1.Общие положения
- 1.1. Настоящее Положение об организации и порядке проведения работ по обеспечению безопасности персональных данных при их обработке в Академии ГПС МЧС России (далее - Положение) разработано в соответствии с Конституцией РФ, Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ
«О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ
«Об информации, информационных технологиях и о защите информации, Федеральным законом от 02.05.2006 №59-ФЗ «О порядке рассмотрений обращений граждан», Федеральным законом от 25.12. 2008 № 273-ФЗ «О противодействии коррупции», Постановлением Правительства РФ от 01.11.2012 № 1119
«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства Российской Федерации от 15.09. 2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации
от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом
«О персональных данных», приказа МЧС России от 31.10.2019 № 626
«Об обработке и обеспечении защиты персональных данных в Министерстве Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий» и другими нормативными правовыми актами Российской Федерации, регулирующими отношения, связанные с обработкой персональных данных и определяет порядок организации и проведения работ по обеспечению безопасности персональных данных в Академии ГПС
МЧС России.
- 1.2. Академия ГПС МЧС России (далее – Академия) является оператором, самостоятельно организующим и осуществляющим обработку персональных данных субъектов персональных данных (далее – персональные данные), а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые
с персональными данными.
- 1.3. Настоящее Положение определяет политику Академии как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных и порядок получения, обработки, хранения, передачи и любого другого использования персональных данных в Академии с использованием средств автоматизации или без использования таких средств.
- 1.4. Все сотрудники Академии осуществляющие работу с персональными данными в рамках своих должностных обязанностей должны быть ознакомлены под роспись с настоящим положением и изменениями к нему.
- 1.5. Методическое руководство и контроль за соблюдением требований по обработке персональных данных, контроль за соблюдением прав и свобод субъектов персональных данных возлагается на ответственного за организацию обработки персональных данных в Академии.
2.Основные понятия
-
Персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
-
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
-
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
-
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
-
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
-
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
-
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
-
Информационная система – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
-
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
-
Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;
-
Автоматизированная система (АС) – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций;
-
Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своему функциональному предназначению и техническим характеристикам;
-
Информация - сведения (сообщения, данные) независимо от формы их представления;
-
Безопасность информации - состояние защищенности информации, при котором обеспечены ее конфиденциальность, доступность и целостность;
-
Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
-
Целостность информации - состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими право на такое изменение;
-
Доступность информации - состояние информации (ресурсов информационной системы), при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно;
-
Убытки - расходы, которые лицо, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб), а также неполученных доходов, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено;
-
Моральный вред - физические или нравственные страдания, причиняемые действиями, нарушающими личные неимущественные права гражданина либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом;
-
Оценка возможного вреда - определение уровня вреда на основании учета причиненных убытков и морального вреда, нарушения конфиденциальности, целостности и доступности персональных данных.
3.Правовые основы и цели обработки персональных данных
-
3.1. Обработка персональных данных осуществляется в соответствии со следующими нормативными правовыми актами Российской Федерации:
-
Конституцией Российской Федерации;
-
Трудовым кодексом Российской Федерации;
-
Гражданским кодексом Российской Федерации;
-
Налоговым кодексом Российской Федерации;
-
Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
-
Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
-
Федеральным законом от 07.07.2003 № 126-ФЗ «О связи»;
-
Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в РФ»;
-
Федеральным законом от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
-
Указом Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
-
постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
-
постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
-
приказом ФСТЭК России от 18.02.2013 № 21 (в ред. от 20.05.2020) «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
-
приказом Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных» (далее - приказ Роскомнадзора № 996);
-
иными нормативными правовыми актами Российской Федерации и нормативными документами уполномоченных органов государственной власти.
-
3.2. Цели обработки персональных данных:
-
исполнение положений нормативных правовых актов Российской Федерации, указанных в пункте 3.1 настоящего положения;
-
обеспечение задач кадровой работы, кадрового учета, делопроизводства, содействия в осуществлении служебной (трудовой) деятельности, формирования кадрового резерва, обучения и должностного роста, учета результатов исполнения должностных обязанностей, обеспечения личной безопасности субъектов персональных данных, обеспечения жилыми помещениями, медицинского обеспечения, реализации комплекса мероприятий по психологическому сопровождению, обеспечения установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, а также в целях противодействия коррупции;
-
обеспечения соблюдения законодательства Российской Федерации при опубликовании научных статей в научном журнале «Пожары и чрезвычайные ситуации: предотвращение, ликвидация», в том числе в соавторстве;
-
исполнение иных полномочий, возложенных на Оператора.
4.Принципы обработки персональных данных
-
4.1. Обработка персональных данных осуществляется на основе принципов:
-
законности целей и способов обработки персональных данных и добросовестности;
-
соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
-
соответствия объема и характера обрабатываемых персональных данных, способов обработки целям обработки персональных данных;
-
достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
-
недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;
-
обеспечения точности персональных данных, их достаточности, актуальность по отношению к целям обработки персональных данных;
-
осуществления хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
-
4.2. Запрещается получать, обрабатывать и приобщать к совокупности персональных данных субъекта персональных данных не установленные федеральными законами персональные данные о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах.
-
4.3. Настоящее Положение определяет политику Академии как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных и порядок получения, обработки, хранения, передачи и любого другого использования персональных данных в Академии с использованием средств автоматизации или без использования таких средств.
-
4.4. Защита персональных данных от неправомерного их использования или утраты обеспечивается Оператором. Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационной системе оценивается при проведении государственного контроля, надзора и периодического внутреннего контроля.
5.Состав и субъекты персональных данных
-
5.1. К субъектам персональных данных обрабатываемых в Академии относятся сотрудники (работники) Академии, лица обучающиеся в Академии, либо проходящие курсы повышения квалификации, абитуриенты, поступающие на обучение, члены их семей, граждане поступающие на службу или трудоустраивающиеся в Академию, а также иные субъекты персональных данных, обработка которых необходима в целях осуществления деятельности предусмотренной Уставом Академии.
-
5.2. Перечень персональных данных, обрабатываемых в Академии, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Академии с учетом целей обработки персональных данных. Состав персональных данных, обрабатываемых в Академии, определен в Приложении 3.
6.Порядок получения, хранения и обработки персональных данных
-
6.1. Субъект персональных данных обязан представлять Оператору достоверные сведения о себе. Оператор имеет право проверять достоверность указанных сведений в порядке, не противоречащем законодательству РФ. Субъект персональных данных обязан своевременно, в срок, не превышающий пяти рабочих дней, сообщать Оператору об изменении своих персональных данных.
-
6.2. Запрещается получать, обрабатывать и приобщать к документам субъекта персональных данных персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
-
6.3. Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие на получение его персональных данных у третьей стороны. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.
-
6.4. Обработка персональных данных должна осуществляться на основе принципа соответствия объема и характера обрабатываемых персональных данных, а также способов обработки персональных данных заявленным целям обработки персональных данных.
-
6.5. Сбор, накопление, хранение, изменение, использование и распространение, а также другие действия, понимаемые под обработкой персональных данных, могут осуществляться только при условии письменного согласия субъекта, за исключением случаев, предусмотренных Законом.
-
6.6. Обработка персональных данных осуществляется как с помощью средств автоматизации, так и без использования таких средств.
-
6.7. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъект персональных данных, не дольше, чем того требуют цели их обработки.
-
6.8. Персональные данные, полученные Оператором, хранятся на бумажных носителях и в электронном виде (в информационных системах персональных данных, на средствах вычислительной техники, а также на съемных магнитных, оптических и других цифровых носителях), с соблюдением условий, обеспечивающих их защиту от несанкционированного доступа.
-
6.9. Сроки хранения персональных данных на бумажном носителе определяются в соответствии с Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», приказом МЧС России от 02.12.2020 № 888 «Об утверждении Инструкции по архивной работе в Министерстве Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий».
-
6.10. Сроки хранения персональных данных, внесенных в информационные системы персональных данных, определяются в соответствии с Перечнем типовых архивных документов, образующихся в научно-технической и производственной деятельности организаций, с указанием сроков хранения, утвержденным приказом Министерства культуры Российской Федерации от 31.07.2007 № 1182, с изменениями, внесенными приказом Министерства культуры Российской Федерации от 28.05.2011 № 412.
7.Правила доступа к персональным данным, обрабатываемым в информационных системах персональных данных
-
7.1. Перечень лиц, допущенных к работе (получению, обработке, передаче и хранению персональных данных субъекта) с персональными данными субъектов персональных данных, определяется перечнем должностей лиц, замещение которых предусматривает осуществление обработки персональных данных, утвержденным руководителем Оператора. Уполномоченные лица имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций.
-
7.2. Процедура оформления доступа сотрудника к персональным данным включает в себя:
-
ознакомление сотрудника под роспись с внутренними документами, содержащими требования по обработке и обеспечению безопасности персональных данных в части, касающейся их должностных обязанностей;
-
истребование с сотрудника письменного обязательства о соблюдении режима конфиденциальности персональных данных, подготовленного по установленной форме. Данное обязательство хранится в личном деле сотрудника;
-
7.3. Разрешительная система доступа пользователей к информационным ресурсам оформляется лицом, ответственным за обеспечение безопасности персональных данных, в виде матриц доступа, утверждаемых руководителем Оператора, и реализуется с помощью средств защиты от несанкционированного доступа. Матрица доступа отражает полномочия пользователей по выполнению конкретных действий в отношении информационных ресурсов информационной системы (чтение, запись, корректировка, удаление).
-
7.4. Внешний доступ со стороны третьих лиц к персональных данных субъектов персональных данных осуществляется с его письменного согласия, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью служащего или других лиц, и иных случаев, установленных законодательством.
8.Права и обязанности Оператора
-
8.1. Оператор имеет право осуществлять обработку персональных данных в законных и обоснованных целях, в том числе предоставлять персональные данные третьим лицам, если на это дано информированное согласие субъекта персональных данных или если это предусмотрено действующим законодательством.
-
8.2. В случае выявления недостоверных персональных данных или неправомерных действий с ними Оператор при обращении или по запросу субъекта персональных данных или его законного представителя, либо уполномоченного органа по защите прав субъектов персональных данных, Оператор обязан устранить допущенные нарушения или, в случае невозможности устранения, уничтожить персональные данные, а также уведомить о своих действиях субъекта персональных данных или уполномоченный орган.
-
8.3. Должностные лица Оператора, в обязанность которых входит обработка запросов и обращений субъектов персональных данных, обязаны обеспечить каждому субъекту возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом, в соответствии с Правилами рассмотрения запросов субъектов персональных данных.
-
8.4. В случае предоставления субъектом неполных, устаревших, недостоверных или незаконно полученных персональных данных Оператор обязан внести необходимые изменения, уничтожить или блокировать их, а также уведомить о своих действиях субъекта персональных данных.
-
8.5. Оператор обязуется не принимать на основании исключительно автоматизированной обработки решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы.
-
8.6. По запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан предоставить ему необходимую информацию.
9.Права и обязанности сотрудников, допущенных к обработке персональных данных.
-
9.1. Сотрудники, допущенные к обработке персональных данных, обязаны ознакомиться с документами Оператора, которые устанавливают порядок обработки персональных данных, и подписать лист ознакомления с ними, а также подписать соглашение о неразглашении персональных данных, полученных в ходе исполнения своих должностных обязанностей.
-
9.2. В целях защиты персональных данных, хранящихся у Оператора, сотрудник имеет право:
-
требовать исключения или исправления неверных или неполных персональных данных;
-
на свободный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
-
определять своих представителей для защиты своих персональных данных;
-
на сохранение и защиту своей личной и семейной тайны;
-
на обжалование в суде любых неправомерных действий или бездействия оператора при обработке и защите его персональных данных.
В целях защиты персональных данных, хранящихся у Оператора, сотрудник, осуществляющий обработку персональных данных, имеет право:
-
получать и вводить информацию в соответствии с его полномочиями;
-
требовать оповещения Оператором субъекта персональных данных обо всех произведенных в них исключениях, исправлениях или дополнениях.
9.3. Обязанности сотрудника
-
В части своих персональных данных:
-
передавать Оператору достоверные документы, содержащие персональные данные, состав которых установлен Трудовым кодексом РФ;
-
не предоставлять неверные персональные данные, а в случае изменений в персональных данных или обнаружения ошибок или неточностей в них (фамилия, место жительства и т.д.), незамедлительно сообщить об этом Оператору.
-
В части обработки персональных данных субъекта:
-
соблюдать режим конфиденциальности;
-
не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
-
не сообщать персональные данные субъекта третьей стороне без письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законом;
-
разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;
-
не запрашивать дополнительную информацию, содержащую персональные данные, за исключением тех сведений, которые необходимы для достижения целей обработки персональных данных.
10.Права субъектов персональных данных.
-
10.1. Получение сведений об Операторе
-
Субъект персональных данных имеет право на получение сведений об Операторе, о месте его нахождения, о наличие у Оператора персональных данных, относящихся к нему, а также на ознакомление с такими персональными данными. Субъект персональных данных вправе требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
-
10.2. Доступ к своим персональным данным
-
Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя.
-
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
-
подтверждение факта обработки персональных данных Оператором, а также цель такой обработки;
-
способы обработки персональных данных, применяемые Оператором;
-
сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
-
перечень обрабатываемых персональных данных и источник их получения;
-
сроки обработки персональных данных, в том числе сроки их хранения;
-
сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
-
Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований федерального законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
-
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
-
10.3. Ограничение прав субъектов персональных данных
-
Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
-
обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
-
предоставление персональных данных нарушает конституционные права и свободы других лиц.
11.Правила рассмотрения запросов субъектов персональных данных.
-
11.1. Настоящие Правила определяют порядок рассмотрения запросов субъектов персональных данных или их представителей у Оператора.
-
11.2. Субъекты персональных данных или их представители имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:
-
подтверждение факта обработки персональных данных Оператором;
-
правовые основания и цели обработки персональных данных;
-
применяемые Оператором способы обработки персональных данных;
-
место нахождения Оператора, сведения о гражданах (за исключением должностных лиц Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
-
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
-
сроки обработки персональных данных, в том числе сроки их хранения Оператором;
-
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных»);
-
сведения об осуществленной или предполагаемой трансграничной передаче персональных данных;
-
наименование организации или фамилию, имя, отчество (при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такой организации или лицу;
-
иные сведения, предусмотренные Федеральным законом «О персональных данных».
-
11.3. Субъект персональных данных или его представитель вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки, а также принимать предусмотренные частью 1 статьи 14 Федерального закона «О персональных данных» меры по защите своих прав.
-
11.4. Сведения, указанные в пункте 2 настоящих Правил, должны быть предоставлены субъекту персональных данных Оператором в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
-
11.5. Сведения, указанные в пункте 2 настоящих Правил, предоставляются субъекту персональных данных или его представителю уполномоченным должностным лицом Оператора, осуществляющим обработку персональных данных, при обращении либо при получении запроса субъекта персональных данных или его представителя.
-
11.6. В соответствии с частью 3 статьи 14 Федерального закона «О персональных данных» запрос должен содержать:
-
вид, серию, номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
-
сведения о дате выдачи основного документа, удостоверяющего личность субъекта персональных данных или его представителя, о выдавшем его органе;
-
сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора или иные сведения) либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
-
подпись субъекта персональных данных или его представителя.
-
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи».
-
11.7. Если сведения, указанные в пункте 2 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору лично или направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
-
11.8. Субъект персональных данных вправе обратиться повторно к Оператору лично или направить повторный запрос в целях получения сведений, указанных в пункте 2 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 7 настоящих Правил, в случае если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 6 настоящих Правил, должен содержать обоснование направления повторного запроса.
-
11.9. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 7 и 8 настоящих Правил. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
-
11.10. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством Российской Федерации в области персональных данных, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
12.Меры, направленные на обеспечение безопасности персональных данных.
-
12.1. Общие меры
-
12.1.1. Оператор при осуществлении обработки персональных данных:
-
принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов Оператора в области защиты персональных данных;
-
принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
-
назначает лицо, ответственное за организацию обработки персональных данных Оператором;
-
издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных Оператором;
-
сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;
-
прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;
-
в целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям Оператора проводятся периодические проверки условий обработки персональных данных;
-
совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.
-
12.1.2. Сотрудники Оператора, ответственные за хранение персональных данных, а также сотрудники, владеющие персональными данными в силу своих должностных обязанностей, подписывают Обязательство о неразглашении информации ограниченного доступа.
-
12.1.3. Помещения, в которых хранятся персональные данные, оборудуются сейфами, надежными замками, противопожарной сигнализацией. В рабочее время при отсутствии сотрудников помещения запираются на ключ. Проведение уборки помещений, в которых хранятся персональные данные, производится в присутствии соответствующих сотрудников Оператора.
-
12.1.4. Лица, назначенные ответственными за обеспечение безопасности персональных данных Оператором, осуществляют ознакомление сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных.
-
12.1.5. Не реже одного раза в год проводится внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами Оператора.
-
12.2. Меры, направленные на обеспечение безопасности персональных данных при их обработке в информационной системе.
-
12.2.1. Обработка персональных данных субъектов персональных данных, обрабатываемых Оператором, осуществляется в информационных системах Оператора указанных в Перечне информационных систем персональных данных.
-
12.2.2. Сотрудникам Оператора, имеющим право осуществлять обработку персональных данных в информационных системах Оператора, предоставляется уникальный логин и пароль для доступа к информационным системам. Доступ предоставляется в соответствии с функциями, предусмотренными должностными регламентами.
-
12.2.3. Для обеспечения безопасности персональных данных при их обработке Оператором осуществляется защита информации, обрабатываемой техническими средствами, под которыми понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных, программные средства, средства защиты информации.
-
12.2.4. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного доступа к персональным данным, результатом которого может стать уничтожение, блокирование, изменение, копирование, распространение персональных данных, а также иных несанкционированных действий и принятия следующих мер по обеспечению безопасности:
-
определение угроз безопасности персональных данных при их обработке в автоматизированной системе;
-
применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в автоматизированной системе, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленный уровень защищенности персональных данных;
-
применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
-
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию автоматизированной системы;
-
учет машинных носителей персональных данных;
-
обнаружение фактов несанкционированного доступа к персональным данным и принятие мер реагирования;
-
восстановление персональных данных, модифицированных, удаленных или уничтоженных вследствие несанкционированного доступа к ним;
-
установление правил доступа к персональным данным, обрабатываемым в информационных системах, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах;
-
контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности автоматизированной системы.
-
12.2.5. Организуется режим защиты помещений, в которых осуществляется обработка персональных данных, размещение технических средств Оператора, машинных носителей информации, исключающий возможность неконтролируемого пребывания в этих помещениях посторонних лиц.
-
12.2.6. Порядок учета, использования и хранения машинных носителей информации осуществляется в соответствии с приказом Академии ГПС МЧС России от 18.01.2022 № 15 «О порядке обращения с машинными носителями информации, не содержащей сведения, составляющие государственную тайну, в Академии ГПС МЧС России».
-
12.2.7. Структурное подразделение (ответственное лицо) Оператора, ответственное за обеспечение безопасности персональных данных при их обработке в автоматизированной системе, обеспечивает:
-
своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных Оператора;
-
недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
-
возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
-
постоянный контроль за обеспечением уровня защищенности персональных данных;
-
знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
-
учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
-
принятие всех необходимые меры по восстановлению персональных данных, модифицированных, удаленных или уничтоженных вследствие несанкционированного доступа к ним;
-
при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин;
-
разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
-
12.2.8. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
-
12.3. Меры, направленные на обеспечение безопасности персональных данных при их обработке без использования средств автоматизации.
-
12.3.1 Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
-
12.3.2. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных.
-
12.3.3 Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
-
12.3.4. Сотрудники Оператора, осуществляющие обработку персональных данных без использования средств автоматизации, проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством и локальными нормативными актами Оператора.
-
12.3.5. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, принимаются меры по обеспечению раздельной обработки персональных данных, в частности:
-
при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
-
при необходимости уничтожения или блокирования части персональных данных, уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
-
12.3.6. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
-
типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, полное наименование и адрес Оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых способов обработки персональных данных;
-
типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
-
типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
-
типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
-
12.3.7. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
-
12.3.8. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
13.Взаимодействие с третьими лицами при обработке персональных данных.
-
13.1. В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям:
-
Федеральной налоговой службе;
-
Негосударственным пенсионным фондам;
-
Социальному фонду России;
-
Центру пенсионного обслуживания Главного управления МВД России по г. Москве.
-
Территориальным Фондам обязательного медицинского страхования;
-
Кредитным организациям;
-
Федеральной миграционной службе;
-
Лицензирующим и/или контролирующим органам государственной власти и местного самоуправления;
-
Иным организациям в соответствии с законодательством Российской Федерации.
14.Трансграничная передача персональных данных.
-
14.1. Трансграничная передача персональных данных осуществляется в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
-
14.2. Иностранными государствами, на территорию которых разрешается трансграничная передача персональных данных, являются:
-
государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, ратифицированной Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
-
государства, обеспечивающие адекватную защиту прав субъектов персональных данных.
-
14.3. Уполномоченные должностные лица до начала осуществления трансграничной передачи персональных данных обязаны убедиться в том, что иностранное государство, на территорию которого предполагается передача персональных данных, является государством, указанным в пп. 1 п. 14.2. настоящего Положения.
-
14.4. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватную защиту прав субъектов персональных данных, может осуществляться в случаях:
-
наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
-
исполнения договора, стороной которого является субъект персональных данных;
-
защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
-
14.5. Трансграничная передача персональных данных может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
-
14.6. Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных.
-
14.7. Уведомление о намерении осуществлять трансграничную передачу персональных данных должно содержать следующие сведения:
-
наименование (фамилия, имя, отчество), адрес оператора, а также дата и номер уведомления о намерении осуществлять обработку персональных данных;
-
наименование (фамилия, имя, отчество) лица, ответственного за организацию обработки персональных данных, номера контактных телефонов, почтовые адреса и адреса электронной почты;
-
правовое основание и цель трансграничной передачи персональных данных и дальнейшей обработки переданных персональных данных;
-
категории и перечень передаваемых персональных данных;
-
категории субъектов персональных данных, персональные данные которых передаются;
-
перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных;
-
дата проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке.
15.Порядок работы с обезличенными данными.
-
15.1. Обезличивание персональных данных Оператором, проводится в статистических или иных исследовательских целях, а также с целью снижения ущерба от разглашения защищаемых персональных данных, снижения класса информационных систем персональных данных, используемых Оператором, и по достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей.
-
15.2. Обезличиванию подвергаются персональные данные, обработка которых осуществляется в информационных системах персональных данных Оператора.
-
15.3. Обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, осуществляется методами, определенными приказом Роскомнадзора № 996.
-
15.4. В процессе реализации процедуры обезличивания персональных данных следует соблюдать требования, предъявляемые к выбранному методу обезличивания, установленные приказом Роскомнадзора № 996.
-
15.5. Перечень должностных лиц Оператора, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, утверждается приказом руководителя Оператора. Обязанности по обезличиванию персональных данных подлежат закреплению в должностных регламентах (инструкциях, обязанностях) должностных лиц Оператора.
-
15.6. Обработка обезличенных персональных данных может осуществляться на бумажных носителях без использования средств автоматизации, а также в информационных системах персональных данных.
-
15.7. При обработке обезличенных персональных данных в информационных системах персональных данных необходимо соблюдение:
-
парольной защиты информационных систем персональных данных;
-
антивирусной политики;
-
правил работы со съемными носителями (в случае их использования);
-
правил резервного копирования;
-
правил доступа в помещения, где расположены элементы информационных систем персональных данных.
-
15.8. При хранении обезличенных персональных данных следует:
-
организовать раздельное хранение обезличенных персональных данных и дополнительной (служебной) информации о выбранном методе обезличивания персональных данных и параметрах процедуры обезличивания персональных данных;
-
обеспечивать конфиденциальность дополнительной (служебной) информации о выбранном методе обезличивания персональных данных и параметрах процедуры обезличивания персональных данных.
-
15.9. При обработке обезличенных персональных данных в информационных системах персональных данных обеспечивается соблюдение требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации №1119, а также организационно-технических мер по обеспечению безопасности персональных данных, определенных приказом ФСТЭК России № 17, с учетом уровней защищенности персональных данных, определенных для информационных систем персональных данных, в которых осуществляется обработка персональных данных.
16. Порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
-
16.1. Настоящий Порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в информационных системах персональных данных, расположенных в Академии определяет процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных; основания, порядок, формы и методы проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
-
16.2. Настоящий Порядок разработан в соответствии Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и другими нормативными правовыми актами.
-
16.3. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям организовывается проведение периодических проверок условий обработки персональных данных.
-
16.4. Проверки осуществляются лицом ответственным за организацию обработки персональных данных либо комиссией, образуемой приказом руководителя, типовой план проверки приведен в Приложении № 1 к настоящему Положению. В проведении проверки не может участвовать работник, прямо или косвенно заинтересованный в её результатах.
-
16.5. Проверки соответствия обработки персональных данных установленным требованиям проводятся на основании утвержденного руководителем ежегодного плана мероприятий по организации защиты персональных данных (плановые проверки) или на основании поступившего письменного заявления о нарушениях правил обработки персональных данных (внеплановые проверки). Проведение внеплановой проверки организуется в течение трех рабочих дней с момента поступления соответствующего заявления.
-
16.6. При проведении проверки соответствия обработки персональных данных установленным требованиям должны быть полностью, объективно и всесторонне установлены:
-
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
-
порядок и условия применения средств защиты информации;
-
эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
-
состояние учета машинных носителей персональных данных;
-
состояние учета неавтоматизированных носителей персональных данных;
-
соблюдение правил доступа к персональным данным;
-
наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
-
мероприятия по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
-
осуществление мероприятий по обеспечению целостности персональных данных.
-
16.7. Ответственное лицо за организацию обработки персональных данных либо председатель комиссии, образованной для проведения проверки, имеет право:
-
запрашивать у сотрудников информацию, необходимую для реализации полномочий;
-
требовать от уполномоченных на обработку персональных данных должностных лиц уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
-
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
-
вносить руководителю предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
-
вносить руководителю предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
-
16.8. В отношении персональных данных, ставших известными ответственному лицу за организацию обработки персональных данных (членам комиссии) в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность персональных данных.
-
16.9. Проверка должна быть завершена не позднее чем через месяц со дня принятия решения о её проведении. О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений руководителю докладывает председатель комиссии.
-
16.10. Руководитель, назначивший внеплановую проверку, обязан контролировать своевременность и правильность её проведения.
17.Порядок ознакомления сотрудников и работников, непосредственно осуществляющих обработку персональных данных, с нормативными правовыми актами о персональных данных.
-
17.1. При назначении сотрудника (работника) Академии на должность, замещение которой предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, такому лицу доводится до сведения под подпись типовое обязательство уполномоченного на обработку персональных данных, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним контракта (служебного контракта или трудового договора) он обязан прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных (служебных) обязанностей, утверждаемое в соответствии с подпунктом «б» пункта 1 перечня мер, утвержденного постановлением Правительства Российской Федерации от 21.03.2012 г. № 211 (далее - Типовое обязательство).
-
17.2. Подписанные уполномоченными на обработку персональных данных обязательства приобщаются к их личным делам.
-
17.3. Обязанности уполномоченных на обработку персональных данных по обработке персональных данных включаются в их должностные регламенты (обязанности, инструкции). № 211 (далее - Типовое обязательство).
-
17.4. Уполномоченные на обработку персональных данных, получившие доступ к персональным данным, для обеспечения законной передачи персональных данных в случаях, соответствующих целям обработки, не предоставляют персональные данные третьим лицам без согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы его жизни и здоровью, а также в других случаях, предусмотренных Федеральным законом «О персональных данных».
18. Порядок применения правовых, организационных и технических мер по обеспечению безопасности персональных данных.
-
18.1. Обработка персональных данных Оператором осуществляется с помощью средств вычислительной техники (автоматизированная обработка) либо без использования средств вычислительной техники (неавтоматизированная обработка).
-
18.2. Общее руководство организацией технической защиты персональных данных, обрабатываемых в информационных системах персональных данных, возлагается на Центр связи и информационно-образовательных технологий Академии.
-
18.3. Обработка персональных данных без использования средств автоматизации осуществляется с учетом требований Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
-
18.4. Обеспечение внешней защиты персональных данных достигается:
-
установлением пропускного режима и особого порядка приема, учета и контроля посетителей;
-
использованием технических средств охраны;
-
применением программно-технических комплексов защиты информации, содержащейся на электронных и магнитных носителях информации.
-
18.5. Обеспечение внутренней защиты персональных данных достигается:
-
ограничением и регламентацией состава должностных лиц, должностные обязанности (должностные регламенты, инструкции) которых предусматривают доступ к персональным данным;
-
избирательным и обоснованным распределением (разделением) доступа должностных лиц к персональным данным и материальным носителям информации, которые их содержат;
-
размещением рабочих мест, в том числе автоматизированных, на которых обрабатываются персональные данные, способом, исключающим бесконтрольную обработку персональных данных;
-
формированием условий, необходимых для работы с материальными носителями информации, базами персональных данных, в том числе персональными данными, содержащимися на материальных (машинных) носителях информации, используемых в информационных системах персональных данных;
-
утверждением списков (перечней) должностных лиц, имеющих право доступа в помещения, в которых обрабатываются и (или) хранятся персональные данные;
-
выявлением нарушений при осуществлении обработки персональных данных и их устранением, в том числе связанных с нарушением требований к защите персональных данных и обеспечения безопасности информации;
-
проведением профилактической работы с должностными лицами, имеющими доступ к персональным данным, направленной на предупреждение случаев несанкционированной передачи таких данных.
-
18.6. При осуществлении обработки персональных данных без использования средств автоматизации, уполномоченные на обработку персональных данных, выполняют следующие действия:
-
обеспечивают раздельное хранение персональных данных, обработка которых предусмотрена в различных целях, не допускают их фиксации на одном материальном носителе информации, если цели сбора или обработки персональных данных заведомо несовместимы, и обособляют персональные данные, в частности, путем их записи в специальных разделах или на полях форм (бланков);
-
создают условия, обеспечивающие сохранность персональных данных и исключение случаев несанкционированного (неправомерного или случайного) доступа к ним;
-
производят уточнение персональных данных, подлежащих обработке, путем их обновления (изменения);
-
осуществляют контроль в части, их касающейся, за соблюдением порядка отбора персональных данных к уничтожению, уничтожения и (или) обезличивания персональных данных.
-
18.7. Доступ к информационным системам персональных данных уполномоченных на обработку персональных данных, осуществляющих обработку персональных данных, реализуется посредством создания учетной записи, состоящей из имени пользователя и пароля.
-
18.8. Доступ к информационным системам персональных данных предоставляется в соответствии с обязанностями, предусмотренными регламентами (обязанностями, инструкциями) уполномоченных на обработку персональных данных.
-
18.9. Безопасность персональных данных при их обработке в информационных системах персональных данных должна обеспечиваться с помощью системы защиты персональных данных, нейтрализующей угрозы безопасности персональных данных, актуальные при их обработке, путем исключения несанкционированного доступа к персональным данным (далее - система защиты персональных данных).
-
18.10 Система защиты персональных данных Оператора должна включать организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, а также современные информационные технологии, применяемые в информационных системах персональных данных.
-
18.11. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных должны разрабатываться и осуществляться должностными лицами Оператора в полномочия которых входит обеспечение технической защиты служебной информации, на основании требований к защите персональных данных и в целях обеспечения требуемого уровня защищенности персональных данных, которого необходимо достичь исходя из имеющихся угроз безопасности персональных данных (их типа), актуальных при их обработке в информационных системах персональных данных.
-
18.12. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», с учетом изменений, внесенных приказом Федеральной службы по техническому и экспортному контролю от 23.03.2017 № 49.
-
18.13. Определение типа угроз безопасности персональных данных, актуальных при их обработке в информационных системах персональных данных, производится в соответствии с пунктом 5 части 1 статьи 18.1 и части 5 статьи 19 Федерального закона «О персональных данных» с учетом оценки возможного вреда, к которому могут привести указанные угрозы.
-
18.14. Требуемый уровень защищенности персональных данных при их обработке в информационных системах персональных данных устанавливается в соответствии с требованиями к защите информации, определяемыми в соответствии с частью 5 статьи 16 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», а также требованиями к защите персональных данных, утвержденными Постановлением № 1119.
-
18.15. Для обеспечения требуемого уровня защищенности персональных данных, соответствующего требованиям к защите персональных данных, применяются следующие организационные, технические и иные меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных:
-
назначается по каждой информационной системе персональных данных, а при необходимости - по каждой ее составной части, эксплуатируемой Оператором, должностное лицо, ответственное за эксплуатацию (обеспечение функционирования) и выполнение мер по обеспечению безопасности персональных данных при их обработке;
-
организуется режим обеспечения безопасности помещений, в которых размещены информационные системы персональных данных, препятствующий неконтролируемому проникновению или пребыванию в этих помещениях посторонних лиц, не имеющих права доступа в эти помещения;
-
осуществляется учет электронных (магнитных) носителей информации, а также выполнение мер, направленных на обеспечение сохранности указанных материальных носителей информации, позволяющих производить хранение материальных носителей информации;
-
организуется режим доступа к обрабатываемым персональным данным в информационных системах персональных данных;
-
осуществляется мониторинг обработки персональных данных для обнаружения фактов несанкционированного доступа к ним, выявления модифицированных или уничтоженных персональных данных вследствие несанкционированного доступа к ним для их последующего восстановления;
-
допускаются к применению в информационных системах персональных данных только технические и программные средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, когда применение таких средств необходимо для нейтрализации угроз безопасности персональных данных, актуальных при обработке;
-
осуществляется оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
-
осуществляется внутренний контроль принимаемых мер по обеспечению безопасности персональных данных, в том числе выполнения требуемого уровня защищенности информационных систем персональных данных и персональных данных, обрабатываемых без использования средств автоматизации.
-
18.16. В целях обеспечения надлежащей эксплуатации информационных систем персональных данных Оператора должны быть осуществлены:
-
классификация информационных систем персональных данных в соответствии с требованиями к защите персональных данных, утвержденными Постановлением № 1119, с оформлением соответствующих актов;
-
комплекс организационных и технических мер по обеспечению безопасности персональных данных (при их обработке в информационных системах персональных данных) в виде системы защиты персональных данных в соответствии с требованиями законодательства Российской Федерации.
-
18.17. Выбор средств защиты информации для системы защиты персональных данных осуществляется в соответствии с нормативными правовыми актами, принятыми в соответствии с частью 4 статьи 19 Федерального закона «О персональных данных».
-
18.18. Персональные данные являются сведениями конфиденциального характера, доступ к которым ограничен в соответствии с законодательством Российской Федерации, и подлежат защите должностными лицами при осуществлении их обработки.
19. Порядок доступа в помещения, в которых ведется обработка персональных данных.
-
19.1. Настоящий Порядок доступа в помещения, в которых ведется обработка персональных данных (далее – Порядок), устанавливает единые требования к доступу в служебные помещения в целях предотвращения нарушения прав субъектов персональных данных, обрабатываемых Оператором, и обеспечения соблюдения требований законодательства о персональных данных.
-
19.2. Настоящий Порядок обязателен для применения и исполнения всеми сотрудниками и работниками Оператора.
-
19.3. Помещения, в которых ведется обработка персональных данных, должны обеспечивать сохранность информации и технических средств, исключать возможность бесконтрольного проникновения в помещение и их визуального просмотра посторонними лицами и оснащены охранной сигнализацией.
-
19.4. Персональные данные на бумажных носителях должны находиться в недоступном для посторонних лиц месте.
-
19.5. Бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) хранятся в металлических шкафах, оборудованных опечатывающими устройствами.
-
19.6. Помещения, в которых ведется обработка персональных данных, запираются на ключ, а в нерабочее время подключаются к охранной сигнализации.
-
19.7. Вскрытие и закрытие (опечатывание) помещений, в которых ведется обработка персональных данных, производится работниками, имеющими право доступа в данные помещения.
-
19.8. Перед закрытием помещений, в которых ведется обработка персональных данных, по окончании рабочего времени работники, имеющие право доступа в помещения, обязаны:
-
убрать бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-карты) в шкафы, закрыть и опечатать шкафы;
-
отключить технические средства (кроме постоянно действующей техники) и электроприборы от сети;
-
выключить освещение;
-
закрыть окна;
-
подключить охранную сигнализацию.
-
19.9. Перед открытием помещений, в которых ведется обработка персональных данных, работники, имеющие право доступа в помещения, обязаны:
-
провести внешний осмотр с целью установления целостности двери и замка;
-
открыть дверь и осмотреть помещение, проверить наличие и целостность печатей на шкафах.
-
19.10. При обнаружении неисправностей двери и запирающих устройств работники обязаны:
-
не вскрывая помещение, в котором ведется обработка персональных данных, доложить непосредственному руководителю;
-
в присутствии не менее двух иных работников, включая непосредственного руководителя, вскрыть помещение и осмотреть его;
-
составить акт о выявленных нарушениях и передать его руководителю Оператора для организации служебного расследования.
-
19.11. Право самостоятельного входа в помещения, где обрабатываются персональные данные, имеют только работники, непосредственно работающие в данном помещении. Иные работники имеют право пребывать в помещениях, где обрабатываются персональные данные, только в присутствии работников, непосредственно работающих в данных помещениях.
-
19.12. При работе с информацией, содержащей персональные данные, двери помещений должны быть всегда закрыты. Присутствие иных лиц, не имеющих права доступа к персональным данным, должно быть исключено.
-
19.13. Техническое обслуживание компьютерной и организационной техники, сопровождение программных средств, уборка помещения, в котором ведется обработка персональных данных, а также проведение других работ осуществляются в присутствии работника, работающего в данном помещении.
-
19.14. В случае необходимости принятия в нерабочее время экстренных мер при срабатывании пожарной или охранной сигнализации, авариях в системах энерго- водо- и теплоснабжения помещение, в котором ведется обработка персональных данных, вскрывается комиссией в составе не менее двух человек.
Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на руководителей отделов, обрабатывающих персональные данные.
-
19.15. Доступ в помещения в рабочее (служебное) время имеют сотрудники, включенные в Перечень лиц, имеющих доступ в помещения, утвержденный нормативным актом Оператора.
-
19.16. В нерабочее (неслужебное) время пребывание вышеуказанных сотрудников разрешается на основании служебных записок (или иных видов разрешающих документов), подписанных руководителем Оператора.
-
19.17. Нахождение в помещениях посторонних лиц в рабочее (служебное) и нерабочее (неслужебное) время запрещается.
-
19.18. Руководитель Оператора и лица, его замещающие, могут находиться в помещениях в любое время, в том числе в нерабочие и праздничные дни.
-
19.19. О попытках неконтролируемого проникновения посторонних лиц в помещения необходимо незамедлительно сообщать руководителю структурного подразделения Оператора.
-
19.20. В случае возникновения нештатной ситуации необходимо незамедлительно сообщать руководителю структурного подразделения Оператора.
20.Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных.
-
20.1. Общие положения.
-
20.1.1. Настоящие Правила оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований по обработке и обеспечению безопасности персональных данных (далее - Правила) определяют порядок оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных» (далее - ФЗ № 152-ФЗ), и отражают соотношение указанного возможного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ № 152-ФЗ.
-
20.1.2. Настоящие Правила разработаны в соответствии с действующим законодательством Российской Федерации в области обработки и защиты персональных данных.
-
20.2. Методика оценки возможного вреда субъектам персональных данных.
-
20.2.1. Вред субъекту персональных данных возникает в результате неправомерного или случайного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
-
20.2.2. Перечисленные неправомерные действия определяются как следующие нарушения безопасности информации:
-
неправомерное предоставление, распространение и копирование персональных данных являются нарушением конфиденциальности персональных данных;
-
неправомерное уничтожение и блокирование персональных данных является нарушением доступности персональных данных;
-
неправомерное изменение персональных данных является нарушением целостности персональных данных;
-
нарушение права субъекта требовать от оператора уточнения его персональных данных, их блокирования или уничтожение является нарушением целостности информации;
-
нарушение права субъекта на получение информации, касающейся обработки его персональных данных, является нарушением доступности персональных данных;
-
обработка персональных данных, выходящая за рамки установленных и законных целей обработки, в объеме больше необходимого для достижения установленных и законных целей и дольше установленных сроков является нарушением конфиденциальности персональных данных;
-
неправомерное получение персональных данных от лица, не являющегося субъектом персональных данных, является нарушением конфиденциальности персональных данных;
-
принятие решения, порождающего юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, на основании исключительно автоматизированной обработки его персональных данных без согласия на то в письменной форме субъекта персональных данных или непредусмотренное федеральными законами, является нарушением конфиденциальности персональных данных.
-
20.2.3. Субъекту персональных данных может быть причинен вред в форме:
-
убытков - расходов, которые лицо, чье право нарушено, понесло или должно будет понести для восстановления нарушенного права, утраты или повреждения его имущества (реальный ущерб), а также неполученных доходов, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено;
-
морального вреда - физических или нравственных страданий, причиняемых действиями, нарушающими личные неимущественные права гражданина либо посягающими на принадлежащие гражданину другие нематериальные блага, а также в других случаях, предусмотренных законом.
В оценке возможного вреда Оператор исходит из следующего способа учета последствий допущенного нарушения принципов обработки персональных данных:
-
низкий уровень возможного вреда - последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, либо только нарушение доступности персональных данных;
-
средний уровень возможного вреда - последствия нарушения принципов обработки персональных данных включают только нарушение целостности персональных данных, повлекшее убытки и моральный вред, либо только нарушение доступности персональных данных, повлекшее убытки и моральный вред, либо только нарушение конфиденциальности персональных данных;
-
высокий уровень возможного вреда - во всех остальных случаях.
-
20.3. Порядок проведения оценки возможного вреда, а также соотнесения возможного вреда и реализуемых Оператором мер
-
20.3.1. Оценка возможного вреда субъектам персональных данных осуществляется ответственным за организацию обработки персональных данных, в соответствии с методикой, описанной в пункте 20 настоящего Положения, и на основании экспертных значений, приведенных в Приложении 2.
-
20.3.2. Состав реализуемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных», определяется ответственным за организацию обработки персональных данных, исходя из правомерности и разумной достаточности указанных мер.
ПЛАН ВНУТРЕННИХ ПРОВЕРОК СОСТОЯНИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Правовые и организационные меры по вопросам обработки и защиты персональных данных
-
1.1. Соответствие категорий обрабатываемых персональных данных целям обработки персональных данных:
-
соответствие целей обработки персональных данных, целям установленным политикой МЧС России в отношении обработки и защиты персональных данных;
-
соответствие содержания и объема обрабатываемых персональных данных целям, определенным политикой МЧС России в отношении обработки и защиты персональных данных (проверяется избыточность обрабатываемых персональных данных или их не достаточность).
-
1.2. Типовые обязательства уполномоченных на обработку персональных данных, непосредственно осуществляющих обработку персональных данных, о прекращении обработки персональных данных, ставших известными им в связи с исполнением должностных (служебных):
-
наличие подписанных уполномоченными на обработку персональных данных, непосредственно осуществляющих обработку персональных данных, обязательств о прекращении обработки персональных данных, ставших известными им в связи с исполнением должностных (служебных) обязанностей, в случае расторжения с ними контрактов (служебных контрактов или трудовых договоров).
-
1.3. Должностные обязанности (регламенты, инструкции) уполномоченных на обработку персональных данных:
-
наличие в должностных регламентах (обязанностях, инструкциях) уполномоченных на обработку персональных данных обязанностей по обработке персональных данных;
-
наличие в должностных регламентах (обязанностях, инструкциях) уполномоченных на обработку персональных данных обязанностей по соблюдению конфиденциальности персональных данных, ставших им известными в связи с исполнение должностных обязанностей.
-
1.4. Ознакомление должностных лиц, уполномоченных на обработку персональных данных, непосредственно осуществляющих обработку персональных, с положениями законодательства Российской Федерации и нормативных актов МЧС России о персональных данных, в том числе локальными актами по вопросам обработки персональных данных требованиями к защите персональных данных:
-
наличие документов подтверждающих ознакомления должностных лиц, уполномоченных на обработку персональных данных, непосредственно осуществляющих обработку персональных, законодательства Российской Федерации о персональных данных, локальными актами МЧС России по вопросам обработки персональных данных;
-
проверка знаний и осведомленности уполномоченных на обработку персональных данных с положениями законодательства Российской Федерации о персональных данных, локальными актами МЧС России по вопросам обработки персональных данных.
2. Обеспечение режима безопасности помещений, в которых осуществляется обработка персональных данных
-
2.1. Порядок доступа в помещения, в которых происходит обработка персональных данных, как с использованием средств автоматизации, так и без таковых, а также хранятся носители персональных данных.
-
наличие утвержденного перечня должностных лиц, имеющих право доступа в помещения, в которых осуществляется обработка персональных данных;
-
нахождение лиц, не имеющих право на осуществление обработки персональных данных либо на осуществление доступа к персональным данным в помещениях, в которых осуществляется обработка персональных данных;
-
соблюдение порядка приема-сдачи под охрану помещений, в которых осуществляется обработка персональных данных;
-
соблюдение режима обеспечения безопасности помещений, в которых осуществляется обработка персональных данных, в том числе при приеме посетителей, проведении уборки помещений и других хозяйственных работ;
-
наличие запираемых хранилищ (ящиков, шкафов).
3. Порядок обращения с носителями персональных данных
-
3.1. Персональные данные (материальные носители), обработка которых осуществляется без использования средств автоматизации:
-
наличие утвержденного перечня помещений, в которых осуществляется хранение персональных данных (материальных носителей), обработка которых осуществляется без использования средств автоматизации и актуальность содержащейся в нем информации;
-
наличие утвержденного перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ, обработка которых осуществляется без использования средств автоматизации и актуальность информации содержащейся в перечне;
-
условия хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
-
обособлены ли персональные данные от иной информации. Фиксируются ли на одном материальном носителе персональные данные, цели обработки которых заведомо несовместимы.
-
3.2. Cроки хранения и порядок уничтожения персональных данных (материальных носителей):
-
порядок отбора персональных данных (материальных носителей) для уничтожения;
-
соблюдение сроков хранения персональных данных (материальных носителей);
-
соблюдение сроков уничтожения персональных данных (материальных носителей) при достижении целей обработки персональных данных;
-
порядок уничтожения персональных данных (материальных носителей).
-
3.3. Рабочие места должностных лиц уполномоченных на обработку персональных данных:
-
отсутствие оставленных без присмотра носителей персональных данных;
-
размещение устройств вывода (отображения, печати) информации в пределах контролируемой зоны, в дали от оконных проемов, входных дверей;
-
наличие специальных устройств не позволяющих обозревать помещения извне (шторы, жалюзи и иные средства).
4. Обработка персональных данных в информационных системах персональных данных
-
4.1. Учетные записи пользователей информационных систем персональных данных и разграничение прав доступа к информационным ресурсам информационных систем персональных данных (в том числе прав удаленного доступа):
-
проверка соблюдения порядка генерации и смены паролей пользователей;
-
выборочная проверка пользовательских паролей на количество символов и очевидность с целью выявления слабых паролей;
-
4.2. Доступ пользователей к информационным системам, в которых осуществляется обработка персональных данных.
-
Наличие в должностных регламентах (обязанностях, инструкциях) должностных лиц, допущенных к персональным данным, обрабатываемым в информационных системах персональных данных, обязанностей по обработке ими персональных данных в информационных системах персональных данных.
-
4.3. Соблюдение пользователями информационных систем персональных данных порядка эксплуатации средств защиты информации применяемых в информационных системах персональных данных:
-
проверка соблюдения пользователями информационных систем персональных данных требований антивирусной защиты;
-
проверка знаний пользователей информационных систем персональных данных о своих действиях во внештатных ситуациях.
-
4.4. Состав технических средств и средств защиты информации применяемых в информационных системах персональных данных:
-
соответствие состава технических и программных средств информационных систем персональных данных приведенному в эксплуатационной документации;
-
соответствие используемых в информационных системах персональных данных средств защиты информации перечню;
-
средств защиты информации применяемых для защиты персональных данных в информационных системах персональных данных.
-
4.5. Работоспособность, параметры настройки и правильности функционирования применяемых в информационных системах персональных данных средств защиты информации:
-
работоспособность средств криптографической защиты информации;
-
проверка электронных журналов средств защиты информации на наличие фактов несанкционированного доступа;
-
4.6. Автоматизированные рабочие места пользователей информационных систем персональных данных (выборочно):
-
отсутствие физического воздействия на автоматизированные рабочие места;
-
отсутствие несанкционированно внедренных неучтенных технических средств;
-
целостность пломб (при наличии);
-
отсутствие установленных пользователями программного обеспечения, не связанного с выполнением служебных обязанностей, в том числе игр.
Перечень персональных данных обрабатываемых в Академии ГПС МЧС России:
Фамилия, имя, отчество (при наличии) (в том числе прежние фамилии, имена и отчества (при наличии) в случае их изменения, сведения о том, когда, где и по какой причине они изменялись);
Дата рождения (число, месяц и год рождения);
Место рождения;
Вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, наименование органа и код подразделения органа (при наличии), выдавшего его, дата выдачи;
Фотография (для формирования личного дела, оформления служебного удостоверения, формирования анкет, установленных законодательством Российской Федерации).
Сведения о гражданстве (какого государства, если изменялось, то когда и по какой причине).
Адрес и дата регистрации по месту жительства (места пребывания).
Адрес фактического проживания (места нахождения).
Сведения о семейном положении (состав семьи).
Реквизиты свидетельств государственной регистрации актов гражданского состояния (номер и дата составления акта) и содержащиеся в них сведения.
Сведения об образовании (наименование образовательной и (или) иной организации, год окончания, уровень профессионального образования, реквизиты документов об образовании, направление подготовки, специальность и квалификация по документу об образовании, ученая степень, ученое звание (дата присвоения, реквизиты диплома, аттестата).
Сведения о дополнительном профессиональном образовании (профессиональной переподготовке, повышении квалификации) (наименование образовательной и (или) научной организации, год окончания, реквизиты документа о переподготовке (повышении квалификации), квалификация и специальность по документу о переподготовке (повышении квалификации), наименование программы обучения, количество часов обучения.
Академический статус (академик, член-корреспондент – при его наличии) в государственной академии наук.
Коды авторов (SPIN-код, ORCID, Индекс Хирша РИНЦ, Scopus ID, Researcher ID).
Сведения о владении иностранными языками и языками народов Российской Федерации (каким).
Сведения о трудовой деятельности до поступления на военную службу (федеральную противопожарную службу Государственной противопожарной службы, федеральную государственную гражданскую службу), работу в Министерство Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий (далее - МЧС России).
Квалификационное звание (классная квалификация), кем и когда присвоено(а).
Информация о спортивном звании, спортивном разряде.
Сведения о службе в МЧС России (в территориальных органах МЧС России, организациях, находящихся в ведении МЧС России), в федеральных органах исполнительной власти и иных федеральных государственных органах на должностях, по которым предусмотрено присвоение специальных (воинских) званий, классных чинов юстиции (личный номер, стаж службы (выслуга лет) в календарном и льготном исчислении, реквизиты приказа об увольнении, причина и основание увольнения).
Сведения о родителях, детях, сестрах, братьях, о супруге (бывшем или бывшей супруге) (дата рождения, место рождения, место работы (службы), домашний адрес).
Сведения о форме и дате оформления допуска к государственной тайне, ранее имевшемся и (или) имеющемся.
Сведения о государственных наградах, иных наградах и знаках отличия (дата награждения, номер указа, постановления, решения).
Сведения об участии в боевых действиях, нахождении в плену, полученных увечьях (ранения, травмы, контузии).
Сведения о пребывании за границей (когда, где, с какой целью).
Сведения о близких родственниках (родителях, братьях, сестрах, детях), а также супругах, в том числе бывших, постоянно проживающих за границей и (или) оформляющих документы для выезда на постоянное место жительства в другое государство (фамилия, имя, отчество (при его наличии), с какого времени проживают за границей).
Реквизиты страхового свидетельства обязательного пенсионного страхования (номер), содержащиеся в нем сведения (реквизиты документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета, содержащиеся в нем сведения).
Идентификационный номер налогоплательщика.
Реквизиты страхового медицинского полиса обязательного медицинского страхования (номер полиса), содержащиеся в нем сведения.
Сведения о воинском учете (отношение к воинской обязанности), реквизиты документов воинского учета (номер и дата выдачи), а также сведения, содержащиеся в документах воинского учета.
Сведения о наличии (отсутствии) судимости, в том числе снятой или погашенной.
Сведения о назначении в судебном порядке административного наказания за совершенные умышленно административные правонарушения (когда привлекались и за какое административное правонарушение).
Сведения об административных правонарушениях (когда и какое административное правонарушение совершено, вид административного наказания).
Сведения о счетах в банках и кредитных организациях (наименование банка или кредитной организации, номер счета и дата открытия), реквизиты банковских карт (номер карты).
Сведения о доходах, расходах, об имуществе и обязательствах имущественного характера, а также о доходах, расходах, об имуществе и обязательствах имущественного характера супруги (супруга) и несовершеннолетних детей.
Номера телефонов (домашнего, служебного, мобильной связи).
Адрес электронной почты.
Сведения о наличии (отсутствии) заболевания, препятствующего поступлению на службу (работу) или ее прохождению, подтвержденного заключением медицинской организации.
Сведения о результатах психодиагностического обследования и психиатрического освидетельствования.
Сведения об инвалидности, сроке действия установленной инвалидности.
Сведения о наличии (отсутствии) медицинских противопоказаний к выполнению аварийно-спасательных работ.
Сведения о пригодности (непригодности) к выполнению аварийно-спасательных работ по результатам психиатрического освидетельствования.
Сведения о результатах аттестации на право ведения аварийно-спасательных работ (дата аттестации, наименование аттестационной комиссии).
Сведения о профессиональном обучении по программе профессиональной подготовки на право ведения аварийно-спасательных работ, владении дополнительными специальностями.
Сведения о наличии (об отсутствии) медицинских противопоказаний для работы с использованием сведений, составляющих государственную тайну.
Результаты обязательных предварительных и периодических медицинских осмотров (обследований), профилактических медицинских осмотров.
Сведения, содержащиеся в удостоверении гражданина, подвергшегося радиационному воздействию вследствие радиационных аварий и инцидентов.