Приказ комитета правопорядка и безопасности Ленинградской области от 09.11.2015 N 26 "О работе с персональными данными в Комитете правопорядка и безопасности Ленинградской области"
КОМИТЕТ ПРАВОПОРЯДКА И БЕЗОПАСНОСТИ ЛЕНИНГРАДСКОЙ ОБЛАСТИ
ПРИКАЗ
от 9 ноября 2015 г. № 26
О РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ В КОМИТЕТЕ ПРАВОПОРЯДКА
И БЕЗОПАСНОСТИ ЛЕНИНГРАДСКОЙ ОБЛАСТИ
В соответствии с постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", постановлением Правительства Ленинградской области от 11 сентября 2015 года № 358 "Об утверждении типовых организационно-распорядительных документов операторов персональных данных", исполнением Комитетом правопорядка и безопасности Ленинградской области функций оператора по обработке персональных данных приказываю:
1. Утвердить Политику в отношении обработки персональных данных в Комитете правопорядка и безопасности Ленинградской области согласно приложению 1.
2. Утвердить Правила обработки персональных данных в Комитете правопорядка и безопасности Ленинградской области согласно приложению 2.
3. Утвердить Правила рассмотрения запросов субъектов персональных данных или их представителей согласно приложению 3.
4. Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям защиты персональных установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Комитета правопорядка и безопасности Ленинградской области согласно приложению 4.
5. Признать утратившим силу:
приказ комитета правопорядка и безопасности Ленинградской области от 17 декабря 2012 года № 26 "О работе с персональными данными в комитете правопорядка и безопасности Ленинградской области";
приказ комитета правопорядка и безопасности Ленинградской области от 4 февраля 2012 года № 4 "О внесении изменений в приказ комитета правопорядка и безопасности Ленинградской области от 17 декабря 2012 года № 26 "О работе с персональными данными в комитете правопорядка и безопасности Ленинградской области".
6. Отделу правового обеспечения, делопроизводства и контроля довести приказ до всех работников Комитета правопорядка и безопасности Ленинградской области под роспись.
7. Контроль за исполнением приказа оставляю за собой.
Председатель Комитета
правопорядка и безопасности
С.Н.Смирнов
УТВЕРЖДЕНА
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 09.11.2015 № 26
(приложение 1)
ПОЛИТИКА
В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМИТЕТЕ
ПРАВОПОРЯДКА И БЕЗОПАСНОСТИ ЛЕНИНГРАДСКОЙ ОБЛАСТИ
1. Общие положения
1.1. Настоящая Политика разработана Комитетом правопорядка и безопасности Ленинградской области, обладающим правами юридического лица, самостоятельно организующим и обрабатывающим персональные данные (далее - оператор) в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных".
1.2. Целью настоящей Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Координация действий по обработке и обеспечению безопасности персональных данных оператором возложена на работника, ответственного за организацию обработки персональных данных.
2. Цели обработки и состав персональных данных
2.1. Обработка персональных данных оператором ограничивается достижением конкретных заранее определенных и законных целей:
- обеспечение пропускного режима в зданиях Администрации Ленинградской области, расположенных в г. Санкт-Петербурге;
- рассмотрение обращений граждан.
Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. К персональным данным, обрабатываемым без использования средств автоматизации в указанных целях, относятся: фамилия, имя, отчество, адрес места жительства и иные персональные данные, содержащиеся в обращениях граждан.
К персональным данным, обрабатываемым с использованием средств автоматизации в указанных целях, относятся: фамилия, имя, отчество, фото.
2.3. Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
3. Принципы обработки персональных данных
3.1. Обработка персональных данных оператором осуществляется в соответствии с принципами, определенными законодательством Российской Федерации.
3.2. Не допускается обработка персональных данных оператором, несовместимая с целями сбора персональных данных.
3.3. Не допускается объединение оператором баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.4. Персональные данные, обрабатываемые оператором, после достижения целей их обработки уничтожаются, если иное не предусмотрено требованиями законодательства Российской Федерации.
4. Права оператора
4.1. Оператор персональных данных вправе:
- обрабатывать персональные данные субъекта персональных данных как с получением его согласия, так и без получения его согласия в случаях, предусмотренных законодательством Российской Федерации;
- предоставлять в установленных законом случаях персональные данные субъектов персональных данных третьим лицам, в том числе поручать обработку персональных данных сторонней организации;
- отказывать в предоставлении персональных данных субъекту персональных данных в случаях, предусмотренных законодательством Российской Федерации;
- отстаивать свои интересы в судебном порядке.
5. Обязанности оператора
5.1. Оператор обязан:
- принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами;
- издавать документы, определяющие политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных и к сведениям о реализуемых требованиях к защите персональных данных.
6. Права субъекта персональных данных
6.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- цели и применяемые способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;
- информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
- наименование или фамилию, имя, отчество и адрес нахождения лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" или другими федеральными законами.
6.2. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения (в случае если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки);
6.3. Субъект персональных данных имеет право направить жалобу о неправомерных действиях оператора при обработке его персональных данных в уполномоченный орган по защите прав субъектов персональных данных или отстаивать свои права в судебном порядке.
6.4. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку его персональных данных включает в себя:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва,
- подпись субъекта персональных данных.
6.5. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
7. Обеспечение защиты персональных данных
7.1. Оператор предпринимает необходимые меры для обеспечения защиты персональных данных от случайного или преднамеренного доступа, уничтожения, изменения, блокирования и других несанкционированных действий.
7.2. Перечень должностей работников оператора, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утверждается правовым актом оператора. С работниками, допущенными к обработке персональных данных, Комитет правопорядка и безопасности Ленинградской области заключает обязательства о неразглашении персональных данных, ставших им известными при выполнении должностных обязанностей.
7.3. Требования к мерам защиты персональных данных и способы реализации этих требований осуществляются в соответствии с положениями законодательства Российской Федерации, нормативными правовыми актами Ленинградской области.
7.4. Лица, виновные в нарушении требований законодательства Российской Федерации, нормативных правовых актов Ленинградской области, локальных актов оператора по обработке персональных данных несут предусмотренную законом ответственность.
7.5. Вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных, установленных в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных", подлежит возмещению в соответствии с законодательством Российской Федерации.
УТВЕРЖДЕНЫ
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 09.11.2015 № 26
(приложение 2)
ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМИТЕТЕ ПРАВОПОРЯДКА
И БЕЗОПАСНОСТИ ЛЕНИНГРАДСКОЙ ОБЛАСТИ
1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2. Обработка персональных данных должна ограничиваться достижением конкретных заранее определенных и законных целей:
- организация пропускного режима в зданиях Администрации Ленинградской области, расположенных в г. Санкт-Петербурге;
- рассмотрение поступающих обращений граждан.
Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в иных целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
8. Мерами, направленными на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, являются:
1) назначение ответственного за организацию обработки персональных данных;
2) издание документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных";
4) осуществление внутреннего контроля и(или) аудита соответствия обработки персональных данных Федеральному закону "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Комитета безопасности и правопорядка Ленинградской области в отношении обработки персональных данных, локальным актам Комитета безопасности и правопорядка Ленинградской области;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных";
6) выполнение мероприятий по удалению или уточнению неполных или неточных данных;
7) ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Комитета безопасности и правопорядка Ленинградской области в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и(или) обучение указанных работников.
9. Обеспечение безопасности персональных данных достигается:
1) определением угроз безопасности персональных данных;
2) применением организационных и(или) технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных, а также при обработке персональных данных без использования средств автоматизации;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных, а также правил доступа к персональным данным при их обработке без использования средств автоматизации;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных, а также безопасности персональных данных, обрабатываемых без использования средств автоматизации.
10. Цели обработки персональных данных определяются с учетом полномочий и функций Комитета правопорядка и безопасности Ленинградской области.
К персональным данным, обрабатываемым без использования средств автоматизации в указанных целях, относятся: фамилия, имя, отчество, адрес места жительства и иные персональные данные, содержащиеся в обращениях граждан.
К персональным данным, обрабатываемым с использованием средств автоматизации в указанных целях, относятся: фамилия, имя, отчество, фото.
Обработка персональных данных в соответствии с указанными целями осуществляется в отношении субъектов персональных данных, являющихся сотрудниками оператора, и(или) субъектов персональных данных, не являющихся сотрудниками оператора.
11. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных неправомерно обрабатываемые персональные данные, относящиеся к этому субъекту персональных данных, блокируются с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных персональные данные, относящиеся к этому субъекту персональных данных, блокируются с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
12. В случае подтверждения факта неточности персональных данных Комитет безопасности и правопорядка Ленинградской области на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
13. В случае выявления неправомерной обработки персональных данных в срок, не превышающий трех рабочих дней с даты выявления, неправомерная обработка персональных данных прекращается. В случае если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, такие персональные данные уничтожаются. Об устранении допущенных нарушений или об уничтожении персональных данных Комитет безопасности и правопорядка Ленинградской области уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
14. В случае достижения цели обработки персональных данных обработка персональных данных прекращается и осуществляется их уничтожение в срок, не превышающий 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Комитетом безопасности и правопорядка Ленинградской области и субъектом персональных данных либо если орган исполнительной власти Ленинградской области не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.
15. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных обработка персональных данных прекращается и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, персональные данные уничтожаются в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между органом исполнительной власти Ленинградской области и субъектом персональных данных либо если орган исполнительной власти Ленинградской области не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.
16. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 13 - 15 настоящих Правил, осуществляется блокирование таких персональных данных и уничтожение в срок не более шести месяцев, если иной срок не установлен федеральными законами.
УТВЕРЖДЕНЫ
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 09.11.2015 № 26
(приложение 3)
ПРАВИЛА
РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ В КОМИТЕТЕ ПРАВОПОРЯДКА
И БЕЗОПАСНОСТИ ЛЕНИНГРАДСКОЙ ОБЛАСТИ
1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые способы обработки персональных данных;
4) наименование и место нахождения Комитета правопорядка и безопасности Ленинградской области, сведения о лицах (за исключением работников Комитета правопорядка и безопасности Ленинградской области, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Комитетом правопорядка и безопасности Ленинградской области или на основании федерального закона);
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
9) наименование или фамилию, имя, отчество и адрес нахождения лица, осуществляющего обработку персональных данных по поручению Комитета правопорядка и безопасности Ленинградской области, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом "О персональных данных" или другими федеральными законами.
2. Субъект персональных данных вправе требовать от Комитета правопорядка и безопасности Ленинградской области уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3. Сведения предоставляются субъекту персональных данных Комитетом правопорядка и безопасности Ленинградской области в доступной форме без содержания персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
4. Сведения предоставляются субъекту персональных данных или его представителю Комитетом правопорядка и безопасности Ленинградской области при обращении либо при получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Комитетом правопорядка и безопасности Ленинградской области (номер договора, дата заключения договора, условное словесное обозначение и(или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Комитетом правопорядка и безопасности Ленинградской области, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
5. В случае если обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Комитет правопорядка и безопасности Ленинградской области или направить повторный запрос в целях ознакомления с такими персональными данными не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом "О персональных данных", принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
6. Субъект персональных данных вправе обратиться повторно в Комитет правопорядка и безопасности Ленинградской области или направить повторный запрос в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 5 настоящих Правил, в случае, если такие сведения и(или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 4 настоящих Правил, должен содержать обоснование направления повторного запроса.
7. Комитет правопорядка и безопасности Ленинградской области вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 5 и 6 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса возлагается на Комитет правопорядка и безопасности Ленинградской области.
УТВЕРЖДЕНЫ
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 09.11.2015 № 26
(приложение 4)
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ "О ПЕРСОНАЛЬНЫХ
ДАННЫХ", ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ
ПРАВОВЫМИ АКТАМИ И ЛОКАЛЬНЫМИ АКТАМИ КОМИТЕТА ПРАВОПОРЯДКА
И БЕЗОПАСНОСТИ ЛЕНИНГРАДСКОЙ ОБЛАСТИ
1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Комитете правопорядка и безопасности Ленинградской области организуется проведение периодических проверок условий обработки персональных данных.
2. Проверки осуществляются должностным лицом, ответственным за организацию обработки персональных данных в Комитете правопорядка и безопасности Ленинградской области, либо комиссией, образуемой распоряжением руководителя Комитета правопорядка и безопасности Ленинградской области.
3. В проведении проверки не может участвовать должностное лицо, прямо или косвенно заинтересованное в ее результатах.
4. Проверки соответствия обработки персональных данных установленным требованиям проводятся на основании утвержденного ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего в Комитет правопорядка и безопасности Ленинградской области письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
5. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне определены:
1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
2) порядок и условия применения средств защиты информации;
3) эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
4) состояние учета машинных носителей персональных данных;
5) соблюдение правил доступа к персональным данным;
6) наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
7) мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) мероприятия по обеспечению целостности персональных данных.
6. Должностное лицо, ответственное за организацию обработки персональных данных (комиссия), имеет право:
1) запрашивать у должностных лиц Комитета правопорядка и безопасности Ленинградской области информацию, необходимую для исполнения своих обязанностей;
2) требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
3) принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
4) представлять председателю Комитета правопорядка и безопасности Ленинградской области предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
5) представлять председателю Комитета правопорядка и безопасности Ленинградской области предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в части обработки персональных данных.
7. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных (комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
8. Проверка должна быть завершена не позднее чем через десять дней со дня принятия решения о ее проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, председателю Комитета правопорядка и безопасности Ленинградской области докладывает должностное лицо, ответственное за организацию обработки персональных данных, либо председатель комиссии в форме письменного заключения.
------------------------------------------------------------------
КОМИТЕТ ПРАВОПОРЯДКА И БЕЗОПАСНОСТИ ЛЕНИНГРАДСКОЙ ОБЛАСТИ
ПРИКАЗ
от 9 ноября 2015 г. № 26
О РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ В КОМИТЕТЕ ПРАВОПОРЯДКА
И БЕЗОПАСНОСТИ ЛЕНИНГРАДСКОЙ ОБЛАСТИ
В соответствии с постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 21 марта 2012 года № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", постановлением Правительства Ленинградской области от 11 сентября 2015 года № 358 "Об утверждении типовых организационно-распорядительных документов операторов персональных данных", исполнением Комитетом правопорядка и безопасности Ленинградской области функций оператора по обработке персональных данных приказываю:
1. Утвердить Политику в отношении обработки персональных данных в Комитете правопорядка и безопасности Ленинградской области согласно приложению 1.
2. Утвердить Правила обработки персональных данных в Комитете правопорядка и безопасности Ленинградской области согласно приложению 2.
3. Утвердить Правила рассмотрения запросов субъектов персональных данных или их представителей согласно приложению 3.
4. Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям защиты персональных установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Комитета правопорядка и безопасности Ленинградской области согласно приложению 4.
5. Признать утратившим силу:
приказ комитета правопорядка и безопасности Ленинградской области от 17 декабря 2012 года № 26 "О работе с персональными данными в комитете правопорядка и безопасности Ленинградской области";
приказ комитета правопорядка и безопасности Ленинградской области от 4 февраля 2012 года № 4 "О внесении изменений в приказ комитета правопорядка и безопасности Ленинградской области от 17 декабря 2012 года № 26 "О работе с персональными данными в комитете правопорядка и безопасности Ленинградской области".
6. Отделу правового обеспечения, делопроизводства и контроля довести приказ до всех работников Комитета правопорядка и безопасности Ленинградской области под роспись.
7. Контроль за исполнением приказа оставляю за собой.
Председатель Комитета
правопорядка и безопасности
С.Н.Смирнов
УТВЕРЖДЕНА
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 09.11.2015 № 26
(приложение 1)
ПОЛИТИКА
В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМИТЕТЕ
ПРАВОПОРЯДКА И БЕЗОПАСНОСТИ ЛЕНИНГРАДСКОЙ ОБЛАСТИ
1. Общие положения
1.1. Настоящая Политика разработана Комитетом правопорядка и безопасности Ленинградской области, обладающим правами юридического лица, самостоятельно организующим и обрабатывающим персональные данные (далее - оператор) в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных".
1.2. Целью настоящей Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Координация действий по обработке и обеспечению безопасности персональных данных оператором возложена на работника, ответственного за организацию обработки персональных данных.
2. Цели обработки и состав персональных данных
2.1. Обработка персональных данных оператором ограничивается достижением конкретных заранее определенных и законных целей:
- обеспечение пропускного режима в зданиях Администрации Ленинградской области, расположенных в г. Санкт-Петербурге;
- рассмотрение обращений граждан.
Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. К персональным данным, обрабатываемым без использования средств автоматизации в указанных целях, относятся: фамилия, имя, отчество, адрес места жительства и иные персональные данные, содержащиеся в обращениях граждан.
К персональным данным, обрабатываемым с использованием средств автоматизации в указанных целях, относятся: фамилия, имя, отчество, фото.
2.3. Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
3. Принципы обработки персональных данных
3.1. Обработка персональных данных оператором осуществляется в соответствии с принципами, определенными законодательством Российской Федерации.
3.2. Не допускается обработка персональных данных оператором, несовместимая с целями сбора персональных данных.
3.3. Не допускается объединение оператором баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.4. Персональные данные, обрабатываемые оператором, после достижения целей их обработки уничтожаются, если иное не предусмотрено требованиями законодательства Российской Федерации.
4. Права оператора
4.1. Оператор персональных данных вправе:
- обрабатывать персональные данные субъекта персональных данных как с получением его согласия, так и без получения его согласия в случаях, предусмотренных законодательством Российской Федерации;
- предоставлять в установленных законом случаях персональные данные субъектов персональных данных третьим лицам, в том числе поручать обработку персональных данных сторонней организации;
- отказывать в предоставлении персональных данных субъекту персональных данных в случаях, предусмотренных законодательством Российской Федерации;
- отстаивать свои интересы в судебном порядке.
5. Обязанности оператора
5.1. Оператор обязан:
- принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами;
- издавать документы, определяющие политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных и к сведениям о реализуемых требованиях к защите персональных данных.
6. Права субъекта персональных данных
6.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- цели и применяемые способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;
- информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
- наименование или фамилию, имя, отчество и адрес нахождения лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом от 27 июля 2006 года № 152-ФЗ "О персональных данных" или другими федеральными законами.
6.2. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения (в случае если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки);
6.3. Субъект персональных данных имеет право направить жалобу о неправомерных действиях оператора при обработке его персональных данных в уполномоченный орган по защите прав субъектов персональных данных или отстаивать свои права в судебном порядке.
6.4. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку его персональных данных включает в себя:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва,
- подпись субъекта персональных данных.
6.5. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
7. Обеспечение защиты персональных данных
7.1. Оператор предпринимает необходимые меры для обеспечения защиты персональных данных от случайного или преднамеренного доступа, уничтожения, изменения, блокирования и других несанкционированных действий.
7.2. Перечень должностей работников оператора, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утверждается правовым актом оператора. С работниками, допущенными к обработке персональных данных, Комитет правопорядка и безопасности Ленинградской области заключает обязательства о неразглашении персональных данных, ставших им известными при выполнении должностных обязанностей.
7.3. Требования к мерам защиты персональных данных и способы реализации этих требований осуществляются в соответствии с положениями законодательства Российской Федерации, нормативными правовыми актами Ленинградской области.
7.4. Лица, виновные в нарушении требований законодательства Российской Федерации, нормативных правовых актов Ленинградской области, локальных актов оператора по обработке персональных данных несут предусмотренную законом ответственность.
7.5. Вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных, установленных в соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных", подлежит возмещению в соответствии с законодательством Российской Федерации.
УТВЕРЖДЕНЫ
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 09.11.2015 № 26
(приложение 2)
ПРАВИЛА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В КОМИТЕТЕ ПРАВОПОРЯДКА
И БЕЗОПАСНОСТИ ЛЕНИНГРАДСКОЙ ОБЛАСТИ
1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2. Обработка персональных данных должна ограничиваться достижением конкретных заранее определенных и законных целей:
- организация пропускного режима в зданиях Администрации Ленинградской области, расположенных в г. Санкт-Петербурге;
- рассмотрение поступающих обращений граждан.
Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в иных целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
8. Мерами, направленными на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, являются:
1) назначение ответственного за организацию обработки персональных данных;
2) издание документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных";
4) осуществление внутреннего контроля и(или) аудита соответствия обработки персональных данных Федеральному закону "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Комитета безопасности и правопорядка Ленинградской области в отношении обработки персональных данных, локальным актам Комитета безопасности и правопорядка Ленинградской области;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных", соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных";
6) выполнение мероприятий по удалению или уточнению неполных или неточных данных;
7) ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Комитета безопасности и правопорядка Ленинградской области в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и(или) обучение указанных работников.
9. Обеспечение безопасности персональных данных достигается:
1) определением угроз безопасности персональных данных;
2) применением организационных и(или) технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных, а также при обработке персональных данных без использования средств автоматизации;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных, а также правил доступа к персональным данным при их обработке без использования средств автоматизации;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных, а также безопасности персональных данных, обрабатываемых без использования средств автоматизации.
10. Цели обработки персональных данных определяются с учетом полномочий и функций Комитета правопорядка и безопасности Ленинградской области.
К персональным данным, обрабатываемым без использования средств автоматизации в указанных целях, относятся: фамилия, имя, отчество, адрес места жительства и иные персональные данные, содержащиеся в обращениях граждан.
К персональным данным, обрабатываемым с использованием средств автоматизации в указанных целях, относятся: фамилия, имя, отчество, фото.
Обработка персональных данных в соответствии с указанными целями осуществляется в отношении субъектов персональных данных, являющихся сотрудниками оператора, и(или) субъектов персональных данных, не являющихся сотрудниками оператора.
11. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных неправомерно обрабатываемые персональные данные, относящиеся к этому субъекту персональных данных, блокируются с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных персональные данные, относящиеся к этому субъекту персональных данных, блокируются с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
12. В случае подтверждения факта неточности персональных данных Комитет безопасности и правопорядка Ленинградской области на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
13. В случае выявления неправомерной обработки персональных данных в срок, не превышающий трех рабочих дней с даты выявления, неправомерная обработка персональных данных прекращается. В случае если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, такие персональные данные уничтожаются. Об устранении допущенных нарушений или об уничтожении персональных данных Комитет безопасности и правопорядка Ленинградской области уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
14. В случае достижения цели обработки персональных данных обработка персональных данных прекращается и осуществляется их уничтожение в срок, не превышающий 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Комитетом безопасности и правопорядка Ленинградской области и субъектом персональных данных либо если орган исполнительной власти Ленинградской области не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.
15. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных обработка персональных данных прекращается и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, персональные данные уничтожаются в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между органом исполнительной власти Ленинградской области и субъектом персональных данных либо если орган исполнительной власти Ленинградской области не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.
16. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 13 - 15 настоящих Правил, осуществляется блокирование таких персональных данных и уничтожение в срок не более шести месяцев, если иной срок не установлен федеральными законами.
УТВЕРЖДЕНЫ
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 09.11.2015 № 26
(приложение 3)
ПРАВИЛА
РАССМОТРЕНИЯ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ В КОМИТЕТЕ ПРАВОПОРЯДКА
И БЕЗОПАСНОСТИ ЛЕНИНГРАДСКОЙ ОБЛАСТИ
1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые способы обработки персональных данных;
4) наименование и место нахождения Комитета правопорядка и безопасности Ленинградской области, сведения о лицах (за исключением работников Комитета правопорядка и безопасности Ленинградской области, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Комитетом правопорядка и безопасности Ленинградской области или на основании федерального закона);
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
9) наименование или фамилию, имя, отчество и адрес нахождения лица, осуществляющего обработку персональных данных по поручению Комитета правопорядка и безопасности Ленинградской области, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом "О персональных данных" или другими федеральными законами.
2. Субъект персональных данных вправе требовать от Комитета правопорядка и безопасности Ленинградской области уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3. Сведения предоставляются субъекту персональных данных Комитетом правопорядка и безопасности Ленинградской области в доступной форме без содержания персональных данных, относящихся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
4. Сведения предоставляются субъекту персональных данных или его представителю Комитетом правопорядка и безопасности Ленинградской области при обращении либо при получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Комитетом правопорядка и безопасности Ленинградской области (номер договора, дата заключения договора, условное словесное обозначение и(или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Комитетом правопорядка и безопасности Ленинградской области, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
5. В случае если обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Комитет правопорядка и безопасности Ленинградской области или направить повторный запрос в целях ознакомления с такими персональными данными не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом "О персональных данных", принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
6. Субъект персональных данных вправе обратиться повторно в Комитет правопорядка и безопасности Ленинградской области или направить повторный запрос в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 5 настоящих Правил, в случае, если такие сведения и(или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 4 настоящих Правил, должен содержать обоснование направления повторного запроса.
7. Комитет правопорядка и безопасности Ленинградской области вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 5 и 6 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса возлагается на Комитет правопорядка и безопасности Ленинградской области.
УТВЕРЖДЕНЫ
приказом Комитета
правопорядка и безопасности
Ленинградской области
от 09.11.2015 № 26
(приложение 4)
ПРАВИЛА
ОСУЩЕСТВЛЕНИЯ ВНУТРЕННЕГО КОНТРОЛЯ СООТВЕТСТВИЯ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕБОВАНИЯМ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ, УСТАНОВЛЕННЫМ ФЕДЕРАЛЬНЫМ ЗАКОНОМ "О ПЕРСОНАЛЬНЫХ
ДАННЫХ", ПРИНЯТЫМИ В СООТВЕТСТВИИ С НИМ НОРМАТИВНЫМИ
ПРАВОВЫМИ АКТАМИ И ЛОКАЛЬНЫМИ АКТАМИ КОМИТЕТА ПРАВОПОРЯДКА
И БЕЗОПАСНОСТИ ЛЕНИНГРАДСКОЙ ОБЛАСТИ
1. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Комитете правопорядка и безопасности Ленинградской области организуется проведение периодических проверок условий обработки персональных данных.
2. Проверки осуществляются должностным лицом, ответственным за организацию обработки персональных данных в Комитете правопорядка и безопасности Ленинградской области, либо комиссией, образуемой распоряжением руководителя Комитета правопорядка и безопасности Ленинградской области.
3. В проведении проверки не может участвовать должностное лицо, прямо или косвенно заинтересованное в ее результатах.
4. Проверки соответствия обработки персональных данных установленным требованиям проводятся на основании утвержденного ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям или на основании поступившего в Комитет правопорядка и безопасности Ленинградской области письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
5. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне определены:
1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
2) порядок и условия применения средств защиты информации;
3) эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
4) состояние учета машинных носителей персональных данных;
5) соблюдение правил доступа к персональным данным;
6) наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
7) мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) мероприятия по обеспечению целостности персональных данных.
6. Должностное лицо, ответственное за организацию обработки персональных данных (комиссия), имеет право:
1) запрашивать у должностных лиц Комитета правопорядка и безопасности Ленинградской области информацию, необходимую для исполнения своих обязанностей;
2) требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
3) принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
4) представлять председателю Комитета правопорядка и безопасности Ленинградской области предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
5) представлять председателю Комитета правопорядка и безопасности Ленинградской области предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в части обработки персональных данных.
7. В отношении персональных данных, ставших известными ответственному за организацию обработки персональных данных (комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
8. Проверка должна быть завершена не позднее чем через десять дней со дня принятия решения о ее проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, председателю Комитета правопорядка и безопасности Ленинградской области докладывает должностное лицо, ответственное за организацию обработки персональных данных, либо председатель комиссии в форме письменного заключения.
------------------------------------------------------------------