Кадровое делопроизводство
консультация

РОССИЙСКАЯ ФЕДЕРАЦИЯ

ФЕДЕРАЛЬНЫЙ ЗАКОН

О ПЕРСОНАЛЬНЫХ ДАННЫХ

Принят

Государственной Думой

8 июля 2006 года

Одобрен

Советом Федерации

14 июля 2006 года

 (в ред. Федеральных законов от 25.11.2009 № 266-ФЗ,

от 27.12.2009 № 363-ФЗ, от 28.06.2010 № 123-ФЗ,

от 27.07.2010 № 204-ФЗ, от 27.07.2010 № 227-ФЗ,

от 29.11.2010 № 313-ФЗ от 23.12.2010 № 359-ФЗ,

от 04.06.2011 № 123-ФЗ, от 25.07.2011 № 261-ФЗ,

от 05.04.2013 № 43-ФЗ, от 23.07.2013 № 205-ФЗ,

от 21.12.2013 № 363-ФЗ, от 04.06.2014 № 142-ФЗ,

от 21.07.2014 № 216-ФЗ, от 03.07.2016 № 231-ФЗ

с изм., внесенными Федеральным законом от 21.07.2014 № 242-ФЗ)

Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ

Статья 1. Сфера действия настоящего Федерального закона

1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

(часть 1 в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

3) утратил силу. - Федеральный закон от 25.07.2011 № 261-ФЗ;

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну;

5) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года № 262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации».

(п. 5 введен Федеральным законом от 28.06.2010 № 123-ФЗ)

Статья 2. Цель настоящего Федерального закона

Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Статья 3. Основные понятия, используемые в настоящем Федеральном законе

(в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

В целях настоящего Федерального закона используются следующие основные понятия:

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Статья 4. Законодательство Российской Федерации в области персональных данных

1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.

2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее - нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию.

(часть 2 в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.

4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.

Глава 2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 5. Принципы обработки персональных данных

(в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Статья 6. Условия обработки персональных данных

(в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

3) обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);

4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

(в ред. Федерального закона от 05.04.2013 № 43-ФЗ)

5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

(в ред. Федеральных законов от 21.12.2013 № 363-ФЗ, от 03.07.2016 № 231-ФЗ)

6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

(в ред. Федерального закона от 03.07.2016 № 231-ФЗ)

8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

10) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);

11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.

3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

Статья 7. Конфиденциальность персональных данных

(в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Статья 8. Общедоступные источники персональных данных

1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

(в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

(в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

Статья 9. Согласие субъекта персональных данных на обработку его персональных данных

(в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора.

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

9) подпись субъекта персональных данных.

5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.

6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.

Статья 10. Специальные категории персональных данных

1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные сделаны общедоступными субъектом персональных данных;

(п. 2 в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;

(п. 2.1 введен Федеральным законом от 25.11.2009 № 266-ФЗ)

2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года № 8-ФЗ «О Всероссийской переписи населения»;

(п. 2.2 введен Федеральным законом от 27.07.2010 № 204-ФЗ)

2.3) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;

(п. 2.3 введен Федеральным законом от 25.07.2011 № 261-ФЗ, в ред. Федерального закона от 21.07.2014 № 216-ФЗ)

3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

(п. 3 в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

6) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

(п. 6 в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;

(п. 7 в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

7.1) обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;

(п. 7.1 введен Федеральным законом от 23.07.2013 № 205-ФЗ)

8) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;

(п. 8 в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

9) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;

(п. 9 введен Федеральным законом от 25.07.2011 № 261-ФЗ)

10) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.

(п. 10 введен Федеральным законом от 04.06.2014 № 142-ФЗ)

3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.

4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.

(в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

Статья 11. Биометрические персональные данные

(в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.

(в ред. Федерального закона от 04.06.2014 № 142-ФЗ)

Статья 12. Трансграничная передача персональных данных

(в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

1. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

2. Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных. Государство, не являющееся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, может быть включено в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер безопасности персональных данных.

3. Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных.

4. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

1) наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;

2) предусмотренных международными договорами Российской Федерации;

3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;

4) исполнения договора, стороной которого является субъект персональных данных;

5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.

Глава 3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 14. Право субъекта персональных данных на доступ к его персональным данным

(в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения, указанные в части 7 настоящей статьи, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

4. В случае, если сведения, указанные в части 7 настоящей статьи, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящей статьи, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 настоящей статьи, должен содержать обоснование направления повторного запроса.

6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 настоящей статьи. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:

1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.

Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

(в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

Статья 17. Право на обжалование действий или бездействия оператора

1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Глава 4. ОБЯЗАННОСТИ ОПЕРАТОРА

Статья 18. Обязанности оператора при сборе персональных данных

(в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона.

2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные настоящим Федеральным законом права субъекта персональных данных;

5) источник получения персональных данных.

4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 3 настоящей статьи, в случаях, если:

1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

3) персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

5) предоставление субъекту персональных данных сведений, предусмотренных частью 3 настоящей статьи, нарушает права и законные интересы третьих лиц.

Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом

(введена Федеральным законом от 25.07.2011 № 261-ФЗ)

1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

3. Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами.

4. Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных.

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

(в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Статья 20. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных

(в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 настоящего Федерального закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.

3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных

(в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

2. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

3. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

4. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 - 5 настоящей статьи, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

Статья 22. Уведомление об обработке персональных данных

1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) обрабатываемых в соответствии с трудовым законодательством;

(п. 1 в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

(в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

4) сделанных субъектом персональных данных общедоступными;

(п. 4 в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

(в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

(п. 9 введен Федеральным законом от 25.07.2011 № 261-ФЗ)

3. Уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:

(в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

1) наименование (фамилия, имя, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываются;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

(п. 7 в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;

(п. 7.1 введен Федеральным законом от 25.07.2011 № 261-ФЗ)

8) дата начала обработки персональных данных;

9) срок или условие прекращения обработки персональных данных;

10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

(п. 10 введен Федеральным законом от 25.07.2011 № 261-ФЗ)

11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

(п. 11 введен Федеральным законом от 25.07.2011 № 261-ФЗ)

4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.

6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.

7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

(часть 7 в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

Статья 22.1. Лица, ответственные за организацию обработки персональных данных в организациях

(введена Федеральным законом от 25.07.2011 № 261-ФЗ)

1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.

2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.

3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона.

4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

Глава 5. КОНТРОЛЬ И НАДЗОР ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ

ДАННЫХ. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ

НАСТОЯЩЕГО ФЕДЕРАЛЬНОГО ЗАКОНА

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных

1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.

2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:

1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;

3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;

5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представлять интересы субъектов персональных данных в суде;

(в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

5.1) направлять в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, применительно к сфере их деятельности, сведения, указанные в пункте 7 части 3 статьи 22 настоящего Федерального закона;

(п. 5.1 введен Федеральным законом от 25.07.2011 № 261-ФЗ)

6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;

9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.

4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.

5. Уполномоченный орган по защите прав субъектов персональных данных обязан:

1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;

2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;

3) вести реестр операторов;

4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;

5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;

6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;

7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.

5.1. Уполномоченный орган по защите прав субъектов персональных данных осуществляет сотрудничество с органами, уполномоченными по защите прав субъектов персональных данных в иностранных государствах, в частности международный обмен информацией о защите прав субъектов персональных данных, утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.

(часть 5.1 введена Федеральным законом от 25.07.2011 № 261-ФЗ)

6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.

7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.

8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.

9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.

Статья 24. Ответственность за нарушение требований настоящего Федерального закона

1. Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.

(в ред. Федерального закона от 25.07.2011 № 261-ФЗ)

2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

(часть 2 введена Федеральным законом от 25.07.2011 № 261-ФЗ)

Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Статья 25. Заключительные положения

1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.

2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.

2.1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года.

(часть 2.1 введена Федеральным законом от 25.07.2011 № 261-ФЗ)

3. Утратил силу. - Федеральный закон от 25.07.2011 № 261-ФЗ.

4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.

5. Отношения, связанные с обработкой персональных данных, осуществляемой государственными органами, юридическими лицами, физическими лицами при предоставлении государственных и муниципальных услуг, исполнении государственных и муниципальных функций в субъекте Российской Федерации - городе федерального значения Москве, регулируются настоящим Федеральным законом, если иное не предусмотрено Федеральным законом «Об особенностях регулирования отдельных правоотношений в связи с присоединением к субъекту Российской Федерации - городу федерального значения Москве территорий и о внесении изменений в отдельные законодательные акты Российской Федерации».

(часть 5 введена Федеральным законом от 05.04.2013 № 43-ФЗ)

Президент

Российской Федерации

В.ПУТИН

Москва, Кремль

27 июля 2006 года

№ 152-ФЗ

УКАЗ

ПРЕЗИДЕНТА РОССИЙСКОЙ ФЕДЕРАЦИИ

ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ

О ПЕРСОНАЛЬНЫХ ДАННЫХ ГОСУДАРСТВЕННОГО ГРАЖДАНСКОГО

СЛУЖАЩЕГО РОССИЙСКОЙ ФЕДЕРАЦИИ И ВЕДЕНИИ

ЕГО ЛИЧНОГО ДЕЛА

 (в ред. Указов Президента РФ от 23.10.2008 № 1517,

от 01.07.2014 № 483)

В соответствии с Федеральным законом от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации» постановляю:

1. Утвердить прилагаемое Положение о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела.

2. Установить, что Указ Президента Российской Федерации от 1 июня 1998 г. № 640 «О порядке ведения личных дел лиц, замещающих государственные должности Российской Федерации в порядке назначения и государственные должности федеральной государственной службы» (Собрание законодательства Российской Федерации, 1998, № 23, ст. 2501) не применяется в отношении порядка ведения личных дел государственных гражданских служащих Российской Федерации.

3. Правительству Российской Федерации в 3-месячный срок привести свои нормативные правовые акты в соответствие с настоящим Указом.

4. Руководителям государственных органов:

обеспечить защиту персональных данных государственных гражданских служащих Российской Федерации, содержащихся в их личных делах, от неправомерного их использования или утраты за счет средств государственных органов в порядке, установленном федеральными законами;

определить лиц, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных государственных гражданских служащих Российской Федерации в государственном органе и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.

5. Настоящий Указ вступает в силу со дня его официального опубликования.

Президент

Российской Федерации

В.ПУТИН

Москва, Кремль

30 мая 2005 года

№ 609

Утверждено

Указом Президента

Российской Федерации

от 30 мая 2005 г. № 609

ПОЛОЖЕНИЕ

О ПЕРСОНАЛЬНЫХ ДАННЫХ ГОСУДАРСТВЕННОГО

ГРАЖДАНСКОГО СЛУЖАЩЕГО РОССИЙСКОЙ ФЕДЕРАЦИИ

И ВЕДЕНИИ ЕГО ЛИЧНОГО ДЕЛА

Список изменяющих документов

(в ред. Указов Президента РФ от 23.10.2008 № 1517,

от 01.07.2014 № 483)

1. Настоящим Положением определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных государственного гражданского служащего Российской Федерации (далее - гражданский служащий), а также ведения его личного дела в соответствии со статьей 42 Федерального закона от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации» (далее - Федеральный закон).

2. Под персональными данными гражданского служащего понимаются сведения о фактах, событиях и обстоятельствах жизни гражданского служащего, позволяющие идентифицировать его личность и содержащиеся в личном деле гражданского служащего либо подлежащие включению в его личное дело в соответствии с настоящим Положением.

3. Представитель нанимателя в лице руководителя государственного органа либо его представителя, осуществляющих полномочия нанимателя от имени Российской Федерации или субъекта Российской Федерации (далее - представитель нанимателя), обеспечивает защиту персональных данных гражданских служащих, содержащихся в их личных делах, от неправомерного их использования или утраты.

4. Представитель нанимателя определяет лиц, как правило, из числа работников кадровой службы государственного органа, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных гражданских служащих в государственном органе и несущих ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты этих персональных данных.

5. При получении, обработке, хранении и передаче персональных данных гражданского служащего кадровая служба государственного органа обязана соблюдать следующие требования:

а) обработка персональных данных гражданского служащего осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия гражданскому служащему в прохождении государственной гражданской службы Российской Федерации (далее - гражданская служба), в обучении и должностном росте, обеспечения личной безопасности гражданского служащего и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества государственного органа, учета результатов исполнения им должностных обязанностей;

б) персональные данные следует получать лично у гражданского служащего. В случае возникновения необходимости получения персональных данных гражданского служащего у третьей стороны следует известить об этом гражданского служащего заранее, получить его письменное согласие и сообщить гражданскому служащему о целях, предполагаемых источниках и способах получения персональных данных;

в) запрещается получать, обрабатывать и приобщать к личному делу гражданского служащего не установленные федеральными законами персональные данные о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;

г) при принятии решений, затрагивающих интересы гражданского служащего, запрещается основываться на персональных данных гражданского служащего, полученных исключительно в результате их автоматизированной обработки или с использованием электронных носителей;

д) защита персональных данных гражданского служащего от неправомерного их использования или утраты обеспечивается за счет средств государственного органа в порядке, установленном федеральными законами;

е) передача персональных данных гражданского служащего третьей стороне не допускается без письменного согласия гражданского служащего, за исключением случаев, установленных федеральным законом.

6. В целях обеспечения защиты персональных данных, хранящихся в личных делах гражданских служащих, гражданские служащие имеют право:

а) получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные гражданского служащего, за исключением случаев, предусмотренных федеральным законом;

в) требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением Федерального закона. Гражданский служащий при отказе представителя нанимателя или уполномоченного им лица исключить или исправить персональные данные гражданского служащего имеет право заявить в письменной форме представителю нанимателя или уполномоченному им лицу о своем несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера гражданский служащий имеет право дополнить заявлением, выражающим его собственную точку зрения;

г) требовать от представителя нанимателя или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные гражданского служащего, обо всех произведенных в них изменениях или исключениях из них;

д) обжаловать в суд любые неправомерные действия или бездействие представителя нанимателя или уполномоченного им лица при обработке и защите персональных данных гражданского служащего.

7. Гражданский служащий, виновный в нарушении норм, регулирующих получение, обработку, хранение и передачу персональных данных другого гражданского служащего, несет ответственность в соответствии с Федеральным законом и другими федеральными законами.

8. В соответствии со статьей 15 Федерального закона от 27 мая 2003 г. № 58-ФЗ «О системе государственной службы Российской Федерации» на основе персональных данных гражданских служащих в федеральном государственном органе и государственном органе субъекта Российской Федерации формируются и ведутся, в том числе на электронных носителях, реестры гражданских служащих.

9. Представитель нанимателя или уполномоченное им лицо вправе подвергать обработке (в том числе автоматизированной) персональные данные гражданских служащих при формировании кадрового резерва.

10. В личное дело гражданского служащего вносятся его персональные данные и иные сведения, связанные с поступлением на гражданскую службу, ее прохождением и увольнением с гражданской службы и необходимые для обеспечения деятельности государственного органа.

Личное дело гражданского служащего ведется кадровой службой государственного органа.

11. Персональные данные, внесенные в личные дела гражданских служащих, иные сведения, содержащиеся в личных делах гражданских служащих, относятся к сведениям конфиденциального характера (за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации), а в случаях, установленных федеральными законами и иными нормативными правовыми актами Российской Федерации, - к сведениям, составляющим государственную тайну.

12. В соответствии с частью 5 статьи 20 Федерального закона сведения о доходах, имуществе и обязательствах имущественного характера федеральных гражданских служащих, назначение на должность и освобождение от должности которых осуществляются Президентом Российской Федерации или Правительством Российской Федерации, предоставляются для опубликования общероссийским средствам массовой информации по их обращениям с одновременным информированием об этом указанных гражданских служащих, а сведения о доходах, имуществе и обязательствах имущественного характера соответствующих гражданских служащих субъекта Российской Федерации предоставляются для опубликования общероссийским и региональным средствам массовой информации по их обращениям с одновременным информированием об этом указанных гражданских служащих.

13. Средствам массовой информации по их обращениям предоставляются следующие сведения о доходах, имуществе и обязательствах имущественного характера гражданских служащих, указанных в пункте 12 настоящего Положения:

а) декларированный годовой доход;

б) перечень объектов недвижимости, принадлежащих гражданскому служащему на праве собственности или находящихся в его пользовании, с указанием вида, площади и страны расположения каждого из них;

в) перечень транспортных средств и суммарная декларированная стоимость ценных бумаг, принадлежащих гражданскому служащему на праве собственности.

14. Сведения, указанные в пункте 13 настоящего Положения, предоставляются на основании данных, имеющихся в кадровой службе государственного органа на дату получения обращения соответствующего средства массовой информации.

15. В предоставляемых средствам массовой информации сведениях запрещается указывать:

а) иные данные о доходах, имуществе и обязательствах имущественного характера гражданского служащего, кроме указанных в пункте 13 настоящего Положения;

б) данные о супруге, детях и иных членах семьи гражданского служащего;

в) данные, позволяющие определить место жительства, почтовый адрес, телефон и иные индивидуальные средства коммуникации гражданского служащего, а также его супруги (ее супруга), детей и иных членов его семьи;

г) данные, позволяющие определить местонахождение объектов недвижимости, принадлежащих гражданскому служащему на праве собственности или находящихся в его пользовании;

д) информацию, отнесенную к государственной тайне или являющуюся конфиденциальной.

16. К личному делу гражданского служащего приобщаются:

а) письменное заявление с просьбой о поступлении на гражданскую службу и замещении должности государственной гражданской службы Российской Федерации (далее - должность гражданской службы);

б) собственноручно заполненная и подписанная гражданином Российской Федерации анкета установленной формы с приложением фотографии;

в) документы о прохождении конкурса на замещение вакантной должности гражданской службы (если гражданин назначен на должность по результатам конкурса);

г) копия паспорта и копии свидетельств о государственной регистрации актов гражданского состояния;

д) копия трудовой книжки или документа, подтверждающего прохождение военной или иной службы;

е) копии документов об образовании и о квалификации, документов о квалификации, подтверждающих повышение или присвоение квалификации по результатам дополнительного профессионального образования, документов о присвоении ученой степени, ученого звания (если таковые имеются);

(пп. «е» в ред. Указа Президента РФ от 01.07.2014 № 483)

ж) копии решений о награждении государственными наградами Российской Федерации, Почетной грамотой Президента Российской Федерации, об объявлении благодарности Президента Российской Федерации, присвоении почетных, воинских и специальных званий, присуждении государственных премий (если таковые имеются);

(в ред. Указа Президента РФ от 23.10.2008 № 1517)

з) копия акта государственного органа о назначении на должность гражданской службы;

и) экземпляр служебного контракта, а также экземпляры письменных дополнительных соглашений, которыми оформляются изменения и дополнения, внесенные в служебный контракт;

к) копии актов государственного органа о переводе гражданского служащего на иную должность гражданской службы, о временном замещении им иной должности гражданской службы;

л) копии документов воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);

м) копия акта государственного органа об освобождении гражданского служащего от замещаемой должности гражданской службы, о прекращении служебного контракта или его приостановлении;

н) аттестационный лист гражданского служащего, прошедшего аттестацию, и отзыв об исполнении им должностных обязанностей за аттестационный период;

о) экзаменационный лист гражданского служащего и отзыв об уровне его знаний, навыков и умений (профессиональном уровне) и о возможности присвоения ему классного чина государственной гражданской службы Российской Федерации;

п) копии документов о присвоении гражданскому служащему классного чина государственной гражданской службы Российской Федерации (иного классного чина, квалификационного разряда, дипломатического ранга);

р) копии документов о включении гражданского служащего в кадровый резерв, а также об исключении его из кадрового резерва;

с) копии решений о поощрении гражданского служащего, а также о наложении на него дисциплинарного взыскания до его снятия или отмены;

т) копии документов о начале служебной проверки, ее результатах, об отстранении гражданского служащего от замещаемой должности гражданской службы;

у) документы, связанные с оформлением допуска к сведениям, составляющим государственную или иную охраняемую законом тайну, если исполнение обязанностей по замещаемой должности гражданской службы связано с использованием таких сведений;

ф) сведения о доходах, имуществе и обязательствах имущественного характера гражданского служащего;

х) копия страхового свидетельства обязательного пенсионного страхования;

ц) копия свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации;

ч) копия страхового медицинского полиса обязательного медицинского страхования граждан;

ш) медицинское заключение установленной формы об отсутствии у гражданина заболевания, препятствующего поступлению на гражданскую службу или ее прохождению;

щ) справка о результатах проверки достоверности и полноты представленных гражданским служащим сведений о доходах, имуществе и обязательствах имущественного характера, а также сведений о соблюдении гражданским служащим ограничений, установленных федеральными законами.

17. В личное дело гражданского служащего вносятся также письменные объяснения гражданского служащего, если такие объяснения даны им после ознакомления с документами своего личного дела.

К личному делу гражданского служащего приобщаются иные документы, предусмотренные федеральными законами и иными нормативными правовыми актами Российской Федерации.

18. Документы, приобщенные к личному делу гражданского служащего, брошюруются, страницы нумеруются, к личному делу прилагается опись.

Учетные данные гражданских служащих в соответствии с порядком, установленным Президентом Российской Федерации, хранятся кадровой службой государственного органа на электронных носителях. Кадровая служба обеспечивает их защиту от несанкционированного доступа и копирования.

19. В обязанности кадровой службы государственного органа, осуществляющей ведение личных дел гражданских служащих, входит:

а) приобщение документов, указанных в пунктах 16 и 17 настоящего Положения, к личным делам гражданских служащих;

б) обеспечение сохранности личных дел гражданских служащих;

в) обеспечение конфиденциальности сведений, содержащихся в личных делах гражданских служащих, в соответствии с Федеральным законом, другими федеральными законами, иными нормативными правовыми актами Российской Федерации, а также в соответствии с настоящим Положением;

г) предоставление сведений о доходах, имуществе и обязательствах имущественного характера федеральных гражданских служащих, назначение на должность и освобождение от должности которых осуществляются Президентом Российской Федерации или Правительством Российской Федерации, для опубликования общероссийским средствам массовой информации по их обращениям;

д) предоставление сведений о доходах, имуществе и обязательствах имущественного характера соответствующих гражданских служащих субъектов Российской Федерации для опубликования общероссийским и региональным средствам массовой информации по их обращениям;

е) информирование гражданских служащих, указанных в подпунктах «г» и «д» настоящего пункта, об обращении общероссийского или регионального средства массовой информации о предоставлении ему сведений о доходах, имуществе и обязательствах имущественного характера этих гражданских служащих;

ж) ознакомление гражданского служащего с документами своего личного дела не реже одного раза в год, а также по просьбе гражданского служащего и во всех иных случаях, предусмотренных законодательством Российской Федерации.

20. Гражданские служащие, уполномоченные на ведение и хранение личных дел гражданских служащих, могут привлекаться в соответствии с законодательством Российской Федерации к дисциплинарной и иной ответственности за разглашение конфиденциальных сведений, содержащихся в указанных личных делах, а также за иные нарушения порядка ведения личных дел гражданских служащих, установленного настоящим Положением.

21. При переводе гражданского служащего на должность гражданской службы в другом государственном органе его личное дело передается в государственный орган по новому месту замещения должности гражданской службы.

22. При назначении гражданского служащего на государственную должность Российской Федерации или государственную должность субъекта Российской Федерации его личное дело передается в государственный орган по месту замещения государственной должности Российской Федерации или государственной должности субъекта Российской Федерации.

23. Личные дела гражданских служащих, уволенных с гражданской службы (за исключением гражданских служащих, указанных в пункте 22 настоящего Положения), хранятся кадровой службой соответствующего государственного органа в течение 10 лет со дня увольнения с гражданской службы, после чего передаются в архив.

Если гражданин, личное дело которого хранится кадровой службой государственного органа, поступит на гражданскую службу вновь, его личное дело подлежит передаче указанной кадровой службой в государственный орган по месту замещения должности гражданской службы.

Личные дела гражданских служащих, содержащие сведения, составляющие государственную тайну, хранятся кадровой службой соответствующего государственного органа в соответствии с законодательством Российской Федерации о государственной тайне.

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ

ПОСТАНОВЛЕНИЕ

от 15 сентября 2008 г. № 687

ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ

ОБ ОСОБЕННОСТЯХ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ,

ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ

СРЕДСТВ АВТОМАТИЗАЦИИ

В целях реализации Федерального закона «О персональных данных» Правительство Российской Федерации постановляет:

1. Утвердить прилагаемое Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации.

2. Федеральным органам исполнительной власти в месячный срок привести свои акты по вопросам обработки персональных данных, осуществляемой без использования средств автоматизации, в соответствие с настоящим Постановлением.

3. Настоящее Постановление вступает в силу по истечении одного месяца со дня его официального опубликования.

Председатель Правительства

Российской Федерации

В.ПУТИН

Утверждено

Постановлением Правительства

Российской Федерации

от 15 сентября 2008 г. № 687

ПОЛОЖЕНИЕ

ОБ ОСОБЕННОСТЯХ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ,

ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ

СРЕДСТВ АВТОМАТИЗАЦИИ

I. Общие положения

1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

3. Правила обработки персональных данных, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, должны применяться с учетом требований настоящего Положения.

II. Особенности организации

обработки персональных данных, осуществляемой

без использования средств автоматизации

4. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).

5. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

8. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:

а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор.

9. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

10. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

11. Правила, предусмотренные пунктами 9 и 10 настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

12. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

III. Меры по обеспечению безопасности

персональных данных при их обработке, осуществляемой

без использования средств автоматизации

13. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

14. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ

ПОСТАНОВЛЕНИЕ

от 1 ноября 2012 г. № 1119

ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ

К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии со статьей 19 Федерального закона «О персональных данных» Правительство Российской Федерации постановляет:

1. Утвердить прилагаемые требования к защите персональных данных при их обработке в информационных системах персональных данных.

2. Признать утратившим силу постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Собрание законодательства Российской Федерации, 2007, № 48, ст. 6001).

Председатель Правительства

Российской Федерации

Д.МЕДВЕДЕВ

Утверждены

постановлением Правительства

Российской Федерации

от 1 ноября 2012 г. № 1119

ТРЕБОВАНИЯ

К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Настоящий документ устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных (далее - информационные системы) и уровни защищенности таких данных.

2. Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».

Система защиты персональных данных включает в себя организационные и (или) технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

3. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.

4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона «О персональных данных».

5. Информационная система является информационной системой, обрабатывающей специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.

Информационная система является информационной системой, обрабатывающей биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.

Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона «О персональных данных».

Информационная система является информационной системой, обрабатывающей иные категории персональных данных, если в ней не обрабатываются персональные данные, указанные в абзацах первом - третьем настоящего пункта.

Информационная система является информационной системой, обрабатывающей персональные данные сотрудников оператора, если в ней обрабатываются персональные данные только указанных сотрудников. В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей персональные данные субъектов персональных данных, не являющихся сотрудниками оператора.

6. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных».

8. При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.

9. Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

10. Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;

г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

11. Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные;

д) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

12. Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные;

б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:

а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

б) обеспечение сохранности носителей персональных данных;

в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;

г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.

14. Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 13 настоящего документа, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.

15. Для обеспечения 2-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 14 настоящего документа, необходимо, чтобы доступ к содержанию электронного журнала сообщений был возможен исключительно для должностных лиц (работников) оператора или уполномоченного лица, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.

16. Для обеспечения 1-го уровня защищенности персональных данных при их обработке в информационных системах помимо требований, предусмотренных пунктом 15 настоящего документа, необходимо выполнение следующих требований:

а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;

б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

17. Контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ

ПОСТАНОВЛЕНИЕ

от 6 июля 2008 г. № 512

ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ

К МАТЕРИАЛЬНЫМ НОСИТЕЛЯМ БИОМЕТРИЧЕСКИХ

ПЕРСОНАЛЬНЫХ ДАННЫХ И ТЕХНОЛОГИЯМ ХРАНЕНИЯ ТАКИХ ДАННЫХ

ВНЕ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ

 (в ред. Постановления Правительства РФ от 27.12.2012 № 1404)

Правительство Российской Федерации постановляет:

1. Утвердить прилагаемые требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

2. Настоящее Постановление вступает в силу по истечении 6 месяцев со дня его официального опубликования.

Председатель Правительства

Российской Федерации

В.ПУТИН

Утверждены

Постановлением Правительства

Российской Федерации

от 6 июля 2008 г. № 512

ТРЕБОВАНИЯ

К МАТЕРИАЛЬНЫМ НОСИТЕЛЯМ БИОМЕТРИЧЕСКИХ

ПЕРСОНАЛЬНЫХ ДАННЫХ И ТЕХНОЛОГИЯМ ХРАНЕНИЯ ТАКИХ ДАННЫХ

ВНЕ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ

 (в ред. Постановления Правительства РФ от 27.12.2012 № 1404)

1. Настоящие требования применяются при использовании материальных носителей, на которые осуществляется запись биометрических персональных данных, а также при хранении биометрических персональных данных вне информационных систем персональных данных.

2. В настоящих требованиях под материальным носителем понимается машиночитаемый носитель информации (в том числе магнитный и электронный), на котором осуществляются запись и хранение сведений, характеризующих физиологические особенности человека и на основе которых можно установить его личность (далее - материальный носитель).

3. Настоящие требования не распространяются на отношения, возникающие при использовании:

а) оператором информационной системы персональных данных (далее - оператор) материальных носителей для организации функционирования информационной системы персональных данных, оператором которой он является;

б) бумажных носителей для записи и хранения биометрических персональных данных.

4. Материальный носитель должен обеспечивать:

а) защиту от несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных;

б) возможность доступа к записанным на материальный носитель биометрическим персональным данным, осуществляемого оператором и лицами, уполномоченными в соответствии с законодательством Российской Федерации на работу с биометрическими персональными данными (далее - уполномоченные лица);

в) возможность идентификации информационной системы персональных данных, в которую была осуществлена запись биометрических персональных данных, а также оператора, осуществившего такую запись;

г) невозможность несанкционированного доступа к биометрическим персональным данным, содержащимся на материальном носителе.

5. Оператор утверждает порядок передачи материальных носителей уполномоченным лицам.

6. Материальный носитель должен использоваться в течение срока, установленного оператором, осуществившим запись биометрических персональных данных на материальный носитель, но не более срока эксплуатации, установленного изготовителем материального носителя.

7. Тип материального носителя, который будет использован для обработки биометрических персональных данных, определяет оператор, за исключением случаев, когда нормативными правовыми актами Российской Федерации предписано использование материального носителя определенного типа.

8. Оператор обязан:

а) осуществлять учет количества экземпляров материальных носителей;

б) осуществлять присвоение материальному носителю уникального идентификационного номера, позволяющего точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель.

9. Технологии хранения биометрических персональных данных вне информационных систем персональных данных должны обеспечивать:

а) доступ к информации, содержащейся на материальном носителе, для уполномоченных лиц;

б) применение средств электронной подписи или иных информационных технологий, позволяющих сохранить целостность и неизменность биометрических персональных данных, записанных на материальный носитель;

(в ред. Постановления Правительства РФ от 27.12.2012 № 1404)

в) проверку наличия письменного согласия субъекта персональных данных на обработку его биометрических персональных данных или наличия иных оснований обработки персональных данных, установленных законодательством Российской Федерации в сфере отношений, связанных с обработкой персональных данных.

10. В случае если на материальном носителе содержится дополнительная информация, имеющая отношение к записанным биометрическим персональным данным, то такая информация должна быть подписана усиленной квалифицированной электронной подписью и (или) защищена иными информационными технологиями, позволяющими сохранить целостность и неизменность информации, записанной на материальный носитель.

(в ред. Постановления Правительства РФ от 27.12.2012 № 1404)

Использование шифровальных (криптографических) средств защиты информации осуществляется в соответствии с законодательством Российской Федерации.

11. При хранении биометрических персональных данных вне информационных систем персональных данных должна обеспечиваться регистрация фактов несанкционированной повторной и дополнительной записи информации после ее извлечения из информационной системы персональных данных.

12. Оператор вправе установить не противоречащие требованиям законодательства Российской Федерации дополнительные требования к технологиям хранения биометрических персональных данных вне информационных систем персональных данных в зависимости от методов и способов защиты биометрических персональных данных в информационных системах персональных данных этого оператора.

Зарегистрировано в Минюсте России 13 декабря 2011 г. № 22595

МИНИСТЕРСТВО СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ

РОССИЙСКОЙ ФЕДЕРАЦИИ

ПРИКАЗ

от 14 ноября 2011 г. № 312

ОБ УТВЕРЖДЕНИИ АДМИНИСТРАТИВНОГО РЕГЛАМЕНТА

ИСПОЛНЕНИЯ ФЕДЕРАЛЬНОЙ СЛУЖБОЙ ПО НАДЗОРУ В СФЕРЕ

СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ

ГОСУДАРСТВЕННОЙ ФУНКЦИИ ПО ОСУЩЕСТВЛЕНИЮ ГОСУДАРСТВЕННОГО

КОНТРОЛЯ (НАДЗОРА) ЗА СООТВЕТСТВИЕМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ

ДАННЫХ ТРЕБОВАНИЯМ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ

В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  (в ред. Приказов Минкомсвязи России от 08.10.2014 № 340,

от 24.11.2014 № 403)

В целях реализации части 1 статьи 23 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2009, № 48, ст. 5716; № 52, ст. 6439; 2010, № 27, ст. 3407; № 31, ст. 4173, ст. 4196; № 49, ст. 6409; № 52, ст. 6974; 2011, № 23, ст. 3263; № 31, ст. 4701), в соответствии с Федеральным законом Российской Федерации от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (Собрание законодательства Российской Федерации, 2008, № 52, ст. 6249; 2009, № 18, ст. 2140; № 29, ст. 3601; № 48, ст. 5711; № 52, ст. 6441; 2010, № 17, ст. 1988; № 18, ст. 2142; № 31, ст. 4160, ст. 4193, ст. 4196; № 32, ст. 4298; 2011, № 1, ст. 20; № 7, ст. 905; № 17, ст. 2310; № 23, ст. 3263; № 27, ст. 3880; № 30, ст. 4590), Постановлением Правительства Российской Федерации от 16 марта 2009 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» (Собрание законодательства Российской Федерации, 2009, № 12, ст. 1431; 2010, № 13, ст. 1502; № 26, ст. 3350; 2011, № 3, ст. 542; № 6, ст. 888; № 14, ст. 1935; № 21, ст. 2965), Постановлением Правительства Российской Федерации от 16 мая 2011 г. № 373 «О разработке и утверждении административных регламентов исполнения государственных функций и административных регламентов предоставления государственных услуг» (Собрание законодательства Российской Федерации, 2011, № 22, ст. 3169; № 35, ст. 5092) приказываю:

1. Утвердить прилагаемый Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

2. Направить настоящий Приказ на государственную регистрацию в Министерство юстиции Российской Федерации.

3. Признать утратившим силу Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 1 декабря 2009 г. № 630 «Об утверждении Административного регламента проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» (зарегистрирован в Министерстве юстиции Российской Федерации 01.12.2009, регистрационный № 16095).

Министр

И.О.ЩЕГОЛЕВ

Утвержден

Приказом Министерства связи

и массовых коммуникаций

Российской Федерации

от 14.11.2011 № 312

АДМИНИСТРАТИВНЫЙ РЕГЛАМЕНТ

ИСПОЛНЕНИЯ ФЕДЕРАЛЬНОЙ СЛУЖБОЙ ПО НАДЗОРУ В СФЕРЕ

СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ

ГОСУДАРСТВЕННОЙ ФУНКЦИИ ПО ОСУЩЕСТВЛЕНИЮ ГОСУДАРСТВЕННОГО

КОНТРОЛЯ (НАДЗОРА) ЗА СООТВЕТСТВИЕМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ

ДАННЫХ ТРЕБОВАНИЯМ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ

В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 (в ред. Приказов Минкомсвязи России от 08.10.2014 № 340,

от 24.11.2014 № 403)

I. Общие положения

Наименование государственной функции

1. Осуществление государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (далее - государственная функция).

Наименование уполномоченного федерального органа

исполнительной власти

2. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Служба) и ее территориальные органы, перечень которых приведен в Приложении № 1 к Административному регламенту исполнения Службой и ее территориальными органами государственной функции (далее - Регламент).

3. Настоящий Регламент определяет сроки и последовательность действий (административных процедур) Службы и ее территориальных органов, а также порядок взаимодействия с государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее - Оператор), в рамках проведения проверок при осуществлении государственной функции.

Перечень нормативных правовых актов, регулирующих

исполнение государственной функции

4. Проведение проверок осуществляется в соответствии со следующими нормативными правовыми актами:

4.1. Кодекс Российской Федерации об административных правонарушениях (Собрание законодательства Российской Федерации, 2002, № 1, ст. 1; № 18, ст. 1721; № 30, ст. 3029; № 44, ст. 4295, 4298; 2003, № 1, ст. 2; № 27, ст. 2700; № 27, ст. 2708, 2717; № 46, ст. 4434, 4440; № 50, ст. 4847, 4855; № 52, ст. 5037; 2004, № 19, ст. 1838; № 30, ст. 3095; № 31, ст. 3229; № 34, ст. 3529, 3533; № 44, ст. 4266; 2005, № 1, ст. 9, 13, 37, 40, 45; № 10, ст. 762, 763; № 13, ст. 1077, 1079; № 17, ст. 1484; № 19, ст. 1752; № 25, ст. 2431; № 27, ст. 2719, 2721; № 30, ст. 3104; № 30, ст. 3124, 3131; № 40, ст. 3986; № 50, ст. 5247; № 52, ст. 5574, 5596; 2006, № 1, ст. 4, 10; № 2, ст. 172, 175; № 6, ст. 636; № 10, ст. 1067; № 12, ст. 1234; № 17, ст. 1776; № 18, ст. 1907; № 19, ст. 2066; № 23, ст. 2380, 2385; № 28, ст. 2975; № 30, ст. 3287; № 31, ст. 3420, 3432, 3433, 3438, 3452; № 43, ст. 4412; № 45, ст. 4633, 4634, 4641; № 50, ст. 5279, 5281; № 52, ст. 5498; 2007, № 1, ст. 21, ст. 25, ст. 29, ст. 33; № 7, ст. 840; № 15, ст. 1743; № 16, ст. 1824, ст. 1825; № 17, ст. 1930; № 20, ст. 2367; № 21, ст. 2456; № 26, ст. 3089; № 30, ст. 3755; № 31, ст. 4001, 4007, 4008, 4009, 4015; № 41, ст. 4845; № 43, ст. 5084; № 46, ст. 5553; № 49, ст. 6034, 6065; № 50, ст. 6246; 2008, № 10, ст. 896; № 18, ст. 1941; № 20, ст. 2251, 2259; № 29, ст. 3418; № 30, ст. 3582, 3601, 3604; № 45, ст. 5143; № 49, ст. 5738, 5745, 5748; № 52, ст. 6227, 6235, 6236, 6248; 2009, № 1, ст. 17; № 7, ст. 771, 777; № 19, ст. 2276; № 23, ст. 2759, 2767, 2776; № 26, ст. 3120, 3122, 3131, 3132; № 29, ст. 3597, 3599, 3635, 3642; № 30, ст. 3735, 3739; № 45, ст. 5265, 5267; № 48, ст. 5711, 5724, 5755; № 52, ст. 6406, 6412; 2010, № 1, ст. 1; № 11, ст. 1169, 1176; № 15, ст. 1743, 1751; № 18, ст. 2145; № 19, ст. 2291; № 21, ст. 2524, 2525, 2526, 2530; № 23, ст. 2790; № 25, ст. 3070; № 27, ст. 3416, 3429; № 28, ст. 3553; № 30, ст. 4000, 4002, 4005, 4006, 4007; № 31, ст. 4155, 4158, 4164, 4191, 4192, 4193, 4195, 4198, 4206, 4207, 4208; № 32, ст. 4298; № 41, ст. 5192, 5193; № 46, ст. 5918; № 49, ст. 6409; № 50, ст. 6605; № 52, ст. 6984, 6995, 6996; 2011, № 1, ст. 10, ст. 23, 29, 33, 47, 54; № 7, ст. 901, 905; № 15, ст. 2039, 2041; № 17, ст. 2310, 2312; № 19, ст. 2714, 2715, 2769; № 23, ст. 3260, 3267; № 27, ст. 3873; № 29, ст. 4284, ст. 4289, ст. 4290, ст. 4291; № 30, ст. 4573, ст. 4574, ст. 4584, ст. 4590, ст. 4591, ст. 4598, ст. 4601; № 31, ст. 4009).

4.2. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2009, № 48, ст. 5716; № 52, ст. 6439; 2010, № 27, ст. 3407; № 31, ст. 4173, ст. 4196; № 49, ст. 6409; № 52, ст. 6974; 2011, № 23, ст. 3263; № 31, ст. 4701).

4.3. Федеральный закон от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (Собрание законодательства Российской Федерации, 2008, № 52, ст. 6249; 2009, № 18, ст. 2140; № 29, ст. 3601; № 48, ст. 5711; № 52, ст. 6441; 2010, № 17, ст. 1988; № 18, ст. 2142; № 31, ст. 4160, 4193, 4196; № 32, ст. 4298; 2011, № 1, ст. 20; № 7, ст. 905; № 17, ст. 2310; № 23, ст. 3263; № 27, ст. 3873, 3880; № 30, ст. 4590).

4.4. Федеральный закон от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» (Собрание законодательства Российской Федерации, 2006, № 19, ст. 2060; 2010, № 27, ст. 3410; № 31, ст. 4196).

4.5. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3448; № 31, ст. 4196; 2011, № 15, ст. 2038).

4.6. Исключен. - Приказ Минкомсвязи России от 08.10.2014 № 340.

4.6. Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» (Собрание законодательства Российской Федерации, 2008, № 28, ст. 3384).

4.7. Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (Собрание законодательства Российской Федерации, 2008, № 38, ст. 4320).

4.8. Постановление Правительства Российской Федерации от 16 марта 2009 г. № 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» (Собрание законодательства Российской Федерации, 2009, № 12, ст. 1431; 2010, № 13, ст. 1502; № 26, ст. 3350; 2011, № 3, ст. 542; № 6, ст. 888; № 14, ст. 1935; № 21, ст. 2965).

4.9. Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» (Собрание законодательства Российской Федерации, 2012, № 14, ст. 1626; 2013, № 30, ст. 4116).

(в ред. Приказа Минкомсвязи России от 08.10.2014 № 340)

4.10. Приказ Министерства связи и массовых коммуникаций Российской Федерации от 7 апреля 2009 г. № 51 «Об утверждении Типового положения о территориальном органе Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций» (зарегистрирован Министерством юстиции Российской Федерации 13 мая 2009 г., регистрационный № 13919), с изменениями, внесенными Приказом Министерства связи и массовых коммуникаций Российской Федерации от 23 апреля 2010 г. № 61 «О внесении изменений в типовое положение о территориальном органе федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций» (зарегистрирован Министерством юстиции Российской Федерации 19 мая 2010 г., регистрационный № 17288) и Приказом Министерства связи и массовых коммуникаций Российской Федерации от 3 сентября 2010 г. № 113 «О внесении изменений в типовое положение о территориальном органе федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций» (зарегистрирован Министерством юстиции Российской Федерации 7 октября 2010 г., регистрационный № 18656) и Приказом Министерства связи и массовых коммуникаций Российской Федерации от 13 августа 2012 г. № 197 «О внесении изменений в Типовое положение о территориальном органе Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций» (зарегистрирован Министерством юстиции Российской Федерации 6 сентября 2012 г., регистрационный № 25397).

(в ред. Приказа Минкомсвязи России от 08.10.2014 № 340)

Предмет государственного контроля (надзора)

5. Предметом государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных являются:

5.1. Документы, характер информации в которых предполагает или допускает включение в них персональных данных.

5.2. Информационные системы персональных данных.

5.3. Деятельность по обработке персональных данных.

Права и обязанности должностных лиц при осуществлении

государственного контроля (надзора)

6. Должностные лица Службы или ее территориального органа при проведении проверок вправе в пределах своей компетенции:

6.1. Выдавать обязательные для выполнения предписания об устранении выявленных нарушений в области персональных данных.

6.2. Составлять протоколы об административном правонарушении или направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении дел об административных правонарушениях, а также о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.

6.3. Обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных.

6.4. Использовать технику и оборудование, принадлежащие Службе или ее территориальному органу.

6.5. Запрашивать и получать необходимые документы (сведения) для достижения целей проведения проверки.

6.6. Получать доступ к информационным системам персональных данных в режиме просмотра и выборки необходимой информации.

6.7. Направлять заявление в орган, осуществляющий лицензирование деятельности Оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности предусмотрен запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных.

6.8. Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями требований законодательства Российской Федерации в области персональных данных.

6.9. Требовать от Оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных.

6.10. Привлекать экспертов и экспертные организации при проведении контрольно-надзорных мероприятий, а также для анализа полученных материалов.

(пп. 6.10 введен Приказом Минкомсвязи России от 08.10.2014 № 340)

7. Должностные лица Службы или ее территориального органа при проведении проверки обязаны:

7.1. Своевременно и в полной мере исполнять предоставленные в соответствии с законодательством Российской Федерации полномочия по предупреждению, выявлению и пресечению нарушений требований в области персональных данных.

7.2. Соблюдать законодательство Российской Федерации, права и законные интересы Оператора, проверка которого проводится.

7.3. Проводить проверку на основании приказа руководителя Службы или ее территориального органа о ее проведении в соответствии с ее назначением.

7.4. Проводить проверку только во время исполнения служебных обязанностей, выездную проверку только при предъявлении служебных удостоверений, копии приказа руководителя Службы или ее территориального органа.

7.5. Не препятствовать руководителю или иному уполномоченному представителю Оператора присутствовать при проведении проверки и давать разъяснения по вопросам, относящимся к предмету проверки.

7.6. Предоставлять руководителю или иному уполномоченному представителю Оператора, присутствующим при проведении проверки, информацию и документы, относящиеся к предмету проверки.

7.7. Знакомить руководителя или иного уполномоченного представителя Оператора с результатами проверки.

7.8. Учитывать при определении мер, принимаемых по фактам выявленных нарушений, соответствие указанных мер тяжести нарушений, а также не допускать необоснованное ограничение прав и законных интересов Оператора.

7.9. Доказывать обоснованность своих действий при их обжаловании Оператором в порядке, установленном законодательством Российской Федерации.

7.10. Соблюдать установленные сроки проведения проверки.

7.11. Не требовать от Оператора документы и иные сведения, представление которых не предусмотрено законодательством Российской Федерации.

7.12. Перед началом проведения выездной проверки по просьбе руководителя или иного уполномоченного представителя Оператора ознакомить их с положениями Регламента, в соответствии с которым проводится проверка.

7.13. Осуществлять запись о проведенной проверке в журнале учета проверок.

Права и обязанности лиц, в отношении которых осуществляются

мероприятия по контролю (надзору)

8. Оператор или его уполномоченный представитель при проведении проверки имеют право:

8.1. Непосредственно присутствовать при проведении проверки, давать объяснения по вопросам, относящимся к предмету проверки.

8.2. Получать от должностных лиц Службы или ее территориального органа информацию, которая относится к предмету проверки.

8.3. Знакомиться с результатами проверки и указывать в акте проверки о своем ознакомлении с результатами проверки, согласии или несогласии с ними, а также с отдельными действиями должностных лиц Службы или ее территориального органа.

8.4. Обжаловать действия (бездействие) должностных лиц Службы или ее территориального органа, повлекшие за собой нарушение прав Оператора при проведении проверки, в административном и (или) судебном порядке в соответствии с законодательством Российской Федерации.

8.5. Привлекать Уполномоченного при Президенте Российской Федерации по защите прав предпринимателей либо уполномоченного по защите прав предпринимателей в субъекте Российской Федерации к участию в проверке.

(пп. 8.5 введен Приказом Минкомсвязи России от 08.10.2014 № 340)

9. Руководитель или иной уполномоченный представитель Оператора обязаны предоставить должностным лицам Службы или ее территориального органа возможность ознакомиться с документами, связанными с целями, задачами и предметом выездной проверки, в случае, если выездной проверке не предшествовало проведение документарной проверки, а также обеспечить доступ проводящих выездную проверку должностных лиц Службы или ее территориального органа на территорию, в используемые Оператором при осуществлении обработки персональных данных здания, строения, сооружения, помещения, к используемому Оператором оборудованию.

Описание результата исполнения государственной функции

10. Проверка Службы и ее территориального органа завершается:

10.1. Составлением и вручением Оператору акта проверки.

10.2. Выдачей Оператору предписаний об устранении выявленных нарушений требований законодательства Российской Федерации в области персональных данных.

10.3. Составлением протоколов об административных правонарушениях в отношении Оператора.

10.4. Подготовкой и направлением материалов проверки в органы прокуратуры, другие правоохранительные органы для решения вопроса о возбуждении дела об административном правонарушении, о возбуждении уголовного дела по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.

II. Требования к порядку исполнения государственной функции

Порядок информирования об исполнении

государственной функции

11. Информация о порядке проведения проверок предоставляется:

11.1. Посредством размещения на официальном сайте Службы и ее территориальных органов в информационно-телекоммуникационной сети «Интернет», указанном в пункте 15 настоящего Регламента.

(в ред. Приказа Минкомсвязи России от 08.10.2014 № 340)

11.2. Непосредственно в центральном аппарате Службы и ее территориальных органах.

12. Место нахождения центрального аппарата Службы: 109074, Москва, Китайгородский проезд, д. 7, стр. 2.

13. Почтовый адрес для направления обращений: 109074, Москва, Китайгородский проезд, д. 7, стр. 2.

14. График работы Службы и ее территориальных органов: понедельник - четверг 9.00 - 18.00; пятница 9.00 - 16.45.

В предпраздничные дни продолжительность времени работы Службы и ее территориальных органов сокращается на 1 час.

Часы приема корреспонденции в экспедиции Службы: понедельник - пятница 10.00 - 13.00, 14.00 - 16.00.

Телефон Службы для получения справок по вопросам проведения проверок за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных: (495) 987-68-00, электронный адрес: rsoc_i№@rsoc.ru.

15. На официальных сайтах Службы в информационно-телекоммуникационной сети «Интернет»: http://rk№.gov.ru, www.роскомнадзор.рф (далее - официальный сайт Службы), размещается следующая информация:

(в ред. Приказа Минкомсвязи России от 08.10.2014 № 340)

15.1. Нормативные правовые акты и методические документы, регулирующие деятельность Службы.

15.2. Текст настоящего Регламента с приложениями.

15.3. Местонахождение, график (режим) работы, номера телефонов, адрес центрального аппарата Службы, информация о ее территориальных органах и режиме их работы.

15.4. Публикации по вопросам защиты прав субъектов персональных данных.

15.5. Отчет о деятельности уполномоченного органа по защите прав субъектов персональных данных.

15.6. План проведения плановых проверок Службы.

16. Информация об основаниях и порядке проведения проверок предоставляется при личном обращении заинтересованных лиц в Службу, по письменным обращениям заявителей, размещается на официальном сайте Службы и ее территориальных органов, на Едином портале государственных и муниципальных услуг (функций) по адресу - www.gosuslugi.ru (далее - Единый портал), а также на информационных стендах Службы и ее территориальных органов.

17. При информировании об основаниях и порядке проведения проверок по письменным обращениям ответ на обращение направляется по почте в адрес заявителя в течение тридцати дней со дня регистрации письменного обращения. В случаях, предусмотренных законодательством Российской Федерации, руководитель Службы (заместитель руководителя Службы) либо уполномоченное на то лицо вправе продлить срок рассмотрения обращения не более чем на тридцать дней, уведомив о продлении срока заявителя.

При поступлении обращения в письменной форме на бумажном носителе или в электронной форме по существу рассматриваются обращения, содержащие следующую информацию:

наименование (с указанием организационно-правовой формы), почтовый адрес - для юридического лица;

фамилия, почтовый адрес - для физического лица.

Обращения по вопросам информирования и консультирования регистрируются в установленном порядке как обращения граждан в структурном подразделении Службы или ее территориального органа, отвечающего за вопросы делопроизводства.

18. В центральном аппарате Службы структурным подразделением, ответственным за организацию проведения проверок, является Управление по защите прав субъектов персональных данных.

19. В территориальном органе Службы структурным подразделением, ответственным за проведение проверок, является соответствующий отдел или должностное лицо (лица), назначенные руководителем территориального органа Службы.

Срок исполнения государственной функции

20. Срок проведения как плановой, так и внеплановой проверки не может превышать двадцать рабочих дней.

В отношении одного субъекта малого предпринимательства общий срок проведения плановых выездных проверок не может превышать пятьдесят часов для малого предприятия и пятнадцать часов для микропредприятия в год.

(абзац введен Приказом Минкомсвязи России от 08.10.2014 № 340)

21. В исключительных случаях, связанных с необходимостью проведения сложных и (или) длительных исследований, испытаний, специальных экспертиз и расследований на основании мотивированных предложений должностных лиц Службы или территориального органа Службы, проводящих выездную плановую проверку, срок проведения проверки может быть продлен руководителем Службы или руководителем территориального органа Службы, но не более чем на двадцать рабочих дней, в отношении малых предприятий, микропредприятий не более чем на пятнадцать часов. При необходимости продления срока проверки проводящие проверку должностные лица Службы не позднее чем за два дня до даты окончания проверки готовят докладную записку с изложением причин продления срока и направляют ее руководителю Службы или руководителю территориального органа Службы, принявшему решение о проведении проверки.

(в ред. Приказа Минкомсвязи России от 08.10.2014 № 340)

22. Руководитель Службы или руководитель территориального органа Службы, принявший решение о проведении проверки, в течение одного рабочего дня назначает ответственного за подготовку приказа о продлении срока проверки.

23. Ответственный за подготовку приказа о продлении срока проверки в течение двух рабочих дней готовит проект приказа и передает его руководителю Службы или руководителю территориального органа Службы, принявшему решение о проведении проверки.

24. Руководитель Службы или руководитель территориального органа Службы, принявший решение о проведении проверки, подписывает приказ о продлении срока проверки.

25. При проведении проверок в отношении филиалов, представительств Оператора, осуществляющего деятельность на территории нескольких субъектов Российской Федерации, сроки проведения проверок устанавливаются территориальными органами Службы, участвующими в проверке, в рамках общего срока проверки, установленного ответственным территориальным органом Службы.

Срок проведения проверок в отношении Оператора, который осуществляет свою деятельность на территориях нескольких субъектов Российской Федерации, устанавливается территориальными органами Службы, участвующими в проверке, отдельно по каждому филиалу, представительству, обособленному структурному подразделению Оператора, при этом общий срок проведения проверки не может превышать шестьдесят рабочих дней.

(абзац введен Приказом Минкомсвязи России от 08.10.2014 № 340)

26. Решение о назначении одного из территориальных органов Службы ответственным за координацию проверки, взаимодействие с Оператором и оформление обобщенного акта по результатам проверок, проводимых участвовавшими в них территориальными органами Службы, принимает руководитель Службы или его заместитель, либо ответственным признается территориальный орган, на территории которого зарегистрирован Оператор.

III. Состав, последовательность и сроки выполнения

административных процедур (действий), требования к порядку

их выполнения, в том числе особенности выполнения

административных процедур (действий) в электронной форме

27. Регламент включает исполнение следующих административных процедур:

27.1. Принятие решения о проведении проверок.

27.2. Проведение проверки.

27.3. Оформление результатов и принятие мер по результатам проверки.

Принятие решения о проведении проверки

28. Служба и ее территориальные органы проводят проверки деятельности Оператора на предмет соответствия требованиям законодательства Российской Федерации в области персональных данных.

29. Службой и ее территориальными органами проводятся плановые и внеплановые проверки. Плановые и внеплановые проверки проводятся должностными лицами Службы и (или) ее территориальных органов в форме документарной или выездной проверки. Количественный состав участников проверки должен быть не менее двух должностных лиц.

(в ред. Приказа Минкомсвязи России от 08.10.2014 № 340)

30. Плановые проверки проводятся на основании ежегодного плана проведения плановых проверок территориального органа Службы на текущий календарный год (далее - План).

31. План утверждается руководителем территориального органа Службы и размещается на официальном сайте территориального органа Службы.

32. Плановые проверки проводятся:

32.1. В отношении Операторов, включенных в Реестр операторов, осуществляющих обработку персональных данных (далее - Реестр).

32.2. В отношении Операторов, не включенных в Реестр, но осуществляющих обработку персональных данных.

33. Основанием для включения плановой проверки в План является начало осуществления Оператором деятельности по обработке персональных данных, а также истечение трех лет со дня:

33.1. Государственной регистрации Оператора в качестве юридического лица, индивидуального предпринимателя.

33.2. Окончания проведения последней плановой проверки Оператора.

34. О проведении плановой проверки Оператор уведомляется не позднее чем в течение трех рабочих дней до начала ее проведения посредством направления копии приказа руководителя, заместителя руководителя Службы или ее территориального органа почтовым отправлением с уведомлением о вручении или иным доступным способом.

35. Планирование проверок проводится в порядке и сроки, установленные приказом руководителя Службы.

36. Территориальные органы Службы в установленные приказом руководителя Службы сроки направляют на согласование в центральный аппарат свои предложения по плановым проверкам.

37. После прохождения процедуры согласования данные предложения вносятся в проект Плана территориального органа Службы на планируемый период, утверждаемый руководителем территориального органа Службы.

38. Внеплановые проверки проводятся по следующим основаниям:

38.1. Истечение срока исполнения Оператором ранее выданного предписания об устранении выявленного нарушения установленных требований законодательства Российской Федерации в области персональных данных.

38.2. Поступление в Службу или ее территориальные органы обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации, в том числе о следующих фактах:

38.2.1. Возникновение угрозы причинения вреда жизни, здоровью граждан.

38.2.2. Причинение вреда жизни, здоровью граждан.

38.3. Приказ руководителя Службы или руководителя территориального органа Службы, изданный в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации, и на основании требования прокурора о проведении внеплановой проверки в рамках надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям.

(в ред. Приказа Минкомсвязи России от 08.10.2014 № 340)

38.4 - 38.5. Исключены. - Приказ Минкомсвязи России от 08.10.2014 № 340.

39. Обращения и заявления, не позволяющие установить лицо, обратившееся в Службу или ее территориальный орган, а также обращения и заявления, не содержащие сведений о фактах, указанных в пункте 30 настоящего Регламента, не могут служить основанием для проведения внеплановой проверки.

40. О проведении внеплановой выездной проверки Оператор уведомляется Службой или ее территориальным органом не менее чем за двадцать четыре часа до начала ее проведения любым доступным способом.

41. Если в результате деятельности Оператора причинен или причиняется вред жизни, здоровью граждан, предварительное уведомление Оператора о начале проведения внеплановой выездной проверки не требуется.

42. Проверки проводятся должностными лицами Службы и (или) ее территориального органа на основании приказов Службы и (или) ее территориальных органов.

Форма приказа утверждена Приказом Министерства экономического развития Российской Федерации от 30 апреля 2009 г. № 141 «О реализации положений Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (зарегистрирован Министерством юстиции Российской Федерации 13 мая 2009 г., регистрационный № 13915) (Российская газета, 2009, 14 мая; 2010, 16 июля; 2011, 18 ноября) (далее - Приказ Минэкономразвития России от 30.04.2009 № 141), с изменениями, внесенными Приказом Министерства экономического развития Российской Федерации от 24 мая 2010 г. № 199 «О внесении изменений в Приказ Минэкономразвития России от 30 апреля 2009 г. № 141 «О реализации положений Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (зарегистрирован Министерством юстиции Российской Федерации 6 июля 2010 г., регистрационный № 17702) и Приказом Министерства экономического развития Российской Федерации от 30 сентября 2011 г. № 532 «О внесении изменений в Приказ Минэкономразвития России от 30 апреля 2009 г. № 141 «О реализации положений Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (зарегистрирован Министерством юстиции Российской Федерации 10 ноября 2011 г., регистрационный № 22264).

42.1. Для оценки эффективности принимаемых Оператором технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных Служба или ее территориальный орган в рамках проверки привлекают экспертов, экспертные организации, включенные в установленном порядке в реестр граждан и организаций, привлекаемых Службой в качестве экспертов, экспертных организаций к проведению мероприятий по контролю.

43. Решение о проведении проверки принимает руководитель Службы или руководитель территориального органа Службы.

44. В день принятия решения начальник ответственного структурного подразделения Службы или территориального органа Службы готовит проект приказа о проведении проверки и направляет его на подпись руководителю Службы или руководителю территориального органа Службы.

45. Руководитель Службы или руководитель территориального органа Службы в течение одного рабочего дня подписывает приказ о проведении проверки.

В случае отсутствия руководителя Службы или руководителя территориального органа Службы проект приказа о проведении проверки подписывается уполномоченным лицом, исполняющим его обязанности.

46. В приказе о проведении проверки указываются:

46.1. Наименование органа федерального государственного контроля (надзора).

46.2. Фамилии, имена, отчества должностных лиц, проводящих проверку.

46.3. Наименование (фамилия, имя, отчество) Оператора.

46.4. Цели, задачи, предмет проверки и срок ее проведения.

46.5. Правовые основания проведения проверки, в том числе подлежащие проверке обязательные требования законодательства Российской Федерации в области персональных данных.

46.6. Сроки проведения и перечень мероприятий по контролю, необходимых для достижения целей и задач проведения проверки.

46.7. Перечень административных регламентов проведения мероприятий по контролю.

46.8. Перечень документов, представление которых Оператором необходимо для достижения целей и задач проведения проверки.

46.9. Даты начала и окончания проведения проверки.

47. При проведении проверки в отношении Оператора, осуществляющего деятельность на территории нескольких субъектов Российской Федерации, приказ о назначении ответственного территориального органа подписывается руководителем или заместителем руководителя Службы и направляется в адрес соответствующего территориального органа Службы.

48. Приказ ответственного территориального органа Службы о проведении проверки готовится на основе изданного приказа Службы и направляется в территориальные органы Службы, участвующие в проверке.

49. Территориальными органами Службы, участвующими в проверке Оператора, но не являющихся ответственными, готовятся отдельные приказы о проведении мероприятия по контролю в отношении территориального структурного подразделения Оператора на основе приказа ответственного территориального органа Службы.

50. При проведении проверки в отношении Оператора, осуществляющего деятельность на территории нескольких субъектов Российской Федерации, в приказе ответственного территориального органа Службы дополнительно указываются:

50.1. Перечень территориальных органов Службы, участвующих в проверке.

50.2. Срок представления территориальными органами Службы актов проверок.

51. Ответственные за проведение проверки должностные лица Службы или ее территориального органа в соответствии с возложенными обязанностями уведомляют Оператора о проведении проверки в сроки, установленные пунктами 34, 40 настоящего Регламента.

52. При проведении проверки должностными лицами Службы или ее территориального органа составляется план (программа) проверки.

53. План (программа) проверки утверждается руководителем или заместителем руководителя Службы либо руководителем или заместителем руководителя территориального органа Службы не менее чем за три рабочих дня до начала проверки.

54. При необходимости и исходя из конкретных обстоятельств проведения проверки, в План (программу) проверки вносятся изменения. Внесение изменений производится на основании служебной записки руководителю Службы или руководителю территориального органа Службы. План (программа) проверки с внесенными изменениями утверждается руководителем или заместителем руководителя Службы либо руководителем или заместителем руководителя территориального органа Службы.

55. Согласование проведения внеплановых выездных проверок Службы или ее территориальных органов производится по месту осуществления деятельности Операторов с прокурорами (заместителями прокуроров) субъектов Российской Федерации по основаниям, предусмотренным подпунктами 38.2.1, 38.2.2 настоящего Регламента.

(в ред. Приказа Минкомсвязи России от 08.10.2014 № 340)

56. Форма заявления о согласовании с органом прокуратуры проведения внеплановой выездной проверки Операторов, относящихся в соответствии с законодательством Российской Федерации к субъектам малого или среднего предпринимательства, утверждена Приказом Минэкономразвития России от 30.04.2009 № 141.

57. Заявление о согласовании проведения внеплановой выездной проверки Операторов, относящихся в соответствии с законодательством Российской Федерации к субъектам малого или среднего предпринимательства, и прилагаемые к нему документы направляются Службой или ее территориальным органом в органы прокуратуры заказным почтовым отправлением с уведомлением о вручении либо в форме электронного документа, подписанного электронной подписью в целях оценки законности проведения внеплановой выездной проверки.

58. Решение уполномоченных должностных лиц органов прокуратуры о согласовании проведения внеплановой выездной проверки или об отказе в согласовании ее проведения может быть обжаловано вышестоящему прокурору или в суд.

59. Блок-схема административной процедуры принятия решения о проведении проверки представлена в Приложении № 2 к Регламенту.

Проведение проверки

60. Копия приказа о проведении проверки, заверенная печатью Службы или ее территориального органа, предъявляется должностным лицом, проводящим проверку, руководителю или иному уполномоченному представителю Оператора одновременно со служебным удостоверением.

61. На втором экземпляре копии приказа о проведении проверки, остающейся у должностного лица Службы или территориального органа, руководитель или иной уполномоченный представитель Оператора проставляет отметку о получении копии приказа о проведении проверки с указанием должности, фамилии, имени и отчества, а также даты и времени его получения.

62. Проверка проводится должностными лицами Службы или ее территориального органа, которые указаны в приказе о ее проведении.

63. При необходимости изменения состава должностных лиц Службы или ее территориального органа, проводящих проверку, Служба или ее территориальный орган издает соответствующий приказ.

64. Служба или ее территориальный орган не вправе осуществлять плановую или внеплановую выездную проверку в случае отсутствия при ее проведении руководителя или иного уполномоченного представителя Оператора, за исключением случая проведения такой проверки по основанию, предусмотренному подпунктами 38.2.2 настоящего Регламента.

65. Руководитель, иной уполномоченный представитель Оператора должен обеспечить необходимые условия для проведения проверки и обязан по требованию должностных лиц Службы или ее территориального органа, проводящих проверку, организовать доступ к оборудованию, в помещения, где осуществляется обработка персональных данных, предоставить необходимую информацию и документацию для достижения целей проверки.

66. В случае необоснованного препятствования проведению проверки, уклонения от участия в проведении проверки руководитель или иной уполномоченный представитель Оператора несут ответственность в соответствии с законодательством Российской Федерации.

67. В ходе проведения проверки Служба или ее территориальный орган осуществляют следующие мероприятия по контролю:

67.1. Рассмотрение документов Оператора, в том числе:

67.1.1. Уведомление об обработке персональных данных.

67.1.2. Документов, необходимых для проверки фактов, содержащих признаки нарушения законодательства Российской Федерации в области персональных данных, изложенных в обращениях граждан и информации, поступившей в Службу или ее территориальный орган.

67.1.3. Документов, подтверждающих выполнение Оператором предписаний об устранении ранее выявленных нарушений законодательства Российской Федерации в области персональных данных.

67.1.4. Письменного согласия субъекта персональных данных на обработку его персональных данных.

67.1.5. Документов, подтверждающих соблюдение требований законодательства Российской Федерации при обработке специальных категорий и биометрических персональных данных.

67.1.6. Документов, подтверждающих уничтожение Оператором персональных данных субъектов персональных данных по достижении цели обработки.

67.1.7. Локальных актов Оператора, регламентирующих порядок и условия обработки персональных данных.

67.2. Исследование (обследование) информационной системы персональных данных, в части, касающейся персональных данных субъектов персональных данных, обрабатываемых в ней.

68. Плановые и внеплановые проверки проводятся в форме документарной или выездной проверки. Форма проведения проверки определяется Службой или ее территориальным органом самостоятельно, с учетом оснований, предусмотренных пунктами 33, 38 настоящего Регламента. 

70. Документарная проверка проводится по месту нахождения Службы или ее территориального органа.

70.1. Предметом документарной проверки являются сведения, содержащиеся в документах Оператора, устанавливающих их организационно-правовую форму, права и обязанности, документы, используемые при осуществлении деятельности по обработке персональных данных и связанные с исполнением обязательных требований, установленных нормативными правовыми актами в области персональных данных, исполнением предписаний Службы или ее территориального органа.

70.2. В процессе проведения документарной проверки должностными лицами Службы или ее территориального органа в первую очередь рассматриваются документы Оператора, имеющиеся в распоряжении Службы или ее территориального органа, в том числе уведомление об обработке персональных данных, акты предыдущих проверок в области персональных данных, материалы рассмотрения дел об административных правонарушениях и иные документы о результатах, проведенных в отношении Оператора проверок за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

70.3. Уведомление о проведении документарной проверки направляется в адрес Оператора не позднее чем в течение трех рабочих дней до начала ее проведения.

70.4. В случае, если достоверность сведений, содержащихся в документах, имеющихся в распоряжении Службы или ее территориального органа, вызывает обоснованные сомнения либо эти сведения не позволяют оценить исполнение Оператором требований, установленных нормативными правовыми актами, Служба или ее территориальный орган направляют в адрес Оператора мотивированный запрос с требованием представить иные необходимые для рассмотрения в ходе проведения документарной проверки документы. К запросу прилагается заверенная печатью копия приказа руководителя, заместителя руководителя Службы или ее территориального органа о проведении документарной проверки.

70.5. В течение десяти рабочих дней со дня получения мотивированного запроса Оператор обязан представить в Службу или ее территориальный орган указанные в запросе документы.

70.6. Указанные документы представляются в виде копий, заверенных печатью (при ее наличии) и подписью руководителя или иного уполномоченного представителя Оператора. Оператор вправе представить указанные документы в форме электронных документов в порядке, определяемом Правительством Российской Федерации, в соответствии с частью 6 статьи 11 Федерального закона от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля.

(в ред. Приказа Минкомсвязи России от 08.10.2014 № 340)

70.7. Не допускается требовать нотариального удостоверения копий документов, представляемых в Службу или ее территориальный орган, если иное не предусмотрено законодательством Российской Федерации.

70.8. В случае если в ходе документарной проверки выявлены ошибки и (или) противоречия в представленных Оператором документах либо несоответствие сведений, содержащихся в этих документах, сведениям, содержащимся в имеющихся у Службы или ее территориального органа документах и (или) полученным в ходе проведения государственного контроля (надзора), информация об этом направляется Оператору с требованием представить в течение десяти рабочих дней необходимые пояснения в письменной форме.

70.9. Оператор вправе представить дополнительно документы, подтверждающие достоверность ранее представленных документов.

70.10. Должностные лица Службы или ее территориального органа, проводящие документарную проверку, обязаны рассмотреть представленные руководителем или иным уполномоченным представителем Оператора пояснения и документы, подтверждающие достоверность ранее представленных документов. В случае если после рассмотрения представленных пояснений и документов либо при отсутствии пояснений Служба или ее территориальный орган установят признаки нарушения обязательных требований, установленных нормативными правовыми актами в области персональных данных, должностные лица Службы или ее территориального органа вправе провести выездную проверку.

71. Решение о проведении выездной проверки также может быть принято в случаях, если Оператор не представил запрашиваемые документы в установленные законодательством Российской Федерации сроки.

72. В день принятия решения о проведении выездной проверки ответственное должностное лицо Службы или территориального органа Службы готовит проект приказа о внесении изменений в приказ о проведении документарной проверки в части изменения вида проверки, продления сроков ее проведения и направляет его на подпись руководителю Службы или руководителю территориального органа Службы.

73. Выездная проверка (как плановая, так и внеплановая) проводится по месту нахождения Оператора и (или) по месту фактического осуществления его деятельности.

73.1. Предметом выездной проверки являются содержащиеся в документах Оператора сведения и принимаемые им меры по исполнению обязательных требований, установленных нормативными правовыми актами в области персональных данных.

73.2. Выездная проверка проводится в случае, если при документарной проверке не представляется возможным:

73.2.1. Удостовериться в полноте и достоверности сведений, содержащихся в уведомлении об обработке персональных данных, и иных имеющихся в распоряжении Службы или ее территориального органа документов Оператора.

73.2.2. Оценить соответствие деятельности Оператора требованиям, установленным нормативными правовыми актами в области персональных данных, без проведения соответствующей проверки.

73.2.3. Выездная проверка начинается с предъявления служебного удостоверения должностными лицами Службы или ее территориального органа, обязательного ознакомления руководителя или иного уполномоченного представителя Оператора с приказом о назначении выездной проверки и с полномочиями должностных лиц Службы или ее территориального органа, проводящих проверку, а также с целями, задачами, основаниями проведения выездной проверки, видами и объемом мероприятий по контролю, со сроками и с условиями ее проведения.

Служба, ее территориальный орган или должностное лицо привлекают к проведению выездной проверки Оператора экспертов, экспертные организации, не состоящие в гражданско-правовых и трудовых отношениях с Оператором, в отношении которых проводится проверка, и не являющиеся аффилированными лицами проверяемых лиц.

(абзац введен Приказом Минкомсвязи России от 08.10.2014 № 340)

74. При проведении проверки должностные лица Службы и (или) ее территориальных органов не вправе:

74.1. Проверять выполнение обязательных требований и требований, установленных нормативными правовыми актами в области персональных данных, если такие требования не относятся к полномочиям Службы.

74.2. Осуществлять плановую или внеплановую выездную проверку в случае отсутствия при ее проведении руководителя, иного уполномоченного представителя Оператора, за исключением случая проведения такой проверки по основанию, предусмотренному подпунктами 38.2.2 настоящего Регламента.

74.3. Требовать представления документов, информации, если они не относятся к предмету проверки, а также изымать оригиналы таких документов.

Требовать представления сведений и документов, которые могут быть получены этим органом от иных органов государственного контроля (надзора), органов муниципального контроля.

(абзац введен Приказом Минкомсвязи России от 08.10.2014 № 340)

74.4. Распространять информацию, полученную в результате проведения проверки и составляющую государственную, коммерческую, служебную, иную охраняемую законом тайну, за исключением случаев, предусмотренных законодательством Российской Федерации.

74.5. Превышать установленные сроки проведения проверки.

74.6. Осуществлять выдачу Операторам предписаний или предложений о проведении за их счет проверок.

75. Блок-схема административной процедуры проведения проверок представлена в Приложении № 2 к Регламенту.

Оформление результатов и принятие мер

по результатам проверки

76. По результатам проверки должностными лицами Службы или ее территориального органа, проводившими проверку, составляется акт проверки, который оформляется непосредственно после ее завершения.

77. Форма акта утверждена Приказом Минэкономразвития России от 30.04.2009 № 141.

78. В акте проверки указываются:

78.1. Дата, время и место составления акта проверки.

78.2. Наименование Службы (ее территориального органа).

78.3. Дата и номер приказа руководителя Службы (руководителя территориального органа Службы).

78.4. Фамилии, имена, отчества должностных лиц, проводивших проверку.

78.5. Наименование (фамилия, имя, отчество) Оператора, иного уполномоченного представителя Оператора, присутствовавших при проведении проверки.

78.6. Дата, время, продолжительность и место проведения проверки.

78.7. Сведения о результатах проверки, в том числе о выявленных нарушениях обязательных требований законодательства Российской Федерации в области персональных данных, об их характере и о лицах, допустивших указанные нарушения.

78.8. Сведения об ознакомлении или отказе в ознакомлении с актом проверки руководителя, иного уполномоченного представителя Оператора, присутствовавших при проведении проверки, о наличии их подписей или об отказе от совершения подписи, а также сведения о внесении в журнал учета проверок записи о проведенной проверке либо о невозможности внесения такой записи в связи с отсутствием у Оператора указанного журнала.

78.9. Подписи должностных лиц, проводивших проверку.

79. Акт должен содержать одно из следующих заключений:

79.1. Об отсутствии в деятельности Оператора нарушений требований законодательства Российской Федерации в области персональных данных.

79.2. О выявленных в деятельности Оператора нарушениях требований законодательства Российской Федерации в области персональных данных, с указанием конкретных статей и (или) пунктов нормативных правовых актов.

80. По результатам проведения проверки Оператора, осуществляющего деятельность на территории одного субъекта Российской Федерации, должностными лицами Службы или ее территориального органа акт составляется в двух экземплярах. Один экземпляр акта с копиями приложений вручается руководителю или иному уполномоченному представителю Оператора под расписку об ознакомлении либо об отказе в ознакомлении с актом проверки или направляется заказным почтовым отправлением с уведомлением о вручении, которое приобщается к экземпляру акта, хранящемуся в деле Службы или ее территориального органа.

81. По результатам проведения проверки Оператора, осуществляющего деятельность на территории нескольких субъектов Российской Федерации, должностными лицами ответственного территориального органа Службы, проводившими проверку, составляется и подписывается обобщенный акт в двух экземплярах. Один экземпляр акта с копиями приложений вручается руководителю или иному уполномоченному представителю Оператора под расписку об ознакомлении либо об отказе в ознакомлении с актом проверки или направляется заказным почтовым отправлением с уведомлением о вручении, которое приобщается к экземпляру акта, хранящемуся в деле ответственного территориального органа Службы.

Территориальные органы Службы, проводящие проверку под руководством ответственного территориального органа Службы, составляют и подписывают заключение об итогах мероприятия по контролю в двух экземплярах. Один экземпляр заключения об итогах мероприятия по контролю с копиями приложений направляется в ответственный территориальный орган Службы для составления акта проверки с уведомлением о вручении, которое приобщается ко второму экземпляру заключения об итогах мероприятия по контролю, хранящемуся в деле территориального органа Службы, проводившего мероприятие по контролю.

82. В случае отсутствия руководителя или иного уполномоченного представителя Оператора, а также в случае отказа Оператора дать расписку об ознакомлении либо об отказе в ознакомлении с актом проверки, в акте делается соответствующая запись, подтверждаемая подписями должностных лиц Службы или ее территориального органа, проводивших проверку. Данный акт с копиями приложений направляется заказным почтовым отправлением с уведомлением о вручении, которое приобщается к экземпляру акта, хранящемуся в деле Службы или ее территориального органа.

83. При наличии разногласий по содержанию акта окончательное решение принимает должностное лицо Службы или ее территориального органа, исполняющее функции руководителя проверки. Должностные лица Службы или ее территориального органа, проводящие проверку, а также представители Оператора, не согласные с принятым решением, вправе изложить в письменной форме свое особое мнение, которое прилагается к акту.

Акт подписывают все должностные лица Службы или ее территориального органа, проводившие проверку, после чего в него запрещается вносить изменения и дополнения.

К акту прилагаются протоколы, справки, объяснительные работников Оператора, на которых возложены обязанности по обработке персональных данных, и другие документы, подтверждающие выявление (устранение) нарушения.

84. После завершения внеплановой выездной проверки, согласованной ранее с органами прокуратуры, Служба или ее территориальный орган направляют в орган прокуратуры, принявший решение о согласовании проведения проверки, копию акта проверки в течение пяти рабочих дней со дня его составления.

85. В случае выявления по результатам проверки нарушения требований законодательства Российской Федерации в области персональных данных, Оператору, вместе с актом, выдается предписание об устранении выявленных нарушений.

86. В предписании об устранении выявленных нарушений указываются:

86.1. Наименование органа федерального государственного контроля (надзора).

86.2. Дата выдачи предписания об устранении выявленных нарушений.

86.3. Номер предписания об устранении выявленных нарушений.

86.4. Наименование Оператора.

86.5. Регистрационный номер Оператора в Реестре (при наличии).

86.6. Наименование вида деятельности.

86.7. Дата и номер акта проверки.

86.8. Содержание нарушения.

86.9. Основание выдачи предписания.

86.10. Срок устранения нарушения.

86.11. Срок информирования органа федерального государственного контроля (надзора) об устранении выявленного нарушения.

86.12. Подписи должностных лиц, проводивших проверку.

87. В случае выявления, по результатам проверки Оператора, осуществляющего деятельность на территории нескольких субъектов Российской Федерации, нарушений требований законодательства Российской Федерации в области персональных данных, предписания выдаются ответственным территориальным органом Службы.

88. В случае выявления в ходе или по результатам проверки административного правонарушения, предусмотренного Кодексом Российской Федерации об административных правонарушениях, в том числе невыполнения в установленный срок ранее выданного предписания об устранении выявленного нарушения обязательных требований законодательства Российской Федерации в области персональных данных, должностные лица Службы или ее территориального органа составляют такой протокол в порядке, установленном законодательством Российской Федерации, или направляют материалы в органы прокуратуры, другие правоохранительные органы для разрешения вопроса о возбуждении дела об административном правонарушении, а также о возбуждении уголовного дела, при наличии оснований для возбуждения уголовных дел по признакам преступлений, выявленных в ходе проверки и связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.

89. По окончании проверки должностное лицо Службы или ее территориального органа в журнале Оператора по учету проверок производит запись о проведенной проверке.

Форма журнала учета проверок установлена Приказом Минэкономразвития России от 30.04.2009 № 141. Журнал учета проверок должен быть прошит, пронумерован и удостоверен печатью Оператора.

При отсутствии журнала учета проверок в акте проверки делается соответствующая запись.

90. Блок-схема административной процедуры оформления результатов и принятия мер по результатам проверок представлена в Приложении № 2 к Регламенту.

IV. Порядок и формы контроля за исполнением

государственной функции

Порядок осуществления текущего контроля

за соблюдением и исполнением должностными лицами Службы

и ее территориальных органов положений регламента

и иных нормативных правовых актов, устанавливающих

требования к исполнению государственной функции,

а также за принятием ими решений

91. Текущий контроль за соблюдением последовательности действий, определенных административными процедурами по исполнению государственной функции, осуществляется руководителями структурных подразделений, ответственных за организацию работы по исполнению государственной функции.

92. Текущий контроль осуществляется путем проведения указанными руководителями:

92.1. Проверок соблюдения и исполнения должностными лицами положений Регламента, иных нормативных правовых актов Российской Федерации;

92.2. Визирования документов, подлежащих направлению вышестоящему должностному лицу, руководителю структурного подразделения, руководителю Службы (или руководителю территориального органа Службы).

При осуществлении текущего контроля также используется Единая информационная система Службы (ЕИС).

93. Предметом контроля является выявление и устранение нарушений порядка рассмотрения обращений заявителей, оценка полноты рассмотрения обращений, объективность и тщательность проверки сведений, обоснованность и законность предлагаемых для принятия решений по таким обращениям.

94. При выявлении в ходе текущего контроля нарушений Регламента или требований законодательства Российской Федерации руководители структурных подразделений, ответственных за организацию работы по исполнению государственной функции, принимают меры по устранению таких нарушений и направляют уполномоченному должностному лицу Службы или территориального органа Службы предложения о применении или неприменении мер дисциплинарной ответственности лиц, допустивших соответствующие нарушения.

Порядок и периодичность осуществления плановых

и внеплановых проверок полноты и качества исполнения

государственной функции, в том числе порядок и формы

контроля за полнотой и качеством исполнения

государственной функции

95. Контроль за полнотой и качеством исполнения государственной функции осуществляется в формах:

проведения проверок соблюдения и исполнения специалистами положений Регламента;

визирования документов руководителями структурных подразделений;

направления запросов в уполномоченные органы с просьбой о предоставлении сведений о рассмотрении соответствующих обращений;

рассмотрения жалоб на действия (бездействия) должностных лиц структурных подразделений, ответственных за организацию работы по исполнению государственной функции.

96. Проверки полноты и качества исполнения государственной функции могут быть плановыми и внеплановыми.

97. Плановые проверки проводятся в соответствии с установленными планами работы.

98. Внеплановые проверки организуются и проводятся в случаях:

получения информации от граждан, юридических лиц, органов государственной власти или местного самоуправления о соответствующих нарушениях;

обращений граждан, юридических лиц и индивидуальных предпринимателей с жалобами на нарушения их прав и законных интересов действиями (бездействием) должностными лицами Службы или ее территориального органа.

99. Проверки проводятся руководителями и должностными лицами структурных подразделений, ответственных за организацию работы по исполнению такой государственной функции, а также руководителем Службы.

100. Руководитель Службы (руководители территориальных органов Службы) организует и осуществляет общий контроль за исполнением государственной функции ответственными подразделениями.

Ответственность должностных лиц Службы

и ее территориальных органов за решения и действия

(бездействие), принимаемые (осуществляемые)

ими в ходе исполнения государственной функции

101. Ответственность за исполнение государственной функции по настоящему Регламенту возлагается на руководителей структурных подразделений Службы и территориальных органов Службы и непосредственно руководителя Службы и руководителей территориальных органов Службы.

102. Персональная ответственность за выполнение государственной функции закрепляется в должностных регламентах специалистов Службы, ответственных за осуществление государственной функции.

Положения, характеризующие требования к порядку

и формам контроля за исполнением государственной

функции, в том числе со стороны граждан,

их объединений и организаций

103. Контроль за предоставлением государственной услуги со стороны граждан, их объединений и организаций осуществляется в форме направления обращений в федеральные органы исполнительной власти в установленном порядке.

V. Досудебный (внесудебный) порядок обжалования решений

и действий (бездействия) Службы или ее территориального

органа, а также ее должностных лиц

104. Заявитель вправе обратиться в Службу или ее территориальный орган устно в ходе личного приема или письменно с обращением (жалобой, заявлением) на решения, действия (бездействие) должностных лиц Службы или ее территориальных органов в ходе проведения проверок на основании настоящего Регламента в соответствии с действующим законодательством Российской Федерации.

105. Заявитель вправе обжаловать действия (бездействие) должностных лиц:

105.1. Территориального органа Службы - руководителю территориального органа Службы.

105.2. Службы или руководителя территориального органа Службы - руководителю Службы.

105.3. Руководителя Службы - Министру связи и массовых коммуникаций Российской Федерации.

106. Личный прием должностными лицами Службы проводится в установленные для приема дни и время.

107. В ходе личного приема заявителю может быть отказано в дальнейшем рассмотрении обращения, если ему ранее неоднократно давались ответы по существу поставленных в обращении вопросов.

108. Письменное обращение (жалоба, заявление) рассматривается Службой или ее территориальным органом в течение 30 дней с момента его регистрации. В случаях, предусмотренных законодательством Российской Федерации, руководитель Службы или ее территориального органа либо иное уполномоченное лицо вправе продлить срок рассмотрения обращения не более чем на 30 дней, уведомив заявителя о продлении срока.

109. Служба и ее территориальные органы:

109.1. Обеспечивают объективное, всестороннее и своевременное рассмотрение обращения.

109.2. Запрашивают необходимые для рассмотрения обращения документы и материалы в других государственных органах, органах местного самоуправления и у иных должностных лиц, за исключением судов, органов дознания и органов предварительного следствия.

109.3. Принимают меры, направленные на восстановление или защиту нарушенных прав, свобод и законных интересов заявителя.

109.4. Дают письменный ответ по существу поставленных в обращении вопросов, за исключением случаев, установленных законодательством Российской Федерации.

109.5. Уведомляют заявителя о направлении его обращения на рассмотрение в другой государственный орган, орган местного самоуправления или иному должностному лицу в соответствии с их компетенцией.

110. Рассмотрение обращения и подготовка ответа осуществляется в порядке, установленном Федеральным законом от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» (Собрание законодательства Российской Федерации, 2006, № 19, ст. 2060; 2010, № 27, ст. 3410; № 31, ст. 4196).

В исключительных случаях, при наличии оснований, руководитель Службы или ее территориального органа, заместитель руководителя Службы или ее территориального органа продлевает срок рассмотрения обращения не более чем на 30 дней, уведомив о продлении срока заявителя, направившего жалобу.

В случае если в письменной жалобе не указаны фамилия заявителя, направившего жалобу, и почтовый адрес, по которому должен быть направлен ответ, ответ на жалобу не дается.

Служба или ее территориальный орган при получении письменной жалобы, в которой содержатся нецензурные либо оскорбительные выражения, угрозы имуществу государственного органа, угрозы имуществу, жизни, здоровью должностного лица, а также членов его семьи, вправе оставить жалобу без ответа по существу поставленных в ней вопросов и сообщить заявителю, направившему жалобу, о недопустимости злоупотребления правом.

В случае если текст жалобы не поддается прочтению, она не рассматривается, о чем сообщается заявителю, направившему жалобу, если его фамилия и почтовый адрес поддаются прочтению.

В случае если в жалобе содержится вопрос, на который многократно давались письменные ответы по существу в связи с ранее направляемыми жалобами, и при этом в жалобе не приводятся новые доводы или обстоятельства, руководитель Службы или ее территориального органа, заместитель руководителя Службы или ее территориального органа вправе принять решение о безосновательности очередной жалобы и прекращении переписки с заявителем по данному вопросу при условии, что указанная жалоба и ранее направляемые жалобы направлялись в один и тот же государственный орган. О данном решении уведомляется заявитель, направивший жалобу.

111. По результатам рассмотрения обращения принимается одно из следующих решений:

об отказе в удовлетворении жалобы;

о частичном удовлетворении жалобы;

об удовлетворении жалобы, отмене принятого решения должностных лиц, государственных служащих (в том числе результатов проверки) либо о возложении на должных лиц обязанностей по восстановлению прав и (или) интересов лица, направившего жалобу.

Ответ на жалобу подписывается руководителем Службы (руководителем территориального органа Службы) либо иным уполномоченным должностным лицом.

Ответ на жалобу, поступившую в Службу (территориальный орган Службы), направляется по почтовому адресу или адресу электронной почты, указанным в обращении.

112. Заявители могут сообщить о нарушении своих прав и законных интересов, противоправных решениях, действиях (бездействии) должностных лиц Службы или ее территориального органа, нарушении положений настоящего Регламента, некорректном поведении или нарушении служебной этики:

по номеру телефона, указанному на официальном сайте Службы или ее территориального органа.

В таких сообщениях должна содержаться следующая информация:

фамилия, имя, отчество (последнее - при наличии) гражданина (представителя юридического лица), которым подается сообщение, его место жительства или пребывания (место нахождения юридического лица);

фамилия, имя, отчество должностного лица Службы или ее территориального органа, решение, действия (бездействие) которого нарушает права и законные интересы гражданина (юридического лица);

суть нарушенных прав и законных интересов, противоправного решения, действия (бездействия).

Приложение № 1

к Административному регламенту

исполнения Федеральной службой

по надзору в сфере связи, информационных

технологий и массовых коммуникаций

государственной функции по осуществлению

государственного контроля (надзора)

за соответствием обработки персональных

данных требованиям законодательства

Российской Федерации в области

персональных данных

 (в ред. Приказов Минкомсвязи России от 08.10.2014 № 340,

от 24.11.2014 № 403)

Реквизиты

Федеральной службы по надзору в сфере связи, информационных

технологий и массовых коммуникаций

Территориальные органы

Федеральной службы по надзору в сфере связи, информационных

технологий и массовых коммуникаций

(в ред. Приказа Минкомсвязи России от 24.11.2014 N 403)

Приложение № 2

к Административному регламенту

исполнения Федеральной службой

по надзору в сфере связи, информационных

технологий и массовых коммуникаций

государственной функции по осуществлению

государственного контроля (надзора)

за соответствием обработки персональных

данных требованиям законодательства

Российской Федерации в области

персональных данных

Блок-схема

административной процедуры принятия решения

о проведении проверок

Блок-схема

административной процедуры принятия решения

о проведении проверок

                     ┌────────────────────────────────────┐

                     │      Поступление предложений       │

                     │      территориальных органов       │

                     │  Службы по проведению проверок на  │

                     │          плановый период           │

                     └────────────────┬───────────────────┘

                                      │

                                      \/

                     ┌────────────────────────────────────┐

                     │    Согласование предложений по     │

         ┌<──────────┤ проведению проверок в центральном  ├─────>┐

         │           │          аппарате Службы           │      │

         │ Да        └────────────────────────────────────┘      │

         \/                                          /\      Нет │

┌───────────────┐    ┌──────────────────┐            │           │

│  Утверждение  │    │     Внесение     │            │           \/

│     Плана     │    │ изменений в План │            │    ┌─────────────────────┐

│  проведения   │<───┤    проведения    │            └<───┤      Внесение       │

│   плановых    │    │плановых проверок │                 │   территориальным   │

│   проверок    │    └──────────────────┘                 │   органом Службы    │

│    Службы     │                                         │     изменений и     │

└────────┬──────┘                                         │ (или) дополнений в  │

         │                                                │ направленные ранее  │

         \/                                               │   предложения по    │

┌──────────────────────────┐   ┌──────────────────┐       │     проведению      │

│Подготовка, утверждение и │   │  Составление и   │       │      проверок       │

│   размещение приказа о   │<──┤утверждение плана │       └─────────────────────┘

│        проведении        │   │     проверки     │

│    проверки в Единой     │   └──────────────────┘

│      информационной      │

│      системе Службы      │

└──────────────────────────┘

Блок-схема административной процедуры проведения проверок

                     ┌──────────────────────────────┐

                     │  Утверждение приказа Службы  │

       ┌<────────────┤или ее территориального органа├────────────────>┐

       │             │     о проведении проверки    │                 │

       │             └──────────────────────────────┘                 │

       │                                                              │

       │  Документарная                                    Выездная   │

       │                                                              │

       \/                                                             \/

┌───────────────────────────┐                 ┌───────────────────────────┐

│    Изучение документов    │                 │ Выезд по местонахождению  │

│   Оператора, имеющихся в  │                 │         Оператора         │

│распоряжении Службы или ее │                 └─────────────────────┬─────┘

│  территориального органа  │                                       │

└─────┬─────────────────────┘                                       \/

      │                                       ┌───────────────────────────┐

      \/                                      │  Предъявление служебного  │

┌──────────────────────────┐                  │удостоверения, ознакомление│

│ Оформление и направление │                  │представителей Оператора с │

│мотивированного запроса в │                  │   приказом о проведении   │

│     адрес Оператора с    │                  │проверки, целями, задачами,│

│   приложением перечня    │                  │    основаниями выездной   │

│ запрашиваемых документов │                  │проверки, видами и объемом │

└─────┬────────────────────┘                  │мероприятий по контролю, со│

      │                                       │   сроками и условиями ее  │

      \/                                      │         проведения        │

┌──────────────────────────┐  ┌──────────┐    └─────────────────────┬─────┘

│    Изучение полученных   ├─>│ Принятие │                          │

│   документов Оператора   │  │решения о │                          \/

└────┬─────────────────────┘  │ выездной │    ┌───────────────────────────┐

     │                        │ проверке │    │ Проведение мероприятий по │

     \/                       └──────────┘    │         контролю          │

┌──────────────────────────┐                  └─────────────────────┬─────┘

│    Завершение проверки   │                                        │

└──────────────────────────┘                                        \/

                                              ┌───────────────────────────┐

                                              │    Завершение проверки    │

                                              └───────────────────────────┘

Блок-схема

административной процедуры оформления результатов

и принятия мер по результатам проверок

             ┌──────────────────────────────────────────────┐

      ┌<─────┤    Составление должностными лицами Службы    ├────────>┐

      │      │ или ее территориального органа акта проверки │         │

      │      └──────────────────────────────────────────────┘         │

      │                                                               │

      │ Нарушения не                                     Нарушения    │

      │ выявлены                                         выявлены     │

      │                                                               │

      \/                                                              \/

┌───────────────────────────┐                 ┌───────────────────────────┐

│ Ознакомление представителя│                 │Ознакомление представителя │

│  Оператора с содержанием  │                 │  оператора с содержанием  │

│       акта проверки       │                 │       акта проверки       │

└─────┬─────────────────────┘                 └───────────────────────┬───┘

      │                                                               │

      │              ┌──────────────────────────────┐                 │

      \/             │  Должностные лица Службы или │                 \/

┌─────────────────┐  │  ее территориального органа, │   ┌─────────────────┐

│ Подписание акта │  │    а также представители     │   │ Подписание акта │

│  должностными   │  │   Оператора, не согласные с  │   │  должностными   │

│  лицами Службы  │<─┤ принятыми решениями, излагают├──>│  лицами Службы  │

│     или ее      │  │   в письменной форме особое  │   │     или ее      │

│территориального │  │  мнение, которое прилагается │   │территориального │

│     органа      │  │        к акту проверки       │   │     органа      │

└─────┬───────────┘  └──────────────────────────────┘   └─────────────┬───┘

      │                                                               │

      \/                                                              \/

┌───────────────────────────┐                 ┌───────────────────────────┐

│  Вручение экземпляра акта │                 │  Вручение экземпляра акта │

│    проверки с копиями     │                 │    проверки с копиями     │

│ приложений представителю  │         ┌<──────┤ приложений представителю  │

│ Оператора или направление │         │       │ Оператора или направление │

│     заказным почтовым     │         │       │     заказным почтовым     │

│      отправлением с       │         │       │      отправлением с       │

│  уведомлением о вручении  │         │       │  уведомлением о вручении  │

└───────────────────────────┘         │       └───────────────────────┬───┘

                                      │                               │

                                      \/                              \/

   В рамках      ┌──────────────────────────────┐  ┌──────────────────────┐

 компетенции     │   Выявление в ходе или по    │  │  Выдача предписания  │

   Службы        │     результатам проверки     │  │    об устранении     │

    ┌<───────────┤      административного       │  │выявленного нарушения │

    │            │  правонарушения или уголовно │  │   и осуществление    │

    │            │     наказуемого деяния       │  │   контроля за его    │

    │            └─────────────────────┬────────┘  │     исполнением      │

    │                                  │           └──────────────────────┘

    │                                  │ Вне компетенции

    \/                                 │ Службы

┌────────────────────────┐             │

│ Направление протоколов │             \/

│   об административном  │  ┌─────────────────────────────────────────────┐

│   правонарушении с     │  │   Материалы проверки направляются в органы  │

│ материалами проверки   │  │   прокуратуры, другие правоохранительные    │

│ на рассмотрение в суд  │  │ органы для разрешения вопроса о возбуждении │

└────────────────────────┘  │ дела об административном правонарушении, а  │

                            │   также о возбуждении уголовного дела, при  │

                            │     наличии основания для возбуждения       │

                            │               уголовных дел                 │

                            └─────────────────────────────────────────────┘

Зарегистрировано в Минюсте России 14 мая 2013 г. № 28375

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ПРИКАЗ

от 18 февраля 2013 г. № 21

ОБ УТВЕРЖДЕНИИ СОСТАВА И СОДЕРЖАНИЯ

ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ

БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2009, № 48, ст. 5716; № 52, ст. 6439; 2010, № 27, ст. 3407; № 31, ст. 4173, ст. 4196; № 49, ст. 6409; 2011, № 23, ст. 3263; № 31, ст. 4701) и Положением о Федеральной службе по техническому и экспортному контролю, утвержденным Указом Президента Российской Федерации от 16 августа 2004 г. № 1085 (Собрание законодательства Российской Федерации, 2004, № 34, ст. 3541; 2006, № 49, ст. 5192; 2008, № 43, ст. 4921; № 47, ст. 5431; 2012, № 7, ст. 818), приказываю:

1. Утвердить прилагаемые Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

2. Признать утратившим силу приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456).

Директор

Федеральной службы по техническому

и экспортному контролю

В.СЕЛИН

Утверждены

приказом ФСТЭК России

от 18 февраля 2013 г. № 21

СОСТАВ И СОДЕРЖАНИЕ

ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ

БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

I. Общие положения

1. Настоящий документ разработан в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2009, № 48, ст. 5716; № 52, ст. 6439; 2010, № 27, ст. 3407; № 31, ст. 4173, ст. 4196; № 49, ст. 6409; 2011, № 23, ст. 3263; № 31, ст. 4701) и устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (далее - меры по обеспечению безопасности персональных данных) для каждого из уровней защищенности персональных данных, установленных в Требованиях к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 (Собрание законодательства Российской Федерации, 2012, № 45, ст. 6257).

Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

В настоящем документе не рассматриваются вопросы обеспечения безопасности персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну, а также меры, связанные с применением шифровальных (криптографических) средств защиты информации.

2. Безопасность персональных данных при их обработке в информационной системе персональных данных (далее - информационная система) обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством Российской Федерации.

Для выполнения работ по обеспечению безопасности персональных данных при их обработке в информационной системе в соответствии с законодательством Российской Федерации могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации.

3. Меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119, и должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных.

4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

6. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.

7. Меры по обеспечению безопасности персональных данных при их обработке в государственных информационных системах принимаются в соответствии с требованиями о защите информации, содержащейся в государственных информационных системах, устанавливаемыми ФСТЭК России в пределах своих полномочий в соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3448; 2010, № 31, ст. 4196; 2011, № 15, ст. 2038; № 30, ст. 4600; 2012, № 31, ст. 4328).

II. Состав и содержание мер по обеспечению безопасности

персональных данных

8. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

идентификация и аутентификация субъектов доступа и объектов доступа;

управление доступом субъектов доступа к объектам доступа;

ограничение программной среды;

защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);

регистрация событий безопасности;

антивирусная защита;

обнаружение (предотвращение) вторжений;

контроль (анализ) защищенности персональных данных;

обеспечение целостности информационной системы и персональных данных;

обеспечение доступности персональных данных;

защита среды виртуализации;

защита технических средств;

защита информационной системы, ее средств, систем связи и передачи данных;

выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;

управление конфигурацией информационной системы и системы защиты персональных данных.

Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных, приведены в приложении к настоящему документу.

8.1. Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).

8.2. Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил.

8.3. Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения.

8.4. Меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных.

8.5. Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.

8.6. Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.

8.7. Меры по обнаружению (предотвращению) вторжений должны обеспечивать обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия.

8.8. Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.

8.9. Меры по обеспечению целостности информационной системы и персональных данных должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных.

8.10. Меры по обеспечению доступности персональных данных должны обеспечивать авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы.

8.11. Меры по защите среды виртуализации должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.

8.12. Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее - средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей.

8.13. Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных.

8.14. Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.

8.15. Меры по управлению конфигурацией информационной системы и системы защиты персональных данных должны обеспечивать управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений.

9. Выбор мер по обеспечению безопасности персональных данных, подлежащих реализации в информационной системе в рамках системы защиты персональных данных, включает:

определение базового набора мер по обеспечению безопасности персональных данных для установленного уровня защищенности персональных данных в соответствии с базовыми наборами мер по обеспечению безопасности персональных данных, приведенными в приложении к настоящему документу;

адаптацию базового набора мер по обеспечению безопасности персональных данных с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы (в том числе исключение из базового набора мер, непосредственно связанных с информационными технологиями, не используемыми в информационной системе, или структурно-функциональными характеристиками, не свойственными информационной системе);

уточнение адаптированного базового набора мер по обеспечению безопасности персональных данных с учетом не выбранных ранее мер, приведенных в приложении к настоящему документу, в результате чего определяются меры по обеспечению безопасности персональных данных, направленные на нейтрализацию всех актуальных угроз безопасности персональных данных для конкретной информационной системы;

дополнение уточненного адаптированного базового набора мер по обеспечению безопасности персональных данных мерами, обеспечивающими выполнение требований к защите персональных данных, установленными иными нормативными правовыми актами в области обеспечения безопасности персональных данных и защиты информации.

10. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности персональных данных, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности персональных данных.

В этом случае в ходе разработки системы защиты персональных данных должно быть проведено обоснование применения компенсирующих мер для обеспечения безопасности персональных данных.

11. В случае определения в соответствии с Требованиями к защите персональных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119, в качестве актуальных угроз безопасности персональных данных 1-го и 2-го типов дополнительно к мерам по обеспечению безопасности персональных данных, указанным в пункте 8 настоящего документа, могут применяться следующие меры:

проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых;

тестирование информационной системы на проникновения;

использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.

12. При использовании в информационных системах сертифицированных по требованиям безопасности информации средств защиты информации:

а) для обеспечения 1 и 2 уровней защищенности персональных данных применяются:

средства вычислительной техники не ниже 5 класса;

системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса;

межсетевые экраны не ниже 3 класса в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;

б) для обеспечения 3 уровня защищенности персональных данных применяются:

средства вычислительной техники не ниже 5 класса;

системы обнаружения вторжений и средства антивирусной защиты не ниже 4 класса защиты в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса защиты в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;

межсетевые экраны не ниже 3 класса в случае актуальности угроз 2-го типа или взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия информационной системы с информационно-телекоммуникационными сетями международного информационного обмена;

в) для обеспечения 4 уровня защищенности персональных данных применяются:

средства вычислительной техники не ниже 6 класса;

системы обнаружения вторжений и средства антивирусной защиты не ниже 5 класса;

межсетевые экраны 5 класса.

Для обеспечения 1 и 2 уровней защищенности персональных данных, а также для обеспечения 3 уровня защищенности персональных данных в информационных системах, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.

13. При использовании в информационных системах новых информационных технологий и выявлении дополнительных угроз безопасности персональных данных, для которых не определены меры обеспечения их безопасности, должны разрабатываться компенсирующие меры в соответствии с пунктом 10 настоящего документа.

Приложение

к Составу и содержанию

организационных и технических

мер по обеспечению безопасности

персональных данных при их

обработке в информационных

системах персональных данных

СОСТАВ И СОДЕРЖАНИЕ

МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ,

НЕОБХОДИМЫХ ДЛЯ ОБЕСПЕЧЕНИЯ КАЖДОГО ИЗ УРОВНЕЙ

ЗАЩИЩЕННОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

«+» - мера по обеспечению безопасности персональных данных включена в базовый набор мер для соответствующего уровня защищенности персональных данных.

Меры по обеспечению безопасности персональных данных, не обозначенные знаком «+», применяются при адаптации базового набора мер и уточнении адаптированного базового набора мер, а также при разработке компенсирующих мер по обеспечению безопасности персональных данных.

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Я,_______________________________________________________________________                (Фамилия, Имя, Отчество субъекта персональных данных)

зарегистрированный по месту жительства (пребывания) по адресу: ___________________, паспортные данные: ___________________________________________________________, на основании части 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ »О персональных данных», в целях ______________________________________________________________

____________________________________________________________________________ , даю согласие Оператору - _______________________________________________________

_____________________________________________________________________________                

(наименование организации или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных)

на обработку моих персональных данных: _________________________________________

_____________________________________________________________________________

_____________________________________________________________________________. (перечень персональных данных, на обработку которых дается согласие)

Разрешаю осуществлять с вышеперечисленными персональными данными следующие действия: ____________________________________________________________________________________________________________________

____________________________________________________________________________________________________________________

(дать перечень действий с персональными данными, на совершение которых дается согласие)

следующими способами: ________________________________________________________

дать общее описание используемых оператором способов обработки персональных данных (Например:

_____________________________________________________________________________

автоматизированным (с использованием средств автоматизации), неавтоматизированным (без использования средств автоматизации))