Продукты и услуги Информационно-правовое обеспечение ПРАЙМ Документы ленты ПРАЙМ Проект Приказа Федеральной службы по аккредитации "Об утверждении документов в области организации обработки и обеспечения безопасности персональных данных в Федеральной службе по аккредитации" (подготовлен Росаккредитацией 21.07.2022)

Проект Приказа Федеральной службы по аккредитации "Об утверждении документов в области организации обработки и обеспечения безопасности персональных данных в Федеральной службе по аккредитации" (подготовлен Росаккредитацией 21.07.2022)

9 августа 2022

Досье на проект

Пояснительная записка

В соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2021, N 27, ст. 5159), постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (Собрание законодательства Российской Федерации, 2012, N 14, ст. 1626; 2019, N 16, ст. 1957) приказываю:

1. Утвердить прилагаемые:

Правила обработки персональных данных в Федеральной службе по аккредитации (приложение N 1);

Правила рассмотрения запросов субъектов персональных данных или их представителей в Федеральной службе по аккредитации (приложение N 2);

Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (приложение N 3);

Правила работы с обезличенными данными в случае обезличивания персональных данных в Федеральной службе по аккредитации (приложение N 4).

2. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Федеральной службы по аккредитации А.А. Соловьева.

Руководитель

Н.В. Скрыпник

Приложение N 1
к приказу Федеральной службы по аккредитации
от "___" ________ 20___ г. N _____

Правила обработки персональных данных в Федеральной службе по аккредитации

I. Общие положения

1. Правила обработки персональных данных в Федеральной службе по аккредитации (далее - Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований, меры, направленные на защиту персональных данных.

2. Обработка персональных данных в Росаккредитации выполняется с использованием средств автоматизации или без использования таких средств и включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

3. Правила определяют политику Росаккредитации как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

4. Правила разработаны в соответствии с:

Трудовым кодексом Российской Федерации (Собрание законодательства Российской Федерации, 2002, N 1, ст. 3; 2021, N 27, ст.5139) (далее - Трудовой кодекс);

Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2021, N 27, ст. 5059);

Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2021, N 27, ст. 5159) (далее - Федеральный закон "О персональных данных");

Федеральным законом от 27 мая 2003 г. N 58-ФЗ "О системе государственной службы Российской Федерации" (Собрание законодательства Российской Федерации, 2003, N 22, ст. 2063; 2021, N 27, ст. 5179);

Федеральным законом от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации" (Собрание законодательства Российской Федерации, 2004, N 31, ст. 3215; 2022, N 1, ст. 6);

Федеральным законом от 25 декабря 2008 г. N 273-ФЗ "О противодействии коррупции" (Собрание законодательства Российской Федерации, 2008, N 52, ст. 6228; 2022 N 14, ст. 2203);

Федеральным законом от 27 июля 2010 г. N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг" (Собрание законодательства Российской Федерации, 2010, N 31, ст. 4179; 2022, N 1, ст. 18) (далее - Федеральный закон "Об организации предоставления государственных и муниципальных услуг");

Федеральным законом от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" (Собрание законодательства Российской Федерации, 2006, N 19, ст. 2060; 2018, N 53, ст. 8454) (далее - Федеральный закон "О порядке рассмотрения обращений граждан Российской Федерации");

постановлением Правительства Российской Федерации от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных" (Собрание законодательства Российской Федерации, 2008, N 28, ст. 3384; 2012, N 53, ст. 7958);

постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (Собрание законодательства Российской Федерации, 2008, N 38, ст. 4320);

постановлением Правительства Российской Федерации от 27 января 2009 г. N 63 "О предоставлении федеральным государственным гражданским служащим единовременной субсидии на приобретение жилого помещения" (Собрание законодательства Российской Федерации, 2009, N 6, ст. 739; 2022, N 24, ст. 4052) (далее - постановление Правительства Российской Федерации N 63);

постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (Собрание законодательства Российской Федерации, 2012, N 14, ст. 1626; 2019, N 16, ст. 1957);

постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257) (далее - постановление Правительства Российской Федерации N 1119);

указом Президента Российской Федерации от 1 февраля 2005 г. N 112 "О конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации" (Собрание законодательства Российской Федерации, 2005, N 6, ст. 439; 2021, N 1, ст. 85);

указом Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела" (Собрание законодательства Российской Федерации, 2005, N 23, ст. 2242; 2021, N 11, ст. 1789);

распоряжением Правительства Российской Федерации от 26 мая 2005 г. N 667-р (Собрание законодательства Российской Федерации, 2005, N 22, ст. 2192; 2022, N 18, ст. 3126);

приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (зарегистрирован Минюстом России 31 мая 2013 г., регистрационный N 28608) с изменениями, внесенными приказом Федеральной службы по техническому и экспортному контролю от 28 мая 2019 г. N 106 (зарегистрирован Минюстом России 13 сентября 2019 г., регистрационный N 55924).

5. Обработка персональных данных в Росаккредитации осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных, а также Правилами.

II. Категории субъектов персональных данных

6. К субъектам персональных данных, персональные данные которых обрабатываются в Росаккредитации в соответствии с Правилами, относятся:

1) федеральные государственные гражданские служащие Росаккредитации и ее территориальных органов (далее - гражданские служащие Росаккредитации);

2) граждане, претендующие на замещение должностей федеральной государственной гражданской службы в Росаккредитации и ее территориальных органах;

3) работники Росаккредитации и ее территориальных органов, замещающие должности, не являющиеся должностями федеральной государственной гражданской службы;

4) граждане, претендующие на замещение должностей, не являющихся должностями федеральной государственной гражданской службы;

5) лица, замещающие должности руководителей и заместителей руководителей организаций, находящихся в ведении Росаккредитации;

6) граждане, претендующие на замещение должностей руководителей и заместителей руководителей организаций, находящихся в ведении Росаккредитации;

7) работники организаций, созданных для выполнения задач, поставленных перед Росаккредитацией, замещающие должности, осуществление полномочий по которым влечет за собой обязанность представлять сведения о своих доходах, расходах, об имуществе и обязательствах имущественного характера, а также о доходах, расходах, об имуществе и обязательствах имущественного характера своих супруги (супруга) и несовершеннолетних детей;

8) граждане, претендующие на замещение должностей в организациях, созданных для выполнения задач, поставленных перед Росаккредитацией, осуществление полномочий по которым влечет за собой обязанность представлять сведения о своих доходах, расходах, об имуществе и обязательствах имущественного характера, а также о доходах, расходах, об имуществе и обязательствах имущественного характера своих супруги (супруга) и несовершеннолетних детей;

9) лица, состоящие в родстве (свойстве) с субъектами персональных данных, указанными в подпунктах 1-10 пункта 6 Правил;

10) лица, представляемые к награждению, наградные материалы по которым представлены в Росаккредитацию;

11) физические лица и представители организаций, обратившиеся в Росаккредитацию:

в связи с предоставлением государственной услуги;

в связи с исполнением государственной функции;

12) граждане, обратившиеся в Росаккредитацию в соответствии с Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации".

III. Условия и порядок обработки персональных данных субъектов персональных данных в связи с реализацией служебных или трудовых отношений

7. Персональные данные субъектов персональных данных (далее - персональные данные), указанных в подпунктах 1-12 пункта 6 Правил, обрабатываются в целях обеспечения задач кадровой работы, в том числе кадрового учета, делопроизводства, содействия в осуществлении служебной (трудовой) деятельности, формирования кадрового резерва, обучения и должностного роста, учета результатов исполнения должностных обязанностей, обеспечения личной безопасности субъектов персональных данных, обеспечения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, а также в целях противодействия коррупции.

8. В целях, указанных в пункте 7 Правил, обрабатываются следующие категории персональных данных субъектов персональных данных:

1) фамилия, имя, отчество (при наличии) (в том числе прежние фамилии, имена и (или) отчества (при наличии), дата, место и причина изменения в случае их изменения);

2) число, месяц, год рождения;

3) место рождения;

4) сведения о гражданстве (в том числе предыдущие гражданства, иные гражданства);

5) сведения об образовании (когда и какие образовательные, научные и иные организации окончил, номера документов об образовании, направление подготовки или специальность по документу об образовании, квалификация);

6) сведения об ученой степени, ученом звании;

7) сведения о профессиональной переподготовке и (или) повышении квалификации;

8) сведения о владении иностранными языками, степень владения;

9) сведения о классном чине гражданской службы Российской Федерации (дипломатическом ранге, классном чине юстиции, воинском или специальном звании, классном чине правоохранительной службы, классном чине гражданской службы субъекта Российской Федерации), квалификационном разряде гражданской службы (квалификационном разряде или классном чине муниципальной службы), кем и когда присвоены;

10) сведения о наличии или отсутствии судимости;

11) сведения об оформленных за период работы, службы, учебы допусках к государственной тайне;

12) сведения о трудовой деятельности (включая работу по совместительству, предпринимательскую и иную деятельность), военной службе;

13) сведения о государственных наградах, иных наградах и знаках отличия;

14) сведения о семейном положении, составе семьи и о близких родственниках (в том числе бывших);

15) сведения о близких родственниках (отец, мать, братья, сестры и дети), а также о муже (жене), в том числе бывших, постоянно проживающих за границей и (или) оформляющих документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество (при наличии), с какого времени проживают за границей);

16) сведения о пребывании за границей (когда, где и с какой целью);

17) отношение к воинской обязанности, сведения о воинском учете и реквизиты документов воинского учета;

18) адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;

19) номер контактного телефона или сведения о других способах связи;

20) вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование органа, выдавшего его;

21) реквизиты паспорта гражданина Российской Федерации, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации (серия, номер, когда и кем выдан);

22) реквизиты страхового свидетельства обязательного пенсионного страхования;

23) идентификационный номер налогоплательщика;

24) реквизиты страхового медицинского полиса обязательного медицинского страхования;

25) реквизиты свидетельств государственной регистрации актов гражданского состояния;

26) сведения об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождению;

27) сведения об отсутствии у гражданина медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну;

28) личная фотография;

29) сведения о прохождении гражданской службы (работы), в том числе: дата, основания поступления на гражданскую службу (работу) и назначения на должность гражданской службы, дата, основания назначения, перевода, перемещения на иную должность гражданской службы (работы), наименование замещаемых должностей гражданской службы с указанием структурных подразделений, размера денежного содержания (заработной платы), результатов аттестации на соответствие замещаемой должности гражданской службы, а также сведения о прежнем месте работы;

30) сведения, содержащиеся в служебном контракте (трудовом договоре), дополнительных соглашениях к служебному контракту (трудовому договору);

31) сведения о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;

32) сведения о доходах, расходах, об имуществе и обязательствах имущественного характера, а также о доходах, расходах, об имуществе и обязательствах имущественного характера супруги (супруга) и несовершеннолетних детей;

33) номер расчетного счета (номера расчетных счетов);

34) номер банковской карты (номера банковских карт);

35) иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 7 Правил.

9. В целях, указанных в пункте 7 Правил, обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

10. Согласие на обработку персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 7 Правил, не требуется при обработке персональных данных в соответствии с пунктом 2 части 1 статьи 6 Федерального закона "О персональных данных".

11. Согласие на обработку специальных категорий персональных данных, а также биометрических персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 7 Правил, не требуется при обработке персональных данных в соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 и частью 2 статьи 11 Федерального закона "О персональных данных" и положениями Трудового кодекса, за исключением случаев получения персональных данных работника у третьей стороны.

12. Обработка персональных данных субъекта персональных данных осуществляется при условии получения согласия субъекта персональных данных на обработку его персональных данных.

13. Согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом "О персональных данных".

14. Обработка персональных данных субъекта персональных данных может осуществляться без согласия субъекта персональных данных в случаях, предусмотренных законодательством Российской Федерации.

15. Обработка персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 7 Правил, осуществляется гражданскими служащими Управления административно-финансовой деятельности и развития информационных технологий Росаккредитации и отдела по защите государственной тайны Росаккредитации, уполномоченными на обработку персональных данных (далее - сотрудники, уполномоченные на обработку персональных данных).

16. Сбор (получение), запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 7 Правил, осуществляется сотрудниками, уполномоченными на обработку персональных данных, путем:

непосредственного получения оригиналов необходимых документов;

копирования оригиналов документов;

внесения сведений в учетные формы (на бумажных и электронных носителях);

формирования персональных данных в ходе кадровой работы;

внесения персональных данных в автоматизированные информационные системы, оператором которых является Росаккредитация (далее - автоматизированные информационные системы), используемые в целях кадровой работы.

17. В случае необходимости получения персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 7 Правил, у третьей стороны, следует уведомить об этом субъектов персональных данных заранее, сообщить им о целях, предполагаемых источниках и способах получения персональных данных и получить их письменное согласие.

18. Запрещается получать, обрабатывать и приобщать к личным делам гражданских служащих Росаккредитации, руководителей и заместителей руководителей организаций персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, частной жизни, членства в общественных объединениях.

19. При сборе персональных данных сотрудник, уполномоченный на обработку персональных данных, осуществляющий сбор (получение) персональных данных непосредственно от субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 7 Правил, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.

20. Передача (распространение, предоставление) и использование персональных данных субъектов персональных данных, чьи данные обрабатываются в целях, определенных пунктом 7 Правил, осуществляется лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации.

IV. Условия и порядок обработки персональных данных гражданских служащих Росаккредитации и лиц, состоящих с ними в родстве (свойстве), в связи с рассмотрением вопросов о предоставлении единовременной субсидии на приобретение жилого помещения

21. В Росаккредитации осуществляется обработка персональных данных гражданских служащих Росаккредитации и лиц, состоящих с ними в родстве (свойстве), в связи с рассмотрением вопроса о предоставлении единовременной субсидии на приобретение жилого помещения (далее - субсидия) в соответствии с постановлением Правительства Российской Федерации N 63.

22. В связи с рассмотрением вопроса о предоставлении субсидии подлежат обработке следующие персональные данные:

1) фамилия, имя, отчество (при наличии) (в том числе прежние фамилии, имена, отчества (при наличии) в случае их изменения);

2) вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, наименование органа и код подразделения органа (при его наличии), выдавшего его, дата выдачи;

3) адрес и дата регистрации (снятия с регистрационного учета) по месту жительства (месту пребывания);

4) сведения о семейном положении, составе семьи и о близких родственниках (в том числе бывших мужьях (женах);

5) персональные данные, содержащиеся в выписке из домовой книги, копиях финансового лицевого счета, свидетельства о браке, свидетельства о рождении ребенка (детей), трудовой книжки, документов о наличии в собственности гражданского служащего Росаккредитации и (или) членов его семьи жилых помещений, кроме жилого помещения, в котором они зарегистрированы (с предоставлением при необходимости их оригиналов), документа, подтверждающего право на дополнительную площадь жилого помещения (в случаях, когда такое право предоставлено законодательством Российской Федерации);

6) иные персональные данные, ставшие известными в связи с рассмотрением вопроса о предоставлении единовременной субсидии.

22. Обработка персональных данных гражданских служащих Росаккредитации и лиц, состоящих с ними в родстве (свойстве), при постановке на учет для получения субсидии осуществляется на основании заявления гражданского служащего Росаккредитации, представляемого на имя руководителя Росаккредитации в Комиссию Федеральной службы по аккредитации по рассмотрению вопросов предоставления федеральным государственным гражданским служащим единовременной субсидии на приобретение жилого помещения (далее - Комиссия по предоставлению субсидии).

23. Обработка персональных данных гражданских служащих Росаккредитации и лиц, состоящих с ними в родстве (свойстве), в связи с предоставлением субсидии, в частности, сбор (получение), запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется уполномоченными гражданскими служащими Росаккредитации, входящими в состав Комиссии по предоставлению субсидии, путем:

1) получения оригиналов необходимых документов;

2) предоставления заверенных в установленном законодательством Российской Федерации порядке копий документов.

24. Комиссия по предоставлению субсидии вправе проверять сведения, содержащиеся в документах, представленных гражданскими служащими Росаккредитации о наличии условий, необходимых для постановки гражданского служащего Росаккредитации на учет для получения субсидии.

25. Передача (распространение, предоставление) и использование персональных данных гражданских служащих Росаккредитации и лиц, состоящих с ними в родстве (свойстве), полученных в связи с предоставлением субсидии, осуществляется в случаях и в порядке, предусмотренных законодательством Российской Федерации.

V. Условия и порядок обработки персональных данных субъектов персональных данных в связи с предоставлением государственных услуг, исполнением государственных функций

26. В Росаккредитации обработка персональных данных физических лиц и представителей организаций (далее - заявители), обратившихся в Росаккредитацию лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, осуществляется в целях предоставления государственных услуг и исполнения государственных функций, в том числе в целях рассмотрения указанных обращений с последующим уведомлением заявителей о результатах рассмотрения.

27. В целях, указанных в пункте 26 Правил, осуществляется обработка следующих персональных данных заявителей:

1) фамилия, имя, отчество (при наличии);

2) номер контактного телефона;

3) адрес электронной почты;

4) почтовый адрес;

5) иные персональные данные, указанные в обращении, а также ставшие известными в ходе личного приема заявителей или в процессе рассмотрения обращения.

28. Обработка персональных данных в целях, указанных в пункте 26 Правил, осуществляется без согласия заявителей в соответствии с пунктом 4 части 1 статьи 6 Федерального закона "О персональных данных", федеральными законами "Об организации предоставления государственных и муниципальных услуг", "О порядке рассмотрения обращений граждан Российской Федерации" и иными нормативными правовыми актами, определяющими предоставление государственных услуг и исполнение государственных функций в установленной сфере ведения Росаккредитации.

29. Обработка персональных данных в целях, указанных в пункте 26 Правил, осуществляется структурными подразделениями Росаккредитации, ответственными за предоставление соответствующих государственных услуг и (или) исполняющих государственные функции, и включает в себя следующие действия: сбор (получение), запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

30. Сбор (получение), запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных в целях, указанных в пункте 26 Правил, осуществляется путем:

1) получения оригиналов необходимых документов (заявлений);

2) заверения копий документов;

3) внесения сведений в учетные формы (на бумажных и электронных носителях);

4) внесения персональных данных в автоматизированные информационные системы.

31. Сбор (получение), запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от заявителей.

32. Запрещается запрашивать у заявителей и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации.

33. При сборе (получении) персональных данных федеральный государственный гражданский служащий структурного подразделения Росаккредитации, предоставляющего государственные услуги и (или) исполняющего государственные функции, осуществляющий получение персональных данных непосредственно от субъектов персональных данных, обратившихся в Росаккредитацию за предоставлением государственной услуги или в связи с исполнением государственной функции, обязан разъяснить указанным заявителям юридические последствия отказа предоставить персональные данные.

34. Передача (распространение, предоставление) и использование персональных данных заявителей осуществляется лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации.

VI. Порядок обработки персональных данных в автоматизированных информационных системах

35. Обработка персональных данных в Росаккредитации может осуществляться с использованием автоматизированных информационных систем.

Перечень автоматизированных информационных систем утверждается приказом руководителя Федеральной службы по аккредитации.

36. Доступ к автоматизированным информационным системам гражданских служащих Росаккредитации, осуществляющих обработку персональных данных в автоматизированных информационных системах, реализуется посредством учетной записи, состоящей из имени пользователя и пароля.

37. Доступ к автоматизированным информационным системам предоставляется в соответствии с функциями, предусмотренными должностными регламентами гражданских служащих Росаккредитации.

38. Информация может размещаться в автоматизированных информационных системах как в автоматическом, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

39. Обеспечение безопасности персональных данных, обрабатываемых в автоматизированных информационных системах, осуществляется отделом информационных технологий и мониторинга целевых показателей Управления работы с реестрами и аналитики Росаккредитации и достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также иных неправомерных действий в отношении персональных данных согласно статье 19 Федерального закона "О персональных данных".

VII. Работа с обезличенными данными в случае обезличивания персональных данных

40. Обезличивание персональных данных в Росаккредитации проводится в статистических и иных исследовательских целях, а также по достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей.

41. Обезличивание персональных данных осуществляется в соответствии с приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (зарегистрирован Минюстом России 10 сентября 2013 г., регистрационный N 29935).

42. Обезличенные персональные данные не подлежат разглашению.

43. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.

VIII. Организация хранения персональных данных

44. Персональные данные хранятся на бумажном носителе в подразделениях Росаккредитации, в функции которых входит обработка персональных данных в соответствии с положениями об этих подразделениях.

45. Персональные данные хранятся в электронном виде в автоматизированных электронных системах.

46. Сроки хранения персональных данных на бумажном носителе определяются нормативными правовыми актами, регламентирующими порядок их сбора (получения) и обработки.

47. Срок хранения персональных данных, внесенных в автоматизированные информационные системы, должен соответствовать сроку хранения персональных данных на бумажных носителях.

48. Персональные данные при их обработке, осуществляемой без использования автоматизированных информационных систем, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

IX. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

49. Документы, содержащие персональные данные, по окончании срока обработки могут быть переданы на бумажном носителе в архивный фонд Росаккредитации в порядке, установленном законодательством Российской Федерации об архивном деле либо уничтожены.

50. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

X. Порядок доступа в помещения, в которых ведется обработка персональных данных

51. Доступ в помещения, в которых ведется обработка персональных данных, в том числе хранятся персональные данные, содержащиеся на материальных носителях персональных данных, имеют сотрудники, уполномоченные на обработку персональных данных.

52. Пребывание лиц, не имеющих право на осуществление обработки персональных данных либо на осуществление доступа к персональным данным в помещениях, в которых ведется обработка персональных данных, возможно только в сопровождении сотрудника, уполномоченного на обработку персональных данных.

XI. Ответственный за организацию обработки персональных данных

53. Ответственный за организацию обработки персональных данных в Росаккредитации (далее - ответственный за обработку персональных данных), назначается приказом руководителя Федеральной службы по аккредитации из числа гражданских служащих Росаккредитации, относящихся к высшей и (или) главной группе должностей категории "руководители".

54. Ответственный за обработку персональных данных в своей работе руководствуется законодательством Российской Федерации в области персональных данных и Правилами.

55. Ответственный за обработку персональных данных обязан:

1) организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в Росаккредитации, от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;

2) осуществлять внутренний контроль за соблюдением сотрудниками, уполномоченными на обработку персональных данных, требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;

3) доводить до сведения сотрудников, уполномоченных на обработку персональных данных, положения законодательства Российской Федерации в области персональных данных, правовых актов Росаккредитации по вопросам обработки персональных данных, требования к защите персональных данных;

4) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в Росаккредитации;

5) в случае нарушения в Росаккредитации требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

58. Ответственный за обработку персональных данных вправе:

1) иметь доступ к информации, касающейся обработки персональных данных в Росаккредитации и включающей:

цели обработки персональных данных;

категории обрабатываемых персональных данных;

категории субъектов персональных данных, персональные данные которых обрабатываются;

правовые основания обработки персональных данных;

перечень действий с персональными данными, общее описание используемых в Росаккредитации способов обработки персональных данных;

описание мер, предусмотренных статьями 18.1 и 19 Федерального закона "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

дату начала обработки персональных данных;

срок или условия прекращения обработки персональных данных;

сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, установленными постановлением Правительства Российской Федерации N 1119;

2) привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в Росаккредитации, иных гражданских служащих Росаккредитации с возложением на них соответствующих обязанностей и закреплением ответственности.

59. Ответственный за обработку персональных данных несет ответственность за ненадлежащее выполнение обязанностей по организации обработки персональных данных в Росаккредитации в соответствии с законодательством Российской Федерации.

Приложение N 2
к приказу Федеральной службы по аккредитации
от "___" ________ 20___ г. N _____

Правила рассмотрения запросов субъектов персональных данных или их представителей в Федеральной службе по аккредитации

1. Правила рассмотрения запросов субъектов персональных данных или их представителей в Федеральной службе по аккредитации (далее - Правила) определяют порядок рассмотрения запросов субъектов персональных данных или их представителей в Росаккредитации.

2. Право на получение информации, касающейся обработки своих персональных данных в Росаккредитации, имеют следующие субъекты персональных данных:

9) лица, состоящие в родстве (свойстве) с субъектами персональных данных, указанными в подпунктах 1-10 пункта 2 Правил;

10) граждане, персональные данные которых обрабатываются в Росаккредитации в связи с предоставлением государственных услуг и осуществлением государственных функций;

11) лица, представители субъекта персональных данных, действующие от имени субъекта персональных данных в силу полномочия, основанного на доверенности, указании закона, либо акте уполномоченного на то государственного органа или органа местного самоуправления.

3. Субъекты персональных данных, указанные в пункте 2 Правил, имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных в Росаккредитации;

2) правовые основания и цели обработки персональных данных;

3) применяемые в Росаккредитации способы обработки персональных данных;

4) наименование и место нахождения Росаккредитации, сведения о гражданах (за исключением гражданских служащих Росаккредитации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Росаккредитацией или на основании законодательства Российской Федерации;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких персональных данных не предусмотрен законодательством Российской Федерации в области персональных данных;

6) сроки обработки персональных данных, в том числе сроки их хранения в Росаккредитации;

7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2021, N 27, ст. 5159) ;

8) сведения об осуществленной или предполагаемой трансграничной передаче персональных данных;

9) наименование организации или фамилию, имя, отчество (при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению Росаккредитации, если обработка поручена или будет поручена такой организации или лицу;

10) иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.

4. Субъект персональных данных вправе требовать от Росаккредитации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством Российской Федерации меры по защите своих прав.

5. Сведения, указанные в пункте 3 Правил, должны быть предоставлены субъекту персональных данных Росаккредитацией в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

6. Сведения, указанные в пункте 3 Правил, предоставляются субъекту персональных данных и (или) его представителю уполномоченным должностным лицом Росаккредитации, осуществляющим обработку персональных данных, при обращении либо при получении запроса субъекта персональных данных и (или) его представителя.

7. Запрос должен содержать:

1) вид, серию, номер документа, удостоверяющего личность субъекта персональных данных или его представителя;

2) сведения о дате выдачи указанного документа и о выдавшем его органе;

3) сведения, подтверждающие участие субъекта персональных данных в отношениях с Росаккредитацией (документ, подтверждающий прием документов на замещение вакантных должностей федеральной государственной гражданской службы в Росаккредитации и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных в Росаккредитации;

4) подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

8. Если сведения, указанные в пункте 3 Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Росаккредитацию лично или направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

9. Субъект персональных данных вправе обратиться повторно в Росаккредитацию лично или направить повторный запрос в целях получения сведений, указанных в пункте 3 Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 8 Правил, в случае если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 7 Правил, должен содержать обоснование направления повторного запроса.

10. Росаккредитация вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 8 и 9 Правил. Такой отказ должен быть мотивированным.

11. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством Российской Федерации в области персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

12. Правила не определяют порядок рассмотрения жалоб субъектов персональных данных на решения и действия (бездействия) должностных лиц Росаккредитации.

Приложение N 3
к приказу Федеральной службы по аккредитации
от "___" ________ 20___ г. N _____

Правила
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных"

1. Правилами определяются процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

2. В целях осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Федеральной службе по аккредитации организовывается проведение плановых и внеплановых проверок условий обработки персональных данных на предмет соответствия Федеральному закону от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2021, N 27, ст. 5159) (далее - Федеральный закон "О персональных данных"), принятым в соответствии с ним нормативным правовым актам и правовыми актами Росаккредитации (далее - проверки).

3. Проверки проводятся в Росаккредитации на основании ежегодного плана (плановые проверки) или на основании поступившего в Росаккредитацию письменного заявления субъекта персональных данных о нарушениях правил обработки персональных данных (внеплановые проверки).

Ежегодный план проверок разрабатывается и утверждается комиссией по организации обработки и защиты персональных данных Росаккредитации для осуществления внутреннего контроля соответствия обработки персональных данных требованиям, предусмотренным Федеральным законом "О персональных данных" (далее - Комиссия).

4. В плане по каждой проверке устанавливается объект внутреннего контроля, проверяемый период, срок проведения проверки, ответственные исполнители.

5. Проверки проводятся Комиссией, создаваемой приказом руководителя Федеральной службы по аккредитации.

6. Основанием для проведения внеплановой проверки является поступившее в Росаккредитацию письменное обращение субъекта персональных данных или его представителя о нарушении правил обработки персональных данных.

7. Срок проведения проверки не может превышать один месяц со дня принятия решения о ее проведении.

8. Члены Комиссии, получившие доступ к персональным данным субъектов персональных данных в ходе проведения проверки, обеспечивают конфиденциальность персональных данных субъектов персональных данных, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных.

9. По результатам каждой проверки Комиссией проводится заседание. Решения, принятые на заседаниях Комиссии, оформляются протоколом.

10. По существу, поставленных в обращении (жалобе) вопросов Комиссия в течение 5 рабочих дней со дня окончания проверки дает письменный ответ заявителю.

Приложение N 4
к приказу Федеральной службы по аккредитации
от "___" ________ 20___ г. N _____

Правила работы с обезличенными данными в случае обезличивания персональных данных в Федеральной службе по аккредитации

I. Общие положения

1. Правила определяют порядок работы с обезличенными данными в Федеральной службе по аккредитации и разработаны в соответствии с:

Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2021, N 27, ст. 5159);

приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (Российская газета, 2013, N 136; Официальный интернет-портал правовой информации (www.pravo.gov.ru), 2019, 29 мая, N 0001201909160007) (далее - приказ ФСТЭК России N 17);

приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (Российская газета, 2013, N 208) (далее - приказ Роскомнадзора N 996).

II. Порядок работы с обезличенными персональными данными

2. Обезличивание персональных данных в Росаккредитации проводится в статистических или иных исследовательских целях, а также с целью снижения ущерба от разглашения защищаемых персональных данных и по достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей.

3. Обезличивание персональных данных, обрабатываемых в автоматизированных информационных системах, оператором которых является Росаккредитация (далее - автоматизированные информационные системы), осуществляется методами, определенными приказом Роскомнадзора N 996, и с соблюдением требований, предъявляемых к выбранному методу.

4. Перечень федеральных государственных гражданских служащих Росаккредитации (далее - гражданские служащие Росаккредитации), ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, утверждается приказом руководителя Федеральной службы по аккредитации.

5. При обработке обезличенных персональных данных в автоматизированных информационных системах необходимо соблюдение:

парольной защиты автоматизированных информационных систем;

антивирусной политики;

правил работы со съемными носителями;

правил резервного копирования;

правил доступа в помещения, где расположены элементы автоматизированных информационных систем.

6. При хранении обезличенных персональных данных следует:

организовать раздельное хранение обезличенных персональных данных и дополнительной (служебной) информации о выбранном методе обезличивания персональных данных и параметрах процедуры обезличивания персональных данных;

обеспечивать конфиденциальность дополнительной (служебной) информации о выбранном методе обезличивания персональных данных и параметрах процедуры обезличивания персональных данных.

7. При обработке обезличенных персональных данных в автоматизированных информационных системах обеспечивается соблюдение требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации N 1119, а также организационно-технических мер по обеспечению безопасности персональных данных, определенных приказом ФСТЭК России N 17, с учетом уровней защищенности персональных данных, определенных для автоматизированных информационных систем, в которых осуществляется обработка персональных данных.

Обзор документа

Росаккредитация планирует урегулировать вопросы обработки и обеспечения безопасности персональных данных. Будут утверждены правила:

- обработки персональных данных;

- рассмотрения запросов субъектов персональных данных или их представителей;

- внутреннего контроля соответствия обработки персональных данных требованиям к их защите;

- работы с обезличенными данными.

Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ:

Перепечатка