Положение об обработке персональных данных

Положение об обработке персональных данных

г. Санкт-Петербург  

02 февраля 2016  г.

  1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Положение об обработке персональных данных (далее — «Положение») издано и применяется Всероссийской политической партией «ПАРТИЯ ВЕЛИКОЕ ОТЕЧЕСТВО» (далее — «оператор») в соответствии с пп. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

1.2. Настоящее Положение определяет политику, порядок и условия оператора в отношении обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.

1.3. Обработка организована оператором на принципах:

— законности и справедливости;

— обработки только персональных данных, которые отвечают целям их обработки;

— соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки (обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки);

— недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

— обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных (оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных);

— хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

1.4. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и настоящим Положением.

1.5. В соответствии с поставленными целями и задачами оператор до начала обработки персональных данных назначает ответственного за организацию обработки персональных данных в должности не ниже руководителя структурного подразделения или заместителя руководителя оператора, именуемого далее «куратор ОПД».

1.5.1. Куратор ОПД получает указания непосредственно от исполнительного органа оператора и подотчетен ему.

1.5.2. Куратор вправе оформлять и подписывать уведомление, предусмотренное ч. ч. 1 и 3 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

1.6. Настоящее Положение и изменения к нему утверждаются руководителем оператора и вводятся приказом оператора.

1.7. Оператор определяет уполномоченных лиц, допущенных к обработке персональных данных. Уполномоченные лица оператора, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены под роспись до начала работы с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, с данным Положением и изменениями к нему.

1.8. При обработке персональных данных оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

1.9. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения оператором требований Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса Российской Федерации.

1.10. При осуществлении сбора персональных данных с использованием информационно-телекоммуникационных сетей оператор до начала обработки персональных данных обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

1.11. Оператор обязан представить документы и локальные акты, указанные в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», и (или) иным образом подтвердить принятие мер, указанных в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», по запросу уполномоченного органа по защите прав субъектов персональных данных в течение 30 дней.

  1. УПОЛНОМОЧЕННЫЕ ПРЕДСТАВИТЕЛИ ОПЕРАТОРА ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработку персональных данных организуют уполномоченные представители оператора (далее — «служба ОПД»).

2.2. Служба ОПД находится в непосредственном подчинении куратора ОПД.

2.3. Служба ОПД под руководством куратора ОПД:

1) организует обработку персональных данных;

2) организует прием и обработку обращений и запросов субъектов персональных данных или их представителей.

2.4. Контроль за исполнением уполномоченными лицами оператора требований законодательства и положений локальных нормативных актов оператора при обработке персональных данных возложен на куратора ОПД.

2.5. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах оператора, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также соблюдения следующих принципов по обеспечению безопасности персональных данных:

2.5.1. Полученные в рамках деятельности оператора персональные данные граждан относятся к сведениям конфиденциального характера (за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации). Не требуется обеспечивать конфиденциальность обезличенных и общедоступных персональных данных.

2.5.2. Меры по обеспечению информационной безопасности персональных данных при их обработке распространяются как на персональные данные, зафиксированные на бумажных носителях, так и на персональные данные, представленные в электронном виде.

2.5.3. Не требуется обеспечивать конфиденциальность обезличенных и общедоступных персональных данных.

2.5.4. Для осуществления мероприятий по обеспечению безопасности персональных данных  исполнительным органом оператора  назначаются ответственные лица за обеспечение безопасности информации.

2.5.5. Организацию защиты персональных данных в структурных подразделениях обеспечивают руководители подразделений.

2.5.6. Получение и обработка уполномоченными лицами персональных данных производится после получения от субъекта персональных данных согласия (в письменном, электронном или в зафиксированном устном виде) в случаях, если это требуется законодательством.

2.6. Меры, применяемые оператором,  по обеспечению безопасности персональных данных:

2.6.1. Хранение персональных данных в структурных подразделениях оператора, работники которых имеют допуск к персональным данным, осуществляется в порядке, исключающем доступ к ним третьих лиц. Хранение персональных данных должно происходить в порядке, исключающем их утрату или неправомерное использование.

2.6.2. Помещения, в которых ведется обработка персональных данных, должны обеспечивать их сохранность, исключать возможность бесконтрольного проникновения в них посторонних лиц.

2.6.3. В течение рабочего дня ключи от шкафов (ящиков, хранилищ), в которых содержатся документы с персональными данными, а также помещений, где находятся средства вычислительной техники, предназначенные для обработки персональных данных, находятся на хранении у ответственных работников.

2.6.4. По окончании рабочего времени помещения, предназначенные для обработки персональных данных, должны быть закрыты на ключ, бесконтрольный доступ в такие помещения должен быть исключен.

2.6.5. Не допускается отвечать на вопросы, связанные с передачей персональных данных (содержащие такие персональные данные)  по телефону или факсу.

2.6.6. НО ФРЖС РБ осуществляется учет машинных носителей персональных данных.

2.6.7. Организация защиты персональных данных, обрабатываемых в информационных системах персональных данных, осуществляется в рамках действующей у оператора системы защиты информации.

2.6.8. Доступ к информационным системам персональных данных защищается системой паролей. Доступ с мобильных устройств к ресурсам оператора запрещен. У оператора подключение к сети Интернет должно обеспечивать защитным паролем.

2.7. Порядок осуществления взаимодействия, сопровождающего предоставление персональных данных

2.7.1. В целях обеспечения информационной безопасности оператора при взаимоотношении с третьими лицами должны обеспечиваться правила  и меры по обеспечению информационной безопасности и выполняться следующие меры:

— должно заключаться соглашение о неразглашении персональных данных;

— по возможности должен проводиться мониторинг действий третьих лиц в информационных системах оператора;

— по возможности предусмотреть в договорах с третьими лицами право оператора на проведение аудита обеспечения информационной безопасности той информации, которую оператор передает третьему лицу.

2.8. В случае заключения договора с юридическим лицом, предметом которого является передача информации, принадлежащей оператору на законных основаниях, оператор  должен удостовериться до заключения договора в адекватном уровне обеспечения информационной безопасности юридического лица. Адекватным уровнем может являться: наличие аудиторского заключения независимого аудитора уровня информационной безопасности как юридического лица в целом, так и отдельного направления деятельности в частности. Обязательным является наличие доказательств выполнения действующего законодательства РФ по защите персональных данных.

2.9. Любое соединение с внешней информационной системой должно быть согласовано с Ответственным за обеспечение безопасности информации. Любой доступ должен быть ограничен и протестирован на возможные уязвимости.

2.10. Необходимо применять принцип многоуровневой защиты (несколько уровней межсетевых экранов, отключение протоколов и т.д.). Внешний доступ должен также отвечать следующим характеристикам:

— третья сторона должна подписать соглашение о взятие на себя обязательств по обеспечению информационной безопасности своей части сети, соединенной с сетью оператора;

— должен быть обеспечен контроль доступа и аутентификация.

2.11.  Передача персональных данных по незащищенным каналам связи запрещается.

2.12. Служба ОПД обеспечивает:

— своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных;

— недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

— восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

— постоянный контроль за обеспечением уровня защищенности персональных данных;

— соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

— учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

— при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин;

— разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

2.13. Обмен персональными данными при их обработке в информационных системах оператора осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.

2.14. В случае выявления нарушений порядка обработки персональных данных в информационных системах оператора уполномоченными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

  1. ПОРЯДОК ОБЕСПЕЧЕНИЯ ОПЕРАТОРОМ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» и другими нормативно-правовыми актами, регламентирующими обработку персональных данных.

3.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

3.3. Полномочия представителя на представление интересов каждого субъекта персональных данных подтверждаются доверенностью, оформленной в порядке ч. 1 и ч. 4 ст. 185 Гражданского кодекса Российской Федерации, ч. 2 ст. 53 Гражданского процессуального кодекса Российской Федерации или удостоверенной нотариально согласно ст. 59 Основ законодательства Российской Федерации о нотариате. Копия доверенности представителя, отснятая Службой ОПД с оригинала, хранится оператором не менее трех лет, а в случае, если срок хранения персональных данных больше трех лет, — не менее срока хранения персональных данных.

3.4. Сведения, указанные в ч. 7 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», предоставляются субъекту персональных данных Службой ОПД в доступной форме без персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных, в электронном виде. По требованию субъекта персональных данных они могут быть продублированы на бумаге. Доступная форма заверяется куратором ОПД или иным уполномоченным приказом руководителя оператора сотрудником службы ОПД.

3.5. Сведения, указанные в ч. 7 ст. 22 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», предоставляются субъекту персональных данных или его представителю при личном обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. При наличии технической возможности запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

3.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.

3.7. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации,  в целях организации учета, проведения исследования о количественной поддержке кандидатов/списков кандидатов оператора, составления базы сторонников оператора, как политического общественного объединения, допускается только при условии предварительного согласия субъекта персональных данных. Согласие может быть устным, письменным или предоставленным в электронной форме.

3.7.1. Индивидуальное устное общение с потенциальными потребителями или агитируемыми лицами, сторонниками оператора, как политического общественного объединения производится по специально выделенной телефонной линии оператора. При этом рабочее место уполномоченного лица оператора, которому поручено общение, обеспечивается техническими средствами, позволяющими (с согласия субъекта персональных данных) вести аудиозапись переговоров. В данной ситуации, аудиозапись полученного устного согласия является надлежащей.

3.7.2. Если документирование информации в виде аудиозаписи на цифровой диктофон или аудиокассету проводилось физическим лицом по собственной инициативе скрытно, а порой с целью искусственного создания доказательств, то данные доказательства признаются недопустимыми и не имеющими юридической силы на основании ч. 2 ст. 50 Конституции Российской Федерации.

3.7.3. Для письменного согласия достаточно простой письменной формы.

3.7.4. Электронная форма согласия на обработку персональных данных предоставляется путем заполнения на интернет ресурсе оператора формы Согласия на обработку персональных данных, проставления значка в специально выделенном поле, подтверждающем такое согласие, а также путем заполнения Анкеты, доступ к заполнению которой предоставляется в случае согласия субъекта персональных данных на обработку его данных и заполнения указанных выше форм и документов в электронном виде. При заполнении электронной формы Согласия на обработку персональных данных субъект обработки персональных данных предупреждается об ответственности за сообщение чужих персональных данных при заполнении Согласия на обработку персональных данных и Анкеты.

Указанная обработка персональных данных признается осуществленной с согласия субъекта персональных данных.

3.8. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

3.9. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3.10. Оператор обязан устно, а по письменному требованию субъекта персональных данных или его представителя — письменно, разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

3.10.1. Текст устного разъяснения оператор составляет в письменном виде до начала автоматизированной обработки персональных данных и хранит не менее трех лет.

3.10.2. В случае автоматизированной обработки персональных данных различными способами разъяснение готовится отдельно для каждого способа.

3.11. Оператор обязан рассмотреть возражение, указанное в ч. 3 ст. 16 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», относительно решения, вынесенного на основании исключительно автоматизированной обработки персональных данных: в течение тридцати дней со дня получения возражения.

Оператор уведомляет субъекта персональных данных о результатах рассмотрения возражения в течение 30 дней.

3.12. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, по месту своего расположения в рабочее время.

3.13. Оператор в течение 30 дней с момента исправления или уничтожения персональных данных по требованию субъекта персональных данных или его представителя обязан уведомить его о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

3.14. При трансграничной передаче персональных данных их перевод на другие языки осуществляется в порядке, согласованном оператором с иностранным контрагентом.

  1. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Целью обработки персональных данных является организация учета и проведения исследования о количественной поддержке гражданами – субъектами обработки персональных данных кандидатов/списков кандидатов оператора при проведении выборов в различные уровни государственной власти Российской Федерации и ее субъектов; формирование базы данных сторонников оператора, как политического общественного объединения.

Цель обработки персональных данных утверждается приказом оператора.

4.2. На основании указанной цели:

4.2.1. Срок обработки персональных данных  составляет 2 (два) года;

4.2.2. Объем персональных данных, обрабатываемых оператором для целей сбора персональных данных, указанных в настоящем Положении, устанавливается следующим:

— фамилия имя отчество  субъекта обработки персональных данных;

— гражданство субъекта обработки персональных данных;

— адрес  регистрации  по месту жительства и адрес фактического проживания;

— номер телефона.

4.2.3. Причастными и ответственными лицами являются руководитель оператора, куратор ОПД,  служба ОПД. 4.3. Куратор ОПД обязан:

— организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых оператором, от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

— осуществлять внутренний контроль за соблюдением его подчиненными требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;

— знакомиться только с теми персональными данными, к которым предоставлен доступ для выполнения его обязанностей;

— хранить в тайне известные им сведения о персональных данных, информировать своего непосредственного руководителя о фактах нарушения порядка обработки персональных данных;

— доводить до сведения уполномоченных лиц оператора положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

— организовать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов;

— в случае нарушения требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов ПД.

4.4. Куратор ОПД вправе:

— иметь доступ к информации, касающейся порученной ему обработки персональных данных и включающей:

  • цели обработки персональных данных;
  • категории обрабатываемых персональных данных;
  • категории субъектов, персональные данные которых обрабатываются;
  • правовые основания обработки персональных данных;
  • перечень действий с персональными данными, общее описание используемых у оператора способов обработки персональных данных;
  • описание мер, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
  • дату начала обработки персональных данных;
  • срок или условия прекращения обработки персональных данных;
  • сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите ПД, установленными Правительством Российской Федерации;

— привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, иных сотрудников оператора с возложением на них соответствующих обязанностей и закреплением ответственности.

4.5. Запись, систематизация персональных данных осуществляются только службой ОПД во взаимодействии с куратором ОПД.

4.6. В соответствии с поставленными целями и задачами накопление, хранение, уточнение (обновление, изменение) персональных данных осуществляются только службой ОПД во взаимодействии с куратором ОПД в порядке, установленном настоящим Положением.

4.7. В соответствии с поставленными целями и задачами извлечение, использование, передача (распространение, предоставление, доступ) персональных данных осуществляются только службой ОПД с письменного распоряжения руководителя оператора.

4.9. Уничтожение документов, содержащих персональные данные, производится:

— в случае отзыва согласия субъекта персональных данных, если отсутствуют иные законные основания обработки персональных данных;

— по достижении целей их обработки;

— по достижении окончания срока хранения (обработки) персональных данных, оговоренного в соответствующем соглашении заинтересованных сторон либо настоящем Положении. Приоритет имеет документ, устанавливающий более длительный срок хранения (обработки) персональных данных;

— в случае выявления неправомерной обработки персональных данных в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки персональных данных.

4.10. Уничтожение персональных данных, находящихся на машинных носителях информации, выполняется средствами информационной системы (операционной системы, системы управления базами данных).

4.11. Уничтожение производится по мере необходимости, в зависимости от объемов, накопленных для уничтожения документов. Для уничтожения материальных носителей и информации на материальных носителях документально создается Комиссия по защите персональных данных в составе не менее трех человек: руководителя оператора или структурного подразделения оператора, куратора  ОПД и представителя службы ОПД. Уничтожение производится по акту.

  1. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ

5.1. Обработкой персональных данных без использования средств автоматизации является такая обработка данных (использование, уточнение, распространение, уничтожение), которая осуществляется в отношении каждого из субъектов персональных данных при непосредственном участии человека.

5.2. Факт нахождения персональных данных в информационной системе либо факт извлечения персональных данных из информационной системы не свидетельствует об обработке персональных данных, осуществляемой с использованием средств автоматизации.

5.3. Обработка персональных данных без использования средств автоматизации является приоритетным и преимущественным способом обработки персональных данных у оператора.

5.4. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее — материальные носители), в специальных разделах или на полях форм (бланков).

5.5. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

5.6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе уполномоченные лица организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством РФ и актами оператора.

5.7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

5.8. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, оператором принимаются меры по обеспечению раздельной обработки персональных данных, в частности:

а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

5.9. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

5.10. Правила, предусмотренные пунктами 5.8. и 5.9.  настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

5.11. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

5.12. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется оператором таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

5.13. Оператор обеспечивает раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

5.14. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

  1. ВЗАИМОДЕЙСТВИЕ С ДРУГИМИ ОПЕРАТОРАМИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ С ПРИМЕНЕНИЕМ СИСТЕМЫ  ЭЛЕКТРОННОГО ВЗАИМОДЕЙСТВИЯ

6.1. На основании двух- и многосторонних соглашений оператор осуществляет обработку персональных данных в рамках электронного информационного взаимодействия с применением системы электронного взаимодействия (далее — «СЭВ»).

6.2. По согласованным регламентам оператор в рамках СЭВ на основании поступивших запросов направляет информацию, включающую персональные данные субъектов, обрабатываемые службой ОПД.

6.3. По перечню, утвержденному приказом оператора, служба ОПД в рамках СЭВ вправе направить запросы о предоставлении информации, включающей персональные данные субъектов.

6.4. Прекращение действия соглашения с другим оператором является основанием для уничтожения оператором обработанных в рамках такого соглашения персональных данных.

  1. ОБЯЗАННОСТИ РУКОВОДИТЕЛЯ И УПОЛНОМОЧЕННЫХ ЛИЦ ОПЕРАТОРА

7.1. Руководитель оператора:

— оказывает содействие куратору ОПД в выполнении им своих обязанностей;

— организует устранение выявленных нарушений законодательства Российской Федерации, нормативных правовых актов уполномоченного федерального органа исполнительной власти, внутренних документов оператора, а также причин и условий, способствовавших совершению нарушения.

7.2. Уполномоченные лица оператора:

— оказывают содействие куратору ОПД в выполнении им своих обязанностей;

— незамедлительно доводят до сведения своего непосредственного руководителя и куратора ОПД (в части его компетенции) сведения о предполагаемых нарушениях законодательства Российской Федерации, в том числе нормативных правовых актов уполномоченного федерального органа исполнительной власти, и внутренних документов оператора другими сотрудниками оператора или контрагентами оператора.

— осуществляют обработку персональных данных в целях определенных данным Положением;

— знакомятся только с теми персональными данными, к которым предоставлен доступ для выполнения их обязанностей;

— хранят в тайне известные им сведения о персональных данных, информируют своего непосредственного руководителя о фактах нарушения порядка обработки персональных данных и о попытках несанкционированного доступа к ним;

— предупреждают лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены;

— выполняют требования по защите полученных персональных данных;

— соблюдают правила пользования документами, содержащими персональные данные, и порядок их обработки и защиты;

— предоставляют письменные объяснения о допущенных нарушениях установленного порядка обработки персональных данных.

  1. КОНТРОЛЬ, ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ИЛИ НЕИСПОЛНЕНИЕ ПОЛОЖЕНИЯ

8.1. Контроль за исполнением Положения возложен на руководителя оператора.

8.2. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной (ст. ст. 5.39, 13.11, 13.14 Кодекса об административных правонарушениях Российской Федерации) или уголовной ответственности (ст. ст. 137, 272 Уголовного кодекса Российской Федерации).

8.3. Руководители структурных подразделений оператора несут персональную ответственность за исполнение обязанностей их подчиненными.