21Требования к обеспечению защиты персональных данных
Общие положения
Настоящие требования определяют условия и действия уполномоченных лиц органа исполнительной власти или организации – аутсорсера, необходимые для защиты персональных данных при осуществлении деятельности ЦТО в случае использования для предоставления персонифицированных услуг персональных данных получателя услуг.
Защита персональных данных в деятельности ЦТО должна осуществляться в строгом соответствии с требованиями федерального закона Российской Федерации от 27 июля 2006 год № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» и иными действующими нормативными правовыми актами.
Органы исполнительной власти всех уровней, органы местного самоуправления при создании в своей структуре ЦТО обязаны обрабатывать персональные данные в государственных (муниципальных) информационных системах персональных данных.
Сбор персональных данных
Сбор и обработка персональных данных может осуществляться ЦТО с согласия субъекта персональных данных при обязательном предварительном предупреждении о сборе персональных данных.
При этом в целях доказательства согласия субъекта персональных данных разговор с оператором ЦТО должен быть записан на электронные или иные носители информации.
Техническая защита персональных данных
ЦТО обязан располагать техническими, в том числе шифровальными (криптографическими) средствами для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Должна быть обеспечена защита информации на электронных носителях, включая
внутреннюю защиту:
коды;
пароли;
разграничение доступа.
и внешнюю защиту:
дневная охрана;
ночная охрана;
переговорные устройства;
сигнализация;
КТС – кнопка тревожной сигнализации;
вневедомственная охрана;
пожарная сигнализация;
пропускная система для сотрудников.
Конфиденциальность персональных данных
Обязательным для ЦТО является требование не допускать распространение персональных данных без согласия субъекта персональных данных или наличия иного законного основания.
Распространение персональных данных
ЦТО имеет право передавать персональные данные только уполномоченному органу исполнительной власти (органу местного самоуправления) в целях предоставления персонифицированной государственной (муниципальной) услуги.
Также в случаях, установленных действующим законодательством, ЦТО имеет право передачи персональных данных правоохранительным органам и иным уполномоченным организациям.
Передача данных должна осуществляться по телекоммуникационным каналам связи или путем предоставления уполномоченному органу доступа к персональным данным на серверах ЦТО.
Обезличивание персональных данных
При сборе персональных данных в ЦТО по возможности необходимо предпринять возможные действия по обезличиванию персональных данных – присвоение обезличенных индексов и номеров получателю, в результате которых невозможно несанкционированно определить принадлежность персональных данных конкретному субъекту персональных данных.
Использование персональных данных
При предоставлении персонифицированных услуг ЦТО вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных включающих в себя только фамилии, имена и отчества субъектов персональных данных, а также в случае заключения договора с субъектом персональных данных. В иных случаях ЦТО до начала обработки персональных данных обязан уведомить об этом уполномоченный орган по контролю и надзору в сфере информационных технологий и связи.
Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных.
Предоставление сведений об обработке персональных данных
Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю при обращении в ЦТО либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя.
ЦТО обязан по первому требованию субъекта персональных данных предоставить ему при обращении информацию, касающуюся обработки его персональных данных, в том числе содержащую:
подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
способы обработки персональных данных, применяемые оператором;
сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
перечень обрабатываемых персональных данных и источник их получения;
сроки обработки персональных данных, в том числе сроки их хранения;
сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
Уничтожение персональных данных
В случае отзыва субъектом персональных данных согласия на обработку персональных данных такие данные в течение одного рабочего дня должны быть уничтожены без возможности восстановления.
По истечении срока хранения в АИС ЦТО персональные данные в течение одного рабочего дня должны быть уничтожены без возможности восстановления данных.
|
