2.1. Персональные данные субъектов персональных данных в Инспекции обрабатываются на бумажных и электронных носителях в специально предназначенных для этого помещениях, занимаемых государственными гражданскими служащими области, осуществляющими деятельность по эксплуатации информационных систем персональных данных.
2.2. Обязанности по обработке персональных данных, в том числе в автоматизированных информационных системах персональных данных, возлагаются на государственных гражданских служащих области Инспекции в соответствии с приказами начальника Инспекции, служебными контрактами, заключаемыми с ними, и должностными регламентами.
2.3. Обработка персональных данных, порождающая юридические последствия в отношении субъекта персональных данных или иным образом затрагивающая его права и законные интересы, осуществляется без использования средств автоматизации. Обработка персональных данных в отношении каждого из субъектов персональных данных осуществляется при непосредственном участии лица, определенного в соответствии с пунктом 2.2 настоящего Положения.
2.4. В целях обеспечения безопасности персональных данных при их обработке должны быть:
- определены места хранения материальных носителей, содержащих персональные данные, соблюдены условия, обеспечивающие их сохранность и исключающие несанкционированный к ним доступ, в том числе с использованием сейфов (металлических шкафов) и шкафов;
- установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
- реализованы меры по раздельному хранению персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
2.5. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
2.6. Не допускается обработка персональных данных в информационных системах персональных данных с использованием средств автоматизации при отсутствии:
утвержденных организационно-технических документов, установленных нормативно-правовыми актами в области защиты информации;
настроенных средств защиты от несанкционированного доступа, средств антивирусной защиты, средств резервного копирования информации и других программных и технических средств в соответствии с требованиями по защите информации, установленными уполномоченными федеральными органами исполнительной власти.