ПРАВИТЕЛЬСТВО ЛЕНИНГРАДСКОЙ ОБЛАСТИ

ПОСТАНОВЛЕНИЕ

от 11 сентября 2015 года N 358

Об утверждении типовых организационно-распорядительных документов операторов персональных данных

(с изменениями на 11 мая 2023 года)

В соответствии с постановлениями Правительства Российской Федерации от 15 сентября 2008 года N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" Правительство Ленинградской области

постановляет:

1. Утвердить типовые организационно-распорядительные документы операторов персональных данных согласно приложению.

2. Органам исполнительной власти Ленинградской области в срок не более 30 дней со дня опубликования настоящего постановления утвердить организационно-распорядительные документы операторов персональных данных.

3. Рекомендовать органам местного самоуправления Ленинградской области утвердить организационно-распорядительные документы операторов персональных данных, указанные в пункте 1 настоящего постановления.

4. Контроль за исполнением постановления возложить на руководителей органов исполнительной власти Ленинградской области, осуществляющих обработку персональных данных.

Временно исполняющий обязанности
Губернатора Ленинградской области
А.Дрозденко

Приложение

УТВЕРЖДЕНЫ
постановлением Правительства
Ленинградской области
от 11 сентября 2015 года N 358

     
Типовые организационно-распорядительные документы операторов персональных данных

(с изменениями на 28 апреля 2022 года)

Типовые организационно-распорядительные документы разработаны в соответствии с требованиями нормативных правовых актов Российской Федерации, регулирующих отношения, связанные с обработкой персональных данных.

Организационно-распорядительные документы утверждаются и применяются операторами персональных данных в зависимости от категории персональных данных, условий их обработки, а также полномочий и функций органов исполнительной власти Ленинградской области.

Организационно-распорядительными документами, определяющими порядок работы с персональными данными, являются:

1) Правила обработки персональных данных в органе исполнительной власти Ленинградской области;

2) Правила рассмотрения запросов субъектов персональных данных или их представителей в органе исполнительной власти Ленинградской области;

3) Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами органа исполнительной власти Ленинградской области;

4) Правила работы с обезличенными данными в случае обезличивания персональных данных в органе исполнительной власти Ленинградской области;

5) Перечень информационных систем персональных данных органа исполнительной власти Ленинградской области;

6) Перечень персональных данных, обрабатываемых в органе исполнительной власти Ленинградской области в связи с реализацией служебных или трудовых отношений, а также оказанием государственных услуг и осуществлением государственных функций;

7) Перечень должностей служащих органа исполнительной власти Ленинградской области, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;

8) Перечень должностей служащих органа исполнительной власти Ленинградской области, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

9) Требования к содержанию должностного регламента ответственного за организацию обработки персональных данных;

10) Типовое обязательство служащего органа исполнительной власти Ленинградской области, непосредственно осуществляющего обработку персональных данных, прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, в случае расторжения с ним служебного контракта (трудового договора);

11) Типовая форма согласия на обработку персональных данных субъектов персональных данных, а также разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;

12) Порядок доступа служащих органа исполнительной власти Ленинградской области в помещения, в которых ведется обработка персональных данных;

13) Типовой план правовых, организационных и технических мер по обеспечению безопасности персональных данных в органе исполнительной власти Ленинградской области;

14) Порядок проведения проверок соответствия обработки персональных данных установленным требованиям в органе исполнительной власти Ленинградской области;

15) Проект распоряжения о ведении журнала учета посетителей, содержащего персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию органа исполнительной власти Ленинградской области или в иных аналогичных целях;

16) Типовая форма журнала учета посетителей, содержащего персональные данные, необходимые для однократного пропуска посетителей на территорию органа исполнительной власти Ленинградской области или в иных аналогичных целях;

17) Проект распоряжения об использовании оборудования системы охранного видеонаблюдения в здании органа исполнительной власти Ленинградской области.

Правила обработки персональных данных в органе исполнительной власти Ленинградской области

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

8. Мерами, направленными на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, являются:

1) назначение ответственного за организацию обработки персональных данных;

2) издание документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных";

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике органа исполнительной власти Ленинградской области в отношении обработки персональных данных, локальным актам органа исполнительной власти Ленинградской области;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных";

6) выполнение мероприятий по удалению или уточнению неполных или неточных данных;

7) ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику органа исполнительной власти Ленинградской области в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) обучение указанных работников.

9. Обеспечение безопасности персональных данных достигается:

1) определением угроз безопасности персональных данных;

2) применением организационных и (или) технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных, а также при обработке персональных данных без использования средств автоматизации;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

(Подпункт в редакции, введенной в действие постановлением Правительства Ленинградской области от 28 апреля 2022 года N 283. - См. предыдущую редакцию)

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных, а также правил доступа к персональным данным при их обработке без использования средств автоматизации;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных, а также безопасности персональных данных, обрабатываемых без использования средств автоматизации.

10. Цели обработки персональных данных в органе исполнительной власти Ленинградской области определяются с учетом полномочий и функций органа исполнительной власти Ленинградской области.

К персональным данным, обрабатываемым в указанных целях, относятся: фамилия, имя, отчество, пол, гражданство и т.д.

Обработка персональных данных в соответствии с указанными целями осуществляется в отношении субъектов персональных данных, являющихся сотрудниками оператора, и (или) субъектов персональных данных, не являющихся сотрудниками оператора.

11. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных неправомерно обрабатываемые персональные данные, относящиеся к этому субъекту персональных данных, блокируются с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных персональные данные, относящиеся к этому субъекту персональных данных, блокируются с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

12. В случае подтверждения факта неточности персональных данных орган исполнительной власти Ленинградской области на основании сведений, представленных субъектом персональных данных или его представителем, либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

13. В случае выявления неправомерной обработки персональных данных в срок, не превышающий трех рабочих дней с даты выявления, неправомерная обработка персональных данных прекращается. В случае если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, такие персональные данные уничтожаются. Об устранении допущенных нарушений или об уничтожении персональных данных орган исполнительной власти Ленинградской области уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

14. В случае достижения цели обработки персональных данных, обработка персональных данных прекращается и осуществляется их уничтожение в срок, не превышающий 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между органом исполнительной власти Ленинградской области и субъектом персональных данных либо если орган исполнительной власти Ленинградской области не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.

15. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных обработка персональных данных прекращается и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, персональные данные уничтожаются в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между органом исполнительной власти Ленинградской области и субъектом персональных данных либо если орган исполнительной власти Ленинградской области не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.

16. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 13-15 настоящих Правил, осуществляется блокирование таких персональных данных и уничтожение в срок не более шести месяцев, если иной срок не установлен федеральными законами.

Правила рассмотрения запросов субъектов персональных данных или их представителей в органе исполнительной власти Ленинградской области