Правила обработки персональных данных в ГБУ «Миграционный центр»

1. Общие положения

1.1. Правила обработки персональных данных в ГБУ «Миграционный центр» (далее – Правила) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных (далее – ПДн), категории субъектов, ПДн которых обрабатываются, сроки их обработки и хранения, порядок их уничтожения при достижении целей обработки или при наступлении иных законных оснований. Правила разработаны в ГБУ «Миграционный центр» в соответствии с целями, задачами и принципами обеспечения безопасности ПДн в информационных системах (далее – ИС) ПДн, определяемых приказом об утверждении документов, регламентирующих порядок работы с информационными системами ПДн ГБУ «Миграционный центр».

1.2. Целью Правил является определение условий и формирование требований для обеспечения защиты ПДн от всех видов угроз, внешних
и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн.

1.3. Требования Правил распространяются на работников ГБУ «Миграционный центр», доступ которых к ПДн и иной защищаемой информации (далее – ЗИ), обрабатываемым в ИС ПДн и автоматизированных системах ГБУ «Миграционный центр», необходим для выполнения ими трудовых обязанностей в соответствии с приказом об утверждении перечня ПДн и иной ЗИ, информационных систем и лиц, допущенных к обработке и обезличиванию ПДн и иной ЗИ.

1.4. Правила разработаны в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ), Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и иными нормативными актами, действующими на территории Российской Федерации.

1.5. В Правилах используются следующие термины:

безопасность ПДн – состояние защищенности ПДн, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность ПДн при их обработке в ИС ПДн;
блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
ИС ПДн – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;
контролируемая зона – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание лиц и транспортных средств, не имеющих постоянного или разового допуска;
обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;
обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПДн, а также определяющее цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;
ПДн – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн);
предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в ИС ПДн и (или) в результате которых уничтожаются материальные носители ПДн.

1.6 К субъектам ПДн, чьи ПДн обрабатываются в ГБУ «Миграционный центр», относятся:

физические лица, обратившиеся за услугами в ГБУ «Миграционный центр» – иностранные граждане (далее – ИГ). Состав обрабатываемых ПДн: фамилия, имя, отчество (при наличии), написанные буквами русского и латинского алфавитов; фотография; дата и место рождения; страна рождения; пол; гражданство; паспортные данные (серия и номер, дата выдачи и окончания действия паспорта, кем выдан); номер телефона; данные документа, подтверждающего смену фамилии, имени, отчества; данные миграционной карты; данные о постановке на миграционный учет по месту пребывания; данные документа, подтверждающего владение русским языком, знание истории России и основ законодательства Российской Федерации; сведения о медицинских документах; данные договора (полиса) добровольного медицинского страхования, заключенного со страховой организацией, созданной в соответствии с законодательством Российской Федерации; данные документов, подтверждающих уплату налога на доходы физических лиц в виде фиксированного авансового платежа в порядке, установленном законодательством Российской Федерации о налогах и сборах на период действия патента; данные документа, подтверждающего уплату штрафа за нарушение срока обращения за оформлением патента в случае представления документов по истечении тридцати календарных дней со дня въезда в Российскую Федерацию; данные ранее выданного патента; данные ходатайства работодателя, заказчика работ (услуг) о переоформлении патента; данные трудового договора или гражданско-правового договора на выполнение работ (оказание услуг), заключенного между ИГ и работодателем, заказчиком работ (услуг); идентификационный номер налогоплательщика (ИНН); адрес прописки; адрес регистрации в Российской Федерации; сведения о заболеваниях
в медицинских справках.
работники/бывшие работники ГБУ «Миграционный центр». Состав обрабатываемых ПДн: фамилия, имя, отчество; год, месяц, дата и место рождения; пол; гражданство; реквизиты документа, удостоверяющего личность; сведения об образовании (уровень образования, образовательное учреждение, период обучения, присвоенная квалификация, специальность, реквизиты документа об образовании); сведения о семейном положении, составе семьи (степень родства, фамилия, имя, отчество и дата рождения ближайших родственников); адрес фактического места проживания; адрес регистрации по месту жительства и (или) по месту пребывания, дата регистрации; контактная информация (номера домашнего и (или) мобильного телефонов, адрес электронной почты); сведения о трудовой деятельности работников (прием, перевод, увольнение, график работы, предоставление отпуска, периоды временной нетрудоспособности, сведения о явках и неявках на работу и причинах, их вызвавших); номер свидетельства обязательного пенсионного страхования (СНИЛС); идентификационный номер налогоплательщика (ИНН); сведения о наличии инвалидности, срок установления инвалидности; сведения о социальных льготах и социальном статусе; номер банковского счета; сведения о доходах; фотография; табельный номер; должность.
работники сторонних организаций, имеющих с ГБУ «Миграционный центр» договорные отношения. Состав обрабатываемых данных: фамилия, имя, отчество; фотография; должность.

2. Цели обработки ПДн

2.1. Обработка ПДн в ГБУ «Миграционный центр» осуществляется в следующих целях:

2.1.1. Выполнения работ, оказания услуг в сфере участия в осуществлении полномочий по предоставлению государственных услуг по оформлению и выдаче ИГ и иным заявителям патентов, разрешений на работу, разрешений на привлечение и использование труда иностранных работников и других разрешительных документов для осуществления трудовой деятельности (далее – разрешительные документы), осуществления приема заявлений и документов, необходимых для выдачи, продления срока действия или переоформления патента и иных разрешительных документов, оказания содействия в проведении обязательной государственной дактилоскопической регистрации ИГ, обращающихся за получением патента и иных разрешительных документов, и их фотографировании, оказания гражданам консультационных услуг и услуг по проверке, заполнению документов.

2.1.2. Соблюдения требований законодательства Российской Федерации; оформления и регулирования трудовых отношений; оформления пропускных документов; отражения информации в кадровых документах; начисления заработной платы; исчисления и уплаты налоговых платежей, предусмотренных законодательством Российской Федерации; представления законодательно установленной отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд Российской Федерации, сведений подоходного налога в ФНС России, сведений в ФСС России; информационного обеспечения для формирования общедоступных источников ПДн (телефонных справочников, адресных книг); организации публичного поздравления с днем рождения (в том числе размещение данной информации на корпоративном портале оператора, передача данной информации в Департамент экономической политики и развития города Москвы для публичных поздравлений); предоставления сведений в банк для оформления банковской карты и последующего перечисления на нее заработной платы; предоставления налоговых вычетов; обеспечения безопасных условий труда; контроля количества и качества выполняемой работы; обеспечения сохранности имущества оператора.

2.1.3. Осуществления оплаты авансовых платежей с использованием банковских (платежных) карт; формирования квитанций на оплату авансового платежа по налогу на доходы физических лиц (НДФЛ); получения информации о сроке действия патента; регистрации в личном кабинете; информирования о предоставляемых услугах.

2.2. Для целей обработки ПДн, указанных в п. 2.1 Правил, ГБУ «Миграционный центр» является оператором, организующим и (или) осуществляющим обработку ПДн, формируемых при осуществлении полномочий ГБУ «Миграционный центр», а также определяющим цели и содержание обработки таких ПДн, действия (операции), совершаемые с ними.

2.3. Перечень обрабатываемых ПДн для целей, указанных в п. 2.1 Правил, закреплен в Перечне ПДн и иной ЗИ, обрабатываемых в ИС ПДн и автоматизированных системах ГБУ «Миграционный центр», в соответствии с приказом об утверждении перечня ПДн и иной ЗИ, информационных систем и лиц, допущенных к обработке и обезличиванию ПДн и иной ЗИ.

3. Правовые основания обработки ПДн

3.1. Правовым основанием обработки ПДн субъектов ПДн ГБУ «Миграционный центр» является исполнение возложенных на ГБУ «Миграционный центр» законодательством Российской Федерации функций, полномочий и обязанностей в соответствии с федеральными законами, в том числе, но не ограничиваясь:

3.1.1. В отношении целей обработки, указанных в п. 2.1.1 Правил: Федеральным законом от 25.07.2002 № 115-ФЗ «О правовом положении иностранных граждан в Российской Федерации», Федеральным законом от 15.08.1996 № 114-ФЗ «О порядке выезда из Российской Федерации и въезда в Российскую Федерацию», Федеральным законом от 18.07.2006 № 109-ФЗ «О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации», Федеральным законом от 31.05.2002 № 62-ФЗ «О гражданстве Российской Федерации», Федеральным законом от 25.07.1998 № 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации», постановлением Правительства Российской Федерации от 16.08.2004 № 413 «О миграционной карте», постановлением Правительства Российской Федерации от 15.01.2007 № 9 «О порядке осуществления миграционного учета иностранных граждан и лиц без гражданства в Российской Федерации», Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации», распоряжением Правительства Москвы от 10.11.2014 № 629-РП «О создании Государственного бюджетного учреждения города Москвы “Многофункциональный миграционный центр”», постановлением Правительства Москвы от 23.12.2014 № 794-ПП «Об уполномоченной организации по участию в осуществлении полномочий по предоставлению государственной услуги по оформлению и выдаче иностранным гражданам патентов».

3.1.2. В отношении целей обработки, указанных в пп. 2.1.2 и 2.1.3 Правил: Налоговым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Семейным кодексом Российской Федерации, Федеральным законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», Федеральным законом от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования», Федеральным законом от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством», Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», Федеральным законом от 15.12.2001 № 166-ФЗ «О государственном пенсионном обеспечении в Российской Федерации», Федеральным законом от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе», Федеральным законом от 26.02.1997 № 31-ФЗ «О мобилизационной подготовке и мобилизации в Российской Федерации», Федеральным законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», постановлением Правительства от 27.11.2006 № 719 «Об утверждении Положения о воинском учете», постановлением Правительства Москвы от 29.11.2016 № 806-ПП «Об информационных системах Государственного бюджетного учреждения города Москвы “Многофункциональный миграционный центр”», Уставом
ГБУ «Миграционный центр».

4. Требования по защите ПДн

4.1. Требования содержат описание системы мер и принципов организации защиты ПДн в ГБУ «Миграционный центр».

4.2. Работы по защите информации проводятся на основе реализации комплекса организационных и технических мероприятий.

4.3. Не допускается начало обработки работниками ГБУ «Миграционный центр» ПДн без принятия необходимых мер по защите информации.

4.4. Методическое руководство, координация работ в области защиты информации и контроль эффективности мер защиты информации возлагаются на работника ГБУ «Миграционный центр», ответственного за организацию обработки и координацию работ по обеспечению защиты ПДн и иной ЗИ в ГБУ «Миграционный центр», назначенного приказом о введении режима защиты ПДн и иной ЗИ в ГБУ «Миграционный центр».

4.5. Техническое обеспечение защиты и использование сертифицированных средств защиты ПДн и иной ЗИ возлагается на работника ГБУ «Миграционный центр», ответственного за техническое обеспечение защиты ПДн и ЗИ в ГБУ «Миграционный центр», назначенного приказом о введении режима защиты ПДн и иной ЗИ в ГБУ «Миграционный центр».

4.6. Для обеспечения технической защиты ПДн привлекаются организации, имеющие лицензии по технической защите конфиденциальной информации.

5. Порядок получения ПДн

5.1. Все ПДн субъекта следует получать работникам ГБУ «Миграционный центр», допущенным к обработке ПДн, непосредственно от субъекта ПДн. Если ПДн субъекта возможно получить только у третьей стороны, за исключением случаев, предусмотренных законодательством Российской Федерации, субъект должен быть уведомлен об этом заранее в письменном виде по почте работником, ответственным за организацию обработки и координацию работ по обеспечению защиты ПДн и иной ЗИ, или другим работником ГБУ «Миграционный центр» по его поручению. О необходимости направления уведомления субъекту ПДн работник, получающий данные у третьей стороны, сообщает работнику
ГБУ «Миграционный центр» ответственному за организацию обработки и координацию работ по обеспечению защиты ПДн и иной ЗИ в виде служебной записки или ином документированном виде. Работник ГБУ «Миграционный центр», принимающий ПДн субъекта у третьей стороны, должен сообщить субъекту ПДн следующую информацию:

наименование и адрес ГБУ «Миграционный центр»;
цель обработки ПДн и ее правовое основание;
предполагаемых пользователей ПДн;
установленные действующим законодательством Российской Федерации права субъекта ПДн;
источник получения ПДн.

5.2. Работники ГБУ «Миграционный центр» не имеют права получать и обрабатывать ПДн субъектов, не соответствующие целям их обработки.

5.3. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством Российской Федерации. В случае получения согласия на обработку ПДн от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются работником, ответственным за организацию обработки и координацию работ по обеспечению защиты ПДн и иной ЗИ, на основе нотариально заверенных доверенностей либо других документов, подтверждающих полномочия представителей, копии которых должны быть приложены к согласию.

5.4. Письменное согласие субъекта ПДн, являющегося работником ГБУ «Миграционный центр», на обработку его ПДн должно соответствовать форме Приложения № 5 к приказу.

5.5. Письменное согласие субъекта ПДн, являющегося физическим лицом, обратившимся за услугами в ГБУ «Миграционный центр» (ИГ), на обработку его ПДн должно соответствовать форме Приложения № 7 к приказу.

5.6. Согласие на обработку ПДн может быть отозвано субъектом ПДн.

5.7. В случае отзыва субъектом ПДн согласия на обработку ПДн осуществляются действия согласно п. 7.6 Правил.

5.8. При обработке ПДн субъекта по его запросу могут быть предоставлены следующие данные:

подтверждение факта обработки ПДн в ГБУ «Миграционный центр»;
правовые основания и цели обработки ПДн;
цели и применяемые оператором способы обработки ПДн;
наименование и место нахождения ГБУ «Миграционный центр», сведения о лицах (за исключением работников ГБУ «Миграционный центр»), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с ГБУ «Миграционный центр» или на основании федерального закона;
обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных
не предусмотрен федеральным законом;
сроки обработки ПДн, в том числе сроки их хранения;
порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом № 152-ФЗ;
наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению ГБУ «Миграционный центр», если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами, определяющие требования и порядок обработки информации ограниченного доступа.

6. Порядок обработки, передачи и хранения ПДн

6.1. В соответствии с законодательством Российской Федерации в целях обеспечения прав и свобод человека и гражданина работники ГБУ «Миграционный центр» при обработке ПДн субъекта должны соблюдать следующие общие требования:

при определении объема и содержания обрабатываемых ПДн ГБУ «Миграционный центр» должно руководствоваться действующим законодательством Российской Федерации и локальными нормативными актами ГБУ «Миграционный центр»;
защита ПДн субъекта от неправомерного их использования или утраты обеспечивается ГБУ «Миграционный центр» в порядке, установленном действующим законодательством Российской Федерации;
работники ГБУ «Миграционный центр», доступ которых к ПДн и иной ЗИ, обрабатываемым в ИС ПДн и автоматизированных системах ГБУ «Миграционный центр», необходим для выполнения ими трудовых обязанностей в соответствии с приказом об утверждении перечня персональных данных и иной защищаемой информации, информационных систем и лиц, допущенных к обработке и обезличиванию персональных данных и иной защищаемой информации», должны быть ознакомлены под подпись с локальными нормативными актами ГБУ «Миграционный центр», устанавливающими порядок обработки ПДн, а также об с их правами и обязанностями в этой области;
обработка ПДн, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории ПДн можно было определить место хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ;
уничтожение или обезличивание части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание);
уточнение ПДн при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных
на материальном носителе, а если это не допускается техническими особенностями материального носителя – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными ПДн;
при хранении материальных носителей ПДн должны соблюдаться условия, обеспечивающие сохранность ПДн и исключающие несанкционированный доступ к ним.

6.2. Обработка специальных категорий ПДн субъектов, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, возможна только с их согласия либо без их согласия в случаях, установленных законодательством Российской Федерации.

6.3. Передавать ПДн субъектов для обработки третьим лицам можно только после получения ГБУ «Миграционный центр» письменного согласия от субъекта ПДн, кроме случаев, установленных действующим законодательством Российской Федерации. Факт передачи ПДн, в электронном виде по защищенным каналам связи фиксируется в электронных журналах средств защиты информации.

6.4. Допускается передача ПДн субъектов сторонним организациям, если ГБУ «Миграционный центр» поручает их обработку третьим лицам и обработка осуществляется в соответствии с заключенными договорами на оказание услуг и с письменного согласия субъектов ПДн. Договор должен содержать перечень действий (операций) с ПДн, цели обработки, обязанность лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также требования к защите обрабатываемых ПДн в соответствии с законодательством Российской Федерации и локальными нормативными актами ГБУ «Миграционный центр».

6.5. В случае получения запросов на предоставление информации от ГБУ «Миграционный центр» о выполнении требований Федерального закона № 152-ФЗ от уполномоченного органа по защите прав субъектов ПДн работник, ответственный за организацию обработки и координацию работ по обеспечению защиты ПДн и иной ЗИ, или другой работник ГБУ «Миграционный центр» по его поручению обязан организовать и проконтролировать предоставление документов и локальных нормативных актов по обеспечению в ГБУ «Миграционный центр» безопасности обработки ПДн субъектов и (или) иным образом подтвердить принятие необходимых мер в течение 30 календарных дней с даты получения такого запроса.

7. Обязанность ГБУ «Миграционный центр» по устранению нарушений законодательства, допущенных при обработке ПДн, а также по уточнению, блокированию и уничтожению ПДн

7.1. В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя, либо по запросу субъекта ПДн или его представителя, или уполномоченного органа по защите прав субъектов ПДн должно быть осуществлено блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечено их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению ГБУ «Миграционный центр») с момента такого обращения или получения указанного запроса на период внутренней служебной проверки в ГБУ «Миграционный центр».

7.2. В случае выявления неправомерной обработки ПДн, осуществляемой ГБУ «Миграционный центр» или лицом, действующим по поручению ГБУ «Миграционный центр», ГБУ «Миграционный центр» в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению ГБУ «Миграционный центр». В случае если обеспечить правомерность обработки ПДн невозможно, ГБУ «Миграционный центр» в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн, обязано уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн ГБУ «Миграционный центр» обязано уведомить субъекта ПДн или его представителя, а в случае если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, – также указанный орган.

7.3. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя, либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн ГБУ «Миграционный центр» обязано осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению ГБУ «Миграционный центр») с момента такого обращения или получения указанного запроса на период внутренней проверки состоятельности обращения работниками ГБУ «Миграционный центр», если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.

7.4. В случае подтверждения факта неточности ПДн на основании сведений, представленных субъектом ПДн или его представителем, либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов ГБУ «Миграционный центр» уточняет ПДн либо обеспечивает их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению ГБУ «Миграционный центр») в течение 7 рабочих дней со дня представления таких сведений и снимает блокирование ПДн.

7.5. В случае достижения цели обработки ПДн ГБУ «Миграционный центр» обязано прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению ГБУ «Миграционный центр») и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению ГБУ «Миграционный центр») в срок, не превышающий 30 дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между ГБУ «Миграционный центр» и субъектом ПДн, либо если
ГБУ «Миграционный центр» не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законодательством Российской Федерации.

7.6. В случае отзыва субъектом ПДн согласия на обработку его ПДн ГБУ «Миграционный центр» обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению ГБУ «Миграционный центр») и в случае если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению ГБУ «Миграционный центр») в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между ГБУ «Миграционный центр» и субъектом ПДн, либо если ГБУ «Миграционный центр» не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законодательством Российской Федерации.

7.7. В случае отсутствия возможности уничтожения ПДн в течение срока, указанного в пп. 7.2, 7.5, 7.6 Правил, ГБУ «Миграционный центр» осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению ГБУ «Миграционный центр») и обеспечивает уничтожение ПДн в срок не более чем 6 месяцев, если иной срок не установлен законодательством Российской Федерации.

8. Организационные мероприятия по защите ПДн при их обработке и передаче в ИС ПДн

8.1. Организационные мероприятия по защите ПДн связаны с формированием системы документов по защите ПДн, их разработкой, официальным оформлением и доведением до исполнителей, а также организацией контроля за соблюдением установленных этими документами правил и требований.

8.2. Мероприятия должны исключить возможность утечки информации, обрабатываемой в ИС, и обеспечить запрет передачи ПДн по открытым каналам связи без применения установленных мер по ее защите.

9. Система документов по защите информации

9.1. Система документов по защите информации включает действующее законодательство Российской Федерации и локальные нормативные акты ГБУ «Миграционный центр».

9.2. Состав внутренних документов, разрабатываемых на основании действующего законодательства Российской Федерации и локальных нормативных актов ГБУ «Миграционный центр», определяется на этапе приведения процессов обработки ПДн в ГБУ «Миграционный центр» в соответствие с требованиями законодательства Российской Федерации. Состав документов определяется ГБУ «Миграционный центр» при возможном привлечении организаций-лицензиатов.

9.3. Отдел поддержки инфраструктуры Управления информационных технологий осуществляет хранение эксплуатационной и технической документации на ИС ПДн.

9.4. Отдел поддержки технических средств информационной безопасности Управления информационных технологий осуществляет хранение эксплуатационной и технической документации на систему защиты ПДн.

9.5. Обязанность по организации процесса поддержания комплекта документов по защите ПДн в актуальном состоянии возлагается на работника, ответственного за организацию обработки и координацию работ по обеспечению защиты ПДн и иной ЗИ.

10. Организационные мероприятия по защите ПДн, обрабатываемых на автоматизированном рабочем месте

Организационные мероприятия по защите ПДн, обрабатываемых на автоматизированном рабочем месте (далее – АРМ), должны быть связаны с обеспечением:

сохранности машинных носителей информации, материалов печати и исключения доступа к ним посторонних лиц;
ограничения физического доступа и контроля доступа к изменению конфигурации средств электронно-вычислительной техники (замки на коммутационных шкафах, использование специальных защитных знаков, пломбирование, опечатывание и др.);
исключения возможности несанкционированного просмотра изображений с мониторов АРМ и других средств визуального отображения ПДн через дверные проемы, окна и технологические отверстия;
режима блокирования доступа к АРМ во время отсутствия работника, обрабатывающего ПДн (далее – Пользователь);
режима блокирования доступа в помещение с установленным АРМ во внерабочее время и в рабочее время при отсутствии прав доступа Пользователя.

11. Организационные мероприятия по защите ПДн в локальных вычислительных сетях

Организационные мероприятия по защите ПДн в локальных вычислительных сетях (далее – ЛВС) должны включать:

обеспечение режима запрета на вхождение в сеть под чужой учетной записью;
обеспечение периодической смены паролей Пользователями;
обеспечение хранения файлов с информацией в групповых каталогах (каталогах, информация в которых является доступной для определенной группы лиц), структура которых однозначно отображает организационную структуру подразделения (управления, отдела, группы и др.), и разрешения доступа к нему только работников соответствующей структурной единицы;
обеспечение файлового обмена информацией между Пользователями структурных подразделений через создаваемый каталог общего использования, информация в котором является доступной для имеющих санкционированный доступ в ЛВС Пользователей;
обеспечение контроля присвоения Пользователям учетных записей и их удаление или блокирование при увольнении работника;
обеспечение резервного копирования электронных информационных ресурсов;
обеспечение режима разграничения и контроля доступа к аппаратным
и программным ресурсам ЛВС и АРМ;
контроль состояния системы защиты ПДн.

12. Технические мероприятия по защите ПДн

12.1. Технические мероприятия по защите информации разрабатываются по результатам обследования объекта информатизации, предназначенного для обработки ПДн, и оценки возможностей реализации замысла защиты на основе применения организационных мер защиты и активизации встроенных механизмов защиты используемых операционных систем и аппаратного обеспечения. Соответствующие требования излагаются в техническом задании на проектирование системы защиты. Организацию указанных мероприятий осуществляет работник, ответственный за организацию обработки и координацию работ по обеспечению защиты ПДн и иной ЗИ.

12.2. Технические мероприятия включают в себя:

применение сертифицированных для использования на территории Российской Федерации уполномоченными органами программных и (или) аппаратных средств защиты информации от несанкционированного доступа, контроля целостности, регистрации и учета действий пользователей ИС;
применение сертифицированных для использования на территории Российской Федерации уполномоченными органами средств криптографической защиты конфиденциальной информации при ее передаче по открытым каналам связи;
предотвращение несанкционированной записи ПДн на съемные носители информации или вывода ПДн на печать;
регулярный анализ защищенности системы защиты ПДн;
защита ПДн при межсетевом взаимодействии;
применение средств антивирусной защиты информации.

12.3. В рамках проверок состояния защиты ПДн необходимо осуществлять контроль:

наличия в структурных подразделениях ГБУ «Миграционный центр», осуществляющих обработку ПДн, нормативных документов по защите информации и доведения их до работников с фиксацией факта ознакомления с документами;
знания и выполнения работниками ГБУ «Миграционный центр», допущенными к обработке ПДн, требований локальных нормативных актов ГБУ «Миграционный центр» по защите ПДн при их обработке в ИС ПДн посредством опроса;
наличия и комплектности эксплуатационной документации на средства защиты ПДн, а также наличия факта ознакомления с ними работников
ГБУ «Миграционный центр», ответственных за их установку и настройку;
работоспособности системы защиты ПДн;
задания требований по безопасности ПДн при разработке (модернизации) ИС ПДн.

12.4. Контроль состояния защиты ПДн организуется в плановом порядке работником, ответственным за организацию обработки и координацию работ по обеспечению защиты ПДн и иной ЗИ, и работниками, доступ которых к ПДн и ЗИ, обрабатываемым в ИС ПДн, необходим для осуществления действий по внесению изменений в конфигурацию системы обеспечения информационной безопасности ГБУ «Миграционный центр», управлению системой обеспечения информационной безопасности, обеспечению безопасности ПДн, а также допущенными к содержанию электронных журналов сообщений (администраторы безопасности).

12.5. Результаты проверок оформляются в виде отчетов о проведении проверки.

13. Хранение ПДн

13.1. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.

13.2 Сроки хранения ПДн на бумажном носителе определяются нормативными правовыми актами, регламентирующими порядок их сбора.

13.3 Срок хранения ПДн в электронном виде должен соответствовать сроку хранения бумажных носителей.