Приказ Роспотребнадзора от 23.12.2013 N 964 (ред. от 28.11.2016) "Об утверждении Положения об обработке и защите персональных данных в Роспотребнадзоре" (Зарегистрировано в Минюсте России 25.04.2014 N 32122)

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ ЗАЩИТЫ
ПРАВ ПОТРЕБИТЕЛЕЙ И БЛАГОПОЛУЧИЯ ЧЕЛОВЕКА

ПРИКАЗ
от 23 декабря 2013 г. N 964

ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ
ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В РОСПОТРЕБНАДЗОРЕ

В соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716, N 52, ст. 6439; 2010, N 27, ст. 3407, N 31, ст. 4173, ст. 4196, N 49, ст. 6409; 2011, N 23, ст. 3263, N 31, ст. 4701; 2013, N 14, ст. 1651, N 30, ст. 4038), подпунктом "б" пункта 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 (Собрание законодательства Российской Федерации, 2012, N 14, ст. 1626), приказываю:

1. Утвердить прилагаемое Положение об обработке и защите персональных данных в Роспотребнадзоре.

2. Контроль за исполнением настоящего приказа оставляю за собой.

Врио руководителя
А.Ю.ПОПОВА

Приложение

Утверждено
приказом Роспотребнадзора
от 23 декабря 2013 г. N 964

ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
В РОСПОТРЕБНАДЗОРЕ

I. Общие положения

1.1. Настоящее Положение об обработке и защите персональных данных в Роспотребнадзоре (далее - Положение) определяет:

- правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;

- правила рассмотрения запросов субъектов персональных данных или их представителей;

- правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716, N 52, ст. 6439; 2010, N 27, ст. 3407, N 31, ст. 4173, ст. 4196, N 49, ст. 6409; 2011, N 23, ст. 3263, N 31, ст. 4701; 2013, N 14, ст. 1651, N 30, ст. 4038) (далее - Федеральный закон "О персональных данных") и принятыми в соответствии с ним нормативными правовыми актами;

- перечни персональных данных, обрабатываемых в связи с реализацией служебных или трудовых отношений, а также в связи с предоставлением государственных услуг и осуществлением государственных функций.

1.2. Положение определяет деятельность Роспотребнадзора как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

1.3. Обработка персональных данных в Роспотребнадзоре осуществляется с соблюдением принципов и условий, предусмотренных Положением и законодательством Российской Федерации в сфере персональных данных.

1.4. Положение распространяется на обработку и защиту персональных данных в центральном аппарате Роспотребнадзора, территориальных органах Роспотребнадзора и подведомственных Роспотребнадзору организациях.

II. Процедуры, направленные на выявление
и предотвращение нарушений законодательства Российской
Федерации в сфере персональных данных

2.1. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в Роспотребнадзоре используются следующие процедуры:

2.1.1. Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;

2.1.2. Оценка вреда, который может быть причинен субъектам персональных данных;

2.1.3. Ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящим Положением и (или) обучение по соответствующим дополнительным профессиональным программам;

2.1.4. Осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленными законодательством Российской Федерации в сфере персональных данных;

2.1.5. Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

2.1.6. Обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.

III. Цели обработки персональных данных

3.1. В Роспотребнадзоре персональные данные могут обрабатываться для:

3.1.1. Осуществления статистических или иных исследовательских целей, за исключением целей, указанных в статье 15 Федерального закона "О персональных данных";

3.1.2. Обеспечения доступа неограниченного круга лиц к общедоступным персональным данным, который предоставлен субъектом персональных данных либо по просьбе субъекта персональных данных;

3.1.3. Выполнения возложенных на Роспотребнадзор функций и полномочий.

3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.

3.3. Обработка персональных данных, несовместимых с целями сбора персональных данных, указанными в пункте 3.1 Положения, не допускается.

3.4. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным в пункте 3.1 Положения целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

IV. Условия и порядок обработки персональных
данных федеральных государственных гражданских
служащих и работников Роспотребнадзора

4.1. Персональные данные федеральных государственных гражданских служащих (далее - гражданские служащие) и работников Роспотребнадзора, граждан, претендующих на замещение должностей в Роспотребнадзоре и подведомственных организациях, обрабатываются в целях осуществления кадровой работы, в том числе содействия гражданским служащим и работникам в прохождении федеральной государственной гражданской службы, работы, формирования кадрового резерва, обучения и должностного роста, учета результатов исполнения должностных обязанностей, обеспечения личной безопасности гражданских служащих и работников, включая членов их семей, обеспечения гражданским служащим и работникам установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, а также в целях противодействия коррупции.

4.2. В Роспотребнадзоре обрабатываются следующие категории персональных данных:

4.2.1. Фамилия, имя, отчество, дата и место рождения, гражданство;

4.2.2. Прежние фамилия, имя, отчество, дата, место рождения (в случае изменения);

4.2.3. Владение иностранными языками и языками народов Российской Федерации;

4.2.4. Образование (когда и какие образовательные организации окончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому);

4.2.5. Выполняемая работа с начала трудовой деятельности (в том числе военная служба, работа по совместительству, предпринимательская деятельность);

4.2.6. Классный чин федеральной государственной гражданской службы, гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатический ранг, воинское, специальное звание, классный чин правоохранительной службы (кем и когда присвоены);

4.2.7. Государственные награды, иные награды и знаки отличия (кем награжден и когда);

4.2.8. Степень родства, фамилии, имена, отчества, даты рождения близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены);

4.2.9. Места рождения, места работы и домашние адреса близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены);

4.2.10. Фамилии, имена, отчества, даты рождения, места рождения, места работы и домашние адреса бывших мужей (жен);

4.2.11. Пребывание за границей (когда, где, с какой целью);

4.2.12. Близкие родственники (отец, мать, братья, сестры и дети), а также муж (жена), в том числе бывшие, постоянно проживающие за границей и (или) оформляющие документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество, с какого времени проживают за границей);

4.2.13. Адрес регистрации и фактического проживания, дата регистрации по месту жительства;

4.2.14. Вид, серия, номер документа, удостоверяющего личность на территории Российской Федерации, наименование органа, выдавшего его, дата выдачи;

4.2.15. Паспорт, удостоверяющий личность гражданина Российской Федерации за пределами Российской Федерации (серия, номер, кем и когда выдан);

4.2.16. Номер контактного телефона или сведения о других способах связи;

4.2.17. Отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);

4.2.18. Идентификационный номер налогоплательщика;

4.2.19. Номер страхового свидетельства обязательного пенсионного страхования;

4.2.20. Реквизиты полиса обязательного медицинского страхования;

4.2.21. Реквизиты свидетельств государственной регистрации актов гражданского состояния;

4.2.22. Наличие (отсутствие) судимости;

4.2.23. Допуск к государственной тайне, оформленный за период работы, службы, учебы (форма, номер и дата);

4.2.24. Наличие (отсутствие) заболевания, препятствующего поступлению на государственную гражданскую службу Российской Федерации или ее прохождению, подтвержденного заключением медицинского учреждения;

4.2.25. Наличие (отсутствие) медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну, подтвержденное заключением медицинского учреждения;

4.2.26. Сведения о доходах, расходах, имуществе и обязательствах имущественного характера, а также о доходах, расходах, имуществе обязательствах имущественного характера супругов и несовершеннолетних детей;

4.2.27. Номер индивидуального лицевого счета, дата его открытия, номер банковской карты;

4.2.28. Иные персональные данные, необходимые для достижения целей, указанных в пункте 4.1 Положения.

4.3. Обработка персональных данных гражданских служащих и работников Роспотребнадзора, граждан, претендующих на замещение должностей в Роспотребнадзоре и подведомственных организациях, осуществляется без их согласия в рамках целей, указанных в пункте 4.1 Положения, на основании пунктов 2, 3, 11 части 1 статьи 6 Федерального закона "О персональных данных".

4.4. Обработка специальных категорий персональных данных гражданских служащих и работников Роспотребнадзора, граждан, претендующих на замещение должностей в Роспотребнадзоре и подведомственных организациях, осуществляется без их согласия в рамках целей, указанных в пункте 4.1 Положения, на основании пунктов 2, 2.3, 3, 4, 6, 7, 8 части 2 и части 3 статьи 10 Федерального закона "О персональных данных", за исключением случаев получения персональных данных у третьей стороны.

4.5. Обработка персональных данных гражданских служащих и работников Роспотребнадзора, граждан, претендующих на замещение должностей в Роспотребнадзоре и подведомственных организациях, осуществляется при условии получения согласия указанных лиц в следующих случаях:

4.5.1. При передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных законодательством Российской Федерации о государственной гражданской службе и трудовым законодательством;

4.5.2. При трансграничной передаче персональных данных;

4.5.3. При принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

4.6. В случаях, предусмотренных пунктом 4.5 Положения, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом "О персональных данных".

4.7. Обработка персональных данных гражданских служащих и работников Роспотребнадзора, граждан, претендующих на замещение должностей в Роспотребнадзоре и подведомственных организациях, осуществляется уполномоченными соответствующими актами Роспотребнадзора, территориального органа Роспотребнадзора, либо подведомственной организации гражданскими служащими (работниками) (далее - уполномоченный гражданский служащий (работник)) и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

4.8. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных гражданских служащих и работников Роспотребнадзора, граждан, претендующих на замещение должностей в Роспотребнадзоре и подведомственных организациях, осуществляется путем:

4.8.1. Получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые в кадровые подразделения);

4.8.2. Копирования оригиналов документов;

4.8.3. Внесения сведений в учетные формы;

4.8.4. Формирования персональных данных в ходе кадровой работы;

4.8.5. Внесения персональных данных в информационные системы (при наличии);

4.8.6. Получения персональных данных непосредственно от гражданских служащих и работников Роспотребнадзора, граждан, претендующих на замещение должностей в Роспотребнадзоре и подведомственных организациях.

4.9. В случае возникновения необходимости получения персональных данных гражданских служащих и работников Роспотребнадзора, граждан, претендующих на замещение должностей в Роспотребнадзоре и подведомственных организациях, у третьей стороны следует известить об этом заранее гражданского служащего или работника Роспотребнадзора, гражданина, претендующего на замещение должности в Роспотребнадзоре или подведомственной организации, получить письменное согласие и сообщить о целях и способах получения персональных данных.

4.10. Запрещается получать, обрабатывать и приобщать к личному делу гражданского служащего и работника Роспотребнадзора персональные данные, не предусмотренные пунктом 4.2 Положения, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

4.11. При сборе персональных данных уполномоченный гражданский служащий (работник), осуществляющий сбор (получение) персональных данных непосредственно от гражданских служащих и работников Роспотребнадзора, граждан, претендующих на замещение должностей в Роспотребнадзоре и подведомственных организациях, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные, если предоставление персональных данных является обязательным в соответствии с федеральным законом.

4.12. Передача (распространение, предоставление) и использование персональных данных гражданских служащих и работников Роспотребнадзора, граждан, претендующих на замещение должностей в Роспотребнадзоре и подведомственных организациях, осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

V. Условия и порядок обработки персональных
данных гражданских служащих Роспотребнадзора
в связи с рассмотрением вопроса о предоставлении
единовременной субсидии на приобретение
жилого помещения

5.1. В Роспотребнадзоре осуществляется обработка персональных данных гражданских служащих Роспотребнадзора в связи с рассмотрением вопроса о предоставлении единовременной субсидии на приобретение жилого помещения.

5.2. Персональные данные, подлежащие обработке в связи с предоставлением единовременной субсидии на приобретение жилого помещения, указаны в постановлении Правительства Российской Федерации от 27.01.2009 N 63 "О предоставлении федеральным государственным гражданским служащим единовременной субсидии на приобретение жилого помещения" (Собрание законодательства Российской Федерации, 2009, N 6, ст. 739, N 51, ст. 6328; 2010, N 9, ст. 963, N 52 (ч. I), ст. 7104; 2013, N 13, ст. 1559, N 39, ст. 4985) и включают в себя:

5.2.1. Фамилию, имя, отчество, дата и место рождения;

5.2.2. Прежние фамилия, имя, отчество, дата, место рождения и причина изменения (в случае изменения);

5.2.3. Вид, серия, номер документа, удостоверяющего личность на территории Российской Федерации, наименование органа, выдавшего его, дата выдачи;

5.2.4. Адрес регистрации и фактического проживания, дата регистрации по месту жительства;

5.2.5. Сведения о составе семьи;

5.2.6. Информация, содержащаяся в выписке из домовой книги, копиях финансового лицевого счета, свидетельства о браке, свидетельства о рождении ребенка (детей), трудовой книжки, документов о наличии в собственности гражданского служащего и (или) членов его семьи жилых помещений, кроме жилого помещения, в котором они зарегистрированы (с предоставлением при необходимости их оригиналов), документа, подтверждающего право на дополнительную площадь жилого помещения.

5.3. Обработка персональных данных гражданских служащих Роспотребнадзора при постановке на учет для получения единовременной выплаты осуществляется на основании заявления гражданского служащего, представляемого в Комиссию Роспотребнадзора для рассмотрения вопросов предоставления федеральным государственным гражданским служащим единовременной субсидии на приобретение жилого помещения, положение и состав которой утверждается актом Роспотребнадзора (далее - Комиссия Роспотребнадзора).

5.4. Обработка персональных данных гражданских служащих Роспотребнадзора в связи с предоставлением единовременной субсидии на приобретение жилого помещения, в том числе сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных, осуществляется уполномоченными гражданскими служащими путем:

5.4.1. Получения оригиналов необходимых документов;

5.4.2. Предоставления заверенных в установленном порядке копий документов.

5.5. Комиссия Роспотребнадзора вправе проверять сведения, содержащиеся в документах, представленных гражданскими служащими Роспотребнадзора, о наличии условий, необходимых для постановки гражданского служащего на учет для получения единовременной субсидии на получение жилья.

5.6. Передача (распространение, предоставление) и использование персональных данных гражданских служащих Роспотребнадзора, полученных в связи с предоставлением единовременной субсидии на приобретение жилого помещения, осуществляется лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации.

VI. Условия и порядок обработки персональных данных
субъектов в связи с предоставлением государственных услуг
и исполнением государственных функций

6.1. В центральном аппарате Роспотребнадзора, его территориальных органах и подведомственных организациях (далее - органы и подведомственные организации) обработка персональных данных субъектов персональных данных может осуществляться в целях предоставления государственных услуг и исполнения государственных функций.

6.2. Персональные данные субъектов персональных данных, обратившихся в органы и подведомственные организации лично, а также направивших индивидуальные или коллективные письменные обращения (запросы) или обращения (запросы) в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений (запросов) с последующим уведомлением о результатах рассмотрения.

6.3. Обработка персональных данных, необходимых в связи с предоставлением государственных услуг и исполнением государственных функций, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 4 части 1 статьи 6 Федерального закона "О персональных данных".

6.4. Обработка персональных данных, необходимых в связи с предоставлением государственных услуг и исполнением государственных функций, осуществляется уполномоченными структурными подразделениями органов и подведомственных организаций, предоставляющих соответствующие государственные услуги и (или) исполняющими государственные функции, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

6.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов, обратившихся в органы и подведомственные организации для получения государственной услуги или в целях исполнения государственной функции, осуществляется путем:

6.5.1. Получения оригиналов необходимых документов (заявление);

6.5.2. Заверения копий документов;

6.5.3. Внесения сведений в учетные формы (на бумажных и электронных носителях).

6.6. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных.

6.7. При сборе персональных данных уполномоченный гражданский служащий (работник), осуществляющий получение персональных данных непосредственно от субъектов персональных данных, обратившихся за предоставлением государственной услуги или в связи с исполнением государственной функции, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.

6.8. Передача (распространение, предоставление) и использование персональных данных заявителей (субъектов персональных данных) Роспотребнадзором осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

VII. Порядок обработки персональных данных субъектов
персональных данных в информационных системах

7.1. Обработка персональных данных в информационных системах осуществляется после реализации организационных и технических мер по обеспечению безопасности персональных данных, определенных с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

Обеспечение безопасности при обработке персональных данных, содержащихся в информационных системах органов и подведомственных организаций осуществляется в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" <1>, Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17 <2>, Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21 <3>.

--------------------------------

<1> Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257.

<2> Зарегистрирован Минюстом России 31.05.2013, регистрационный номер 28608.

<3> Зарегистрирован Минюстом России 14.05.2013, регистрационный номер 28375.

7.2. Уполномоченному гражданскому служащему (работнику), имеющему право осуществлять обработку персональных данных в информационных системах органов и подведомственных организаций (при наличии информационных систем), предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется в соответствии с функциями, предусмотренными должностными регламентами гражданских служащих (должностными обязанностями работников).

Информация может вноситься как в автоматическом режиме, при получении персональных данных с Единого портала государственных и муниципальных услуг (функций) или официального сайта Роспотребнадзора в сети Интернет, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

7.3. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах органов и подведомственных организаций, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

7.3.1. Определение угроз безопасности персональных данных при их обработке в информационных системах;

7.3.2. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные законодательством Российской Федерации уровни защищенности персональных данных;

7.3.3. Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

7.3.4. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;

7.3.5. Учет машинных носителей персональных данных;

7.3.6. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

7.3.7. Восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

7.3.8. Установление правил доступа к персональным данным, обрабатываемым в информационных системах, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах;

7.3.9. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем.

7.4. В случае выявления нарушений порядка обработки персональных данных уполномоченными гражданскими служащими (работниками) незамедлительно принимаются меры по установлению причин нарушений и их устранению.

7.5. Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

7.6. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

идентификация и аутентификация субъектов доступа и объектов доступа;

управление доступом субъектов доступа к объектам доступа;

ограничение программной среды;

защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;

регистрация событий безопасности;

антивирусная защита;

обнаружение (предотвращение) вторжений;

контроль (анализ) защищенности персональных данных;

обеспечение целостности информационной системы и персональных данных;

обеспечение доступности персональных данных;

защита среды виртуализации;

защита технических средств;

защита информационной системы, ее средств, систем связи и передачи данных;

выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них;

управление конфигурацией информационной системы и системы защиты персональных данных.

7.7. Согласно пункту 6 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" <4>.

--------------------------------

<4> Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716, N 52, ст. 6439; 2010, N 27, ст. 3407, N 31, ст. 4173, N 31, ст. 4196, N 49, ст. 6409; 2011, N 23, ст. 3263, N 31, ст. 4701; 2013, N 14, ст. 1651, N 30, ст. 4038, N 51, ст. 6683; 2014, N 23, ст. 2927, N 30, ст. 4217, N 30, ст. 4243.

7.8. В соответствии с пунктом 11 статьи 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.

7.8.1. Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

7.8.2. Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;

г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

7.8.3. Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные;

д) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

7.8.4. Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные;

б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

7.9. Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных, приведены в приложении к Составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21 <5>.

--------------------------------

<5> Зарегистрирован Минюстом России 14.05.2013, регистрационный номер 28375.

VIII. Сроки обработки и хранения персональных данных

8.1. Сроки обработки и хранения персональных данных гражданских служащих и работников Роспотребнадзора, граждан, претендующих на замещение должностей в Роспотребнадзоре и подведомственных организациях, определяются в соответствии с законодательством Российской Федерации.

С учетом положений законодательства Российской Федерации устанавливаются следующие сроки обработки и хранения персональных данных:

8.1.1. Персональные данные, содержащиеся в приказах по личному составу гражданских служащих и работников Роспотребнадзора (о приеме, о переводе, об увольнении, об установлении надбавок), подлежат хранению в соответствующих структурных подразделениях в течение 75 лет в порядке, предусмотренном законодательством Российской Федерации;

8.1.2. Персональные данные, содержащиеся в личных делах гражданских служащих и работников Роспотребнадзора, а также личных карточках гражданских служащих и работников Роспотребнадзора, хранятся в соответствующих структурных подразделениях в течение 75 лет в порядке, предусмотренном законодательством Российской Федерации;

8.1.3. Персональные данные, содержащиеся в приказах о поощрениях, материальной помощи гражданским служащим и работникам Роспотребнадзора, подлежат хранению в течение 75 лет в порядке, предусмотренном законодательством Российской Федерации;

8.1.4. Персональные данные, содержащиеся в приказах о предоставлении отпусков, о краткосрочных внутрироссийских и зарубежных командировках, о дисциплинарных взысканиях гражданских служащих и работников Роспотребнадзора, подлежат хранению в соответствующих структурных подразделениях в течение пяти лет;

8.1.5. Персональные данные, содержащиеся в документах граждан, претендующих на замещение должностей в Роспотребнадзоре и подведомственных организациях, не допущенных к участию в конкурсе, и кандидатов, участвовавших в конкурсе, хранятся в соответствующих структурных подразделениях в течение 3 лет со дня завершения конкурса, после чего подлежат уничтожению.

8.2. Сроки обработки и хранения персональных данных, предоставляемых субъектами персональных данных в органах или подведомственных организациях в связи с получением государственных услуг и исполнением государственных функций, указанных в пункте 8.1 Положения, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.

8.3. Персональные данные граждан, обратившихся в органы и подведомственные организации лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет.

8.4. Персональные данные, предоставляемые субъектами на бумажном носителе в связи с предоставлением органами и подведомственными организациями государственных услуг и исполнением государственных функций, хранятся на бумажных носителях в структурных подразделениях органа или подведомственной организации, к полномочиям которых относится обработка персональных данных в связи с предоставлением государственной услуги или исполнением государственной функции, в соответствии с положениями о соответствующих структурных подразделениях.

8.5. Если сроки хранения персональных данных не установлены законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, то обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели их обработки и хранения.

8.6. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

8.7. Уполномоченные должностные лица Роспотребнадзора обеспечивают раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных Положением.

8.8. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители соответствующих структурных подразделений органа или подведомственной организации.

8.9. Срок хранения персональных данных, внесенных в информационную систему Роспотребнадзора, указанную в пункте 7.1 Положения, должен соответствовать сроку хранения бумажных оригиналов.

IX. Порядок уничтожения персональных данных при достижении
целей обработки или при наступлении иных законных оснований

9.1. Структурным подразделением органа или подведомственной организации, ответственным за документооборот, осуществляется систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.

9.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании экспертной комиссии органа или подведомственной организации (далее - ЭК Роспотребнадзора), состав которой утверждается приказом органа или подведомственной организации.

По итогам заседания составляются протокол и акт о выделении к уничтожению документов с указанием уничтожаемых дел и их количества, проверяется их комплектность, акт подписывается председателем и членами ЭК Роспотребнадзора и утверждается руководителем органа или подведомственной организации.

9.3. Должностное лицо органа или подведомственной организации, ответственное за архивную деятельность, организует работу по уничтожению документов, содержащих персональные данные.

9.4. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

9.5. По итогам уничтожения дел (на бумажном и (или) электронном носителях) в акт о выделении к уничтожению документов вносится соответствующая запись.

X. Рассмотрение запросов субъектов персональных данных
или их представителей

10.1. Гражданские служащие и работники Роспотребнадзора, граждане, претендующие на замещение должностей в Роспотребнадзоре и подведомственных организациях, а также граждане, персональные данные которых обрабатываются в органах или подведомственных организациях, в связи с предоставлением государственных услуг и осуществлением государственных функций, имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

10.1.1. Подтверждение факта обработки персональных данных;

10.1.2. Правовые основания и цели обработки персональных данных;

10.1.3. Применяемые способы обработки персональных данных;

10.1.4. Наименование и местонахождение органа или подведомственной организации, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании федерального закона;

10.1.5. Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

10.1.6. Сроки обработки персональных данных, в том числе сроки их хранения;

10.1.7. Порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;

10.1.8. Информацию об осуществленной или предполагаемой трансграничной передаче данных;

10.1.9. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению органа или подведомственной организации, если обработка поручена или будет поручена такой организации или лицу;

10.1.10. Иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.

10.2. Субъекты персональных данных, указанные в пункте 10.1 Положения, вправе требовать от органа или подведомственной организации уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

10.3. Сведения, указанные в подпунктах 10.1.1 - 10.1.10 пункта 10.1 Положения, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

10.4. Сведения, указанные в подпунктах 10.1.1 - 10.1.10 пункта 10.1 Положения, предоставляются субъекту персональных данных или его представителю уполномоченным должностным лицом структурного подразделения органа или подведомственной организации, осуществляющего обработку соответствующих персональных данных, при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать:

10.4.1. Номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

10.4.2. Сведения, подтверждающие участие субъекта персональных данных в правоотношениях с органом или подведомственной организацией, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

10.5. В случае, если сведения, указанные в подпунктах 10.1.1 - 10.1.8 пункта 10.1 Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в орган или подведомственную организацию или направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

10.6. Субъект персональных данных вправе обратиться повторно в орган или подведомственную организацию или направить повторный запрос в целях получения сведений, указанных в подпунктах 10.1.1 - 10.1.8 пункта 10.1 Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 8.5 Положения, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 8.4 Положения, должен содержать обоснование направления повторного запроса.

10.7. Орган или подведомственная организация вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 10.5 и 10.6 Положения с мотивированным указанием причин отказа.

10.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

XI. Правила осуществления внутреннего контроля
соответствия обработки персональных данных требованиям
к защите персональных данных

11.1. Целью осуществления внутреннего контроля соответствия обработки персональных данных в органах и подведомственных организациях требованиям к защите персональных данных (далее - внутренний контроль) является соблюдение в органах и подведомственных организациях законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных.

11.2. Внутренний контроль подразделяется на плановый и внеплановый.

11.3. Внутренний контроль осуществляется лицом, ответственным за организацию обработки персональных данных, либо комиссией, образуемой приказом органа или подведомственной организации, в состав которой входят: лицо, ответственное за организацию обработки персональных данных; лица, уполномоченные на обработку персональных данных.

11.4. Плановый внутренний контроль проводится на основании плана, утвержденного руководителем органа или подведомственной организации.

Периодичность планового внутреннего контроля - не реже одного раза в год.

Срок проведения планового внутреннего контроля составляет не менее 10 рабочих дней.

11.5. Внеплановый внутренний контроль проводится по решению лица, ответственного за организацию обработки персональных данных:

на основании поступившего в орган или подведомственную организацию в письменной форме или в форме электронного документа заявления субъекта персональных данных о нарушении законодательства в области персональных данных, а также устного обращения;

в связи с проведением в органе или подведомственной организации государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

Внеплановый внутренний контроль может проводиться на основании решения руководителя органа или подведомственной организации.

11.6. Внеплановый внутренний контроль должен быть завершен не позднее чем через месяц со дня принятия решения о его проведении.

11.7. Результаты внутреннего контроля оформляются в виде справки.

11.8. При выявлении в ходе внутреннего контроля нарушений в справке отражается перечень мероприятий по устранению выявленных нарушений и сроки их устранения.

11.9. О результатах внутреннего контроля и мерах, необходимых для устранения выявленных нарушений, руководителю органа или подведомственной организации докладывает лицо, ответственное за организацию обработки персональных данных.

11.10. В отношении персональных данных, ставших известными лицу, ответственному за организацию обработки персональных данных, или членам комиссии в ходе проведения внутреннего контроля, соблюдается конфиденциальность и обеспечивается безопасность при их обработке.

Задайте вопрос юристу:
+7 (499) 703-46-71 - для жителей Москвы и Московской области
+7 (812) 309-95-68 - для жителей Санкт-Петербурга и Ленинградской области