8. ОТВЕТЫ НА ЗАПРОСЫ И ОБРАЩЕНИЯ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ ПРЕДСТАВИТЕЛЕЙ, УПОЛНОМОЧЕННЫХ ОРГАНОВ. УТОЧНЕНИЕ, ИСПРАВЛЕНИЕ, БЛОКИРОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.8.1. Субъект персональных данных, его представители, уполномоченные органы имеют право на получение сведений, касающихся обработки его персональных данных,
за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.1.1. Субъект персональных данных имеет право на получение информации, в том числе содержащей:
- подтверждение факта обработки персональных данных работниками Учреждения;
- правовые основания и цели обработки персональных данных;
- цели и применяемые способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах
(за исключением работников Учреждения), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора
с оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных, если обработка поручена или будет поручена такому лицу на основании заключенного с Учреждением договора;
- информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона № 152-ФЗ;
- иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.
8.1.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
- обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
- обработка персональных данных осуществляется органами, осуществляющими задержание субъекта персональных данных по подозрению
в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения,за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
- обработка персональных данных осуществляется в соответствии
с законодательством о противодействии легализации (отмыванию) доходов, полученных преступных путем, и финансированию терроризма;
- доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
- обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса
от актов незаконного вмешательства.
8.1.3. Сведения, указанные в пункте 8.1.1 настоящей Политики, предоставляются субъекту персональных данных в доступной форме, в них не могут содержаться персональные данные, относящиеся к другим субъектам персональных данных,
за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
8.1.4. Сведения, указанные в пункте 8.1.1 настоящей Политики, предоставляются субъекту персональных данных или его представителю Учреждением в течение десяти рабочих дней с момента обращения либо получения Учреждением запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Учреждением в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях
с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Учреждением, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Учреждение предоставляет сведения, указанные в пункте 8.1.1. Политики, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
8.1.5. Если персональные данные получены не от субъекта персональных данных, Учреждение, за исключением случаев, предусмотренных в пункте 8.1.6 настоящей Политики, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
8.1.5.1. наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
8.1.5.2. цель обработки персональных данных и ее правовое основание;
8.1.5.3. перечень персональных данных;
8.1.5.4. предполагаемые пользователи персональных данных;
8.1.5.5. установленные Федеральным законом № 152-ФЗ права субъекта персональных данных;
8.1.5.6. источник получения персональных данных.
8.1.6. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные в пункте 8.1.5 настоящей Политики, в случаях, если:
8.1.6.1. субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
8.1.6.2. персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
8.1.6.3. обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов
и условий, предусмотренных статьей 10.1 Федерального закона № 152-ФЗ;
8.1.6.4. Учреждение осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления научной, литературной или иной творческой деятельности, если при этом не нарушаются права
и законные интересы субъекта персональных данных;
8.1.6.5. предоставление субъекту персональных данных сведений, предусмотренных в пункте 8.1.5 настоящей Политики, нарушает права и законные интересы третьих лиц.
8.1.7. Работники Учреждения, имеющие доступ к персональным данным и/или осуществляющие обработку персональных данных, сообщают субъекту персональных данных или его представителю в порядке, предусмотренном Федеральным законом
№ 152-ФЗ, информацию о наличии персональных данных, относящихся
к соответствующему субъекту персональных данных, а также обеспечивают возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в сроки предусмотренные Федеральным законом № 152-ФЗ.
8.1.8. В случае, если сведения, указанные в пункте 8.1.1 Политики, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Учреждение или направить повторный запрос в целях получения сведений, указанных в пункте 8.1.1 Политики, и ознакомления с такими персональными данными.
8.1.9. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 8.1.1Политики, а также в целях ознакомления с обрабатываемыми персональными данными
до истечения срока, указанного в пункте 8.1.8 Политики, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 8.1.4, должен содержать обоснование направления повторного запроса.
8.1.10. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 8.1.8
и 8.1.9 Политики. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на работниках Учреждения, имеющих доступ к персональным данным и осуществляющих обработку персональных данных.
8.1.11. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя работники Учреждения, имеющие доступ к персональным данным и/или осуществляющие обработку персональных данных, направляют в адрес субъекта персональных данных или его представителя в письменной форме мотивированный ответ, содержащий ссылку
на основание для такого отказа в соответствии с пунктом 8.1.2 настоящей Политики, в срок, не превышающий десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
8.1.11. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом,действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
8.1.12. В случае подтверждения факта неточности персональных данных
на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов работники Учреждения, имеющие доступ
к персональным данным и/или осуществляющие обработку персональных данных, обязаны уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
8.1.13. В случае выявления неправомерной обработки персональных данных, осуществляемой работниками Учреждения, имеющими доступ к персональным данным, или лицом, действующим по поручению Учреждения, работники Учреждения, имеющие доступ к персональным данным и осуществляющие обработку персональных данных, в срок,
не превышающий трех рабочих дней с даты этого выявления, обязаны прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, работники Учреждения, имеющие доступ к персональным данным и/или осуществляющие обработку персональных данных, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязаны уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
8.1.14. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных работники Учреждения, имеющие доступ к персональным данным и/или осуществляющие обработку персональных данных, обязаны осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки.
9. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ9.1. В Учреждении обеспечивается раздельное хранение персональных данных (материальных носителей). Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных.
9.2. При осуществлении хранения персональных данных в соответствии с частью 5 статьи 17 Федерального закона № 152-ФЗ в Учреждении используются базы данных, находящиеся на территории Российской Федерации.
9.3. Хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных
не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональным данных.
9.4. Сроки хранения персональных данных определяются/обусловлены сроками хранения, установленными номенклатурой для дел, содержащих соответствующие персональные данные. Персональные данные полученные Учреждением в целях выполнения возложенных на Учреждение функций, полномочий и обязанностей, в том числе касающихся трудовых отношений и иных непосредственно связанных с ними отношений, обеспечения воинского учета, бухгалтерского учета и налогообложения, заключения
и исполнения договоров и соглашений, стороной в которых является Учреждение, хранятся в течение сроков, предусмотренных приказом Росархива от 20.12.2019 № 236
«Об утверждении Перечня типовых управленческих архивных документов, образующихся
в процессе деятельности государственных органов, органов местного самоуправления
и организаций, с указанием сроков их хранения», если иной срок хранения не предусмотрен иным применимым законодательством Российской Федерации.
10. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ДОСТИЖЕНИИ ЦЕЛЕЙ ОБРАБОТКИ ИЛИ ПPИ НАСТУПЛЕНИИ ИНЫХ ЗАКОННЫХ ОСНОВАНИЙ 10.1. Обрабатываемые персональные данные подлежат уничтожению:
10.1.1. По достижении целей обработки;
10.1.2. В случае утраты необходимости в достижении этих целей, если иное
не предусмотрено федеральным законом;
10.1.3. Выявлены факты неправомерной обработки персональных данных (в том числе при обращении субъекта персональных данных или его представителя), когда обеспечить правомерность их использования не представляется возможным;
10.1.4. В случае отзыва субъектом персональных данных согласия на обработку персональных данных;
10.1.5. В случае истечения предусмотренного согласием субъекта персональных данных срок обработки персональных данных;
10.1.6 В случае отсутствия основания осуществлять архивное хранение материальных носителей, содержащих такие персональные данные.
10.2. Персональные данные не подлежат уничтожению при достижении целей
их обработки или в случае отзыва субъектом персональных данных согласия на
их обработку, если:
10.2.1. Иное предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
10.2.2. Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или иными федеральными законами;
10.2.3. Иное предусмотрено соглашением между оператором и субъектом персональных данных.
10.3. В случае достижения цели обработки персональных данных работники Учреждения, имеющие доступ к персональным данным и осуществляющие обработку персональных данных, обязаны прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами.
10.4. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами.
10.4.1. В случае обращения субъекта персональных данных в Учреждение
с требованием о прекращении обработки персональных данных Учреждение обязано в срок, не превышающий десяти рабочих дней с даты получения соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных),
за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона № 152-ФЗ. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Учреждением в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
10.5. В случае отсутствия возможности уничтожения персональных данных
в установленные настоящей Политикой сроки, работники Учреждения, имеющие доступ
к персональным данным и осуществляющие обработку персональных данных, осуществляют блокирование таких персональных данных или обеспечивают их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивают уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
10.6. Документы, содержащие персональные данные, сроки хранения которых истекли, подлежат уничтожению за исключением случаев, предусмотренных пунктом 10.2.2 настоящей Политики, а также федеральными законами, в частности, Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации».
10.7. Для уничтожения материальных носителей персональных данных или передачи их на архивное хранение назначается экспертная комиссия, состав которой утверждается приказом директора Учреждения.
10.8. По итогам заседания экспертной комиссии составляется протокол и акт
о выделении к уничтожению документов, опись уничтожаемых дел, проверяется
их комплектность, акт подписывается председателем и членами экспертной комиссии
и утверждается директором Учреждения.
10.9. Уничтожение персональных данных на электронных носителях производится
под контролем лица, ответственного за организацию обработки и защиты персональных данных, путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удаления
с электронных носителей методами и средствами гарантированного удаления остаточной информации.
10.10. Материальные носители, подлежащие архивному хранению, передаются
по акту в структурное подразделение Учреждения, на которое возложено ведение архива,
или привлекаемую для этих целей на основании договора стороннюю организацию.
10.11. Уничтожение материальных носителей персональных данных должно обеспечивать их полное физическое уничтожение, а уничтожение персональных данных, записанных на машинных носителях информации, – невозможность восстановления персональных данных.
10.12. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
10.13. Машинные носители информации, содержащие персональные данные
и пришедшие в негодность, отслужившие установленный срок или утратившие практическое значение, уничтожаются Учреждением одним из следующих способов: разрезание, сжигание, механическое уничтожение, сдача организации по утилизации вторичного сырья. В последнем случае перед сдачей машинных носителей информации
на утилизацию на всех носителях производится стирание персональных данных
с использованием программ (устройств) гарантированного уничтожения информации.
10.14. Уничтожение носителей информации на бумажной основе производится
с применением бумагорезательных машин (шредеров).
10.15. В случае уничтожения материальных носителей специализированным предприятием по утилизации вторичного сырья в договоре с таким предприятием должна предусматриваться обязанность предприятия – утилизатора обеспечить конфиденциальность персональных данных, находящихся на уничтожаемых (утилизируемых) носителях. При отсутствии такого обязательства в договоре, уничтожение должно осуществляться только под личным наблюдением лица, ответственного
за организацию обработки и защиты персональных данных Учреждения.
10.16. По результатам уничтожения оформляется акт об уничтожении персональных данных.
10.17. Материальные носители персональных данных, находящиеся на архивном хранении, персональные данные, содержащиеся в электронных архивах, архивные копии баз данных, содержащих уничтоженные персональные данные, уничтожаются
в соответствии с нормами законодательства об архивном деле в Российской Федерации.
10.18. Учреждение обеспечивает хранение носителей персональных данных в течение срока, предусмотренного договором с субъектом персональных данных, приказом Росархива от 20.12.2019 № 236.
10.19. Учреждение ежегодно, в рамках осуществления мероприятий по контролю состояния защиты персональных данных, организует проверку соблюдения сроков хранения носителей персональных данных.
10.20 Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности, путем фиксации
их на отдельных материальных носителях персональных данных, таких как формы унифицированного учета работников и тому подобное.
10.21. При фиксации персональных данных на материальных носителях
не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы между собой.
10.22. При обработке персональных данных, предназначенных для различных целей, для каждой такой группы
персональных данных используется отдельный материальный носитель.
10.23. Документы, содержащие персональные данные (дела с документами, содержащими персональные данные работников, трудовые книжки, картотеки, учетные журналы, книги учёта, анкеты и прочее), должны находиться в хранилищах, обеспечивающих защиту от несанкционированного доступа.
10.24. Местом хранения персональных данных на бумажных носителях являются помещение отдела кадрового и документационного обеспечения Учреждения и помещение для хранения документов (законченных дел) с последующей передачей их на архивное хранение в соответствии с приказом Росархива от 20.12.2019 № 236. На все указанные места хранения распространяются следующие правила:
персональные данные, содержащиеся на бумажных носителях, хранятся в запираемом шкафу (в сейфе) и помещении;
ключи от запираемых шкафов, помещений выдаются только лицам, ответственным
за безопасность персональных данных Учреждения.
10.25. При использовании типовых форм документов, используемых
(или разработанных) Учреждением, характер информации в которых предполагает или допускает включение в них персональные данные (далее – типовая форма), например: лист ознакомления с локальным нормативным актом Учреждения, журналы: инструктажей, учета обращений субъектов персональных данных, формы анкет соискателей вакантных должностей и прочие, должны соблюдаться следующие условия:
типовая форма или связанные с ней документы должны содержать сведения о целях обработки персональных данных, осуществляемой без использования средств автоматизации, наименование и адрес Учреждения, фамилию, имя, отчество и адрес субъекта персональных данных (если адрес необходим для достижения целей обработки персональных данных без использования средств автоматизации), источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Учреждением способов обработки персональных данных;
типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных (например, в листах ознакомления работников с документами не должны содержаться иные сведения, кроме фамилии, имени, отчества, должности работника и наименования структурного подразделения – при необходимости);
типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
11. ВНУТРЕННИЙ КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ И ЛОКАЛЬНЫХ AKTOB В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ11.1. Организация внутреннего контроля и (или) аудита за соблюдением работниками Учреждения законодательства Российской Федерации и локальных правовых актов Учреждения в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных в Учреждении, в соответствии с правилами, установленными локальными правовыми актами Учреждения.
11.3. Руководители структурных подразделений Учреждения обязаны оперативно предоставлять необходимые материалы и сведения по запросам лица, ответственного
за организацию обработки персональных данных, а также устранять нарушения требований законодательства при работе с персональными данными, в случае выявления
их в структурном подразделении Учреждения.
11.4. Лицо, ответственное за
организацию обработки персональных данных в Учреждении, обязано:
осуществлять внутренний контроль за соблюдением Учреждением и его работниками законодательства о персональных данных, в том числе требований к защите персональных данных;
доводить до сведения работников Учреждения положения законодательства о персональных данных, локальных актов Учреждения по вопросам обработки персональных данных, требования к защите персональных данных;
контролировать и организовывать прием и обработку обращений, запросов субъектов персональных данных или их представителей, запросов структурными подразделениями Учреждения.
11.5. Доступ в помещения Учреждения, где хранятся и обрабатываются персональные данные, осуществляется в соответствии с локальным нормативным актом Учреждения, исключающим несанкционированный доступ к персональным данным работников Учреждения и обеспечивающим безопасность персональных данных работников Учреждения от уничтожения, изменения, блокирования, копирования, распространения,
а также от неправомерных действий в отношении персональных данных.
11.6. Организация хранения и использования материальных носителей персональных данных возлагается на лицо, ответственное за организацию обработки персональных данных в Учреждении. Материальные и машинные носители персональных данных подлежат обязательному по экземплярному учету.
11.7. Носители персональных данных на бумажной основе учитываются по форме, установленной для регистрации документов Учреждения, а также по формам, установленным для конкретных видов носителей
персональных данных (трудовых книжек, трудовых договоров Учреждения и так далее).
11.8. Запись и хранение файлов, содержащих персональные данные,
в том числе сканов документов с персональным данным, допускается только в сетевых хранилищах (на файловых серверах, на сетевых дисках и в сетевых каталогах/папках), специально предназначенных для этих целей.
11.9. Запись и хранение персональных данных на иных жестких и сетевых дисках, машинных носителях, не учтенных в указанном выше порядке, запрещены.
11.10. Персональные данные субъектов, обрабатываемые структурными подразделениями Учреждения, передаются от одного структурного подразделения другому через электронный документооборот с соблюдением следующих правил:
данные передаются в минимально возможном объеме, необходимом для выполнения соответствующим структурным подразделением своих функций;
передача из одного структурного подразделения в другое персональных данных, излишних по отношению к целям обработки в данном подразделении, не допускается;
при достижении целей обработки персональных данных, полученных от другого структурного подразделения, их носители должны быть возвращены в передавшее их ранее структурное подразделение или уничтожены.
12. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
12.1. Учреждение в случаях, установленных Федеральным законом № 152-ФЗ обеспечивает неограниченный доступ к настоящей Политике, к сведениям о реализуемых требованиях к защите персональных данных. Учреждение в случае сбора персональных данных с использованием информационно-телекоммуникационных сетей, опубликовывает в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Учреждению сайта в информационно-телекоммуникационной сети «Интернет» (при наличии сайта), настоящую Политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечивает возможность доступа к указанному документу
с использованием средств соответствующей информационно-телекоммуникационной сети.
12.2. Локальные правовые акты Учреждения, регулирующие отношения в сфере обработки персональных данных и изданные до утверждения настоящей Политики, подлежат применению в части непротиворечащей положениям настоящей Политики.
12.3. Работники Учреждения, имеющие доступ к персональным данным и/или осуществляющих обработку персональных данных, несут ответственность за невыполнение норм, регулирующих обработку и защиту персональных данных, несут ответственность в соответствии с законодательством Российской Федерации и локальными правовыми актами Учреждения.