиты информации; 3) эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; 4) состояние учета машинных носителей персональных данных; 5) соблюдение правил доступа к персональным данным; 6) наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер; 7) мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 8) осуществление мероприятий по обеспечению целостности персональных данных. 8. Ответственный за организацию обработки персональных данных в учреждении (комиссия) имеет право: 1) запрашивать у работников учреждения информацию, необходимую для реализации полномочий; 2) требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных; 3) принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации; 4) вносить руководителю МКУ предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке; 5) вносить руководителю МКУ предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных. 9. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных в учреждении (комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных. 10. Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о её проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю МКУ докладывает ответственный за организацию обработки персональных данных, либо председатель комиссии в форме протокола согласно приложению к настоящим Правилам. 11. Руководитель МКУ, назначивший внеплановую проверку, обязан контролировать своевременность и правильность её проведения. Руководитель МКУ «Управление по культуре Таловского муниципального района» Н.В. Литвинова Приложение к Правилам осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в МКУ «Управление по культуре Таловского муниципального района» Протокол проверки соответствия обработки персональных данных требованиям к защите персональных данных в МКУ «Управление по культуре Таловского муниципального района» Настоящий протокол составлен о том, что «____» ___________ 20__ года руководителем и заместителем руководителя МКУ «Управление по культуре Таловского муниципального района» проведена проверка соответствия обработки персональных данных в МКУ «Управление по культуре Таловского муниципального района» (далее - учреждении) требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами. 1. Поверка осуществлялась в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 12 марта 2012 года № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», постановления Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказа ФСТЭК России от 11 февраля 2013 года № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». 2. В ходе проверки контролировались следующие вопросы: а) наличие у работников учреждения допуска к обработке персональных данных; б) наличие согласий субъектов на обработку их персональных данных; в) соблюдение целей, состава и сроков обработки персональных данных; г) соблюдение правил по обезличиванию персональных данных; д) соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных; е) соблюдение работниками учреждения правил парольной политики; ж) соблюдение работниками учреждения правил антивирусной защиты; з) соблюдение работниками учреждения правил работы с машинными носителями персональных данных; е) соблюдение порядка работы со средствами защиты информации. 3. В ходе проверки выявлены следующие нарушения: _______________________________________________________________, _______________________________________________________________, _______________________________________________________________. 4. Меры по устранению выявленных нарушений: ________________________________________________________________, _______________________________________________________________, _______________________________________________________________. 5. Срок устранения нарушений: «____» ___________ 20__ года. Руководитель МКУ «Управление по культуре Таловского муниципального района» _________ ____________ (подпись) (Ф.И.О.) Заместитель руководитель МКУ «Управление по культуре Таловского муниципального района _________ ____________ (подпись) (Ф.И.О.) Приложение № 5 к приказу МКУ «Управление по культуре Таловского муниципального района» от 22 февраля 2017 года № 23 Правила работы с обезличенными персональными данными в МКУ «Управление по культуре Таловского муниципального района» 1. Общие положения 1.1. Настоящие Правила работы с обезличенными персональными данными МКУ «Управление по культуре Таловского муниципального района» (далее – учреждение) разработаны с учетом Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и постановления Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами». 1.2. Настоящие Правила определяют порядок работы с обезличенными данными в учреждении. 2. Термины и определения 2.1. В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»: 1) Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); 2) Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; 3) Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных. 3. Условия обезличивания 3.1. Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, снижения уровня информационных систем персональных данных учреждения и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. 3.2. Способы обезличивания при условии дальнейшей обработки персональных данных: 1) уменьшение перечня обрабатываемых сведений; 2) замена части сведений идентификаторами; 3) обобщение – понижение точности некоторых сведений; 4) понижение точности некоторых сведений (например, «Место жительства» может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город); 5) деление сведений на части и обработка в разных информационных системах; 6) другие способы. 3.3. Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня персональных данных. 3.4. Для обезличивания персональных данных годятся любые способы явно не запрещенные законодательно: 1) заместитель руководителя МКУ принимает решение о необходимости обезличивания персональных данных; 2) работники учреждения, непосредственно осуществляющие обработку персональных данных, готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания; 3) работники учреждения, обслуживающих базы данных с персональными данными, совместно с ответственным за организацию обработки персональных данных, осуществляют непосредственное обезличивание выбранным способом. 4. Порядок работы с обезличенными персональными данными 4.1. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности. 4.2. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации. 4.3. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение: а) парольной политики; б) антивирусной политики; в) правил работы со съемными носителями (если они используется); г) правил резервного копирования; д) правил доступа в помещения, где расположены элементы информационных систем. 4.4. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение: а) правил хранения бумажных носителей; б) правил доступа к ним и в помещения, где они хранятся. 5. Перечень должностей работников учреждения, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных 5.1. Заместитель руководителя МКУ (далее - ответственный за организацию работ по защите персональных данных). 5.2. Главный бухгалтер МКУ (далее - администратор информационной безопасности). Руководитель МКУ «Управление по культуре Таловского муниципального района» Н.В. Литвинова Приложение № 6 к приказу МКУ «Управление по культуре Таловского муниципального района» от 22 февраля 2017 года № 23 Перечень информационных систем персональных данных 1. Понятие информационной системы персональных данных. 1.1. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. 2. Информационные системы персональных данных в МКУ «Управление по культуре Таловского муниципального района»: 1) «Бухгалтерия»; 2) «Кадры». Руководитель МКУ «Управление по культуре Таловского муниципального района» Н.В. Литвинова Приложение № 7 к приказу МКУ «Управление по культуре Таловского муниципального района» от 22 февраля 2017 года № 23 Типовая форма А ______________________________________ (наименование должности руководителя) ______________________________________ (наименование организации) ______________________________________ (фамилия И.О. руководителя) от ___________________________________ (должность работника) _____________________________________ (фамилия И.О. работника) СОГЛАСИЕ на обработку персональных данных работников МКУ «Управление по культуре Таловского муниципального района», граждан, претендующих на замещение сотрудников МКУ, лиц, замещающих должности руководителей подведомственных МКУ муниципальных учреждений, а также граждан, претендующих на замещение должностей руководителей подведомственных МКУ муниципальных учреждений, и иных субъектов персональных данных Я,________________________________________________________________, (фамилия, имя, отчество) зарегистрированный по адресу: ____________________________________________________________________________________________________________________________________,основной документ, удостоверяющий личность __________________________________________________________________ (наименование документа, удостоверяющего личность, __________________________________________________________________ серия и номер, сведения о дате выдачи документа и выдавшем его органе) __________________________________________________________________, даю согласие __________________________________________________________________ (наименование организации) __________________________________________________________________ (адрес организации) на автоматизированную, а также без использования средств автоматизации обработку моих персональных данных, а именно совершение действий, предусмотренных п. 3 ч. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, представление, доступ), обезличивание, блокирование, удаление, уничтожение, содержащихся в настоящем заявлении, в целях обеспечения соблюдения трудового законодательства и иных нормативных правовых актов, содействия в трудоустройстве, обучении и продвижения по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, формирования резерва кадров, управленческого резерва для замещения вакантных должностей, а именно: Фамилия, имя, отчество; дата рождения; место рождения; пол; гражданство; знание иностранного языка; образование, повышение квалификации, профессиональная переподготовка, стажировка, присвоение ученой степени, ученого звания (если таковое имеется) или наличие специальных знаний; профессия (специальность); трудовой и общий стаж, сведения о приемах, перемещениях и увольнениях по предыдущим местам работы, размер денежного содержания (оклад, надбавки, премии); состояние в браке, состав семьи, место работы или учебы членов семьи и родственников; паспортные данные, адрес места жительства, дата регистрации по месту жительства; номер телефона (домашнего, сотового); идентификационный номер; номер страхового свидетельства государственного пенсионного страхования; сведения, включенные в трудовую книжку; сведения о воинском учете; фотография; сведения о состоянии здоровья, которые относятся к вопросу о возможности выполнения работником трудовой функции, водительское удостоверение (в связи с выполнением трудовой функции работника), заключение медицинского учреждения о наличии (отсутствии) заболевания, препятствующего поступлению на муниципальную службу или ее прохождению, материалы по аттестации, содержание трудовых договоров и занимаемая должность, сведения о доходах, имуществе и обязательствах имущественного характера, документы о награждении (грамоты, дипломы, удостоверения о награждении). Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме в случаях, предусмотренных действующим законодательством. Об ответственности за достоверность представленных сведений предупрежден(а). __________________________________________________________________ (Фамилия И.О. работника) (подпись) (дата) Руководитель МКУ Н.В. Литвинова Типовая форма Б ______________________________________ (наименование должности руководителя) ______________________________________ (наименование организации) ______________________________________ (Фамилия И.О. руководителя) от ___________________________________ (Ф.И.О. гражданина) _____________________________________ (место регистрации) СОГЛАСИЕ субъекта на обработку персональных данных Я,________________________________________________________________, паспорт серии _____________, номер _____________,____________выданный __________________________________________________________________ «___» ___________ ______ года, даю согласие МКУ «Управление по культуре Таловского муниципального района» на автоматизированную, а также без использования средств автоматизации обработку моих персональных данных, а именно совершение действий, предусмотренных п. 3 ч. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, представление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных) и содержащихся в настоящем заявлении, в целях обеспечения соблюдения трудового законодательства и иных нормативных правовых актов, содействия в трудоустройстве, обучении и продвижения по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, формирования муниципального резерва кадров, управленческого резерва для замещения вакантных должностей, а именно: Фамилия, имя, отчество; дата рождения; место рождения; пол; гражданство; знание иностранного языка; образование, повышение квалификации, профессиональная переподготовка, стажировка, присвоение ученой степени, ученого звания (если таковое имеется) или наличие специальных знаний; профессия (специальность); трудовой и общий стаж, сведения о приемах, перемещениях и увольнениях по предыдущим местам работы, размер денежного содержания (оклад, надбавки, премии); состояние в браке, состав семьи, место работы или учебы членов семьи и родственников; паспортные данные, адрес места жительства, дата регистрации по месту жительства; номер телефона (домашнего, сотового); идентификационный номер; номер страхового свидетельства государственного пенсионного страхования; сведения, включенные в трудовую книжку; сведения о воинском учете; фотография; сведения о состоянии здоровья, которые относятся к вопросу о возможности выполнения работником трудовой функции, водительское удостоверение (в связи с выполнением трудовой функции работника), заключение медицинского учреждения о наличии (отсутствии) заболевания, препятствующего поступлению на муниципальную службу или ее прохождению, материалы по аттестации, содержание трудовых договоров и занимаемая должность, сведения о доходах, имуществе и обязательствах имущественного характера, документы о награждении (грамоты, дипломы, удостоверения о награждении). Для обработки в целях _________________________________________ __________________________________________________________________ ______________________________________________________________________________________________________________________________________________________________________________________________________. (указать цели обработки) Я подтверждаю, что ознакомлен с документами МКУ «Управление по культуре Таловского муниципального района», устанавливающими порядок обработки персональных данных, а также с моими правами и обязанностями в этой области. Согласие вступает в силу со дня его подписания и действует в течение неопределенного срока. Согласие может быть отозвано мною в любое время на основании моего письменного заявления. «___» _________ 20___ г. ________________ _______________________ (подпись) (Ф.И.О.) Руководитель МКУ Н.В. Литвинова Приложение № 8 к приказу МКУ «Управление по культуре Таловского муниципального района» от 22 февраля 2017 года № 23 Разъяснение субъекту персональных данных юридических последствий отказа предоставить свои персональные данные Уважаемый(-ая), ______________________________________________ В соответствии с требованиями Федерального закона Российской Федерацииот 27.07.2006 № 152-ФЗ «О персональных данных» уведомляем Вас, что обязанность предоставления Вами персональных данных установлена пунктом 2 части 1 статьи 6 Федерального закона «О персональных данных» (обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей), а также следующими нормативными правовыми актами: Федеральным законом «О муниципальной службе в Российской Федерации», Федеральным законом «О противодействии коррупции», Трудовым кодексом Российской Федерации. В случае отказа Вами предоставить свои персональные данные МКУ «Управление по культуре Таловского муниципального района» не сможет на законных основаниях осуществить такую обработку, что приведет к следующим для Вас юридическим последствиям: В соответствии со статьями 57, 65, 69 Трудового кодекса Российской Федерации субъект персональных данных, поступающий на работу или работающий в МКУ «Управление по культуре Таловского муниципального района», обязан представить определенный перечень информации о себе. Без представления субъектом персональных данных обязательных для заключения трудового договора сведений, трудовой договор не может быть заключен. На основании пункта 11 части 1 статьи 77 Трудового кодекса Российской Федерации трудовой договор прекращается вследствие нарушения установленных обязательных правил его заключения, если это нарушение исключает возможность продолжения работы. «____»_____________20__ г. ______________ ________________ (дата) (подпись) (расшифровка подписи) Ознакомлен (а): «____»_____________20__ г. ______________ ________________ (дата) (подпись) (расшифровка подписи) Руководитель МКУ «Управление по культуре Таловского муниципального района» Н.В. Литвинова Приложение № 9 к приказу МКУ «Управление по культуре Таловского муниципального района» от 22 февраля 2017 года № 23 Обязательство/Соглашение о неразглашении персональных данных субъекта персональных данных Я, ______________________________________, паспорт серия ____________, номер __________, выданный _______________________________________________ _______________________ «___» ___________ 20___ года в период трудовых отношений с МКУ «Управление по культуре Таловского муниципального района» и в течение ________ лет после их прекращения в соответствии с приказом МКУ «Управление по культуре Таловского муниципального района» Воронежской области №_____ утвержденного «__»_________20__ г. обязуюсь: 1) не разглашать и не передавать третьим лицам сведения, содержащие персональные данные, которые мне будут доверены или станут известны по работе, кроме случаев, предусмотренных законодательством Российской Федерации и с разрешения ответственного за обработку данных в МКУ «Управление по культуре Таловского муниципального района»; 2) выполнять требования приказов и инструкций по обработке персональных данных в части меня касающейся; 3) в случае попытки посторонних лиц получить от меня сведения, содержащие персональные данные, а также в случае утери носителей информации, содержащих такие сведения, немедленно сообщить об этом лицу, ответственному за обработку персональных данных; 4) не производить преднамеренных действий, нарушающих достоверность, целостность или конфиденциальность персональных данных, хранимых и обрабатываемых в МКУ «Управление по культуре Таловского муниципального района». До моего сведения также доведены с разъяснениями соответствующие положения по обеспечению сохранности персональных данных при автоматизированной обработке информации, а также при обработке информации без использования средств автоматизации. Мне известно, что нарушение этого обязательства может повлечь ответственность, предусмотренную трудовым, административным и уголовным законодательством Российской Федерации. «___» __________ 20___ г. ____________________ (подпись) Приложение № 10 к приказу МКУ «Управление по культуре Таловского муниципального района» от 22 февраля 2017 года № 23 Порядок доступа работников МКУ «Управление по культуре Таловского муниципального района» в помещения, в которых ведется обработка персональных данных 1. Общие положения 1.1. Настоящий Порядок доступа работников МКУ «Управление по культуре Таловского муниципального района» в помещения, в которых ведется обработка персональных данных, (далее – Порядок) устанавливает единые требования к доступу работников МКУ «Управление по культуре Таловского муниципального района» (далее – учреждение) в служебные помещения в целях предотвращения нарушения прав субъектов персональных данных, обрабатываемых в учреждении и обеспечения соблюдения требований законодательства о персональных данных. 1.2. Настоящий Порядок обязателен для применения и исполнения всеми работниками учреждения. 1.3. Служебными помещениями, в которых ведется обработка персональных данных, являются кабинеты, расположенные по адресам: 1) Воронежская обл., Таловский район, р.п. Таловая, ул. Советская, 149: а) кабинет – ИСПДн «Бухгалтерия»; б) кабинет – ИСПДн «Кадры». 2. Требования к служебным помещениям 2.1. Для помещений, в которых ведется обработка персональных данных, организуется режим безопасности, при котором обеспечивается сохранность документов и машинных носителей информации, содержащих персональные данные, средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц. 2.2. В помещениях, где размещены технические средства, участвующие в обработке персональных данных, а также хранятся машинные носители персональных данных (далее – помещения), право самостоятельного доступа имеют только работники учреждения, рабочие места которых размещены в соответствующих помещениях. 2.3. Нахождения иных лиц в помещениях, возможно только в сопровождении работника учреждения, имеющего право самостоятельного доступа в это помещение на время, ограниченное служебной необходимостью. При этом должна быть исключена возможность доступа посторонних лиц к обрабатываемым персональным данным, в том числе через выводимую на экран монитора и принтер информацию, а также к машинным носителям персональных данных. 2.4. Технические средства, участвующие в обработке персональных данных в помещении должны располагаться таким образом, чтобы исключить случайный просмотр обрабатываемой информации посторонними лицами, вошедшими в помещение, а также через двери и окна помещения. 2.5. В рабочее время, в случае ухода всех работников учреждения, имеющих право самостоятельного доступа, из помещения, а также в нерабочее время дверь в Помещение должна закрываться на ключ. 2.6. Уборка помещения должна проводиться только в присутствии работника учреждения, имеющего право самостоятельного доступа в помещение. 2.7. На время проведения ремонта помещения все технические средства, участвующие в обработке персональных данных, а также документы и машинные носители информации, содержащие персональные данные переносятся в другое помещение, используемое для обработки персональных данных. 3. Контроль за соблюдением требований к доступу работников в служебные помещения 3.1. Текущий контроль за содержанием служебных помещений осуществляет ответственный за защиту персональных данных учреждения. 3.2. Работники учреждения, обнаружившие попытку проникновения посторонних лиц в служебное помещение, немедленно сообщают об этом ответственному за защиту персональных данных учреждения. Руководитель МКУ «Управление по культуре Таловского муниципального района» Н.В. Литвинова