Работа с ПНд, осуществляемая без использования средств автоматизации

14.1.ПДн при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков).

14.2.При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

14.3.Работники, осуществляющие обработку ПДн без использования средств автоматизации, до начала обработки информируются Ответственным за организацию обработки ПДн о факте обработке ими ПДн, о категориях ПДн, об особенностях и правилах обработки ПДн.

14.4.Обработка ПДн, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.

14.5.Оператор осуществляет раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.

14.6.Материальные носители с ПДн не оставляются без присмотра. Лица, ответственные за носители ПДн, при покидании рабочего места должны убирать носители ПДн в сейф или шкаф, закрывающийся на ключ. Кабинеты, в которых хранятся документы, содержащие ПДн, при покидании их работниками запираются.

Взаимодействие с государственными органами

15.1.Оператор сообщает в уполномоченный орган по защите прав субъектов ПДн по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение тридцати дней с даты получения запроса.

15.2.В случае получения запроса или обращения уполномоченного органа по защите прав субъектов ПДн о недостоверности ПДн или неправомерных действиях с ними выявленные нарушения подлежат исправлению. Оператор сообщает в указанный орган об устранении нарушений либо об уничтожении ПДн в случае невозможности устранения нарушений в срок, в течение десяти рабочих дней.

15.3.В установленных федеральным законодательством случаях Оператор предоставляет информацию, содержащую обрабатываемые ПДн, по мотивированному запросу уполномоченных органов государственной власти по вопросам их компетенции.

15.4.Запросы на предоставление доступа к обрабатываемым ПДн могут быть обжалованы в судебном порядке в соответствии с законодательством Российской Федерации.

Организация доступа к ПДн

16.1.Ответственным за обработку ПДн разрабатывается Перечень должностей работников, допущенных к работе с ПДн, определяющий связь между должностями работников и ПДн, к которым предоставляется доступ. Этот перечень подлежит пересмотру и при необходимости актуализации не реже одного раза в год.

16.2.Работникам Оператора предоставляется доступ к работе с ПДн исключительно в пределах и объеме, необходимых для выполнения ими своих должностных обязанностей.

16.3.Доступ к ПДн может быть прекращен или ограничен в случае нарушения требований настоящего Положения либо в случае изменения должностных обязанностей или увольнения работника.

16.4.Предоставление и прекращение доступа пользователей к ПДн осуществляется Администраторами соответствующей ИСПДн.

Требования к работникам, допущенным к обработке персональных данных

17.1.Все работники Оператора, которым стали известны ПДн, обрабатывающиеся Оператором, должны обеспечивать их конфиденциальность.

17.2.Все работники Оператора, допущенные к работе с ПДн, должны быть ознакомлены под подпись с требованиями настоящего Положения.

17.3.Оператором должен быть организован процесс обучения работников, допущенных к работе с ПДн, по направлению обеспечения безопасности ПДн. Ответственность за процесс обучения возлагается на Ответственного за организацию обработки ПДн.

17.4.Трудовые договора (или должностные инструкции) работников, допущенных к работе с ПДн, содержат раздел, описывающий персональную ответственность за нарушение требований по обеспечению безопасности ПДн, включая нарушение свойств целостности, конфиденциальности, доступности и установленного порядка обработки ПДн.