IV. Обработка и защита персональных данных от несанкционированного доступа, неправомерного использования и утраты

8. Обработка персональных данных оператором осуществляется при наличии письменного согласия субъекта персональных данных на обработку его персональных данных в соответствии со статьей 9 Федерального закона "О персональных данных", а также без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона "О персональных данных", при этом:

1) обработка персональных данных в целях, указанных в подпункте 1 пункта 5 Правил, осуществляется без согласия субъекта персональных данных в соответствии с пунктом 2 части 1 статьи 6, пунктами 2.1, 7 части 2 статьи 10 и частью 2 статьи 11 Федерального закона "О персональных данных";

2) обработка персональных данных в целях, указанных в подпункте 2 пункта 5 Правил, осуществляется без согласия субъекта персональных данных в соответствии с пунктом 9 части 1 статьи 6 Федерального закона "О персональных данных";

3) обработка персональных данных в целях, указанных в подпункте 3 пункта 5 Правил, осуществляется при наличии полученного согласия субъекта персональных данных на обработку его персональных данных в письменной форме в соответствии с пунктом 1 части 1 статьи 6, пунктом 1 части 2 статьи 10 и частью 1 статьи 11 Федерального закона "О персональных данных";

4) обработка персональных данных в целях, указанных в подпункте 4 пункта 5 Правил, осуществляется при наличии полученного согласия субъекта персональных данных на обработку его персональных данных в письменной форме в соответствии с пунктом 1 части 1 статьи 6 и без согласия субъекта персональных данных в соответствии с пунктом 6 части 1 статьи 6, пунктами 2.3, 3 и 4 части 2 статьи 10 Федерального закона "О персональных данных";

5) обработка персональных данных в целях, указанных в подпункте 5 пункта 5 Правил, осуществляется без согласия субъекта персональных данных в соответствии с пунктом 4 части 1 статьи 6 Федерального закона "О персональных данных";

6) обработка персональных данных в целях, указанных в подпункте 6 пункта 5 Правил, осуществляется без согласия субъекта персональных данных в соответствии с пунктами 2 и 11 части 1 статьи 6 Федерального закона "О персональных данных";

7) обработка персональных данных в целях, указанных в подпункте 7 пункта 5 Правил, осуществляется при наличии полученного согласия субъекта персональных данных на обработку его персональных данных в письменной форме в соответствии с пунктом 1 части 1 статьи 6 Федерального закона "О персональных данных";

8) обработка персональных данных в целях, указанных в подпункте 8 пункта 5 Правил, осуществляется при наличии полученного согласия субъекта персональных данных на обработку его персональных данных в письменной форме в соответствии с пунктом 1 части 1 статьи 6 и без согласия субъекта персональных данных в соответствии с пунктом 2 части 1 статьи 6, пунктом 7 части 2 статьи 10 и частью 2 статьи 11 Федерального закона "О персональных данных";

9) обработка персональных данных в целях, указанных в подпункте 9 пункта 5 Правил, осуществляется при наличии полученного согласия субъекта персональных данных на обработку его персональных данных в письменной форме в соответствии с пунктом 1 части 1 статьи 6 и без согласия субъекта персональных данных в соответствии с пунктом 4 части 2 статьи 10 Федерального закона "О персональных данных";

10) обработка персональных данных в целях, указанных в подпункте 10 пункта 5 Правил, осуществляется без согласия субъекта персональных данных в соответствии с пунктом 2 части 1 статьи 6 Федерального закона "О персональных данных";

11) обработка персональных данных в целях, указанных в подпункте 11 пункта 5 Правил, осуществляется без согласия посетителей объектов Вооруженных Сил в соответствии с пунктом 7 части 1 статьи 6 Федерального закона "О персональных данных";

12) обработка персональных данных в целях, указанных в подпункте 12 пункта 5 Правил, осуществляется при наличии полученного в электронной форме согласия субъекта персональных данных на обработку его персональных данных в соответствии с пунктом 1 части 1 статьи 6 Федерального закона "О персональных данных";

13) обработка персональных данных в целях, указанных в подпункте 13 пункта 5 Правил, осуществляется при наличии полученного согласия субъекта персональных данных на обработку его персональных данных в соответствии с подпунктом 8 части 1 статьи 6 Федерального закона "О персональных данных".

9. Получение согласия в письменной форме субъекта персональных данных на обработку персональных данных осуществляется должностными лицами, указанными в перечне должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным в Вооруженных Силах (далее - должностные лица), утверждаемом в соответствии с подпунктом "б" пункта 1 перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 (далее - постановление N 211), посредством предоставления субъектам персональных данных для ознакомления и подписания Типовой формы согласия на обработку персональных данных субъектов персональных данных в Вооруженных Силах Российской Федерации (приложение N 6 к настоящему приказу) (далее - Типовая форма согласия).

9(1). Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от Типовой формы согласия (приложение N 6 к настоящему приказу) и должно соответствовать требованиям к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утвержденным приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 февраля 2021 г. N 18 (зарегистрирован Министерством юстиции Российской Федерации 21 апреля 2021 г., регистрационный N 63204) (в соответствии с пунктом 1.1 приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 февраля 2021 г. N 18 данный акт действует до 1 сентября 2027 г.).

10. Данное субъектом персональных данных согласие на обработку персональных данных действует:

для федеральных государственных гражданских служащих и работников Вооруженных Сил - со дня предоставления ими согласия на обработку персональных данных на время прохождения ими службы (работы);

для военнослужащих - со дня предоставления ими согласия на обработку персональных данных на время прохождения ими военной службы, а также в течение 5 лет со дня исключения из списков личного состава Вооруженных Сил;

для граждан, пребывающих в запасе Вооруженных Сил, - со дня предоставления ими согласия на обработку персональных данных до достижения ими предельного возраста пребывания в запасе, а также в течение 5 лет со дня снятия гражданина с воинского учета;

для иных субъектов персональных данных - со дня предоставления ими согласия на обработку персональных данных до достижения целей обработки персональных данных.

Действие данного субъектом персональных данных согласия на обработку персональных данных также прекращается в случае его отзыва субъектом персональных данных в соответствии с пунктом 12 Правил.

11. Согласие на обработку персональных данных подписывается субъектом персональных данных в день рассмотрения и подписания им контракта о прохождении военной службы (служебного контракта, контракта, трудового договора) или в день предоставления уполномоченными должностными лицами Типовой формы согласия для рассмотрения и подписания субъектом персональных данных (его законным представителем).

12. Подписанное субъектом персональных данных согласие на обработку персональных данных может быть отозвано субъектом персональных данных только посредством направления им письменного заявления (заявления в форме электронного документа, подписанного в соответствии с Федеральным законом от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (Собрание законодательства Российской Федерации, 2011, N 15, ст. 2036; 2016, N 26, ст. 3889) в орган военного управления, объединение, соединение, воинскую часть или организацию Вооруженных Сил (далее - воинская часть), где он проходит (проходил) военную службу (службу), осуществляет (осуществлял) трудовую деятельность либо предоставлял согласие на обработку персональных данных.

13. При отказе субъекта персональных данных подписать согласие на обработку персональных данных должностные лица продолжают обработку персональных данных без согласия субъекта персональных данных по основаниям, указанным в пункте 8 Правил.

14. Одновременно с предоставлением Типовой формы согласия субъекту персональных данных доводится под подпись Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные Вооруженным Силам Российской Федерации (приложение N 7 к настоящему приказу) (далее - Типовая форма разъяснения).

15. Кандидатам, подписавшим Типовую форму согласия и (или) Типовую форму разъяснения и впоследствии заместившим воинские должности, должности федеральных государственных гражданских служащих, работников Вооруженных Сил или поступившим на обучение в общеобразовательные организации, указанные типовые формы для повторного рассмотрения и подтверждения (подписания) не представляются и названными лицами не подписываются, а включаются в их личные дела.

16. При назначении военнослужащего, федерального государственного гражданского служащего или работника на должность, замещение которой предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, такому субъекту персональных данных подразделением (должностным лицом), на которое возложено ведение учета личного состава, доводится под подпись типовое обязательство должностного лица, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним контракта (служебного контракта или трудового договора) прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных (служебных) обязанностей в Вооруженных Силах Российской Федерации (приложение N 8 к настоящему приказу) (далее - Типовое обязательство).

17. Оригиналы подписанных субъектами персональных данных (их законными представителями) Типовых форм согласия, Типовых форм разъяснения и Типовых обязательств хранятся в их личных делах, в том числе в личных делах кандидатов, которым было отказано в приеме на военную службу (службу), работу, и субъектам персональных данных (их законным представителям) не выдаются (не возвращаются), а также из указанных дел не изымаются.

18. В случае подачи оператору субъектом персональных данных письменного заявления об отзыве субъектом персональных данных согласия на обработку его персональных данных уполномоченные должностные лица направляют субъекту персональных данных письменное извещение (письмо), в котором указывают, что оператор признает отозванной подписанное субъектом персональных данных согласие на обработку персональных данных, но при этом сохраняет за собой право на обработку персональных данных субъекта персональных данных в соответствии с пунктом 8 Правил.

19. Если предоставление персональных данных субъектом персональных данных является обязательным требованием в соответствии с законодательством Российской Федерации, должностное лицо разъясняет субъекту персональных данных юридические последствия его отказа предоставить свои персональные данные и (или) дать согласие на их обработку.

20. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", должностные лица обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2 - 4, 8 части 1 статьи 6 Федерального закона "О персональных данных" <*>.

--------------------------------

<*> Часть 5 статьи 18 Федерального закона "О персональных данных".

21. При осуществлении оператором записи персональных данных в информационных системах обеспечивается конфиденциальность персональных данных при их обработке как в указанных информационных системах, так и вне таких систем.

22. Систематизация персональных данных осуществляется путем обработки и анализа накопленных сведений о субъектах персональных данных.

23. Целью систематизации является обеспечение возможности в соответствии с заданным алгоритмом осуществлять поиск и доступ к персональным данным, зафиксированным на бумажных, электронных и магнитных носителях информации, а также содержащимся в картотеках (бумажных, электронных, магнитных) и базах данных, используемых в информационных системах персональных данных.

24. Персональные данные, систематизированные в информационных системах персональных данных, подлежат накоплению для достижения полноты и достоверности обрабатываемых персональных данных.

25. Накопление персональных данных осуществляется путем сбора их должностными лицами из различных источников информации, а также последующего внесения в них информации, касающейся субъектов персональных данных в связи с прохождением ими военной службы (службы), осуществлением трудовой деятельности, предоставлением (исполнением) государственных услуг (функций).

26. Уточнение (обновление, изменение) персональных данных осуществляется путем выявления (подтверждения) наличия неточных персональных данных и последующего выполнения действий (операций) по их обновлению и изменению.

27. Должностные лица, получившие доступ к персональным данным, для обеспечения законной передачи персональных данных в случаях, соответствующих целям обработки:

1) осуществляют передачу персональных данных в пределах Вооруженных Сил;

2) не предоставляют персональные данные третьим лицам без согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;

3) предупреждают лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они переданы, а также требуют от этих лиц подтверждения того, что это правило соблюдено;

4) распространяют персональные данные в общедоступных источниках, в том числе в информационно-телекоммуникационной сети "Интернет" и иных средствах массовой информации при доказательстве получения согласия субъекта персональных данных в письменной форме на указанное распространение персональных данных с учетом выполнения требований, предъявляемых к таким персональным данным (в части их предназначения, содержания и непринадлежности к персональным данным, подлежащим обезличиванию), за исключением случаев обязательного распространения (опубликования) персональных данных в средствах массовой информации в соответствии с законодательством Российской Федерации;

5) при передаче персональных данных в информационных системах персональных данных применяют технологии, обеспечивающие их защиту от несанкционированного (неправомерного или случайного) доступа, от уничтожения, изменения, блокирования, копирования, предоставления и распространения, в том числе с использованием шифровальных (криптографических) средств, при этом обработку персональных данных в информационных системах персональных данных производят только в информационно-телекоммуникационных сетях, физически изолированных от информационно-телекоммуникационных сетей общего пользования, а их передачу по незащищенным каналам связи допускают только при использовании шифровальных (криптографических) средств.

28. Субъект персональных данных имеет право на доступ к своим персональным данным, в том числе на получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации <*>.

--------------------------------

<*> Часть 1 статьи 14 Федерального закона "О персональных данных".

29. Обработка персональных данных без использования средств автоматизации осуществляется с учетом требований Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (Собрание законодательства Российской Федерации, 2008, N 38, ст. 4320).

30. Обеспечение внешней защиты персональных данных достигается:

установлением пропускного режима и особого порядка приема, учета и контроля посетителей;

использованием технических средств охраны;

применением программно-технических комплексов защиты информации, содержащейся на электронных и машинных носителях информации.

31. Обеспечение внутренней защиты персональных данных достигается:

ограничением и регламентацией состава должностных лиц, должностные обязанности которых требуют доступа к персональным данным;

избирательным и обоснованным распределением (разделением) доступа должностных лиц к персональным данным и материальным носителям информации, которые их содержат;

рациональным размещением рабочих мест, на которых обрабатываются персональные данные, в целях исключения бесконтрольной обработки персональных данных;

регулярными проверками должностных лиц на знание ими требований нормативных правовых актов Российской Федерации в области обработки персональных данных и обеспечения безопасности информации (защиты персональных данных);

формированием условий, необходимых для работы с материальными носителями информации, базами персональных данных, в том числе персональными данными, содержащимися на машинных носителях информации, используемых в информационных системах персональных данных;

утверждением списков (перечней) должностных лиц (субъектов персональных данных), имеющих право доступа в помещения, в которых обрабатываются и (или) хранятся персональные данные;

выявлением нарушений при осуществлении обработки персональных данных, в том числе связанных с нарушением требований к защите персональных данных и обеспечению безопасности информации, а также их устранением;

проведением профилактической работы с должностными лицами, имеющими доступ к персональным данным, направленной на предупреждение случаев несанкционированной передачи таких данных.

32. При осуществлении обработки персональных данных без использования средств автоматизации должностные лица выполняют следующие действия:

обеспечивают раздельное хранение персональных данных, обработка которых предусмотрена в различных целях, в том числе не допускают их фиксации на одном материальном носителе информации, если цели сбора или обработки персональных данных заведомо несовместимы, и обособляют персональные данные, в частности путем их записи в специальных разделах или на полях;

создают условия, обеспечивающие сохранность персональных данных и исключение случаев несанкционированного (неправомерного или случайного) доступа к ним;

производят уточнение персональных данных, подлежащих обработке, путем их обновления (изменения);

осуществляют контроль в части, их касающейся, за соблюдением порядка отбора персональных данных к уничтожению, уничтожения и (или) обезличивания персональных данных.

33. Организация защиты персональных данных при обработке в информационных системах персональных данных (с использованием средств автоматизации) осуществляется с учетом положений пунктов 34 - 43 настоящих Правил.

34. Безопасность персональных данных при их обработке в информационных системах персональных данных должна обеспечиваться с помощью системы защиты персональных данных, нейтрализующей угрозы безопасности персональных данных, актуальные при их обработке, путем исключения несанкционированного доступа к персональным данным (далее - система защиты персональных данных).

35. Система защиты персональных данных оператором включает организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, а также современные информационные технологии, применяемые в информационных системах персональных данных.

36. При обработке персональных данных в информационных системах персональных данных применяются меры по обеспечению их безопасности, установленные приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (зарегистрирован Министерством юстиции Российской Федерации 14 мая 2013 г., регистрационный N 28375) (с изменениями, внесенными приказом Федеральной службы по техническому и экспортному контролю от 23 марта 2017 г. N 49 (зарегистрирован Министерством юстиции Российской Федерации 25 апреля 2017 г., регистрационный N 46487).

37. Определение типа угроз безопасности персональных данных, актуальных при их обработке в информационных системах персональных данных, производится в соответствии с пунктом 5 части 1 статьи 18.1 и части 5 статьи 19 Федерального закона "О персональных данных" с учетом оценки возможного вреда, к которому могут привести указанные угрозы.

38. Требуемый уровень защищенности персональных данных при их обработке в информационных системах персональных данных обеспечивается в соответствии с требованиями к защите информации, определяемыми в соответствии с частью 5 статьи 16 Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2019, N 18, ст. 2214), а также требованиями к защите персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257).

39. Для обеспечения требуемого уровня защищенности персональных данных, в том числе биометрических персональных данных, соответствующего требованиям к защите персональных данных, применяются следующие организационные, технические и иные меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных:

определение по каждой информационной системе персональных данных, эксплуатируемой в воинской части, решением командира (руководителя, начальника) должностного лица, ответственного за эксплуатацию (обеспечение функционирования) и выполнение мер по обеспечению безопасности персональных данных при их обработке;

организация режима обеспечения безопасности помещений, в которых размещены информационные системы персональных данных, препятствующего неконтролируемому проникновению или пребыванию в этих помещениях посторонних лиц, не имеющих права доступа в эти помещения;

осуществление учета машинных носителей информации, а также выполнение мер, направленных на обеспечение их сохранности;

организация режима доступа к обрабатываемым персональным данным в информационных системах персональных данных;

осуществление мониторинга обработки персональных данных для обнаружения фактов несанкционированного доступа к ним, выявление модифицированных или уничтоженных персональных данных вследствие несанкционированного доступа к ним для их последующего восстановления;

применение в информационных системах персональных данных только технических и программных средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации;

осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

осуществление внутреннего контроля принимаемых мер по обеспечению безопасности персональных данных, в том числе выполнения требуемого уровня защищенности информационных систем персональных данных и персональных данных, обрабатываемых без использования средств автоматизации;

осуществление мониторинга информационных потоков в информационных системах обработки персональных данных для обнаружения, предупреждения и ликвидации последствий компьютерных атак на них, а также меры реагирования на компьютерные инциденты.

40. В целях обеспечения надлежащей эксплуатации информационных систем персональных данных в Вооруженных Силах осуществляется:

определение уровней защищенности персональных данных в информационных системах в соответствии с Требованиями к защите персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

проведение комплекса организационных и технических мер по обеспечению безопасности персональных данных с учетом уровня защищенности персональных данных в информационных системах и актуальных угроз безопасности персональных данных (при их обработке в информационных системах персональных данных) в виде системы защиты персональных данных в соответствии с требованиями законодательства Российской Федерации в области обеспечения безопасности информации, в том числе в связи с использованием в Вооруженных Силах информационно-телекоммуникационной сети "Интернет" <*>;

--------------------------------

<*> Указ Президента Российской Федерации от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" (Собрание законодательства Российской Федерации, 2008, N 12, ст. 1110; 2015, N 21, ст. 3092), Указ Президента Российской Федерации от 22 мая 2015 г. N 260 "О некоторых вопросах информационной безопасности Российской Федерации" (Собрание законодательства Российской Федерации, 2015, N 21, ст. 3092).

информирование оператором в течение 24 часов Ведомственного центра мониторинга Министерства обороны Российской Федерации государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации <*> о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, включая сведения о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также в течение 72 часов - о результатах внутреннего расследования выявленного инцидента.

--------------------------------

<*> Статья 5 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации.

41. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми в соответствии с частью 4 статьи 19 Федерального закона "О персональных данных".

42. Вывод на печать документов, содержащих персональные данные, с помощью средств автоматизации, входящих или не входящих в состав информационных систем персональных данных, допускается в целях обработки в связи с исполнением служебных (трудовых) обязанностей, в том числе для передачи их печатных копий субъектам персональных данных, персональные данные которых они содержат, либо должностным лицам, допущенным к обработке персональных данных.

43. Оператор обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом <*>.

--------------------------------

<*> Статья 7 Федерального закона "О персональных данных".