Приказ Комитета ветеринарии Республики Марий Эл от 12.08.2013 N 77 "Об утверждении Положения об обработке персональных данных в Комитете ветеринарии Республики Марий Эл"



КОМИТЕТ ВЕТЕРИНАРИИ РЕСПУБЛИКИ МАРИЙ ЭЛ

ПРИКАЗ
от 12 августа 2013 г. № 77

ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЯ
ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМИТЕТЕ ВЕТЕРИНАРИИ
РЕСПУБЛИКИ МАРИЙ ЭЛ

В соответствии с Федеральным законом от 27 июля 2004 г. № 79-ФЗ "О государственной гражданской службе Российской Федерации", Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" приказываю:
1. Утвердить прилагаемое Положение об обработке персональных данных в Комитете ветеринарии Республики Марий Эл.
2. Признать утратившим силу приказ Комитета ветеринарии Республики Марий Эл от 28 августа 2012 г. № 63 "Об утверждении Положения об обработке персональных данных государственных гражданских служащих Комитета ветеринарии Республики Марий Эл".
3. Контроль за исполнением настоящего приказа оставляю за собой.

И.о. председателя
В.В.ВАВИЛОВА





Утверждено
приказом
Комитета ветеринарии
Республики Марий Эл
от 12 августа 2013 г. № 77

ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМИТЕТЕ ВЕТЕРИНАРИИ
РЕСПУБЛИКИ МАРИЙ ЭЛ

I. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", Постановлением Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", нормативно-методическими документами ФСТЭК России в сфере обработки персональных данных.
1.2. Цель разработки настоящего Положения - определение порядка сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения персональных данных, обрабатываемых в Комитете ветеринарии Республики Марий Эл (далее - Комитет), и установление ответственности должностных лиц Комитета, непосредственно осуществляющих обработку персональных данных и (или) имеющих доступ к персональным данным, за невыполнение требований законодательства Российской Федерации в сфере обработки и защиты персональных данных.
1.3. В настоящем Положении используются следующие понятия, термины и сокращения:
Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.4. Настоящее Положение и изменения к нему утверждаются председателем Комитета.
1.5. Настоящее Положение вступает в силу с момента его утверждения и действует бессрочно, до замены его новым Положением.
1.6. Настоящее Положение является обязательным для исполнения всеми государственными гражданскими служащими Комитета, непосредственно осуществляющими обработку персональных данных и (или) имеющими доступ к персональным данным. Все государственные гражданские служащие Комитета должны быть ознакомлены с настоящим Положением и изменениями к нему под роспись.

II. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. В Комитете обрабатываются персональные данные следующих групп субъектов:
- государственных гражданских служащих;
- работников, не являющихся государственными гражданскими служащими;
- работников, осуществляющих деятельность по договору подряда;
- граждан, включенных в кадровый резерв, граждан, включенных в резерв управленческих кадров, граждан, включенных в перспективный кадровый резерв, граждан, не допущенных к участию в конкурсе на замещение вакантной должности государственной гражданской службы, граждан, участвовавших в конкурсах на замещение вакантной должности государственной гражданской службы, но не прошедших конкурсный отбор;
- претендентов на замещение вакантных должностей руководителей подведомственных Комитету организаций;
- руководителей подведомственных Комитету организаций;
- специалистов в области ветеринарии, занимающихся предпринимательской деятельностью;
- граждан, претендующих на получение наград;
- граждан, обращающихся в Комитет.
2.2. К персональным данным государственных гражданских служащих Комитета относятся следующие сведения:
- ФИО;
- пол;
- дата, место рождения;
- гражданство;
- реквизиты документа, удостоверяющего личность;
- адрес;
- номера контактных телефонов;
- ИНН;
- СНИЛС;
- место работы, должность;
- семейное положение;
- сведения о составе семьи;
- сведения о детях;
- сведения о воинском учете;
- сведения об образовании;
- сведения об уровне специальных знаний;
- сведения о профессиональной переподготовке, повышении квалификации, стажировке;
- сведения о трудовой деятельности;
- сведения о стаже;
- сведения о классных чинах, военных и специальных званиях;
- сведения о состоянии здоровья и его соответствии выполняемой работе, наличии группы инвалидности и степени ограничения способности к трудовой деятельности;
- сведения об отпусках и командировках;
- сведения о прохождении аттестации и сдаче квалификационного экзамена;
- сведения о награждении (поощрении);
- сведения о взысканиях;
- реквизиты полиса обязательного медицинского страхования;
- сведения о доходах, имуществе и обязательствах имущественного характера государственного гражданского служащего и членов его семьи;
- сведения о социальных льготах;
- информация о доходах, выплатах и удержаниях;
- номера банковских счетов;
- фотография.
2.3. К документам (в бумажном и (или) электронном виде), содержащим персональные данные государственных гражданских служащих Комитета, относятся:
- Табель учета использования рабочего времени;
- Платежная ведомость;
- Договор о полной материальной ответственности;
- Карточка-справка;
- Записка-расчет об исчислении среднего заработка при предоставлении отпуска, увольнения и других случаев;
- Реестр открытых счетов банковских карт сотрудников;
- Реестр на выпуск банковских карт сотрудников;
- Справка о среднем заработке;
- Список на зачисление денежных средств на счета банковских карт;
- Справка о доходах физического лица (форма 2-НДФЛ);
- Листок нетрудоспособности;
- Личное дело государственного гражданского служащего (анкета, заявление о приеме на работу, служебный контракт, приказы, документы по военному учету, справки о доходах, аттестационные документы, ксерокопии документов и др.);
- Личная карточка сотрудника (форма Т-2 ГС);
- Трудовая книжка;
- Документы по учету отпусков (заявление на предоставление отпуска, приказ о предоставлении отпуска, график отпусков);
- Документы по учету командировок (приказы, командировочные удостоверения);
- Приказы по личному составу;
- Справки;
- Документы по вопросам воинского учета;
- Документы о представлении к награждению (характеристики, ходатайства, наградные листы);
- Списки работников;
- Журналы учета, регистрации.
2.4. К общедоступным персональным данным государственных гражданских служащих Комитета относятся следующие сведения:
- ФИО;
- должность;
- контактный телефон.
2.5. К персональным данным работников, не являющихся государственными гражданскими служащими Комитета, относятся следующие сведения:
- ФИО;
- пол;
- дата, место рождения;
- гражданство;
- реквизиты документа, удостоверяющего личность;
- адрес;
- номера контактных телефонов;
- ИНН;
- СНИЛС;
- место работы, должность;
- семейное положение;
- сведения о составе семьи;
- сведения о детях;
- сведения о воинском учете;
- сведения об образовании;
- сведения об уровне специальных знаний;
- сведения о профессиональной переподготовке, повышении квалификации, стажировке;
- сведения о трудовой деятельности;
- сведения о стаже;
- сведения о наличии группы инвалидности и степени ограничения способности к трудовой деятельности;
- сведения об отпусках и командировках;
- сведения о награждении (поощрении);
- сведения о взысканиях;
- реквизиты полиса обязательного медицинского страхования;
- сведения о социальных льготах;
- информация о доходах, выплатах и удержаниях;
- номера банковских счетов;
- фотография.
2.6. К документам (в бумажном и (или) электронном виде), содержащим персональные данные работников, не являющихся государственными гражданскими служащими Комитета, относятся:
- Табель учета использования рабочего времени;
- Платежная ведомость;
- Договор о полной материальной ответственности;
- Карточка-справка;
- Записка-расчет об исчислении среднего заработка при предоставлении отпуска, увольнения и других случаев;
- Реестр открытых счетов банковских карт сотрудников;
- Реестр на выпуск банковских карт сотрудников;
- Справка о среднем заработке;
- Список на зачисление денежных средств на счета банковских карт;
- Справка о доходах физического лица (форма 2-НДФЛ);
- Листок нетрудоспособности;
- Личное дело сотрудника (анкета, заявление о приеме на работу, трудовой договор, приказы, документы по военному учету, справки о доходах, ксерокопии документов и др.);
- Личная карточка сотрудника (форма Т-2);
- Трудовая книжка;
- Документы по учету отпусков (заявление на предоставление отпуска, приказ о предоставлении отпуска, график отпусков);
- Документы по учету командировок (приказы, командировочные удостоверения);
- Приказы по личному составу;
- Справки;
- Документы по вопросам воинского учета;
- Документы о представлении к награждению (характеристики, ходатайства, наградные листы);
- Списки работников;
- Журналы учета, регистрации.
2.7. К персональным данным работников, осуществляющих деятельность по договору подряда, относятся следующие сведения:
- ФИО;
- дата рождения;
- адрес;
- ИНН;
- СНИЛС;
- реквизиты документа, удостоверяющего личность.
2.8. К документам (в бумажном и (или) электронном виде), содержащим персональные данные работников, осуществляющих деятельность по договору подряда, относятся:
- Платежная ведомость;
- Договор об оказании услуг.
2.9. К персональным данным граждан, включенных в кадровый резерв, граждан, включенных в резерв управленческих кадров, граждан, включенных в перспективный кадровый резерв, граждан, не допущенных к участию в конкурсе на замещение вакантной должности государственной гражданской службы, граждан, участвовавших в конкурсах на замещение вакантной должности государственной гражданской службы, но не прошедших конкурсный отбор, претендентов на замещение вакантных должностей руководителей подведомственных Комитету организаций относятся следующие сведения:
- ФИО;
- пол;
- дата, место рождения;
- гражданство;
- реквизиты документа, удостоверяющего личность;
- адрес;
- номера контактных телефонов;
- ИНН;
- СНИЛС;
- место работы, должность;
- семейное положение;
- сведения о составе семьи;
- сведения о детях;
- сведения о воинском учете;
- сведения об образовании;
- сведения об уровне специальных знаний;
- сведения о профессиональной переподготовке, повышении квалификации, стажировке;
- сведения о трудовой деятельности;
- сведения о стаже;
- сведения о классных чинах, военных и специальных званиях;
- сведения о состоянии здоровья и его соответствии выполняемой работе, наличии группы инвалидности и степени ограничения способности к трудовой деятельности;
- сведения о наградах;
- сведения о взысканиях;
- реквизиты полиса обязательного медицинского страхования;
- сведения о доходах, имуществе и обязательствах имущественного характера и членов его семьи;
- сведения о социальных льготах;
- фотография.
2.10. К документам (в бумажном и (или) электронном виде), содержащим персональные данные граждан, включенных в кадровый резерв, граждан, включенных в резерв управленческих кадров, граждан, включенных в перспективный кадровый резерв, граждан, не допущенных к участию в конкурсе на замещение вакантной должности государственной гражданской службы, граждан, участвовавших в конкурсах на замещение вакантной должности государственной гражданской службы, но не прошедших конкурсный отбор, претендентов на замещение вакантных должностей руководителей подведомственных Комитету организаций, относятся:
- Документы для участия в конкурсе на замещение вакантных должностей государственной гражданской службы;
- Документы для формирования кадрового резерва (резерва управленческих кадров, перспективного кадрового резерва).
2.11. К персональным данным руководителей подведомственных Комитету организаций относятся следующие сведения:
- ФИО;
- пол;
- дата, место рождения;
- гражданство;
- реквизиты документа, удостоверяющего личность;
- адрес;
- номера контактных телефонов;
- ИНН;
- СНИЛС;
- место работы, должность;
- семейное положение;
- сведения о составе семьи;
- сведения о детях;
- сведения о воинском учете;
- сведения об образовании;
- сведения об уровне специальных знаний;
- сведения о профессиональной переподготовке, повышении квалификации, стажировке;
- сведения о трудовой деятельности;
- сведения о стаже;
- сведения о наличии группы инвалидности и степени ограничения способности к трудовой деятельности;
- сведения об отпусках и командировках;
- сведения о награждении (поощрении);
- реквизиты полиса обязательного медицинского страхования;
- сведения о социальных льготах;
- номера банковских счетов;
- фотография.
2.12. К документам (в бумажном и (или) электронном виде), содержащим персональные данные руководителей подведомственных Комитету организаций, относятся:
- Личное дело сотрудника (анкета, заявление о приеме на работу, трудовой договор, приказы, документы по военному учету, справки о доходах, ксерокопии документов и др.);
- Личная карточка сотрудника (форма Т-2);
- Документы по учету отпусков (заявление на предоставление отпуска, приказ о предоставлении отпуска, график отпусков);
- Документы по учету командировок (приказы, командировочные удостоверения);
- Приказы по личному составу;
- Справки;
- Документы по вопросам воинского учета;
- Документы о представлении к награждению (характеристики, ходатайства, наградные листы);
- Списки работников;
- Журналы учета, регистрации.
2.13. К персональным данным специалистов в области ветеринарии, занимающихся предпринимательской деятельностью, относятся следующие сведения:
- ФИО;
- паспортные данные;
- сведения об образовании;
- ИНН;
- адрес;
- реквизиты свидетельства о регистрации.
2.14. К документам (в бумажном виде), содержащим персональные данные специалистов в области ветеринарии, занимающихся предпринимательской деятельностью, относятся:
- Документы о деятельности специалистов в области ветеринарии, занимающихся предпринимательской деятельностью на территории Республики Марий Эл;
- Журнал регистрации свидетельств о регистрации, выданных специалистам в области ветеринарии, занимающихся предпринимательской деятельностью на территории Республики Марий Эл.
2.15. К персональным данным граждан, претендующих на получение наград, относятся следующие сведения:
- ФИО;
- дата рождения;
- образование;
- ученая степень, звание, классный чин;
- должность;
- сведения о стаже работы;
- краткая характеристика и достижения работника.
2.16. К документам (в бумажном и (или) электронном виде), содержащим персональные данные граждан, претендующих на получение наград, относятся:
- Документы о представлении к награждению (характеристики, ходатайства, наградные листы).
2.17. К персональным данным граждан, обращающихся в Комитет, относятся следующие сведения:
- ФИО;
- адрес;
- контактные телефоны;
- краткое содержание обращения.
2.18. К документам (в бумажном виде), содержащим персональные данные граждан, обращающихся в Комитет, относятся:
- Обращения граждан (письма, жалобы, заявления) и документы по их рассмотрению.

III. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Общие требования при обработке персональных данных

3.1.1. В целях обеспечения прав и свобод человека и гражданина государственные гражданские служащие Комитета при обработке персональных данных гражданина Российской Федерации обязаны соблюдать следующие общие требования:
- обработка персональных данных в Комитете осуществляется в целях выполнения требований трудового законодательства Российской Федерации и законодательства о государственной гражданской службе Российской Федерации, формирования кадрового резерва, перспективного кадрового резерва для замещения должностей государственной гражданской службы Комитета, формирования резерва управленческих кадров для замещения вакантных должностей руководителей подведомственных Комитету организаций, учета граждан, претендующих на получение наград, рассмотрения обращений граждан, оказания государственных услуг по регистрации специалистов в области ветеринарии, занимающихся предпринимательской деятельностью;
- при определении объема и содержания обрабатываемых персональных данных государственные гражданские служащие Комитета должны руководствоваться Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами;
- обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных";
- обработка персональных данных в Комитете осуществляется только специально уполномоченными лицами, перечень которых утверждается внутренним приказом Комитета, при этом указанные в приказе государственные гражданские служащие должны иметь право получать только те персональные данные субъекта, которые необходимы для выполнения непосредственных должностных обязанностей.
3.1.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
3.1.3. При принятии решений, затрагивающих интересы субъекта, государственные гражданские служащие Комитета не имеют права основываться на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки.

3.2. Получение персональных данных

3.2.1. Все персональные данные следует получать непосредственно от субъекта персональных данных. Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает согласие на их обработку Комитетом, на передачу третьим лицам, на поручение обработки своих персональных данных третьими лицами. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме. Согласие на обработку специальных категорий персональных данных (национальная принадлежность, сведения о судимости), биометрических персональных данных и согласие считать определенные персональные данные общедоступными субъект дает в письменной форме.
3.2.2. Письменное согласие субъекта на обработку его персональных данных должно включать в себя:
- фамилию, имя, отчество, адрес субъекта, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование и адрес Комитета;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Комитета, если обработка будет поручена такому лицу;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Комитетом способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва;
- подпись субъекта персональных данных.
3.2.3. Для осуществления обработки персональных данных государственных гражданских служащих Комитета берется их согласие в соответствии с Постановлением Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" по форме, представленной в Приложении № 1 (п. 1) к настоящему Положению (не приводится).
3.2.4. Для осуществления обработки персональных данных сотрудников, не являющихся государственными гражданскими служащими Комитета, согласие не требуется в соответствии с п. 5 ч. 1 ст. 6 Федерального закона "О персональных данных". Исключение составляет согласие на поручение обработки персональных данных субъектов третьим лицам. Согласие субъекта персональных данных на поручение обработки его персональных данных третьим лицам представлено в Приложении № 1 (п. 2) к настоящему Положению.
3.2.5. Для осуществления обработки персональных данных претендентов на замещение должностей государственной гражданской службы Комитета, претендентов на включение в кадровый резерв Комитета, резерв управленческих кадров Комитета, перспективный кадровый резерв Комитета, претендентов на замещение вакантных должностей руководителей подведомственных Комитету организаций, граждан, претендующих на получение наград, супруги(а) государственного гражданского служащего Комитета, несовершеннолетних детей государственного гражданского служащего (согласие предоставляет родитель/законный представитель) берется их согласие в соответствии с п. 1 ч. 1 ст. 6 Федерального закона "О персональных данных". Типовая форма согласия на обработку персональных данных представлена в Приложении № 1 (п. 3) к настоящему Положению (не приводится).
3.2.6. Для осуществления обработки персональных данных лиц, персональные данные которых необходимы для оказания Комитетом государственных услуг и осуществления государственных функций, согласие на обработку их персональных данных не берется в соответствии с ч. 4 ст. 7 Федерального закона "Об организации предоставления государственных и муниципальных услуг". Исключение составляет согласие лица, не являющегося заявителем на получение государственной услуги, но чьи данные необходимы для получения такой услуги. При обращении за получением государственной услуги заявителю необходимо представить документы, подтверждающие получение согласия физического лица, не являющегося заявителем, или его законного представителя на обработку персональных данных. Документы, подтверждающие получение согласия, могут быть представлены в том числе в форме электронного документа. Согласие не требуется с лиц, признанных безвестно отсутствующими, и разыскиваемых лиц, место нахождения которых не установлено уполномоченным федеральным органом исполнительной власти. Типовая форма согласия представлена в Приложении № 1 (п. 4) к настоящему Положению.
3.2.7. Для осуществления обработки персональных данных работников, осуществляющих деятельность по договору подряда, согласие не требуется в соответствии с п. 5 ч. 1 ст. 6 Федерального закона "О персональных данных".
3.2.8. Для осуществления обработки персональных данных руководителей подведомственных Комитету организаций согласие не требуется в соответствии с п. 5 ч. 1 ст. 6 Федерального закона "О персональных данных".
3.2.9. Для осуществления обработки персональных данных граждан, обращающихся в Комитет, согласие не требуется в соответствии с п. 2 ч. 1 ст. 6 Федерального закона "О персональных данных".
3.2.10. Разъяснение субъекту персональных данных юридических последствий отказа предоставить свои персональные данные представлено в Приложении № 2 к настоящему Положению (не приводится).
3.2.11. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Комитет вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных". Форма отзыва согласия на обработку персональных данных представлена в Приложении № 3 к настоящему Положению (не приводится).
3.2.12. В случае, когда Комитет получает персональные данные субъекта от третьего лица, субъект, персональные данные которого были получены, должен быть уведомлен об этом. Форма уведомления представлена в Приложении № 4 к настоящему Положению (не приводится).
3.2.13. Комитет освобождается от обязанности предоставить субъекту персональных данных уведомление о получении его персональных данных от третьего лица в случаях, если:
3.2.14. субъект персональных данных уведомлен об осуществлении обработки его персональных данных Комитетом;
3.2.15. персональные данные получены Комитетом на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
3.2.16. персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
3.2.17. Комитет осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
3.2.18. предоставление субъекту персональных данных уведомления о получении его персональных данных от третьего лица нарушает права и законные интересы третьих лиц.
3.2.19. В уведомлении необходимо сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение.
3.2.20. Обработка персональных данных о судимости может осуществляться в соответствии с федеральными законами.
3.2.21. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться в Комитете только при наличии согласия субъекта в письменной форме.

3.3. Доступ к персональным данным

3.3.1. Перечень государственных гражданских служащих, осуществляющих обработку персональных данных как в бумажном, так и в электронном виде и (или) имеющих доступ к персональным данным, утверждается внутренним приказом Комитета. При этом указанные лица должны иметь право получать только те персональные данные субъектов, которые необходимы для выполнения непосредственных должностных обязанностей. Доступ к персональным данным государственных гражданских служащих Комитета, не входящих в вышеуказанный перечень, запрещается.
3.3.2. Процедура оформления доступа к персональным данным включает в себя:
- ознакомление государственных гражданских служащих с настоящим Положением, инструкцией пользователя ИСПДн и другими нормативными актами, регулирующими обработку и защиту персональных данных в Комитете, под роспись;
- подписание государственным гражданским служащим Комитета обязательства о соблюдении конфиденциальности персональных данных. Форма о соблюдении конфиденциальности персональных данных представлена в Приложении № 6 к настоящему Положению (не приводится);
- подписание государственным гражданским служащим Комитета типового обязательства о прекращении обработки персональных данных в случае расторжения служебного контракта. Форма обязательства представлена в Приложении № 7 к настоящему Положению (не приводится).

3.4. Обеспечение конфиденциальности персональных данных

3.4.1. Персональные данные относятся к категории конфиденциальной информации.
3.4.2. Комитет вправе поручить обработку персональных данных субъектов ПДн Комитета другим юридическим или физическим лицам на основании договора (далее - поручение Комитета) с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных". Лицо, осуществляющее обработку персональных данных по поручению Комитета, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных". В поручении Комитета должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
3.4.3. Государственные гражданские служащие Комитета и иные лица, получающие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3.4.4. В целях информационного обеспечения деятельности структурных подразделений и сотрудников в Комитете могут быть созданы общедоступные источники персональных данных (информация на сайте, в средствах массовой информации, стенды, папки в кабинетах, справочники, адресные книги и др.). Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта ПДн, суда или иных уполномоченных государственных органов.

3.5. Права и обязанности сторон при обработке
персональных данных

3.5.1. Государственные гражданские служащие Комитета обязаны предоставлять Комитету только достоверные, документированные персональные данные и своевременно сообщать об изменении своих персональных данных.
3.5.2. Каждый субъект персональных данных имеет право:
- на получение полной информации о своих персональных данных и на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных действующим законодательством;
- на получение информации, касающейся обработки его персональных данных, в том числе содержащей: подтверждение факта обработки, правовые основания и цель обработки; способы обработки, наименование и место нахождения Комитета, сведения о лицах (за исключением государственных гражданских служащих Комитета), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Комитетом или на основании Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных"; обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных"; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных"; информацию об осуществленной или предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Комитета, если обработка поручена или будет поручена такому лицу; иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" или другими федеральными законами;
- требовать от сотрудников Комитета уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- обратиться повторно в Комитет или направить повторный запрос в целях получения информации, касающейся обработки его персональных данных, а также в целях ознакомления с обрабатываемыми персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
- обратиться повторно в Комитет или направить повторный запрос в целях получения информации, касающейся обработки его персональных данных, а также в целях ознакомления с обрабатываемыми персональными данными до истечения тридцати дней после первоначального обращения или направления первоначального запроса, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения;
- заявить о своем несогласии при отказе государственных гражданских служащих Комитета исключить или исправить персональные данные (в письменной форме с соответствующим обоснованием такого несогласия).
3.5.3. Комитет обязан безвозмездно предоставить субъекту персональных данных возможность ознакомления с персональными данными, относящимися к этому субъекту, а также внести в них необходимые изменения при предоставлении субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными. О внесенных изменениях и предпринятых мерах Комитет обязан уведомить субъекта или его представителя и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы. Форма уведомления представлена в Приложении № 5 к настоящему Положению (не приводится).
3.5.4. Все обращения субъектов персональных данных по вопросам, касающимся обработки персональных данных, фиксируются в Журнале учета обращений субъектов персональных данных. Форма Журнала представлена в Приложении № 9 к настоящему Положению (не приводится).

3.6. Передача персональных данных

3.6.1. При передаче персональных данных субъекта государственные гражданские служащие Комитета обязаны соблюдать следующие требования:
- не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Гражданским кодексом Российской Федерации или иными федеральными законами;
- предупреждать лица, получающие персональные данные субъектов, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц обеспечения конфиденциальности полученных персональных данных;
- не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;
- передавать персональные данные субъекта представителям субъектов в порядке, установленном Гражданским кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций;
- не отвечать на вопросы, связанные с передачей персональных данных субъекта по телефону или факсу, за исключением случаев, связанных с выполнением соответствующими государственными гражданскими служащими своих непосредственных должностных обязанностей, адресатам, в чью компетенцию входит получение такой информации.
3.6.2. В целях обеспечения контроля правомерности использования переданных по запросам персональных данных лицами, их получившими, сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также состав переданной информации фиксируются в Журнале учета передачи персональных данных. Форма Журнала учета передачи персональных данных представлена в Приложении № 8 к настоящему Положению (не приводится).

3.7. Хранение персональных данных

3.7.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. Хранение персональных данных субъектов в Комитете может осуществляться на бумажных и машинных носителях, доступ к которым ограничен списком лиц, допущенных к обработке персональных данных.
3.7.2. Все отчуждаемые машинные носители персональных данных подлежат строгому учету. Форма Журнала учета отчуждаемых машинных носителей приведена в Приложении № 10 к настоящему Положению (не приводится).
3.7.3. Все хранимые или используемые СЗИ (средства защиты информации), эксплуатационная и техническая документация к ним подлежат поэкземплярному учету и выдаются под расписку в Журнале поэкземплярного учета СЗИ, эксплуатационной и технической документации к ним пользователям СЗИ, несущим персональную ответственность за их сохранность. Форма соответствующего Журнала приведена в Приложении № 11 к настоящему Положению (не приводится).
3.7.4. Все хранимые или используемые криптосредства (средства криптографической защиты информации), эксплуатационная и техническая документация к ним, ключевые документы подлежат поэкземплярному учету и выдаются под расписку в Журнале поэкземплярного учета криптосредств, эксплуатационной и технической документации к ним, ключевых документов ответственным пользователем криптосредств пользователям криптосредств, несущим персональную ответственность за их сохранность. Форма соответствующего Журнала приведена в Приложении № 12 к настоящему Положению (не приводится). Администратор безопасности информационных систем персональных данных заводит и ведет на каждого пользователя криптосредств Лицевой счет, в котором регистрирует числящиеся за ними криптосредства, эксплуатационную и техническую документацию к ним, ключевые документы. Форма Лицевого счета пользователя криптосредств приведена в Приложении № 13 (не приводится).
3.7.5. Хранение персональных данных субъектов должно происходить в порядке, исключающем их утрату или их неправомерное использование.
3.7.6. Персональные данные субъектов, содержащиеся на бумажных носителях и отчуждаемых машинных носителях информации, должны храниться в сейфах или запираемых шкафах, установленных в пределах контролируемой зоны Комитета. Все хранилища должны быть учтены и соответствующая запись внесена в Журнал учета хранилищ (Приложение № 14 - не приводится).
3.7.7. Персональные данные субъектов, содержащиеся на машинных носителях информации, могут храниться на автоматизированных рабочих местах и серверах информационных систем персональных данных Комитета, установленных в пределах контролируемой зоны Комитета.
3.7.8. Все меры, направленные на соблюдение конфиденциальности при сборе, обработке и хранении персональных данных субъекта, распространяются как на бумажные, так и на машинные носители информации.

3.8. Прекращение обработки и уничтожение персональных данных

3.8.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Комитет обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Комитет обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
3.8.2. В случае подтверждения факта неточности персональных данных Комитет на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
3.8.3. В случае выявления неправомерной обработки персональных данных, осуществляемой Комитетом или лицом, действующим по поручению Комитета, Комитет в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Комитета. В случае если обеспечить правомерность обработки персональных данных невозможно, Комитет в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Комитет обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган. Форма уведомления представлена в Приложении № 5 к настоящему Положению.
3.8.4. В случае достижения цели обработки персональных данных Комитет обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Комитетом и субъектом персональных данных либо если Комитет не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
3.8.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Комитет обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Комитетом и субъектом персональных данных либо если Комитет не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
3.8.6. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока Комитет осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
3.8.7. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
3.8.8. Машинные и бумажные носители, утратившие практическое значение и непригодные для перезаписи, уничтожаются, о чем составляется Акт на списание и уничтожение машинных (бумажных) носителей информации. Форма соответствующего Акта представлена в Приложении № 16 к настоящему Положению (не приводится).

IV. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Комитет при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
4.2. Защита персональных данных представляет собой жестко регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных, используемых в процессе деятельности Комитета.
4.3. Обеспечение безопасности персональных данных достигается, в частности:
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых персональными данными в информационной системе персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
4.4. Основными организационными мерами по защите персональных данных в Комитете являются:
- регламентация состава государственных гражданских служащих, функциональные обязанности которых требуют конфиденциальных знаний;
- строгое, избирательное и обоснованное распределение документов и информации между государственными гражданскими служащими;
- рациональное размещение рабочих мест государственных гражданских служащих, при котором исключалось бы бесконтрольное использование защищаемой информации;
- обеспечение знания государственными гражданскими служащими требований нормативно-методических документов по защите информации и сохранению тайны;
- обеспечение наличия необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
- грамотная организация процесса уничтожения информации;
- организация регулярной воспитательной и разъяснительной работы с государственными гражданскими служащими структурных подразделений Комитета по предупреждению утраты и утечки сведений при работе с конфиденциальными документами, содержащими персональные данные;
- разработка комплекта внутренних документов Комитета, регламентирующих процессы обработки персональных данных.
4.5. В качестве дополнительных организационных мер защиты персональных данных в Комитете создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ к персональным данным с целью овладения ценными сведениями и их использования, а также их искажения, уничтожения, подмены, фальсификации содержания реквизитов документа и т.д. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности Комитета: посетители, физические лица и служащие других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов, содержащих персональные данные. Для защиты персональных данных от несанкционированного доступа в Комитете необходимо обеспечить:
- охрану в ночное время, в выходные и праздничные дни помещений Комитета (контролируемых зон);
- постоянную работоспособность пожарной и охранной сигнализации.
4.6. В качестве технических мер защиты персональных данных в Комитете должны применяться:
- антивирусная защита;
- межсетевые экраны;
- специализированные средства защиты информации от несанкционированного доступа.
4.7. После установки (обновления) программного обеспечения администратор безопасности должен произвести требуемые настройки средств управления доступом к компонентам ПЭВМ и проверить работоспособность программного обеспечения и правильность его настройки и произвести соответствующую запись в Журнале учета нештатных ситуаций ПЭВМ, выполнения профилактических работ, установки и модификации программных средств ПЭВМ. Формат записей Журнала учета нештатных ситуаций ИСПДн, выполнения профилактических работ, установки и модификации программных средств ПЭВМ приведен в Приложении № 15 (не приводится).
4.8. Администратор безопасности должен проводить периодическое тестирование технических и программных средств защиты и вносить результаты в Журнал периодического тестирования средств защиты информации, форма которого представлена в Приложении № 17 (не приводится), а также производить проверку электронных журналов и вносить запись в соответствующий Журнал (Приложение № 18 - не приводится).
4.9. В целях организации контроля за обеспечением безопасности персональных данных в Комитете должна быть создана постоянно действующая Комиссия по обеспечению безопасности персональных данных.

V. ВЗАИМОДЕЙСТВИЕ С КОНТРОЛЬНО-НАДЗОРНЫМИ ОРГАНАМИ

5.1. При поступлении запроса от уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) Комитет обязан сообщить информацию, необходимую для осуществления деятельности указанного органа, в течение тридцати рабочих дней с даты получения такого запроса.
5.2. В случае выявления неправомерной обработки персональных данных по запросу уполномоченного органа по защите прав субъектов персональных данных Комитет обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) с момента получения указанного запроса на период проверки. В случае выявления неточных персональных данных по запросу уполномоченного органа по защите прав субъектов персональных данных Комитет обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) с момента получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
5.3. В случае подтверждения факта неточности персональных данных Комитет на основании сведений, представленных уполномоченным органом по защите прав субъектов персональных данных, обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Комитета) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
5.4. При проведении контрольно-надзорных мероприятий за выполнением требований к обеспечению безопасности персональных данных при обработке в государственных информационных системах персональных данных, а также в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных (по решению Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных), осуществляемых федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России) и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России), представители вышеуказанных контрольно-надзорных органов не имеют права на ознакомление с персональными данными, обрабатываемыми в информационных системах персональных данных.
5.5. При проведении контрольно-надзорных мероприятий в отношении Комитета контрольно-надзорными органами, не осуществляющими контроль и надзор в сфере обработки персональных данных, представители вышеуказанных контрольно-надзорных органов имеют право на доступ к персональным данным только в сфере своей компетенции и в пределах своих полномочий в соответствии с законодательством Российской Федерации.

VI. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ
КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

6.1. Каждый государственный гражданский служащий Комитета, получающий доступ к информации, содержащей персональные данные, несет персональную ответственность за сохранность конфиденциальности информации.
6.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов ПДн (законных представителей) Комитета, несут ответственность в порядке, установленном федеральными законами, и полную материальную ответственность в случае причинения их действиями ущерба в соответствии с п. 7 ст. 243 Трудового кодекса Российской Федерации.


------------------------------------------------------------------