Положение об обработке и защите персональных данных и нформационной защиты в службе по тарифам Астраханской области

Положение

об обработке и защите персональных данных

и информационной защиты в службе по тарифам

Астраханской области

1. Общие положения

1.1. Положение об обработке и защите персональных данных в службе по тарифам Астраханской области Астраханской области (далее – Положение) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в службе по тарифам Астраханской области (далее – служба).

1.2. Настоящее Положение определяет политику службы как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

1.3. Настоящее Положение разработано в соответствии с Конституции Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.06.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

1.4. Обработка персональных данных в службе осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных и настоящим Положением.

1.5. Настоящее Положение не распространяется на отношения, возникающие при обращении с иной информацией ограниченного доступа, не содержащей сведений, составляющих государственную тайну.

2. Принципы обработки персональных данных

2.1. Персональные данные не могут быть раскрыты третьим лицам, а также распространены без согласия субъектов персональных данных, если иное не предусмотрено федеральным законом.

2.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

2.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

2.5. Содержание и объём обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

2.6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Служба принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

2.7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъектов персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию (Приложение № 1) по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.8. Обработка персональных данных субъектов персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3. Персональные данные, обрабатываемые службой

3.1. Персональные данные государственных гражданских служащих службы, граждан, замещающих должности, не являющиеся должностями государственной гражданской службы (работники службы), граждан, претендующих на замещение должностей государственной гражданской службы, а также претендующих на замещение должностей, не являющихся должностями государственной гражданской службы, иных субъектов персональных данных обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия государственным служащим службы в прохождении государственной службы, выполнении условий трудового договора, формирования кадрового резерва государственной гражданской службы, обучения и должностного роста, учета результатов исполнения государственными служащими и работниками службы должностных обязанностей, обеспечения личной безопасности государственных служащих, работников службы и членов их семьи, обеспечения государственным служащим и работникам службы установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества, в целях противодействия коррупции, а также иных целях в соответствии с функциями и полномочиями службы, предусмотренными постановлением Правительства Астраханской области от 06.04.2005 № 49-П «О службе по тарифам Астраханской области».

3.2. Перечень персональных данных, которые могут быть обработаны на основании функций и полномочий службы:

3.2.1. фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);

3.2.2. число, месяц, год рождения;

3.2.3. место рождения;

3.2.4. информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);

3.2.5. вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

3.2.6. адрес места жительства (адрес регистрации, фактического проживания);

3.2.7. номер контактного телефона или сведения о других способах связи;

3.2.8. реквизиты страхового свидетельства государственного пенсионного страхования;

3.2.9. идентификационный номер налогоплательщика;

3.2.10. реквизиты страхового медицинского полиса обязательного медицинского страхования;

3.2.11. реквизиты свидетельства государственной регистрации актов гражданского состояния;

3.2.12. семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);

3.2.13. сведения о трудовой деятельности;

3.2.14. сведения о воинском учёте и реквизиты документов воинского учёта;

3.2.15. сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);

3.2.16. сведения об учёной степени;

3.2.17. информация о владении иностранными языками, степень владения;

3.2.18. медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или её прохождению;

3.2.19. фотография сотрудника службы;

3.2.20. сведения о прохождении государственной гражданской службы, в том числе: дата, основания поступления на государственную гражданскую службу и назначения на должность государственной гражданской службы, дата, основания назначения, перевода, перемещения на иную должность государственной гражданской службы, наименование замещаемых должностей государственной гражданской службы с указанием структурных подразделений, размера денежного содержания, результатов аттестации на соответствие замещаемой должности государственной гражданской службы, а также сведения о прежнем месте работы;

3.2.21. информация, содержащаяся в служебном контракте, дополнительных соглашениях к служебному контракту;

3.2.22. сведения о пребывании за границей;

3.2.23. информация о классном чине государственной гражданской службы Российской Федерации (в том числе дипломатическом ранге, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде государственной гражданкой службы (квалификационном разряде или классном чине муниципальной службы);

3.2.24. информация о наличии или отсутствии судимости (в случаях, предусмотренных федеральным законом);

3.2.25. информация об оформленных допусках к информации, содержащей сведения, составляющие государственную тайну;

3.2.26. государственные награды, иные награды и знаки отличия;

3.2.27. сведения о профессиональной переподготовке и (или) повышении квалификации;

3.2.28. информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;

3.2.29. сведения о доходах, об имуществе и обязательствах имущественного характера;

3.2.30. номер расчетного счёта;

3.2.31. номер банковской карты;

3.2.32. иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 3.1 настоящего Положения.

3.3. Обработка персональных данных и биометрических персональных данных государственных служащих и работников службы, граждан, претендующих на замещение вакантных должностей службы, осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 3.1 настоящего Положения, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона «О персональных данных» и положениями Федерального закона «О системе государственной службы Российской Федерации», Федерального закона «О государственной гражданской службе Российской Федерации», Федерального закона «О противодействии коррупции», Трудовым кодексом Российской Федерации, Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации».

3.4. Обработка специальных категорий персональных данных государственных служащих и работников службы, граждан, претендующих на замещение вакантных должностей службы, осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 3.1 настоящего Положения, в соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 Федерального закона «О персональных данных» и положениями Трудового кодекса Российской Федерации, за исключением случаев получения персональных данных работника у третьей стороны.

3.5. Обработка персональных данных государственных служащих и работников службы, граждан, претендующих на замещение вакантных должностей службы, осуществляется при условии получения согласия указанных лиц в следующих случаях:

3.5.1. при передаче (распространении, предоставлении, иной обработки) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации;

3.5.2. при трансграничной передаче персональных данных;

3.5.3. при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

3.6. В случаях, предусмотренных пунктом 3.5 настоящего Положения, согласие субъекта персональных данных оформляется в письменной форме (Приложение № 2), если иное не установлено федеральным законом.

4. Обязанности лиц, допущенных к обработке персональных данных

4.1. Перечень структурных подразделений и должностей службы, допущенных к обработке персональных данных:

- руководитель службы;

- первый заместитель руководителя службы;

- заместитель руководителя службы;

- начальник отдела  правового обеспечения;

- заведующий организационным сектором;

- оператор организационного сектора;

- эксперт отдела правового обеспечения;

- иные сотрудники службы, допуск к обработке персональных данных которым необходим для выполнения ими должностных обязанностей.

Лицом, ответственным за проведение мероприятий по обезличиванию обрабатываемых персональных данных является первый заместитель руководителя службы.

4.2. Лица, допущенные к работе с персональными данными, обязаны:

- обеспечивать конфиденциальность персональных данных субъектов персональных данных;

- обеспечивать соблюдение условий, обеспечивающих сохранность материальных носителей персональных данных, а также исключающих несанкционированный к ним доступ;

- обеспечивать контроль над сроками действия согласий субъектов персональных данных на обработку их персональных данных, а при необходимости дальнейшей обработки персональных данных - получение новых согласий или своевременное прекращение обработки персональных данных;

- не допускать неконтролируемого присутствия в помещениях, в которых ведётся обработка персональных данных, посторонних лиц;

- в отсутствие надобности нахождения в помещениях, в которых ведется обработка персональных данных, закрывать такие помещения на ключ.

4.3. Лица, допущенные к работе с персональными данными, подписывают типовое обязательство (Приложение № 3) о прекращении обработки персональных данных, ставших известными им в связи с исполнением должностных обязанностей, в случае расторжения с ними служебного контракта (контракта) или трудового договора.

5. Порядок обработки персональных данных

5.1. При определении объёма и содержания обрабатываемых персональных данных служба должна руководствоваться Конституцией Российской Федерации, а также действующим законодательством Российской Федерации в области персональных данных.

5.2. Персональные данные субъектов персональных данных служба может получать:

- от субъектов персональных данных;

- от законных представителей субъектов персональных данных;

- от третьих лиц.

Все персональные данные субъектов персональных данных следует получать у них самих. Если персональные данные субъектов персональных данных возможно получить только у третьей стороны, то такие субъекты персональных данных должны быть уведомлены об этом заранее и от них должны быть получены письменные согласия. Служба должна сообщить субъектам персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа (Приложение № 4) дать письменное согласие на их получение.

5.3. Служба не имеет права получать и обрабатывать сведения о субъектах персональных данных, относящихся к специальным категориям персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.

5.4. Служба не имеет права получать и обрабатывать персональные данные о членствах в общественных объединениях или профсоюзной деятельности субъектов персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.

5.5. Защита персональных данных от неправомерного их использования или утраты должна быть обеспечена за счёт средств службы в порядке, установленном действующим законодательством Российской Федерации в области персональных данных.

5.6. Субъекты персональных данных, являющиеся служащими (работниками) службы и (или) их представители, должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.

5.7. При передаче персональных данных служащих (работников) службы необходимо соблюдать следующие требования:

- не сообщать персональные данные третьей стороне без согласия служащих (работников) службы, если иное не предусмотрено законодательством Российской Федерации;

- предупредить лиц, получающих персональные данные служащих (работников) службы, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные служащих (работников) службы, обязаны соблюдать режим конфиденциальности, если иное не предусмотрено федеральным законом;

- осуществлять передачу персональных данных служащих (работников) службы в пределах структуры службы, в соответствии с локальным нормативным актом, с которым служащие (работники) службы должны быть ознакомлены под роспись;

- разрешать доступ к персональным данным служащих (работников) службы только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения установленных функций;

- не запрашивать информацию о состоянии здоровья служащих (работников) службы, за исключением тех сведений, которые относятся к вопросу о возможности выполнения служащим (работником) трудовой функции, а также в иных случаях, предусмотренных законодательством Российской Федерации;

- передавать персональные данные служащих (работников) службы представителям служащих (работников) службы в порядке, установленном законодательством Российской Федерации, и ограничивать эту информацию только теми персональными данными служащих (работников) службы, которые необходимы для выполнения указанными представителями их функций.

5.8. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено действующим законодательством Российской Федерации.

5.9. Доступ лиц к персональным данным субъектов персональных данных устанавливается в соответствии с приказами службы, при этом указанные лица имеют право получать доступ только к тем персональным данным, которые необходимы им для выполнения должностных обязанностей.

5.10. Лица, получающие персональные данные субъекта персональных данных, обязаны соблюдать режим конфиденциальности в отношении этих данных.

5.11. Обработка персональных данных субъектов персональных данных лицами, допущенными до их обработки, в том числе с использованием средств автоматизации, разрешается только в специально определённых для этих целей помещениях на средствах электронно-вычислительной техники, определённых приказами службы, после выполнения в установленном порядке мер по обеспечению их защиты.

5.12. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна выполняться в соответствии с требованиями Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждённого постановлением Правительства Российской Федерации от 15.09.2008 № 687. Персональные данные при такой их обработке должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

5.13. Обработка персональных данных субъектов персональных данных с использованием съёмных носителей информации разрешается только при их предварительной регистрации.

5.14. Правила обработки и использования персональных данных, включая сроки хранения содержащих персональные данные оригиналов документов или копий документов на записываемых оптических носителях, предназначенных для архивного хранения, устанавливаются приказами службы. Правила обработки и использования электронных копий персональных данных на иных носителях, включая сроки их хранения, конкретизируются в инструкциях по использованию соответствующих информационных систем.

5.15. Персональные данные могут храниться в бумажном и (или) электронном виде централизованно или в соответствующих структурных подразделениях службы с соблюдением требований, предусмотренных законодательством Российской Федерации и нормативными-методическими документами службы по защите персональных данных.

5.16. Служащие (работники) службы, допущенные к работе с персональными данными субъектов персональных данных, должны быть ознакомлены под роспись с настоящим Положением и другими документами службы, устанавливающими порядок обработки персональных данных субъектов таких данных, их правами и обязанностями в этой области.

6. Права субъектов персональных данных

6.1. В целях обеспечения своих интересов субъекты персональных данных имеют право на получение сведений, указанных в части 7 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в порядке, предусмотренном частями 2, 3, 4, 5, 6, 7 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Субъект персональных данных вправе требовать от службы уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.2. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных или электронного получения решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

6.3. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

6.4. Если субъект персональных данных считает, что служба осуществляет обработку его персональных данных с нарушением требований законодательства Российской Федерации в области персональных данных или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие службы в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

6.5. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6.6. Субъекты персональных данных имеют право на:

- полную информацию об их персональных данных и обработке этих данных;

- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные служащих (работников) службы, за исключением случаев, предусмотренных федеральным законом;

- определение своих представителей для защиты своих персональных данных;

- доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований федерального закона. При отказе службы исключить или исправить персональные данные служащего (работника) службы он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера служащий (работник) службы имеет право дополнить заявлением, выражающим его собственную точку зрения;

- требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные служащих (работников) службы, обо всех произведенных в них исключениях, исправлениях или дополнениях;

- обжалование в суд любых неправомерных действий или бездействия службы при обработке и защите его персональных данных.

7. Обязанности службы

7.1. Служба назначает лицо, ответственное за организацию обработки персональных данных. Данное лицо выполняет свои обязанности и несет ответственность установленным порядком (Приложение № 5).

7.2. Служба разъясняет субъектам персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставляет возможность заявить возражение против такого решения, а также разъясняет порядок защиты субъектом персональных данных своих прав и законных интересов.

7.3. Служба обязана рассмотреть возражение, указанное в ч. 3 ст. 16 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

7.4. В порядке, предусмотренном статьей 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», служба обязана сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

7.5. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя служба обязана дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

7.6. Служба обязана предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. Со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, служба обязана внести в них необходимые изменения в срок, предусмотренный частью 3 статьи 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В случае представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, службы обязана уничтожить такие персональные данные в срок, предусмотренный частью 3 статьи 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

7.7. Служба обязана уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

7.8. Служба обязана сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в срок, предусмотренный частью 4 статьи 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

7.9. Служба обязана осуществлять обработку персональных данных без использования средств автоматизации с учётом следующих особенностей:

- персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путём фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).

- при фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

- лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе лица, осуществляющие такую обработку по договору со службой), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется службой без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами службы (при их наличии).

При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

- типовая форма или связанные с ней документы (инструкция по её заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес службы, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых службой способов обработки персональных данных;

- типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;

- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

- типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо несовместимы.

При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится служба, или в иных аналогичных целях, должны соблюдаться следующие условия:

- необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом службы, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится служба, без подтверждения подлинности персональных данных, сообщённых субъектом персональных данных;

- копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

- персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится служба.

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

- при необходимости использования или распространения определённых персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

- при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путём обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путём фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

8. Обязанности службы по устранению нарушений

законодательства, допущенных при обработке персональных данных,

а также по уточнению, блокированию и уничтожению персональных данных

8.1. В случае выявления неправомерных действий с персональными данными при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных служба обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению службы) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных службы обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению службы) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

8.2. В случае подтверждения факта неточности персональных данных служба на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению службы) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

8.3. В случае выявления неправомерной обработки персональных данных, осуществляемой службой или лицом, действующим по поручению службы, служба в срок, не превышающий трёх рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению службы. В случае если обеспечить правомерность обработки персональных данных невозможно, служба в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных служба обязана уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также данный орган.

8.4. В случае достижения цели обработки персональных данных служба обязана прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению службы) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению службы) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между службой и субъектом персональных данных либо если служба не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.

8.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных служба обязана прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению службы) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению службы) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между службой и субъектом персональных данных либо если служба не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

8.6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 8.3–8.5 настоящего Положения, служба осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению службы) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен законодательством Российской Федерации.

9. Порядок обработки персональных данных субъектов персональных

данных в информационных системах

9.1. Обработка персональных данных в службе осуществляется:

9.1.1. В локальной базе данных автоматизированной системы «Кадры», которая содержит следующие персональные данные, внесённые на основании документов, предусмотренных действующим законодательством Российской Федерации и Астраханской области:

- форм, утвержденных Постановлением Госкомстата России от 05.01.2004 № 1, «Личная карточка государственного (муниципального) служащего» (Т2-ГС) для государственных гражданских служащих и «Личная карточка работника» (Т2) для иных работников;

- трудовой книжки;

- документов об образовании;

- документов о повышении квалификации, профессиональной переподготовке;

- справки о соблюдении гражданином ограничений, связанных с замещением государственной должности Астраханской области, государственной должности государственной службы Астраханской области;

- копии удостоверений о наградах и прочих документов, приобщённых к личному делу.

9.1.2. На аттестованных под обработку персональных данных автоматизированных рабочих местах.

9.2. Информация может вноситься как в автоматическом режиме, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять её автоматическую регистрацию.

9.3. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных службы, достигается путём исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

9.3.1. определения угроз безопасности персональных данных при их обработке в информационных системах персональных данных службы;

9.3.2. применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных службы, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищённости персональных данных;

9.3.3. применения прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

9.3.4. оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

9.3.5. учёта машинных носителей персональных данных;

9.3.6. обнаружения фактов несанкционированного доступа к персональным данным и принятие мер;

9.3.7. восстановления персональных данных, модифицированных или удалённых, уничтоженных вследствие несанкционированного доступа к ним;

9.3.8. установления правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных службы, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных службы;

9.3.9. контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищённости информационных систем персональных данных.

9.3.10. своевременное обнаружения фактов несанкционированного доступа к персональным данным;

9.3.11. недопущения воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

9.3.12. обеспечения возможности восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

9.3.13. осуществления постоянного контроля за обеспечением уровня защищенности персональных данных;

9.3.14. соблюдения условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

9.3.15. учёта применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

9.3.16. при обнаружении нарушений порядка предоставления персональных данных, незамедлительного приостановления предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин;

9.3.17. разбирательства и составления заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищённости персональных данных, разработку и принятия мер по предотвращению возможных опасных последствий подобных нарушений.

9.4. Обмен персональными данными при их обработке в информационных системах персональных данных службы осуществляется по каналам связи, защита которых обеспечивается путём реализации соответствующих организационных мер и путём применения программных и технических средств.

9.5. Доступ государственных служащих (работников) службы к персональным данным, находящимся в информационных системах персональных данных службы, предусматривает обязательное прохождение процедуры идентификации и аутентификации.

9.6. В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных службы уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

10. Обработка персональных данных в рамках межведомственного

информационного взаимодействия с применением единой системы

межведомственного электронного взаимодействия

10.1. Служба в соответствии с законодательством Российской Федерации может осуществлять обработку персональных данных в рамках межведомственного электронного информационного взаимодействия в электронном виде с применением единой системы межведомственного электронного взаимодействия.

11. Ответственность за нарушение норм, регулирующих

обработку и защиту персональных данных

субъектов персональных данных

11.1. Лица, виновные в нарушении требований, регулирующих получение, обработку и защиту персональных данных субъектов персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.

11.2. Моральный вред, причинённый субъекту персональных данных вследствие нарушения службой его прав, нарушения правил обработки персональных данных, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», а также требований к защите персональных данных, установленных в соответствии с данным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесённых субъектом персональных данных убытков.

Приложение № 1

к Положению

Правила и методы

работы с обезличенными данными

в службе по тарифам  Астраханской области

1.  Настоящие правила и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных службы по тарифам Астраханской области (далее – служба), разработаны в соответствии с подпунктом «з» пункта 1 перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21.03.2012 № 211.

2. В соответствии со статьей 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

3. Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.

4. К свойствам обезличенных данных относятся:

полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);

структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);

релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);

семантическая целостность (сохранение семантики персональных данных при их обезличивании);

применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее - оператор, операторы), без предварительного деобезличивания всего объема записей о субъектах);

анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).

5. К характеристикам (свойствам) методов обезличивания персональных данных (далее - методы обезличивания), определяющим возможность обеспечения заданных свойств обезличенных данных, относятся:

обратимость (возможность преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);

вариативность (возможность внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);

изменяемость (возможность внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);

стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных);

возможность косвенного деобезличивания (возможность проведения деобезличивания с использованием информации других операторов);

совместимость (возможность интеграции персональных данных, обезличенных различными методами);

параметрический объем (объем дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);

возможность оценки качества данных (возможность проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).

6. Требования к методам обезличивания подразделяются на:

требования к свойствам обезличенных данных, получаемых при применении метода обезличивания;

требования к свойствам, которыми должен обладать метод обезличивания.

7. К требованиям к свойствам получаемых обезличенных данных относятся:

сохранение полноты (состав обезличенных данных должен полностью

соответствовать составу обезличиваемых персональных данных);

сохранение структурированности обезличиваемых персональных данных;

сохранение семантической целостности обезличиваемых персональных данных;

анонимность отдельных данных не ниже заданного уровня (количества возможных сопоставлений обезличенных данных между собой для деобезличивания как, например, k- anonymity).

8. К требованиям к свойствам метода обезличивания относятся:

обратимость (возможность проведения деобезличивания);

возможность обеспечения заданного уровня анонимности;

увеличение стойкости при увеличении объема обезличиваемых персональных данных.

9. Выполнение приведенных в пунктах 7 и 8 Требований и методов требований обязательно для обезличенных данных и применяемых методов обезличивания.

10. Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки персональных данных.

11. К наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания:

метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);

метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);

метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);

метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).

12. Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия.

Метод обеспечивает следующие свойства обезличенных данных:

полнота;

структурированность;

семантическая целостность;

применимость.

Оценка свойств метода:

обратимость (метод позволяет провести процедуру деобезличивания);

вариативность (метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания);

изменяемость (метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания);

стойкость (метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);

возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);

совместимость (метод позволяет интегрировать записи, соответствующие отдельным атрибутам);

параметрический объем (объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию);

возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

Для реализации метода требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия.

13. Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта.

Метод обеспечивает следующие свойства обезличенных данных:

структурированность;

релевантность;

применимость;

анонимность.

Оценка свойств метода:

обратимость (метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных);

вариативность (метод не позволяет изменять параметры метода без проведения предварительного деобезличивания);

изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);

стойкость (стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);

возможность косвенного деобезличивания (метод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);

совместимость (метод не обеспечивает интеграции с данными, обезличенными другими методами);

параметрический объем (параметры метода определяются набором правил изменения состава или семантики персональных данных);

возможность оценки качества данных (метод не позволяет проводить анализ, использующий конкретные значения персональных данных).

Для реализации метода требуется выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта.

При этом возможно использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки (средние значения, например).

14. Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам.

Метод обеспечивает следующие свойства обезличенных данных:

полнота;

структурированность;

релевантность;

семантическая целостность;

применимость.

Оценка свойств метода:

обратимость (метод позволяет провести процедуру деобезличивания);

вариативность (метод позволяет изменить параметры декомпозиции без предварительного деобезличивания);

изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);

стойкость (метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений);

возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);

совместимость (метод обеспечивает интеграцию с данными, обезличенными другими методами);

параметрический объем (определяется числом подмножеств и числом субъектов персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц связывания записей, находящихся в различных хранилищах);

возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

Для реализации метода требуется предварительно разработать правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища.

15. Метод перемешивания реализуется путем перемешивания отдельных записей, а также групп записей между собой.

Метод обеспечивает следующие свойства обезличенных данных:

полнота;

структурированность;

релевантность;

семантическая целостность;

применимость;

анонимность.

Оценка свойств метода:

обратимость (метод позволяет провести процедуру деобезличивания);

вариативность (метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания);

изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);

стойкость (длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию);

возможность косвенного деобезличивания (метод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов);

совместимость (метод позволяет проводить интеграцию с данными, обезличенными другими методами);

параметрический объем (зависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию);

возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

Для реализации метода требуется разработать правила перемешивания и их алгоритмы, правила и алгоритмы деобезличивания и внесения изменений в записи.

Метод может использоваться совместно с методами введения идентификаторов и декомпозиции.

16. Лицом, ответственным за проведение мероприятий по обезличиванию обрабатываемых персональных данных является первый заместитель руководителя службы. Указанное лицо вправе привлекать иных сотрудников службы (из числа допущенных к обработке персональных данных) для выполнения процедур по обезличиванию персональных данных.

Приложение № 2

к Положению

Руководителю _______________

____________________________

(наименование оператора)

от __________________________

____________________________

(фамилия, имя, отчество, адрес, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе субъекта персональных данных либо его представителя, реквизиты доверенности или иного документа, подтверждающего полномочия представителя субъекта персональных данных (при получении согласия от представителя субъекта персональных данных))

Типовое

согласие на обработку персональных данных

Я, _______________________________________________________________,

(фамилия, имя, отчество субъекта персональных данных)

с целью __________________________________________________________

_________________________________________________________________,

(указывается цель обработки персональных данных)

в соответствии со статьей 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» даю согласие ___________________________

__________________________________________________________________

(наименование и адрес оператора, получающего согласие субъекта персональных данных)

__________________________________________________________________

(наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу)

на обработку следующих моих персональных данных: __________________

_________________________________________________________________,

(перечень персональных данных, на обработку которых дается согласие субъекта персональных данных)

путем ____________________________________________________________

____________________________________________________________________________________________________________________________________

(перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных)

Данное согласие дано на срок _______________________________________,

и может быть отозвано _____________________________________________

_________________________________________________________________.

(срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено законодательством Российской Федерации)

«___» __________ 20__года.                                            _____________________

                                                                                                            (подпись)

Приложение № 3

к Положению

Руководителю _______________

____________________________

(наименование оператора)

от __________________________

____________________________

(фамилия, имя, отчество, занимаемая должность, адрес, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе субъекта персональных данных)

Типовое обязательство

сотрудника службы по тарифам Астраханской области, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей

Я, _______________________________________________________________,

(фамилия, имя, отчество)

в соответствии с абз. 10 подп. б п. 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211, обязуюсь в случае расторжения со мной _________________________________________________,

(указывается дата заключения и номер служебного контракта или трудового договора)

прекратить обработку персональных данных, ставших известными мне в связи с исполнением мною должностных обязанностей.

«___» __________ 20__года.                                              ____________________

                                                                                                                (подпись)

Приложение № 4

к Положению

Субъекту персональных данных

____________________________

____________________________

(фамилия, имя, отчество, занимаемая должность, адрес, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе субъекта персональных данных)

от руководителя _____________

____________________________

(наименование оператора)

Разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные

В соответствии абз. 11 подп. б п. 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211, разъясняю следующее.

В случае Вашего отказа предоставить свои персональные данные, необходимые для реализации функций и полномочий _____________________

__________________________________________________________________

 (указывается наименование оператора)

в связи с Вашим __________________________________________________,

(обращением, заявлением и т.п.)

обработка Ваших персональных данных без согласия может быть осуществлена (продолжена) только при наличии оснований, указанных в п.п. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Руководитель _______________________                            ________________

                                 (наименование оператора)                                                 (подпись)

Приложение № 5

к Положению

Инструкция лица,

ответственного за организацию обработки персональных данных в службе по тарифам Астраханской области

1. Общие положения

1.1. Настоящая инструкция лица, ответственного за организацию обработки персональных (далее - инструкция) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

1.2. Настоящая инструкция закрепляет права, обязанности и ответственность лица, ответственного за организацию обработки персональных данных в службе по тарифам Астраханской области (далее – служба).

1.3. Лицо, ответственное за организацию обработки персональных данных, в своей работе руководствуется действующим законодательством Российской Федерации в области персональных данных, настоящей инструкцией, а также иными локальными актами службы, регламентирующими вопросы обработки персональных данных.

1.4. Лицо, ответственное за организацию обработки персональных данных назначается приказом руководителя.

1.5. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от руководителя службы и подотчетно ему.

1.6. Лицо, ответственное за организацию обработки персональных данных назначается из числа заместителей руководителя службы.

1.7. В случае отсутствия лица ответственного за организацию обработки персональных данных, приказом руководителя службы назначается лицо временно его замещающее, которое обязано руководствоваться настоящей инструкцией.

2. Права лица, ответственного за организацию

обработки персональных данных в службе по тарифам  

Астраханской области

Лицо, ответственное за организацию обработки персональных данных, вправе:

- взаимодействовать со структурными подразделениями службы по вопросам обработки персональных данных;

- запрашивать у служащих (работников) службы информацию, необходимую для реализации полномочий;

- требовать от служащих (работников) службы соблюдения действующего законодательства, а также локальных нормативных актов организации о персональных данных;

- вносить руководителю службы предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;

- вносить руководителю службы предложения о привлечении к дисциплинарной ответственности служащих (работников) службы, виновных в нарушении законодательства Российской Федерации в области обработки персональных данных.

3. Обязанности лица, ответственного за организацию

обработки персональных данных в службе по тарифам

 Астраханской области

3.1. Лицо, ответственное за организацию обработки персональных данных обязано:

- осуществлять внутренний контроль за соблюдением служащими (работниками) службы законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

- доводить до сведения служащих (работников) службы положения действующего законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и осуществлять контроль за приемом и обработкой указанных обращений и запросов;

- не реже 1 раза в год представлять руководителю службы отчет о состоянии дел в области организации обработки персональных данных;

- незамедлительно докладывать руководителю службы обо всех случаях возникновения и/или выявления фактов нарушения (несоблюдения) требований действующего законодательства Российской Федерации в области персональных данных внутри структуры службы;

- контролировать осуществление мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;

- требовать от служащих (работников) службы, осуществляющих обработку персональных, уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных.

3.2. В отношении персональных данных, ставших известными лицу ответственному за организацию обработки персональных данных в ходе реализации своих полномочий, должна обеспечиваться конфиденциальность персональных данных.

4. Ответственность лица, ответственного за организацию

обработки персональных данных в службе по тарифам

Астраханской области

Лицо, ответственное за организацию обработки персональных данных несёт персональную ответственность за:

- принимаемые решения;

- выполнение организационных и распорядительных документов, принятых службой по вопросам обработки и защиты персональных данных;

- выполнение возложенных на него обязанностей, предусмотренных настоящей инструкцией;

- проводимые работы по обеспечению безопасности персональных данных в соответствии с функциональными обязанностями.