Проект Приказа Федеральной службы государственной регистрации, кадастра и картографии "Об утверждении отдельных документов, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных" (подготовлен Росреестром 15.05.2024)
Досье на проект
Пояснительная записка
В соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" и Положением о Федеральной службе государственной регистрации, кадастра и картографии, утвержденным постановлением Правительства Российской Федерации от 1 июня 2009 г. N 457 "О Федеральной службе государственной регистрации, кадастра и картографии", приказываю:
1. Утвердить:
Правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований, в Федеральной службе государственной регистрации, кадастра и картографии согласно приложению N 1 к настоящему приказу;
Перечень персональных данных, обрабатываемых в Федеральной службе государственной регистрации, кадастра и картографии в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", при условии обязательного их обезличивания, согласно приложению N 2 к настоящему приказу;
Перечень персональных данных, обрабатываемых в Федеральной службе государственной регистрации, кадастра и картографии в связи с исполнением полномочий по оказанию государственных услуг, согласно приложению N 3 к настоящему приказу;
Перечень персональных данных, обрабатываемых в Федеральной службе государственной регистрации, кадастра и картографии в связи с исполнением полномочий по осуществлению государственных функций, согласно приложению N 4 к настоящему приказу;
Перечень персональных данных, обрабатываемых в Федеральной службе государственной регистрации, кадастра и картографии в связи с исполнением полномочий по осуществлению рассмотрения обращений граждан Российской Федерации, иностранных граждан и лиц без гражданства, согласно приложению N 5 к настоящему приказу;
Перечень персональных данных, обрабатываемых в Федеральной службе государственной регистрации, кадастра и картографии для исполнения договора (соглашения), стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем, согласно приложению N 6 к настоящему приказу;
Перечень персональных данных, обрабатываемых в Федеральной службе государственной регистрации, кадастра и картографии для предоставления доступа в информационные системы персональных данных Росреестра, согласно приложению N 7 к настоящему приказу;
Должностной регламент (должностные обязанности) ответственного за организацию обработки персональных данных в Федеральной службе государственной регистрации, кадастра и картографии согласно приложению N 8 к настоящему приказу;
Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Федеральной службы государственной регистрации, кадастра и картографии согласно приложению N 9 к настоящему приказу;
Правила работы с обезличенными данными в случае обезличивания персональных данных в Федеральной службе государственной регистрации, кадастра и картографии согласно приложению N 10 к настоящему приказу;
Перечень должностей федеральной государственной гражданской службы Федеральной службы государственной регистрации, кадастра и картографии, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных согласно приложению N 11 к настоящему приказу;
Перечень информационных систем персональных данных Федеральной службы государственной регистрации, кадастра и картографии согласно приложению N 12 к настоящему приказу;
Порядок доступа федеральных государственных гражданских служащих центрального аппарата Федеральной службы государственной регистрации, кадастра и картографии и ее территориальных органов и работников Федеральной службы государственной регистрации, кадастра и картографии, замещающих должности, не являющиеся должностями государственной гражданской службы Российской Федерации, в помещения, в которых ведется обработка персональных данных, согласно приложению N 13 к настоящему приказу.
2. Признать утратившими силу:
приложения N 1 - 4, 6 и 10 к приказу Федеральной службы государственной регистрации, кадастра и картографии от 1 февраля 2019 г. N П/0035 "Об обработке и защите персональных данных в Федеральной службе государственной регистрации, кадастра и картографии";
приложение к приказу Федеральной службы государственной регистрации, кадастра и картографии от 31 января 2020 г. N П/0027 "О назначении должностного лица, ответственного за организацию обработки персональных данных в центральном аппарате Федеральной службы государственной регистрации, кадастра и картографии".
3. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Смирнова М.С.
4. Настоящий приказ вступает в силу по истечении десяти дней после дня его официального опубликования.
Руководитель | О.А. Скуфинский |
ПРИЛОЖЕНИЕ N 1
к приказу Федеральной службы государственной
регистрации, кадастра и картографии
от __________ 20___ г. N _________
ПРАВИЛА
обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований, в Федеральной службе государственной регистрации, кадастра и картографии
1. Общие положения
1.1. Настоящие Правила разработаны во исполнение требований Трудового кодекса Российской Федерации, федеральных законов от 27 июля 2004 г. N 79-ФЗ "О государственной гражданской службе Российской Федерации", от 27 июля 2006 г. N 152-ФЗ "О персональных данных", от 25 декабря 2008 г. N 273-ФЗ "О противодействии коррупции", Указа Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела", постановлений Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", приказа Роскомнадзора от 28 октября 2022 г. N 179 "Об утверждении Требований к подтверждению уничтожения персональных данных".
1.2. Настоящие Правила определяют содержание обрабатываемых персональных данных, цели обработки персональных данных, категории субъектов, персональные данные которых обрабатываются в центральном аппарате Федеральной службы государственной регистрации, кадастра и картографии (далее - Росреестр) и его территориальных органах, условия, порядок, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований, а также меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации о персональных данных.
1.3. В настоящих Правилах используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных).
1.4. Настоящие Правила подлежат неукоснительному соблюдению федеральными государственными гражданскими служащими центрального аппарата Росреестра и его территориальных органов и работниками Росреестра, замещающими должности, не являющиеся должностями государственной гражданской службы Российской Федерации (далее - работники Росреестра).
1.5. Ознакомление работников Росреестра с настоящими Правилами осуществляется непосредственными руководителями структурных подразделений Росреестра при допуске к обработке персональных данных в возглавляемых ими структурных подразделениях.
2. Цели и принципы обработки персональных данных
2.1. Обработка персональных данных в Росреестре осуществляется с соблюдением следующих принципов:
обработка персональных данных должна ограничиваться достижением конкретных, определенных настоящими Правилами целей;
не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
обработке подлежат только персональные данные, которые отвечают целям их обработки;
содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки;
обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
работники Росреестра должны принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законодательством, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
2.2. Обработке в Росреестре подлежат только персональные данные, которые отвечают нижеследующим целям их обработки:
обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации; содействие государственному гражданскому служащему в прохождении государственной гражданской службы Российской Федерации, в обучении и должностном росте, обеспечение личной безопасности государственного гражданского служащего и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества Росреестра, учета результатов исполнения им должностных обязанностей; формирование кадрового резерва государственной гражданской службы Российской Федерации; профилактика коррупционных и иных правоотношений; реализация трудовых отношений;
статистические или иные исследовательские цели, за исключением целей, указанных в статье 15 Закона о персональных данных, при условии обязательного обезличивания персональных данных;
исполнение полномочий Росреестра по оказанию государственных услуг, предусмотренных Федеральным законом от 13 июля 2015 г. N 218-ФЗ "О государственной регистрации недвижимости";
исполнение полномочий Росреестра по осуществлению государственных функций Росреестра, предусмотренных постановлением Правительства Российской Федерации от 1 июня 2009 г. N 457 "О Федеральной службе государственной регистрации, кадастра и картографии";
исполнение полномочий Росреестра по рассмотрению обращений граждан Российской Федерации, иностранных граждан или лиц без гражданства в соответствии с Федеральным законом 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";
исполнение полномочий по обеспечению антитеррористической защищенности объектов (территорий) Росреестра;
исполнение договора (соглашения), стороной которого либо выгодоприобретателем, или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
3. Содержание обрабатываемых персональных данных
3.1. Персональные данные, обрабатываемые в Росреестре, являются сведениями конфиденциального характера и относятся к информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну.
3.2. Перечень персональных данных, обрабатываемых в Росреестре в связи с реализацией трудовых отношений, утверждается правовым актом Росреестра.
3.3. Перечни персональных данных, обрабатываемых в Росреестре в статистических или иных исследовательских целях, в связи с исполнением полномочий Росреестра по оказанию государственных услуг, по осуществлению государственных функций, по рассмотрению обращений граждан Российской Федерации, иностранных граждан и лиц без гражданства и для исполнения договора (соглашения), утверждаются правовым актом Росреестра.
3.4. Персональные данные могут содержаться:
на бумажных носителях;
на электронных носителях;
в информационных системах персональных данных Росреестра (далее - ИСПДн);
на официальном сайте Росреестра и других ресурсах в сети "Интернет", на которых Росреестр имеет полномочия размещать информацию.
4. Категории субъектов персональных данных
4.1. К категориям субъектов, персональные данные которых обрабатываются в Росреестре, относятся:
1) федеральные государственные гражданские служащие Росреестра и работники Росреестра, замещающие должности, не являющиеся должностями государственной гражданской службы Российской Федерации;
2) граждане Российской Федерации, претендующие на замещение вакантных должностей в Росреестре и на включение в кадровый резерв;
3) граждане Российской Федерации, замещавшие должности руководителей организаций (учреждений), ранее находившихся в ведении Росреестра, а также граждане Российской Федерации, замещающие должности руководителей организаций, учредителем которых является Росреестр, назначаемые и освобождаемые от должности по представлению руководителя Росреестра, (далее - руководители организаций);
4) граждане Российской Федерации, претендующие на замещение вакантных должностей руководителей организаций;
5) граждане Российской Федерации, претендующие на замещение отдельных должностей в публично-правовых компаниях, созданных Российской Федерацией на основании федеральных законов, осуществление полномочий по которым влечет за собой обязанность представлять сведения о доходах, расходах, об имуществе и обязательствах имущественного характера, а также о доходах, расходах, об имуществе и обязательствах имущественного характера своих супруги (супруга) и несовершеннолетних детей;
6) граждане Российской Федерации, иностранные граждане или лица без гражданства, состоявшие в родстве (свойстве) с субъектами персональных данных, указанными в подпунктах 1 - 5 пункта 4.1 настоящих Правил;
7) физические лица, обратившиеся в Росреестр, в том числе в качестве представителя юридического лица, в связи с исполнением полномочий Росреестра по оказанию государственных услуг;
8) граждане Российской Федерации, обратившиеся в Росреестр или персональные данные которых переданы в Росреестр третьими лицами, в том числе в качестве представителя юридического лица, в связи с исполнением Росреестром государственных функций, предоставлением государственных услуг и иных полномочий, к которым в том числе относятся:
граждане, представленные к награждению, материалы по которым представлены в Росреестр;
граждане, уполномоченные давать разъяснения по вопросам применения законодательства Российской Федерации;
9) граждане Российской Федерации, иностранные граждане и лица без гражданства, обратившиеся в Росреестр в соответствии с Федеральным законом от 2 мая 2006 г. N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";
10) граждане Российской Федерации, являющиеся или могущие являться стороной либо выгодоприобретателем, или поручителем договора (соглашения) с Росреестром.
5. Порядок обработки, сроки обработки и хранения персональных данных
5.1. В целях обработки персональных данных в Росреестре принимаются меры по уведомлению уполномоченного органа по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных по установленной форме и в установленные сроки, за исключением случаев, установленных Законом о персональных данных, а также в случае изменения сведений в уведомлении принимаются меры по уведомлению его обо всех произошедших изменениях.
5.2. Обработка персональных данных в Росреестре включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
5.3. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов осуществляются путем получения персональных данных непосредственно от субъектов персональных данных в форме оригиналов документов или их копий с дальнейшим копированием, внесением сведений в учетные формы (на бумажных и электронных носителях персональных данных), формированием персональных данных в ходе обработки исходных персональных данных, внесения в ИСПДн.
5.4. Обработка персональных данных в Росреестре осуществляется без согласия субъекта персональных данных, за исключением случаев, предусмотренных федеральными законами.
5.5. Получение согласия субъекта персональных данных на обработку его персональных данных необходимо в следующих случаях:
при передаче (предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации о государственной гражданской службе и о противодействии коррупции;
при трансграничной передаче персональных данных;
для принятия юридически значимых действий в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных;
в иных случаях, предусмотренных законодательством Российской Федерации.
5.6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
5.7. Типовая форма согласия на обработку персональных данных федеральных гражданских служащих Федеральной службы государственной регистрации, кадастра и картографии, а также иных субъектов персональных данных утверждается правовым актом Росреестра.
5.8. В целях информационного обеспечения в Росреестре могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных Росреестра с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
5.9. Сведения о субъекте персональных данных исключаются в любое время из общедоступных источников персональных данных Росреестра по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
5.10. В случае необходимости предоставления персональных данных, предусмотренных действующим законодательством, субъектам персональных данных разъясняются юридические последствия отказа в предоставлении своих персональных данных.
В случае отказа субъекта персональных данных предоставить свои персональные данные разъяснения юридических последствий такого отказа оформляются в письменном виде.
Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные утверждается правовым актом Росреестра.
5.11. Запрещается обрабатывать персональные данные субъектов, не предусмотренные перечнями персональных данных, указанными в пунктах 3.2 и 3.3 настоящих Правил, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
5.12. Передача (предоставление) персональных данных субъектов третьим лицам должна осуществляться с согласия субъекта персональных данных, за исключением случаев, предусмотренных федеральными законами.
5.13. Документы, содержащие персональные данные, обрабатываются в сроки, обусловленные заявленными целями их обработки.
5.14. Использование персональных данных осуществляется с момента их получения Росреестром и прекращается:
по достижении целей обработки персональных данных;
в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных.
5.15. Персональные данные в Росреестре обрабатываются как без использования средств автоматизации, так и с их применением, а также в смешанном режиме.
5.16. Для организации и обеспечения обработки персональных данных в Росреестре создаются ИСПДн.
5.17. Перечень ИСПДн Росреестра утверждается правовым актом Росреестра и (или) в составе Перечня объектов информатизации Росреестра, подлежащих защите.
5.18. Обработка персональных данных, содержащихся в ИСПДн либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
5.19. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, в Росреестре обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - носители персональных данных), в специальных разделах или на полях форм (бланков).
5.20. При фиксации персональных данных на носителях персональных данных в Росреестре не допускается фиксация на одном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный носитель персональных данных.
5.21. При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится Росреестр, или в иных аналогичных целях, должны соблюдаться следующие условия:
в правовых актах Росреестра и (или) организационно-распорядительных документах Росреестра по вопросам обеспечения информационной безопасности и защиты информации, не содержащей сведения, составляющие государственную тайну, устанавливается необходимость ведения такого журнала (реестра, книги), включая сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится Росреестр, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;
копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;
персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится Росреестр.
5.22. При несовместимости целей обработки персональных данных, зафиксированных на одном носителе персональных данных, если такой носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных.
5.23. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (носителей персональных данных) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
5.24. Обработка персональных данных с использованием средств автоматизации осуществляется на автоматизированных рабочих местах, входящих в состав ИСПДн, которые подлежат оценке эффективности на соответствие требованиям защиты информации в форме проведения аттестационных мероприятий в порядке, установленном действующим законодательством, после принятия мер по обеспечению безопасности персональных данных в ИСПДн.
5.25. Необходимо обеспечивать раздельное хранение персональных данных (носителей персональных данных), обработка которых осуществляется в различных целях.
5.26. Сроки хранения персональных данных устанавливаются на основании действующего законодательства и внутренних организационно-распорядительных документов.
5.27. Контроль за хранением и использованием носителей персональных данных, не допускающим несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений Росреестра, осуществляющих обработку персональных данных.
5.28. Организация и проведение работ по обеспечению безопасности персональных данных при их обработке в ИСПДн осуществляется путем принятия правовых, организационных и технических мер, направленных на исключение несанкционированного доступа к носителям персональных данных в соответствии с действующим законодательством, правовыми актами и организационно-распорядительными документами Росреестра по вопросам информационной безопасности и защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну.
6. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований
6.1. Структурными подразделениями Росреестра, осуществляющими обработку персональных данных, проводится систематический контроль и выделение документов на бумажных и/или электронных носителях, содержащих персональные данные с истекшими сроками хранения или подлежащих уничтожению при наступлении иных законных оснований.
6.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании комиссии, уполномоченной руководителем Росреестра.
6.3. По итогам заседания комиссии составляются акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем и членами комиссии и утверждается руководителем Росреестра.
6.4. Документы на бумажных носителях, выделенные к уничтожению согласно акту, уничтожаются способом, не позволяющим произвести считывание или восстановление персональных данных (измельчение, сжигание, химическое уничтожение).
6.5. Уничтожение персональных данных, содержащихся на электронных носителях, выделенных к уничтожению согласно акту, производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
6.6. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
6.7. По окончании процедуры уничтожения комиссией составляется соответствующий акт об уничтожении документов, содержащих персональные данные (далее - Акт об уничтожении). Акт об уничтожении подписывается председателем и членами комиссии и утверждается руководителем Росреестра.
6.8. В случае уничтожения персональных данных, обработка которых осуществляется с использованием средств автоматизации или в смешанном режиме, дополнительно к Акту об уничтожении документом, подтверждающим уничтожение персональных данных, является выгрузка из журнала регистрации событий в ИСПДн.
Акт об уничтожении и выгрузка из журнала регистрации событий в ИСПДн подлежат хранению в течение 3 лет с момента уничтожения персональных данных.
7. Права и обязанности субъекта персональных данных
7.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных;
правовые основания и цели обработки персональных данных;
цели и применяемые Росреестром способы обработки персональных данных;
наименование и местонахождение Росреестра, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Росреестром или на основании законодательства;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных законодательством;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество лица, осуществляющего обработку персональных данных;
иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.
7.2. Правила рассмотрения запросов субъектов персональных данных или их представителей в Федеральной службе государственной регистрации, кадастра и картографии утверждаются правовым актом Росреестра.
7.3. Право субъекта персональных данных на доступ к его персональным данным ограничивается в соответствии с частью 8 статьи 14 Закона о персональных данных.
7.4. Субъект персональных данных вправе требовать от Росреестра уточнения его персональных данных, их блокирования или уничтожения, в случае если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.5. Уточнение персональных данных при осуществлении их обработки производится путем обновления или изменения данных в ИСПДн и (или) на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
7.6. Сведения, указанные в пункте 7.1 настоящих Правил, должны быть предоставлены субъекту персональных данных в доступной форме,и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
7.7. Если субъект персональных данных считает, что Росреестр осуществляет обработку его персональных данных с нарушением требований Закона о персональных данных или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Росреестра в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
7.8. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7.9. Субъект персональных данных обязан:
передавать Росреестру достоверные, документированные персональные данные, состав которых установлен законодательством;
своевременно сообщать в Росреестр об изменении своих персональных данных.
8. Обязанности уполномоченных лиц при обработке персональных данных
8.1. Перечень должностей федеральной государственной гражданской службы Росреестра, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утверждается правовым актом Росреестра.
8.2. Работники Росреестра, получившие доступ к персональным данным, обязаны:
знать и выполнять требования законодательства Российской Федерации в области обеспечения защиты персональных данных и настоящих Правил;
хранить в тайне известные им персональные данные, информировать непосредственного руководителя о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним;
соблюдать правила использования персональных данных, порядок их учета и хранения, исключить доступ к ним посторонних лиц;
обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей.
8.3. Работникам Росреестра, уполномоченным на обработку и получившим доступ к персональным данным, запрещается:
использовать сведения, содержащие персональные данные, в неслужебных целях, а также в служебных целях - при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;
передавать персональные данные по незащищенным каналам связи (телетайп, факсимильная связь, электронная почта и т.д.) без использования сертифицированных средств криптографической защиты информации;
снимать копии с документов и других носителей информации, содержащих персональные данные, или производить выписки из них, использовать различные технические средства (видео- и звукозаписывающую аппаратуру) для фиксации сведений, содержащих персональные данные, в целях, не относящихся к исполнению служебных обязанностей;
оставлять носители персональных данных в неустановленных местах хранения;
выполнять на дому работы, связанные с использованием персональных данных, выносить документы и другие носители информации, содержащие персональные данные, из места их хранения.
8.4. Работники Росреестра дают обязательства в письменной форме не раскрывать третьим лицам и не распространять персональные данные, ставшие им известными в результате служебной деятельности, без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
Типовая форма обязательства федерального государственного гражданского служащего и (или) работников Федеральной службы государственной регистрации, кадастра и картографии, замещающих должности, не являющиеся должностями государственной гражданской службы Российской Федерации, на основании трудового договора непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним служебного контракта (контракта) или трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей, утверждается правовым актом Росреестра.
8.5. Работники Росреестра, замещающие должности, указанные в Перечне должностей государственной гражданской службы Российской Федерации Росреестра, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, обеспечивают обработку персональных данных в соответствии с требованиями действующего законодательства и несут ответственность в соответствии с законодательством Российской Федерации за нарушение требований к обеспечению безопасности персональных данных, предъявляемых действующим законодательством, Политикой обеспечения информационной безопасности (защиты информации) Росреестра, организационно-распорядительными документами Росреестра по вопросам обеспечения информационной безопасности и защиты информации ограниченного доступа, содержащей сведения, не составляющие государственную тайну.
8.6. Работники Росреестра, уполномоченные на обработку персональных данных, виновные в нарушении требований законодательства о защите персональных данных, в том числе допустившие разглашение персональных данных, несут персональную гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством ответственность.
9. Обязанности Росреестра по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных
9.1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Росреестр обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Росреестра) с момента такого обращения или получения указанного запроса на период проверки.
9.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Росреестр обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Росреестра) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
9.3. В случае подтверждения факта неточности персональных данных Росреестр на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Росреестра) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
9.4. В случае выявления неправомерной обработки персональных данных, осуществляемой Росреестром или лицом, действующим по поручению Росреестра, Росреестр в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Росреестра. В случае если обеспечить правомерность обработки персональных данных невозможно, Росреестр в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение.
9.5. Об устранении допущенных нарушений или об уничтожении персональных данных Росреестр обязан уведомить субъекта персональных данных или его представителя, а в случае если обращение субъекта персональых данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
9.6. В случае достижения цели обработки персональных данных Росреестр обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Росреестра) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Росреестра) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Росреестром и субъектом персональных данных либо если Росреестр не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
9.7. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Росреестр обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Росреестра) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Росреестра) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Росреестром и субъектом персональных данных либо если Росреестр не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
9.8. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 9.4, 9.6, 9.7 настоящего раздела, Росреестр осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Росреестра) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
10. Меры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере обработки персональных данных
10.1. Правовым актом Росреестра из числа федеральных государственных гражданских служащих Росреестра, относящихся к высшей или главной группе должностей категории "руководители", назначается лицо, ответственное за организацию обработки персональных данных в Росреестре (далее - ответственный за организацию обработки персональных данных в Росреестре).
10.2. Ответственный за организацию обработки персональных данных в Росреестре несет ответственность за надлежащее выполнение возложенных функций по организации обработки персональных данных в Росреестре в соответствии с положениями законодательства Российской Федерации в области персональных данных.
10.3. Ответственный за организацию обработки персональных данных в Росреестре обязан:
организовывать принятие правовых, организационных и технических мер, в том числе с привлечением иных работников Росреестра, направленных на обеспечение защиты персональных данных, обрабатываемых в Росреестре;
организовывать осуществление внутреннего контроля за соблюдением работниками Росреестра требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;
организовывать осуществление разработки и представления на утверждение руководителю Росреестра состава комиссии по соблюдению требований, предъявляемых к обработке персональных данных, и ежегодного плана осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям к защите персональных данных в составе ежегодного плана-графика проверок и служебных командировок федеральных государственных гражданских служащих центрального аппарата Росреестра;
организовывать доведение до сведения работников Росреестра положений законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в Росреестре;
в случае нарушения в Росреестре требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.
В случае необходимости ответственный за организацию обработки персональных данных в Росреестре привлекает к выполнению вышеуказанных мероприятий уполномоченные структурные подразделения Росреестра.
11. Контроль за соблюдением требований настоящих Правил
11.1. Контроль за соблюдением требований настоящих Правил и действующего законодательства при обработке персональных данных осуществляется Росреестром путем проведения проверок по соблюдению и исполнению законодательства о персональных данных.
11.2. Проверки по соблюдению и исполнению законодательства о персональных данных при обработке персональных данных проводятся в соответствии с Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленных Законом о персональных данных, принятыми в соответствии с ним нормативными правовыми актами и локальными правовыми актами Федеральной службы государственной регистрации, кадастра и картографии, утверждаемыми правовым актом Росреестра.
ПРИЛОЖЕНИЕ N 2
к приказу Федеральной службы государственной
регистрации, кадастра и картографии
от __________ 20___ г. N _________
ПЕРЕЧЕНЬ
персональных данных, обрабатываемых в Федеральной службе государственной регистрации, кадастра и картографии в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", при условии обязательного их обезличивания
1. Фамилия, имя, отчество (при наличии).
2. Сведения о наличии изменений фамилии, имени или отчества (когда, где и по какой причине).
3. Пол.
4. Число, месяц, год рождения.
5. Место рождения.
6. Информация о гражданстве (в том числе предыдущие гражданства, иные гражданства).
7. Вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего документ, дата выдачи.
8. Адрес места жительства (адрес регистрации, фактического проживания).
9. Номер контактного телефона и (или) сведения о других способах связи (почтовый адрес, адрес электронной почты).
10. Реквизиты документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС).
11. Идентификационный номер налогоплательщика (ИНН).
12. Сведения из записей актов гражданского состояния.
13. Сведения о трудовой деятельности.
14. Сведения об образовании, в том числе о послевузовском и дополнительном профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании).
15. Сведения об ученой степени.
16. Фотография.
17. Информация о наличии или отсутствии судимости.
18. Сведения о профессиональной переподготовке и (или) повышении квалификации.
19. Сведения об имуществе и обязательствах имущественного характера.
20. Сведения о результатах аттестации.
21. Реквизиты свидетельства о рождении.
22. Место работы (адрес, сведения о занимаемой должности).
ПРИЛОЖЕНИЕ N 3
к приказу Федеральной службы государственной
регистрации, кадастра и картографии
от __________ 20___ г. N _________
ПЕРЕЧЕНЬ
персональных данных, обрабатываемых в Федеральной службе государственной регистрации, кадастра и картографии в связи с исполнением полномочий по оказанию государственных услуг
1. Фамилия, имя, отчество (при наличии).
2. Сведения о наличии изменений фамилии, имени или отчества (когда, где и по какой причине).
3. Пол.
4. Число, месяц, год рождения.
5. Место рождения.
6. Информация о гражданстве (в том числе предыдущие гражданства, иные гражданства).
7. Вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего документ, дата выдачи.
8. Адрес места жительства (адрес регистрации, фактического проживания).
9. Номер контактного телефона или сведения о других способах связи (почтовый адрес, адрес электронной почты).
10. Реквизиты документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС).
11. Идентификационный номер налогоплательщика (ИНН).
12. Сведения из записей актов гражданского состояния.
13. Сведения о трудовой деятельности.
14. Сведения об образовании, в том числе о послевузовском и дополнительном профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании).
15. Сведения о прохождении предусмотренной законодательством Российской Федерации стажировки.
16. Сведения об обеспечении имущественной ответственности.
17. Сведения об ученой степени.
18. Информация о наличии или отсутствии судимости.
19. Информация о наличии или отсутствии дисквалификации.
20. Сведения об имуществе и обязательствах имущественного характера.
21. Реквизиты свидетельства о рождении.
22. Адрес места работы.
ПРИЛОЖЕНИЕ N 4
к приказу Федеральной службы государственной
регистрации, кадастра и картографии
от __________ 20___ г. N _________
ПЕРЕЧЕНЬ персональных данных, обрабатываемых в Федеральной службе государственной регистрации, кадастра и картографии в связи с исполнением полномочий по осуществлению государственных функций
1. Фамилия, имя, отчество (при наличии).
2. Сведения о наличии изменений фамилии, имени или отчества (когда, где и по какой причине).
3. Пол.
4. Число, месяц, год рождения.
5. Место рождения.
6. Информация о гражданстве (в том числе предыдущие гражданства, иные гражданства).
7. Вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего документ, дата выдачи.
8. Адрес места жительства (адрес регистрации, фактического проживания).
9. Номер контактного телефона и (или) сведения о других способах связи (почтовый адрес, адрес электронной почты).
10. Реквизиты документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС).
11. Идентификационный номер налогоплательщика (ИНН).
12. Сведения из записей актов гражданского состояния.
13. Сведения о трудовой деятельности.
14. Сведения об образовании.
15. Сведения об ученой степени.
16. Фотография.
17. Информация о наличии или отсутствии судимости.
18. Сведения о профессиональной переподготовке и (или) повышении квалификации.
19. Сведения о результатах аттестации.
20. Реквизиты свидетельства о рождении.
21. Место работы (адрес, сведения о занимаемой должности).
ПРИЛОЖЕНИЕ N 5
к приказу Федеральной службы государственной
регистрации, кадастра и картографии
от __________ 20___ г. N _________
ПЕРЕЧЕНЬ
персональных данных, обрабатываемых в Федеральной службе государственной регистрации, кадастра и картографии в связи с исполнением полномочий по осуществлению рассмотрения обращений граждан Российской Федерации, иностранных граждан и лиц без гражданства
1. Фамилия, имя, отчество (при наличии).
2. Пол.
3. Число, месяц, год рождения.
4. Место рождения.
5. Вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего документ, дата выдачи.
6. Адрес места жительства (адрес регистрации, фактического проживания).
7. Номер контактного телефона и (или) сведения о других способах связи (почтовый адрес, адрес электронной почты).
8. Реквизиты документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС).
9. Реквизиты свидетельства о рождении.
10. Информация, содержащаяся в обращении, а также ставшая известной в ходе личного приема и (или) в процессе рассмотрения поступившего обращения.
ПРИЛОЖЕНИЕ N 6
к приказу Федеральной службы государственной
регистрации, кадастра и картографии
от __________ 20___ г. N _________
ПЕРЕЧЕНЬ
персональных данных, обрабатываемых в Федеральной службе государственной регистрации, кадастра и картографии для исполнения договора (соглашения), стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем
1. Фамилия, имя, отчество (при наличии).
2. Число, месяц, год рождения.
3. Место рождения.
4. Вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего документ, дата выдачи.
5. Адрес места жительства (адрес регистрации, фактического проживания).
6. Номер контактного телефона или сведения о других способах связи (почтовый адрес, адрес электронной почты).
7. Реквизиты документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС).
8. Идентификационный номер налогоплательщика (ИНН).
9. Информация, содержащаяся в гражданско-правовых договорах, дополнительных соглашениях к ним.
ПРИЛОЖЕНИЕ N 7
к приказу Федеральной службы государственной
регистрации, кадастра и картографии
от __________ 20___ г. N _________
ПЕРЕЧЕНЬ
персональных данных, обрабатываемых в Федеральной службе государственной регистрации, кадастра и картографии для предоставления доступа в информационные системы персональных данных Росреестра
1. Фамилия, имя, отчество (при наличии).
2. Вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего документ, дата выдачи.
3. Адрес места жительства (адрес регистрации, фактического проживания).
4. Номер контактного телефона или сведения о других способах связи (почтовый адрес, адрес электронной почты).
ПРИЛОЖЕНИЕ N 8
к приказу Федеральной службы государственной
регистрации, кадастра и картографии
от __________ 20___ г. N _________
ДОЛЖНОСТНОЙ РЕГЛАМЕНТ (ДОЛЖНОСТНЫЕ ОБЯЗАННОСТИ)
ответственного за организацию обработки персональных данных в Федеральной службе государственной регистрации, кадастра и картографии
1. Ответственный за организацию обработки персональных данных в Федеральной службе государственной регистрации, кадастра и картографии назначается и освобождается правовым актом Росреестра.
2. Ответственный за организацию обработки персональных данных в Росреестре осуществляет свою деятельность в рамках возложенных полномочий по организации обработки персональных данных в Росреестре на основе должностного регламента по занимаемой должности и настоящего должностного регламента (должностных обязанностей), подчиняется непосредственно руководителю Росреестра либо должностному лицу, его замещающему.
3. Ответственный за организацию обработки персональных данных в Росреестре должен руководствоваться в своей деятельности Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и другими нормативными правовыми актами, настоящим должностным регламентом (должностными обязанностями).
4. Ответственный за организацию обработки персональных данных в Росреестре обязан:
осуществлять внутренний контроль за соблюдением требований законодательства Российской Федерации при обработке персональных данных в Росреестре, в том числе требований к защите персональных данных с привлечением руководителей структурных подразделений Росреестра;
организовывать доведение до сведения федеральных государственных гражданских служащих центрального аппарата Росреестра и его территориальных органов и работников Росреестра, замещающих должности, не являющиеся должностями государственной гражданской службы Российской Федерации (далее - работники Росреестра) положений законодательства Российской Федерации о персональных данных, правовых актов Росреестра по вопросам обработки персональных данных, требований к защите персональных данных;
организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов с привлечением руководителей структурных подразделений Росреестра;
организовывать принятие правовых, организационных и технических мер по обеспечению защиты персональных данных, обрабатываемых в Росреестре, от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
Ответственный за организацию обработки персональных данных в Росреестре имеет право:
запрашивать и получать в установленном порядке от субъектов персональных данных или их представителей сведения, содержащие персональные данные;
распоряжаться полученными персональными данными в пределах, установленных законодательством Российской Федерации;
давать в пределах предоставленных полномочий поручения работникам Росреестра, уполномоченным на обработку персональных данных в Росреестре;
привлекать работников Росреестра к выполнению обязанностей, указанных в пункте 4 настоящего должностного регламента (должностных обязанностей);
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации в области персональных данных;
осуществлять подготовку предложений по совершенствованию мероприятий по обеспечению защиты персональных данных в Росреестре.
ПРИЛОЖЕНИЕ N 9
к приказу Федеральной службы государственной
регистрации, кадастра и картографии
от __________ 20___ г. N _________
ПРАВИЛА
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными правовыми актами Федеральной службы государственной регистрации, кадастра и картографии
1. Общие положения
1.1. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", постановлениями Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
1.2. Настоящие Правила учитывают и дополняют требования Положения об организации и проведении проверок в Федеральной службе государственной регистрации, кадастра и картографии, утверждаемого правовым актом Росреестра (далее - Положение).
1.3. Настоящие Правила определяют основания и порядок проведения внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным действующим законодательством (далее - внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных).
1.4. В настоящих Правилах используются термины и определения, установленные Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
1.5. Настоящие Правила подлежит неукоснительному соблюдению федеральными государственными гражданскими служащими центрального аппарата Росреестра и его территориальных органов и работниками Росреестра, замещающими должности, не являющиеся должностями государственной гражданской службы Российской Федерации (далее - работники Росреестра).
1.6. Ознакомление работников Росреестра с настоящими Правилами осуществляется непосредственными руководителями структурных подразделений Росреестра при допуске к обработке персональных данных в возглавляемых ими структурных подразделениях.
2. Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных
2.1. Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных в Росреестре осуществляется в форме плановых и внеплановых проверок условий обработки персональных данных (далее - проверки).
2.2. Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных в Росреестре относится к контрольным проверкам и осуществляется комиссией по соблюдению требований, предъявляемых к обработке персональных данных (далее - комиссия), состав которой утверждается правовым актом Росреестра.
В проведении проверки в Росреестре не может участвовать должностное лицо, прямо или косвенно заинтересованное в ее результатах.
2.3. Плановые проверки проводятся на основании ежегодного плана-графика проверок и служебных командировок федеральных государственных гражданских служащих центрального аппарата Росреестра, в котором предусматриваются мероприятия по осуществлению внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных на основании предложений ответственного за организацию обработки персональных данных и руководителей структурных подразделений Росреестра.
Плановые проверки проводятся не реже одного раза в год.
2.4. Основанием для проведения внеплановой проверки является поступившее в Росреестр заявление о нарушениях правил обработки персональных данных.
Проведение внеплановой проверки организуется ответственным за организацию обработки персональных данных в течение десяти рабочих дней с момента поступления в Росреестр соответствующего заявления.
2.5. Решение о проведении проверки оформляется правовым актом Росреестра в соответствии с требованиями Положения.
2.6. В план проверки включаются вопросы, рассмотрение которых полностью, объективно и всесторонне позволит достигнуть цели проверки, включая:
порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
порядок и условия применения средств защиты информации;
эффективность принимаемых мер по обеспечению безопасности персональных данных;
состояние учета материальных носителей персональных данных;
соблюдение правил доступа к персональным данным;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;
осуществление мероприятий по восстановлению персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
осуществление мероприятий по обеспечению целостности персональных данных.
2.7. Комиссия имеет право:
запрашивать у должностных лиц Росреестра информацию, необходимую для реализации полномочий;
принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований законодательства Российской Федерации;
вносить предложения о совершенствовании правового, технического и организационного регулирования обеспечения безопасности персональных данных при их обработке;
вносить предложения о привлечении к ответственности лиц, виновных в нарушении законодательства Российской Федерации в отношении обработки персональных данных.
2.8. Срок проведения проверки не должен превышать 30 календарных дней со дня начала проверки.
2.9. При наличии оснований срок проведения проверки может быть продлен на 30 календарных дней руководителем Росреестра.
2.10. По результатам проведения проверки оформляется акт, в котором отражаются обстоятельства, установленные в ходе проверки, и меры, необходимые для устранения выявленных нарушений по форме согласно требованиям Положения. Акт проверки подписывается председателем и членами комиссии и направляется руководителю Росреестра.
ПРИЛОЖЕНИЕ N 10
к приказу Федеральной службы государственной
регистрации, кадастра и картографии
от __________ 20___ г. N _________
ПРАВИЛА
работы с обезличенными данными в случае обезличивания персональных данных в Федеральной службе государственной регистрации, кадастра и картографии
1. Общие положения
1.1. Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", постановлениями Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами", приказом Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных".
1.2. Настоящие Правила определяют порядок работы с обезличенными персональными данными в Федеральной службе государственной регистрации, кадастра и картографии.
1.3. В настоящих Правилах используются термины и определения, установленные Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
1.4. Настоящие Правила подлежит неукоснительному соблюдению федеральными государственными гражданскими служащими центрального аппарата Росреестра и его территориальных органов и работниками Росреестра, замещающими должности, не являющиеся должностями государственной гражданской службы Российской Федерации (далее - работники Росреестра).
1.5. Ознакомление работников Росреестра с настоящими Правилами осуществляется непосредственными руководителями структурных подразделений Росреестра при допуске к обработке персональных данных в возглавляемых ими структурных подразделениях.
2. Обезличивание персональных данных
2.1. Обезличивание персональных данных в Росреестре проводится с целью ведения статистических и (или) исследовательских данных, снижения ущерба от разглашения защищаемых персональных данных, снижения уровня защищенности персональных данных при обработке персональных данных в информационных системах персональных данных Росреестра. Обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.
2.2. К свойствам обезличенных данных относятся:
полнота (сохранение всей информации о конкретных субъектах персональных данных или группах субъектов персональных данных, которая имелась до обезличивания);
структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта персональных данных или группы субъектов персональных данных, соответствующих связям, имеющимся до обезличивания);
релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
семантическая целостность (сохранение семантики персональных данных при их обезличивании);
применимость (возможность решения задач обработки персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ, без предварительного деобезличивания всего объема записей о субъектах персональных данных);
анонимность (невозможность однозначной идентификации субъектов персональных данных, полученных в результате обезличивания, без применения дополнительной информации).
2.3. К характеристикам (свойствам) методов обезличивания персональных данных (далее - методы обезличивания), определяющим возможность обеспечения заданных свойств обезличенных данных, относятся:
обратимость (возможность преобразования, обратного обезличивания (деобезличивание), которая позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);
вариативность (возможность внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);
изменяемость (возможность внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);
стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных);
возможность косвенного деобезличивания (возможность проведения деобезличивания с использованием информации других операторов);
совместимость (возможность интеграции персональных данных, обезличенных различными методами);
параметрический объем (объем дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);
возможность оценки качества данных (возможность проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).
2.4. Требования к методам обезличивания подразделяются на:
требования к свойствам обезличенных данных, получаемых при применении метода обезличивания;
требования к свойствам, которыми должен обладать метод обезличивания.
2.5. К требованиям к свойствам получаемых обезличенных данных относятся:
сохранение полноты (состав обезличенных данных должен полностью соответствовать составу обезличиваемых персональных данных);
сохранение структурированности обезличиваемых персональных данных;
сохранение семантической целостности обезличиваемых персональных данных;
анонимность отдельных данных не ниже заданного уровня (количества возможных сопоставлений обезличенных данных между собой для деобезличивания как, например, k-anonymity).
2.6. К требованиям к свойствам метода обезличивания относятся:
обратимость (возможность проведения деобезличивания);
возможность обеспечения заданного уровня анонимности;
увеличение стойкости при увеличении объема обезличиваемых персональных данных.
2.7. Выполнение требований, приведенных в пунктах 2.5 и 2.6 настоящих Правил, обязательно для обезличенных данных и применяемых методов обезличивания.
2.8. Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки персональных данных.
2.9. Методы обезличивания, применяемые в Росреестре:
метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);
метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);
метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);
метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).
2.10. Перечень должностей работников Росреестра, ответственных за проведение мероприятий по обезличиванию персональных данных в Росреестре, утверждается правовым актом Росреестра.
2.11. Обезличенные персональные данные не подлежат разглашению и нарушению конфиденциальности.
2.12. Обезличенные персональные данные обрабатываются как без использования средств автоматизации, так и с их использованием.
2.13. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение правовых актов Росреестра и организационно-распорядительных документов Росреестра, регламентирующих:
правила и процедуры идентификации и аутентификации в объектах информатизации Росреестра;
правила и процедуры антивирусной защиты в объектах информатизации Росреестра;
правила и процедуры защиты машинных носителей информации в объектах информатизации Росреестра;
правила и процедуры обеспечения целостности объектов информатизации Росреестра и содержащейся (обрабатываемой) информации в них, в том числе резервного копирования;
правила и процедуры защиты программно-аппаратных и технических средств объектов информатизации Росреестра, каналов связи и помещений, в которых они расположены.
2.14. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
правил хранения бумажных носителей персональных данных;
правил доступа к ним и в помещения, где они хранятся.
ПРИЛОЖЕНИЕ N 11
к приказу Федеральной службы государственной
регистрации, кадастра и картографии
от __________ 20___ г. N _________
ПЕРЕЧЕНЬ
должностей федеральной государственных гражданской службы Федеральной службы государственной регистрации, кадастра и картографии, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных
1. Центральный аппарат
1. Руководитель.
2. Статс-секретарь - заместитель руководителя.
3. Заместитель руководителя.
4. Помощник руководителя.
5. Советник руководителя.
6. Начальник управления.
7. Заместитель начальника управления.
8. Начальник отдела.
9. Заместитель начальника отдела.
10. Советник.
11. Консультант.
12. Главный специалист - эксперт.
13. Ведущий специалист - эксперт.
14. Специалист-эксперт.
15. Старший специалист 1 разряда.
16. Специалист 1 разряда.
17. Отдельные должности работников центрального аппарата Федеральной службы государственной регистрации, кадастра и картографии, в должностные обязанности которых входит проведение мероприятий по обезличиванию обрабатываемых персональных данных в случае обезличивания персональных данных.
2. Территориальные органы
1. Руководитель.
2. Заместитель руководителя.
3. Помощник руководителя.
4. Начальник отдела.
5. Заместитель начальника отдела.
6. Консультант.
7. Главный специалист - эксперт.
8. Ведущий специалист - эксперт.
9. Специалист-эксперт.
10. Старший специалист 1 разряда.
11. Специалист 1 разряда.
12. Отдельные должности работников территориальных органов Росреестра, в должностные обязанности которых входит проведение мероприятий по обезличиванию обрабатываемых персональных данных в случае обезличивания персональных данных.
ПРИЛОЖЕНИЕ N 12
к приказу Федеральной службы государственной
регистрации, кадастра и картографии
от __________ 20___ г. N _________
ПЕРЕЧЕНЬ
информационных систем персональных данных Федеральной службы государственной регистрации, кадастра и картографии
1. Общая сетевая инфраструктура Федеральной службы государственной регистрации, кадастра и картографии (Общая сетевая инфраструктура).
2. Автоматизированное рабочее место с отечественной ОС, используемое для работы с информационными системами второго класса защищенности Федеральной службы государственной регистрации, кадастра и картографии (АРМ К2 с отечественной ОС).
3. Автоматизированное рабочее место с отечественной ОС, используемое для работы с информационными системами третьего класса защищенности Федеральной службы государственной регистрации, кадастра и картографии (АРМ К3 с отечественной ОС).
4. Автоматизированное рабочее место, предназначенное для подключения к межведомственной сети информационного взаимодействия Национального центра управления обороной Российской Федерации (АРМ МСИВ НЦУ).
5. Автоматизированное рабочее место, предназначенное для подключения к защищенной информационно-аналитической системе в области противодействия коррупции для специального информационного обеспечения деятельности Администрации Президента Российской Федерации, иных федеральных государственных органов и органов государственной власти субъектов Российской Федерации (АРМ ИАС Байкал Посейдон).
6. Официальный сайт Росреестра (Официальный сайт Росреестра).
7. Программный комплекс приема-выдачи документов (ПК ПВД).
8. Информационная система управления архивом реестровых дел и книг учета документов (ИС "Архив").
9. Автоматизированная информационная система "Реестр саморегулируемых организаций" (АИС "Реестр СРО").
10. Программно-техническое решение для оказания государственной услуги по лицензированию геодезической и картографической деятельности в электронной форме (АИС "Лицензирование геодезической и картографической деятельности").
11. Программа для ЭВМ, автоматизирующая деятельность в сфере земельного надзора (АИС "Госземнадзор").
12. Программный комплекс сбора данных из информационных ресурсов ГКН и ЕГРП на уровне территориальных органов (ПК ТИР).
13. Программный комплекс Федеральный информационный ресурс (ПК ФИР).
14. Федеральная государственная информационная система ведения Единого государственного реестра недвижимости (ФГИС ЕГРН).
15. Федеральная информационная система по предоставлению земельных участков гражданам Российской Федерации на территории Дальневосточного федерального округа (ФИС "На Дальний Восток").
16. Федеральная государственная автоматизированная информационная система ведения фонда данных государственной кадастровой оценки (ФГИС "ФД ГКО").
17. Программа для ЭВМ "Автоматизированная информационная система управления персоналом" (АИП "УП").
18. Система управления финансами Росреестра (1С: Предприятие).
19. Расчет зарплаты (Парус-Бюджет 8).
20. Комплекс системы безопасности административного здания Росреестра (СКУД).
21. Программное обеспечение для нужд центрального аппарата и территориальных органов Росреестра в целях управления судебной работой (Управление судебной работой).
22. Автоматизированная система электронного документооборота (СЭД).
23. Единая система регистрации и обработки обращений (ЕС РОО).
24. Федеральная база знаний Росреестра (ФБЗ Росреестра).
25. Единая система управления нормативно-справочной информацией Росреестра (ЕС УНСИ).
26. Федеральная государственная информационная система "Единая цифровая платформа "Национальная система пространственных данных" (ФГИС ЕЦП НСПД).
27. Программное обеспечение "Учет и администрирование поступлений в бюджетную систему" ("Администратор-Д").
ПРИЛОЖЕНИЕ N 13
к приказу Федеральной службы государственной
регистрации, кадастра и картографии
от __________ 20___ г. N _________
ПОРЯДОК
доступа федеральных государственных гражданских служащих центрального аппарата Федеральной службе государственной регистрации, кадастра и картографии и его территориальных органов и работников Федеральной службы государственной регистрации, кадастра и картографии, замещающих должности, не являющиеся должностями государственной гражданской службы Российской Федерации, в помещения, в которых ведется обработка персональных данных
1. Настоящий Порядок разработан в соответствии с Федеральным законом Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных", постановлениями Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации", от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
2. В настоящем Порядке используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных).
3. Настоящий Порядок подлежат неукоснительному соблюдению федеральными государственными гражданскими служащими центрального аппарата Федеральной службы государственной регистрации, кадастра и картографии и его территориальных органов и работниками Росреестра, замещающими должности, не являющиеся должностями государственной гражданской службы Российской Федерации (далее - работники Росреестра).
4. Ознакомление работников Росреестра с настоящим Порядком осуществляется непосредственными руководителями структурных подразделений Росреестра при допуске к обработке персональных данных в возглавляемых ими структурных подразделениях.
5. Персональные данные являются сведениями конфиденциального характера и относятся к информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну.
6. Работники Росреестра, имеющие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.
7. Обеспечение безопасности персональных данных от уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных достигается путем применения организационных мер, в том числе установлением правил доступа в помещения, где обрабатываются персональные данные в информационной системе персональных данных и без использования средств автоматизации, правил размещения экранов.
8. Для помещений, в которых обрабатываются персональные данные, организуется режим обеспечения безопасности, при котором обеспечивается сохранность носителей персональных данных и средств защиты информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц. В нерабочее время помещения должны опечатываться, а ключи от дверей помещений сдаваться на пост охраны по журналу.
9. При хранении материальных носителей персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
10. В помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации, для самостоятельного пребывания допускаются только работники Росреестра, уполномоченные на обработку персональных данных по утвержденным спискам.
11. Ответственными за организацию доступа в помещения Росреестра, в которых ведется обработка персональных данных, являются руководители структурных подразделений центрального аппарата Росреестра и его территориальных органов.
12. Нахождение лиц, не являющихся уполномоченными лицами на обработку персональных данных, в помещениях, в которых ведется обработка персональных данных, возможно только в сопровождении уполномоченного работника Росреестра, ограниченное необходимостью решения вопросов, связанных с исполнением полномочий по осуществлению государственных функций и (или) исполнением договоров (соглашений), заключенных с Росреестром.
13. Нахождение лиц, не являющихся уполномоченными лицами на обработку персональных данных, в помещениях, в которых ведется обработка персональных данных, без сопровождения уполномоченного работника Росреестра запрещается.
14. Внутренний контроль за соблюдением порядка доступа в помещения, в которых ведется обработка персональных данных, осуществляется руководителями структурных подразделений центрального аппарата Росреестра и его территориальных органов.
Обзор документа
Разработаны новые правила обработки персональных данных в Росреестре. Указаны данные, обрабатываемые в исследовательских целях, в связи с исполнением полномочий по оказанию госуслуг, осуществлению госфункций и рассмотрению обращений граждан, для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, для заключения договора по инициативе субъекта персональных данных или договора, по которому он будет являться выгодоприобретателем или поручителем, а также для предоставления доступа в информсистемы персональных данных Росреестра. Составлен должностной регламент ответственного за организацию обработки персональных данных. Указаны правила работы с обезличенными данными.