имеет ли право роспотребнадзор запрашивать персональные данные
Приказ Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека от 23 декабря 2013 г. N 964 «Об утверждении Положения об обработке и защите персональных данных в Роспотребнадзоре» (с изменениями и дополнениями)
Приказ Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека от 23 декабря 2013 г. N 964
«Об утверждении Положения об обработке и защите персональных данных в Роспотребнадзоре»
С изменениями и дополнениями от:
28 ноября 2016 г., 28 сентября 2020 г.
В соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716, N 52, ст. 6439; 2010, N 27, ст. 3407, N 31, ст. 4173, ст. 4196, N 49, ст. 6409; 2011, N 23, ст. 3263, N 31, ст. 4701; 2013, N 14, ст. 1651, N 30, ст. 4038), подпунктом «б» пункта 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утверждённого постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 (Собрание законодательства Российской Федерации, 2012, N 14, ст. 1626), приказываю:
1. Утвердить прилагаемое Положение об обработке и защите персональных данных в Роспотребнадзоре.
2. Контроль за исполнением настоящего приказа оставляю за собой.
Зарегистрировано в Минюсте РФ 25 апреля 2014 г.
Регистрационный N 32122
Урегулирован порядок обработки персональных данных в Роспотребнадзоре.
Предусмотрены содержание обрабатываемых сведений, категории субъектов, сроки обработки и хранения информации и др.
Обрабатываются такие данные госслужащих и работников, как фамилия, имя, отчество, выполняемая работа, места рождения и регистрации, реквизиты различных документов и др. Их можно использовать для статистических и иных исследовательских целей, для предоставления доступа неограниченному кругу лиц к отдельным сведениям, для выполнения возложенных на Роспотребнадзор функций и т. д.
Закреплены особенности обработки персональных данных госслужащих в связи с рассмотрением вопроса о предоставлении единовременной субсидии на приобретение жилья.
Отдельно рассмотрена процедура обработки информации в связи с оказанием госуслуг и выполнением госфункций.
Приказ Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека от 23 декабря 2013 г. N 964 «Об утверждении Положения об обработке и защите персональных данных в Роспотребнадзоре»
Зарегистрировано в Минюсте РФ 25 апреля 2014 г.
Регистрационный N 32122
Настоящий приказ вступает в силу по истечении 10 дней после дня его официального опубликования
Текст приказа опубликован в «Российской газете» от 14 мая 2014 г. N 106
В настоящий документ внесены изменения следующими документами:
Приказ Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека от 28 сентября 2020 г. N 672
Изменения вступают в силу с 4 декабря 2020 г.
Приказ Роспотребнадзора от 28 ноября 2016 г. N 1172
Изменения вступают в силу по истечении 10 дней после дня официального опубликования названного приказа
Имеет ли право роспотребнадзор запрашивать персональные данные
Постановление Восьмого кассационного суда общей юрисдикции от 26.06.2020 № 16-3554/2020
Комментарий
В ходе проверки Роспотребнадзор затребовал у работодателя трудовые книжки сотрудников с целью подготовки санитарно-гигиенических характеристик условий труда. Компания отказала, ссылаясь на то, что это нарушает требования законодательства о защите персональных данных сотрудников, поскольку они согласия на такую передачу не давали.
Роспотребнадзор привлек организацию к ответственности по ст. 19.7 КоАП РФ за непредставление госоргану сведений и назначил наказание в виде предупреждения. Но Восьмой кассационный суд постановлением от 26.06.2020 № 16-3554/2020 признал привлечение к ответственности незаконным. Судьи указали, что ответственность по указанной статье может наступить только при наличии двух условий одновременно:
Лица, получившие доступ к персональным данным граждан, не вправе распространять их или раскрывать третьим лицам без согласия этих граждан. Иное может быть установлено только законом. Такие правила в ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ (о персональных данных). За нарушение этих обязанностей владельца персональных данных ждет ответственность.
Положение о Роспотребнадзоре (утв. постановлением Правительства РФ от 30.06.2004 № 322) и другие регламентирующие акты не содержат норм, которые давали бы право территориальным органам службы требовать раскрытия персональных данных без согласия субъектов этих данных. В рассматриваемом случае работодателя нельзя привлечь к ответственности, поскольку работники такого согласия не давали.
Судьи также не нашли в ч. 1 ст. 50 Федерального закона от 30.03.1999 № 52-ФЗ «О санитарно-эпидемиологическом благополучии населения» полномочий должностных лиц, осуществляющих санитарно-эпидемиологический надзор, на получение персональных данных работников. А для определения санитарно-гигиенических характеристик условий труда действующее законодательство не предусматривает обязанности работодателя предоставлять персональные данные работников, в том числе копии трудовых книжек. Кассационная инстанция указала, что нижестоящие суды не установили, какими нормативными правовыми актами предусмотрена обязанность виновника по предоставлению трудовых книжек без согласия работников.
Имеет ли право роспотребнадзор запрашивать персональные данные
(1).jpg "p1110798(1)(1)")
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.
Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
В адрес торговой организации, где трудоустроено более 500 иностранных работников, поступил запрос от Роспотребнадзора о предоставлении сведений об иммунизации против кори сотрудников организации, в том числе о предоставлении пофамильного списка по иностранным гражданам с копией сертификата или медицинской справки о проведенной прививке. Роспотребнадзор в запросе ссылается на Постановление Главного государственного санитарного врача РФ от 06.03.2019 N 2 «О проведении подчищающей иммунизации против кори на территории РФ», ст. 50 ФЗ от 30.03.1999 N 52-ФЗ «О санитарно-эпидемиологическом благополучии населения», ст. 3 ФЗ от 17.09.1998 «Об иммунопрофилактике инфекционных болезней». Обязана ли организация предоставлять информацию пофамильно по иностранным гражданам? Не нарушает ли данное требование Роспотребнадзора Закон N 152-ФЗ «О персональных данных»? Влечет ли административную ответственность для организации неисполнение требования?
Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Амирова Лариса
Ответ прошел контроль качества
Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.
© ООО «НПП «ГАРАНТ-СЕРВИС», 2021. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.
Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО «НПП «ГАРАНТ-СЕРВИС». Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Правила использования портала.
Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года.
ООО «НПП «ГАРАНТ-СЕРВИС», 119234, г. Москва, ул. Ленинские горы, д. 1, стр. 77, info@garant.ru.
8-800-200-88-88
(бесплатный междугородный звонок)
Редакция: +7 (495) 647-62-38 (доб. 3145), editor@garant.ru
Отдел рекламы: +7 (495) 647-62-38 (доб. 3136), adv@garant.ru. Реклама на портале. Медиакит
Если вы заметили опечатку в тексте,
выделите ее и нажмите Ctrl+Enter
Приложение. Положение об обработке и защите персональных данных в Роспотребнадзоре
Положение
об обработке и защите персональных данных в Роспотребнадзоре
(утв. приказом Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека от 23 декабря 2013 г. N 964)
С изменениями и дополнениями от:
28 ноября 2016 г., 28 сентября 2020 г.
— правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
— правила рассмотрения запросов субъектов персональных данных или их представителей;
— перечни персональных данных, обрабатываемых в связи с реализацией служебных или трудовых отношений, а также в связи с предоставлением государственных услуг и осуществлением государственных функций.
1.2. Положение определяет деятельность Роспотребнадзора как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.
1.3. Обработка персональных данных в Роспотребнадзоре осуществляется с соблюдением принципов и условий, предусмотренных Положением и законодательством Российской Федерации в сфере персональных данных.
1.4. Положение распространяется на обработку и защиту персональных данных в центральном аппарате Роспотребнадзора, территориальных органах Роспотребнадзора и подведомственных Роспотребнадзору организациях.
II. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных
2.1. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в Роспотребнадзоре используются следующие процедуры:
2.1.1. Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных;
2.1.2. Оценка вреда, который может быть причинен субъектам персональных данных;
2.1.3. Ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящим Положением и (или) обучение по соответствующим дополнительным профессиональным программам;
2.1.4. Осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленными законодательством Российской Федерации в сфере персональных данных;
2.1.5. Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
2.1.6. Обеспечение при обработке персональных данных точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.
III. Цели обработки персональных данных
3.1. В Роспотребнадзоре персональные данные могут обрабатываться для:
3.1.1. Осуществления статистических или иных исследовательских целей, за исключением целей, указанных в статье 15 Федерального закона «О персональных данных»;
3.1.2. Обеспечения доступа неограниченного круга лиц к общедоступным персональным данным, который предоставлен субъектом персональных данных либо по просьбе субъекта персональных данных;
3.1.3. Выполнения возложенных на Роспотребнадзор функций и полномочий.
3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.
3.3. Обработка персональных данных, несовместимых с целями сбора персональных данных, указанными в пункте 3.1 Положения, не допускается.
3.4. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным в пункте 3.1 Положения целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
IV. Условия и порядок обработки персональных данных федеральных государственных гражданских служащих и работников Роспотребнадзора
4.2. В Роспотребнадзоре обрабатываются следующие категории персональных данных:
4.2.1. Фамилия, имя, отчество, дата и место рождения, гражданство;
4.2.2. Прежние фамилия, имя, отчество, дата, место рождения (в случае изменения);
4.2.3. Владение иностранными языками и языками народов Российской Федерации;
4.2.4. Образование (когда и какие образовательные организации окончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому);
4.2.5. Выполняемая работа с начала трудовой деятельности (в том числе военная служба, работа по совместительству, предпринимательская деятельность);
4.2.6. Классный чин федеральной государственной гражданской службы, гражданской службы субъекта Российской Федерации, муниципальной службы, дипломатический ранг, воинское, специальное звание, классный чин правоохранительной службы (кем и когда присвоены);
4.2.7. Государственные награды, иные награды, и знаки отличия (кем награжден и когда);
4.2.8. Степень родства, фамилии, имена, отчества, даты рождения близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены);
4.2.9. Места рождения, места работы и домашние адреса близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены);
4.2.10. Фамилии, имена, отчества, даты рождения, места рождения, места работы и домашние адреса бывших мужей (жен);
4.2.11. Пребывание за границей (когда, где, с какой целью);
4.2.12. Близкие родственники (отец, мать, братья, сестры и дети), а также муж (жена), в том числе бывшие, постоянно проживающие за границей и (или) оформляющие документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество, с какого времени проживают за границей);
4.2.13. Адрес регистрации и фактического проживания, дата регистрации по месту жительства;
4.2.14. Вид, серия, номер документа, удостоверяющего личность на территории Российской Федерации, наименование органа, выдавшего его, дата выдачи;
4.2.16. Номер контактного телефона или сведения о других способах связи;
4.2.17. Отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
4.2.18. Идентификационный номер налогоплательщика;
4.2.19. Номер страхового свидетельства обязательного пенсионного страхования;
4.2.20. Реквизиты полиса обязательного медицинского страхования;
4.2.21. Реквизиты свидетельств государственной регистрации актов гражданского состояния;
4.2.22. Наличие (отсутствие) судимости;
4.2.23. Допуск к государственной тайне, оформленный за период работы, службы, учебы (форма, номер и дата);
4.2.24. Наличие (отсутствие) заболевания, препятствующего поступлению на государственную гражданскую службу Российской Федерации или ее прохождению, подтвержденного заключением медицинского учреждения;
4.2.25. Наличие (отсутствие) медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну, подтвержденное заключением медицинского учреждения;
4.2.26. Сведения о доходах, расходах, имуществе и обязательствах имущественного характера, а также о доходах, расходах, имуществе обязательствах имущественного характера супругов и несовершеннолетних детей;
4.2.27. Номер индивидуального лицевого счета, дата его открытия, номер банковской карты;
4.2.28. Иные персональные данные, необходимые для достижения целей, указанных в пункте 4.1 Положения.
4.3. Обработка персональных данных гражданских служащих и работников Роспотребнадзора, граждан, претендующих на замещение должностей в Роспотребнадзоре и подведомственных организациях, осуществляется без их согласия в рамках целей, указанных в пункте 4.1 Положения, на основании пунктов 2, 3, 11 части 1 статьи 6 Федерального закона «О персональных данных».
4.4. Обработка специальных категорий персональных данных гражданских служащих и работников Роспотребнадзора, граждан, претендующих на замещение должностей в Роспотребнадзоре и подведомственных организациях, осуществляется без их согласия в рамках целей, указанных в пункте 4.1 Положения, на основании пунктов 2, 2.3, 3, 4, 6, 7, 8 части 2 и части 3 статьи 10 Федерального закона «О персональных данных», за исключением случаев получения персональных данных у третьей стороны.
4.5. Обработка персональных данных гражданских служащих и работников Роспотребнадзора, граждан, претендующих на замещение должностей в Роспотребнадзоре и подведомственных организациях, осуществляется при условии получения согласия указанных лиц в следующих случаях:
4.5.1. При передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных законодательством Российской Федерации о государственной гражданской службе и трудовым законодательством;
4.5.2. При трансграничной передаче персональных данных;
4.5.3. При принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
4.6. В случаях, предусмотренных пунктом 4.5 Положения, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом «О персональных данных».
4.8. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных гражданских служащих и работников Роспотребнадзора, граждан, претендующих на замещение должностей в Роспотребнадзоре и подведомственных организациях, осуществляется путем:
Информация об изменениях:
4.8.1. Получения оригиналов необходимых документов (заявление, трудовая книжка и (или) сведения о трудовой деятельности на бумажном носителе, заверенные надлежащим образом, или в форме электронного документа, подписанного усиленной квалифицированной электронной подписью (при её наличии у работодателя), автобиография, иные документы, предоставляемые в кадровые подразделения);
4.8.2. Копирования оригиналов документов;
4.8.3. Внесения сведений в учетные формы;
4.8.4. Формирования персональных данных в ходе кадровой работы;
4.8.5. Внесения персональных данных в информационные системы (при наличии);
4.8.6. Получения персональных данных непосредственно от гражданских служащих и работников Роспотребнадзора, граждан, претендующих на замещение должностей в Роспотребнадзоре и подведомственных организациях.
4.9. В случае возникновения необходимости получения персональных данных гражданских служащих и работников Роспотребнадзора, граждан, претендующих на замещение должностей в Роспотребнадзоре и подведомственных организациях, у третьей стороны следует известить об этом заранее гражданского служащего или работника Роспотребнадзора, гражданина, претендующего на замещение должности в Роспотребнадзоре или подведомственной организации, получить письменное согласие и сообщить о целях и способах получения персональных данных.
4.10. Запрещается получать, обрабатывать и приобщать к личному делу гражданского служащего и работника Роспотребнадзора персональные данные, не предусмотренные пунктом 4.2 Положения, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
4.11. При сборе персональных данных уполномоченный гражданский служащий (работник), осуществляющий сбор (получение) персональных данных непосредственно от гражданских служащих и работников Роспотребнадзора, граждан, претендующих на замещение должностей в Роспотребнадзоре и подведомственных организациях, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные, если предоставление персональных данных является обязательным в соответствии с федеральным законом.
4.12. Передача (распространение, предоставление) и использование персональных данных гражданских служащих и работников Роспотребнадзора, граждан, претендующих на замещение должностей в Роспотребнадзоре и подведомственных организациях, осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.
V. Условия и порядок обработки персональных данных гражданских служащих Роспотребнадзора в связи с рассмотрением вопроса о предоставлении единовременной субсидии на приобретение жилого помещения
5.1. В Роспотребнадзоре осуществляется обработка персональных данных гражданских служащих Роспотребнадзора в связи с рассмотрением вопроса о предоставлении единовременной субсидии на приобретение жилого помещения.
5.2. Персональные данные, подлежащие обработке в связи с предоставлением единовременной субсидии на приобретение жилого помещения, указаны в постановлении Правительства Российской Федерации от 27.01.2009 N 63 «О предоставлении федеральным государственным гражданским служащим единовременной субсидии на приобретение жилого помещения» (Собрание законодательства Российской Федерации, 2009, N 6, ст. 739, N 51, ст. 6328; 2010, N 9, ст. 963, N 52 (ч. 1), ст. 7104; 2013, N 13, ст. 1559, N 39, ст. 4985) и включают в себя:
5.2.1. Фамилию, имя, отчество, дата и место рождения;
5.2.2. Прежние фамилия, имя, отчество, дата, место рождения и причина изменения (в случае изменения);
5.2.3. Вид, серия, номер документа, удостоверяющего личность на территории Российской Федерации, наименование органа, выдавшего его, дата выдачи;
5.2.4. Адрес регистрации и фактического проживания, дата регистрации по месту жительства;
5.2.5. Сведения о составе семьи;
Информация об изменениях:
5.2.6. Информация, содержащаяся в выписке из домовой книги, копиях финансового лицевого счета, свидетельства о браке, свидетельства о рождении ребенка (детей), трудовой книжки и (или) в сведениях о трудовой деятельности, документов о наличии в собственности гражданского служащего и (или) членов его семьи жилых помещений, кроме жилого помещения, в котором они зарегистрированы (с предоставлением при необходимости их оригиналов), документа, подтверждающего право на дополнительную площадь жилого помещения.
5.4. Обработка персональных данных гражданских служащих Роспотребнадзора в связи с предоставлением единовременной субсидии на приобретение жилого помещения, в том числе сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных, осуществляется уполномоченными гражданскими служащими путем:
5.4.1. Получения оригиналов необходимых документов;
5.4.2. Предоставления заверенных в установленном порядке копий документов.
5.5. Комиссия Роспотребнадзора вправе проверять сведения, содержащиеся в документах, представленных гражданскими служащими Роспотребнадзора, о наличии условий, необходимых для постановки гражданского служащего на учет для получения единовременной субсидии на получение жилья.
5.6. Передача (распространение, предоставление) и использование персональных данных гражданских служащих Роспотребнадзора, полученных в связи с предоставлением единовременной субсидии на приобретение жилого помещения, осуществляется лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации.
VI. Условия и порядок обработки персональных данных субъектов в связи с предоставлением государственных услуг и исполнением государственных функций
6.2. Персональные данные субъектов персональных данных, обратившихся в органы и подведомственные организации лично, а также направивших индивидуальные или коллективные письменные обращения (запросы) или обращения (запросы) в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений (запросов) с последующим уведомлением о результатах рассмотрения.
6.3. Обработка персональных данных, необходимых в связи с предоставлением государственных услуг и исполнением государственных функций, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 4 части 1 статьи 6 Федерального закона «О персональных данных».
6.4. Обработка персональных данных, необходимых в связи с предоставлением государственных услуг и исполнением государственных функций, осуществляется уполномоченными структурными подразделениями органов и подведомственных организаций, предоставляющих соответствующие государственные услуги и (или) исполняющими государственные функции, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
6.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов, обратившихся в органы и подведомственные организации для получения государственной услуги или в целях исполнения государственной функции, осуществляется путем:
6.5.1. Получения оригиналов необходимых документов (заявление);
6.5.2. Заверения копий документов;
6.5.3. Внесения сведений в учетные формы (на бумажных и электронных носителях).
6.6. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных.
6.7. При сборе персональных данных уполномоченный гражданский служащий (работник), осуществляющий получение персональных данных непосредственно от субъектов персональных данных, обратившихся за предоставлением государственной услуги или в связи с исполнением государственной функции, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.
6.8. Передача (распространение, предоставление) и использование персональных данных заявителей (субъектов персональных данных) Роспотребнадзором осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.
VII. Порядок обработки персональных данных субъектов персональных данных в информационных системах
Информация об изменениях:
Приказом Роспотребнадзора от 28 ноября 2016 г. N 1172 пункт 7.1 изложен в новой редакции
7.1. Обработка персональных данных в информационных системах осуществляется после реализации организационных и технических мер по обеспечению безопасности персональных данных, определенных с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.
Обеспечение безопасности при обработке персональных данных, содержащихся в информационных системах органов и подведомственных организаций осуществляется в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»*(1), Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17*(2), Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21*(3).
7.2. Уполномоченному гражданскому служащему (работнику), имеющему право осуществлять обработку персональных данных в информационных системах органов и подведомственных организаций (при наличии информационных систем) предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется в соответствии с функциями, предусмотренными должностными регламентами гражданских служащих (должностными обязанностями работников).
Информация может вноситься как в автоматическом режиме, при получении персональных данных с Единого портала государственных и муниципальных услуг (функций) или официального сайта Роспотребнадзора в сети Интернет, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять её автоматическую регистрацию.
7.3. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах органов и подведомственных организаций, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
7.3.1. Определение угроз безопасности персональных данных при их обработке в информационных системах;
7.3.2. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные законодательством Российской Федерации уровни защищенности персональных данных;
7.3.3. Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
7.3.4. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;
7.3.5. Учет машинных носителей персональных данных;
7.3.6. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
7.3.7. Восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
7.3.8. Установление правил доступа к персональным данным, обрабатываемым в информационных системах, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах;
7.3.9. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем.
7.4. В случае выявления нарушений порядка обработки персональных данных уполномоченными гражданскими служащими (работниками) незамедлительно принимаются меры по установлению причин нарушений и их устранению.
Информация об изменениях:
Приказом Роспотребнадзора от 28 ноября 2016 г. N 1172 глава VII дополнена пунктом 7.5
7.5. Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Информация об изменениях:
Приказом Роспотребнадзора от 28 ноября 2016 г. N 1172 глава VII дополнена пунктом 7.6
7.6. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
идентификация и аутентификация субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;
регистрация событий безопасности;
обнаружение (предотвращение) вторжений;
контроль (анализ) защищенности персональных данных;
обеспечение целостности информационной системы и персональных данных;
обеспечение доступности персональных данных;
защита среды виртуализации;
защита технических средств;
защита информационной системы, ее средств, систем связи и передачи данных;
выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них;
управление конфигурацией информационной системы и системы защиты персональных данных.
Информация об изменениях:
Приказом Роспотребнадзора от 28 ноября 2016 г. N 1172 глава VII дополнена пунктом 7.7
7.7. Согласно пункту 6 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»*(4).
Информация об изменениях:
Приказом Роспотребнадзора от 28 ноября 2016 г. N 1172 глава VII дополнена пунктом 7.8
7.8. В соответствии с пунктом 11 статьи 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.
7.8.1. Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
7.8.2. Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;
г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
7.8.3. Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные;
д) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
7.8.4. Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные;
б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
Информация об изменениях:
Приказом Роспотребнадзора от 28 ноября 2016 г. N 1172 глава VII дополнена пунктом 7.9
7.9. Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных, приведены в приложении к Составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18 февраля 2013 г. N 21*(5).
VIII. Сроки обработки и хранения персональных данных
8.1. Сроки обработки и хранения персональных данных гражданских служащих и работников Роспотребнадзора, граждан, претендующих на замещение должностей в Роспотребнадзоре и подведомственных организациях, определяются в соответствии с законодательством Российской Федерации.
С учетом положений законодательства Российской Федерации устанавливаются следующие сроки обработки и хранения персональных данных:
8.1.1. Персональные данные, содержащиеся в приказах по личному составу гражданских служащих и работников Роспотребнадзора (о приеме, о переводе, об увольнении, об установлении надбавок), подлежат хранению в соответствующих структурных подразделениях в течение 75 лет в порядке, предусмотренном законодательством Российской Федерации;
8.1.2. Персональные данные, содержащиеся в личных делах гражданских служащих и работников Роспотребнадзора, а также личных карточках гражданских служащих и работников Роспотребнадзора, хранятся в соответствующих структурных подразделениях в течение 75 лет в порядке, предусмотренном законодательством Российской Федерации;
8.1.3. Персональные данные, содержащиеся в приказах о поощрениях, материальной помощи гражданским служащим и работникам Роспотребнадзора, подлежат хранению в течение 75 лет в порядке, предусмотренном законодательством Российской Федерации;
8.1.4. Персональные данные, содержащиеся в приказах о предоставлении отпусков, о краткосрочных внутрироссийских и зарубежных командировках, о дисциплинарных взысканиях гражданских служащих и работников Роспотребнадзора, подлежат хранению в соответствующих структурных подразделениях в течение пяти лет;
8.1.5. Персональные данные, содержащиеся в документах граждан, претендующих на замещение должностей в Роспотребнадзоре и подведомственных организациях, не допущенных к участию в конкурсе, и кандидатов, участвовавших в конкурсе, хранятся в соответствующих структурных подразделениях в течение 3 лет со дня завершения конкурса, после чего подлежат уничтожению.
8.2. Сроки обработки и хранения персональных данных, предоставляемых субъектами персональных данных в органах или подведомственных организациях в связи с получением государственных услуг и исполнением государственных функций, указанных в пункте 8.1 Положения, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.
8.3. Персональные данные граждан, обратившихся в органы и подведомственные организации лично, а также направивших индивидуальные или коллективные письменные обращения или обращения # форме электронного документа, хранятся в течение пяти лет.
8.4. Персональные данные, предоставляемые субъектами на бумажном носителе в связи с предоставлением органами и подведомственными организациями государственных услуг и исполнением государственных функций, хранятся на бумажных носителях в структурных подразделениях органа или подведомственной организации, к полномочиям которых относится обработка персональных данных в связи с предоставлением государственной услуги или исполнением государственной функции, в соответствии с положениями о соответствующих структурных подразделениях.
8.5. Если сроки хранения персональных данных не установлены законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, то обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели их обработки и хранения.
8.6. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
8.7. Уполномоченные должностные лица Роспотребнадзора обеспечивают раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных Положением.
8.8. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители соответствующих структурных подразделений органа или подведомственной организации.
8.9. Срок хранения персональных данных, внесенных в информационную систему Роспотребнадзора, указанную в пункте 7.1 Положения, должен соответствовать сроку хранения бумажных оригиналов.
IX. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований
9.1. Структурным подразделением органа или подведомственной организации, ответственным за документооборот, осуществляется систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.
По итогам заседания составляются протокол и акт о выделении к уничтожению документов с указанием уничтожаемых дел и их количества, проверяется их комплектность, акт подписывается председателем и членами ЭК Роспотребнадзора и утверждается руководителем органа или подведомственной организации.
9.3. Должностное лицо органа или подведомственной организации, ответственное за архивную деятельность, организует работу по уничтожению документов, содержащих персональные данные.
9.4. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
9.5. По итогам уничтожения дел (на бумажном и (или) электронном носителях) в акт о выделении к уничтожению документов вносится соответствующая запись.
X. Рассмотрение запросов субъектов персональных данных или их представителей
10.1. Гражданские служащие и работники Роспотребнадзора, граждане, претендующие на замещение должностей в Роспотребнадзоре и подведомственных организациях, а также граждане, персональные данные которых обрабатываются в органах или подведомственных организациях, в связи с предоставлением государственных услуг и осуществлением государственных функций, имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
10.1.1. Подтверждение факта обработки персональных данных;
10.1.2. Правовые основания и цели обработки персональных данных;
10.1.3. Применяемые способы обработки персональных данных;
10.1.4. Наименование и местонахождение органа или подведомственной организации, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании федерального закона;
10.1.5. Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
10.1.6. Сроки обработки персональных данных, в том числе сроки их хранения;
10.1.7. Порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;
10.1.8. Информацию об осуществленной или предполагаемой трансграничной передаче данных;
10.1.9. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению органа или подведомственной организации, если обработка поручена или будет поручена такой организации или лицу;
10.1.10. Иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.
10.2. Субъекты персональных данных, указанные в пункте 10.1 Положения, вправе требовать от органа или подведомственной организации уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
10.4.1. Номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
10.4.2. Сведения, подтверждающие участие субъекта персональных данных в правоотношениях с органом или подведомственной организацией, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
10.7. Орган или подведомственная организация вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 10.5 и 10.6 Положения с мотивированным указанием причин отказа.
10.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
Информация об изменениях:
Приказом Роспотребнадзора от 28 ноября 2016 г. N 1172 приложение дополнено главой XI
XI. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных
11.2. Внутренний контроль подразделяется на плановый и внеплановый.
11.3. Внутренний контроль осуществляется лицом, ответственным за организацию обработки персональных данных, либо комиссией, образуемой приказом органа или подведомственной организации, в состав которой входят: лицо, ответственное за организацию обработки персональных данных; лица, уполномоченные на обработку персональных данных.
11.4. Плановый внутренний контроль проводится на основании плана, утвержденного руководителем органа или подведомственной организации.
Срок проведения планового внутреннего контроля составляет не менее 10 рабочих дней.
11.5. Внеплановый внутренний контроль проводится по решению лица, ответственного за организацию обработки персональных данных:
на основании поступившего в орган или подведомственную организацию в письменной форме или в форме электронного документа заявления субъекта персональных данных о нарушении законодательства в области персональных данных, а также устного обращения;
в связи с проведением в органе или подведомственной организации государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
Внеплановый внутренний контроль может проводиться на основании решения руководителя органа или подведомственной организации.
11.6. Внеплановый внутренний контроль должен быть завершен не позднее чем через месяц со дня принятия решения о его проведении.
11.7. Результаты внутреннего контроля оформляются в виде справки.
11.8. При выявлении в ходе внутреннего контроля нарушений в справке отражается перечень мероприятий по устранению выявленных нарушений и сроки их устранения.
11.9. О результатах внутреннего контроля и мерах, необходимых для устранения выявленных нарушений, руководителю органа или подведомственной организации докладывает лицо, ответственное за организацию обработки персональных данных.
11.10. В отношении персональных данных, ставших известными лицу, ответственному за организацию обработки персональных данных, или членам комиссии в ходе проведения внутреннего контроля, соблюдается конфиденциальность и обеспечивается безопасность при их обработке.
*(1) Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257
*(2) Зарегистрирован Минюстом России 31.05.2013, регистрационный номер 28608
*(3) Зарегистрирован Минюстом России 14.05.2013, регистрационный номер 28375
*(4) Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716, N 52, ст. 6439; 2010, N 27, ст. 3407, N 31, ст. 4173, N 31, ст. 4196, N 49, ст. 6409; 2011, N 23, ст. 3263, N 31, ст. 4701; 2013, N 14, ст. 1651, N 30, ст. 4038, N 51, ст. 6683; 2014, N 23, ст. 2927, N 30, ст. 4217, N 30, ст. 4243
*(5) Зарегистрирован Минюстом России 14.05.2013, регистрационный номер 28375