3) предупреждают лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требуют от этих лиц подтверждения того, что это правило соблюдено;
4) разрешают доступ к персональным данным иных уполномоченных должностных лиц и ограничивают предоставляемую информацию только теми персональными данными, которые необходимы для выполнения ими их функций;
5) не запрашивают информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовой функции;
6) производят передачу персональных данных для разработки и выпуска служебных источников информации и служебных документов, таких как фамилия, имя, отчество, замещаемая (занимаемая) должность, специальное или воинское звание (классный чин), номер служебного телефона, номер служебного кабинета, служебный адрес, адрес для доставки почтовых отправлений организациями почтовой связи;
7) распространяют персональные данные в общедоступных источниках, в том числе в периодической печати, сети "Интернет" и иных средствах массовой информации, при доказательстве получения согласия субъекта персональных данных в письменной форме на такую передачу с учетом выполнения требований, предъявляемых к таким персональным данным (в части их предназначения, содержания и непринадлежности к персональным данным, подлежащим обезличиванию), за исключением случаев обязательного распространения (опубликования) персональных данных в средствах массовой информации в соответствии с федеральными законами, в том числе в связи с назначением субъекта персональных данных на государственную должность Российской Федерации (должность Председателя Следственного комитета Российской Федерации) или исполнением сроков, установленных для опубликования сведений (справок) о доходах, расходах, об имуществе и обязательствах имущественного характера государственных служащих Следственного комитета, их супругов и несовершеннолетних детей;
8) при передаче персональных данных в информационных системах персональных данных применяют технологии, обеспечивающие их защиту от несанкционированного (неправомерного или случайного) доступа, от уничтожения, изменения, блокирования, копирования, предоставления и распространения, в том числе с использованием шифровальных (криптографических) средств, например: обработку персональных данных в информационных системах персональных данных производят только в информационно-телекоммуникационных сетях, физически изолированных от информационно-телекоммуникационных сетей общего пользования (в том числе с помощью сертифицированного межсетевого экрана), а их передачу по незащищенным каналам связи допускают только при использовании шифровальных (криптографических) средств.
104. Субъект персональных данных имеет право на свободный бесплатный доступ к своим персональным данным, в том числе на получение светокопий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации, в том числе указанных в пункте 168 настоящих Правил.
105. Иностранными государствами, на территорию которых разрешается трансграничная передача персональных данных, являются:
1) государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, ратифицированной Федеральным законом от 19.12.2005 N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных"*(9);
2) государства, обеспечивающие адекватную защиту прав субъектов персональных данных.
106. Уполномоченные должностные лица до начала осуществления трансграничной передачи персональных данных обязаны убедиться в том, что иностранное государство, на территорию которого предполагается передача персональных данных, является государством, указанным в пункте 105 настоящих Правил.
107. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватную защиту прав субъектов персональных данных, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
2) предусмотренных международными договорами Российской Федерации;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
108. Трансграничная передача персональных данных может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
109. Уполномоченное должностное лицо в случае выявления неправомерной обработки персональных данных осуществляет блокирование (временное прекращение обработки) указанных персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента соответствующего обращения заявителя либо получения запроса от заявителя либо от уполномоченного органа по защите прав субъектов персональных данных на период проверки.
110. В случае подтверждения в период проверки (пункт 109 настоящих Правил) факта неправомерной обработки персональных данных уполномоченное должностное лицо с одновременным снятием блокирования прекращает неправомерную обработку персональных данных или обеспечивает такое прекращение неправомерной обработки персональных данных (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 3 рабочих дней, начиная с даты этого выявления, а в случае, если обеспечить правомерность обработки персональных данных невозможно, осуществляет уничтожение таких персональных данных или обеспечивает их уничтожение в срок, не превышающий 10 рабочих дней, начиная с даты выявления неправомерной обработки персональных данных.
111. Об устранении допущенных нарушений, указанных в пункте 110 настоящих Правил, или о соответствующем уничтожении персональных данных уполномоченные должностные лица обязаны уведомить заявителя, а в случае если обращение заявителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных также указанный орган.
112. Уполномоченное должностное лицо в случае выявления неточных персональных данных осуществляет блокирование персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента обращения заявителя либо получения запроса от заявителя или запроса уполномоченного органа по защите прав субъектов персональных данных на период проверки, если такое блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
113. В случае подтверждения в период проверки (пункт 112 настоящих Правил) факта неточности персональных данных на основании сведений, представленных заявителем либо уполномоченным органом по защите прав субъектов персональных данных, или на основании иных необходимых документов уполномоченное должностное лицо обязано уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение 7 рабочих дней со дня представления таких сведений, после чего снять блокирование персональных данных.
114. В случае достижения цели обработки персональных данных уполномоченное должностное лицо обязано прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если уполномоченное должностное лицо не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.
115. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных (в том числе оформленного в соответствии с Типовой формой согласия) уполномоченное должностное лицо обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если уполномоченное должностное лицо не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.
116. В случае отсутствия возможности уничтожения персональных данных (по техническим, организационным или иным причинам) в течение сроков, указанных в пунктах 110, 114 и 115 настоящих Правил, уполномоченное должностное лицо осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора), после чего обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.
117. Уполномоченные должностные лица обязаны осуществить удаление персональных данных при достижении целей обработки или в случае утраты необходимости в достижении указанных целей, если иное не предусмотрено федеральным законом.
118. К специальным категориям персональных данных в соответствии с частью 1 статьи 10 Федерального закона "О персональных данных" относятся персональные данные, касающиеся расовой принадлежности, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (далее - специальные категории персональных данных).
119. Обработка специальных категорий персональных данных в соответствии с частью 1 статьи 10 Федерального закона "О персональных данных" не допускается, за исключением случаев, предусмотренных частью 2 статьи 10 Федерального закона "О персональных данных".
120. Обработка персональных данных, касающихся судимости (о судимости), может осуществляться в соответствии с частью 3 статьи 10 Федерального закона "О персональных данных" и в соответствии с полномочиями Следственного комитета.
121. В соответствии с частью 4 статьи 10 Федерального закона "О персональных данных" обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 статьи 10 Федерального закона "О персональных данных", должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась такая обработка, если иное не установлено федеральным законом.
122. К биометрическим персональным данным в соответствии с частью 1 статьи 11 Федерального закона "О персональных данных" относятся сведения, которые характеризуют физиологические и биологические особенности субъекта персональных данных как человека, и на основании которых Следственный комитет как оператор может установить его личность.
123. Биометрические персональные данные в соответствии с частью 1 статьи 11 Федерального закона "О персональных данных" могут обрабатываться только при наличии согласия в письменной форме.
124. При отсутствии согласия в письменной форме обработка биометрических персональных данных допускается только при наличии оснований, установленных в части 2 статьи 11 Федерального закона "О персональных данных".
125. При обработке биометрических персональных данных уполномоченные должностные лица руководствуются требованиями, предъявляемыми к материальным носителям биометрических персональных данных и технологиям их хранения вне информационных систем персональных данных, которые утверждены постановлением Правительства Российской Федерации от 06.07.2008 N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных"*(10).
126. Использование и хранение биометрических персональных данных вне информационных систем персональных данных в соответствии с частью 10 статьи 19 Федерального закона "О персональных данных" должно осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
127. Обработка биометрических персональных данных осуществляется в соответствии с полномочиями Следственного комитета, в том числе в соответствии с требованиями Федерального закона "О персональных данных", Уголовного кодекса Российской Федерации*(11), Уголовно-процессуального кодекса Российской Федерации, Федерального закона от 25.07.1998 N 128-ФЗ "О государственной дактилоскопической регистрации в Российской Федерации", Федерального закона от 03.12.2008 N 242-ФЗ "О государственной геномной регистрации в Российской Федерации"*(12), приказа Председателя Следственного комитета Российской Федерации от 28.04.2015 N 35.
128. Обработка персональных данных без использования средств автоматизации осуществляется с учетом требований Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"*(13).
129. Уполномоченные должностные лица, осуществляющие обработку персональных данных без использования средств автоматизации, в том числе третьи лица, осуществляющие такую обработку по поручению оператора, должны быть информированы о принципах, условиях и иных требованиях, предусмотренных для указанной обработки законодательством Российской Федерации в области персональных данных, о перечне обрабатываемых персональных данных и требованиях к защите персональных данных, предъявляемых при их обработке без использования средств автоматизации (пункт 143 настоящих Правил).
130. Уполномоченные должностные лица в соответствии с полномочиями Следственного комитета имеют право создавать и использовать автоматизированные информационные системы персональных данных.
131. Администраторы автоматизированных информационных систем персональных данных, специально назначенные из числа уполномоченных должностных лиц, указанных в подпункте 2 пункта 32 настоящих Правил, в целях организации доступа в такие системы других уполномоченных должностных лиц, осуществляющих в них обработку персональных данных, предоставляют таким лицам логины и пароли. Предоставление логинов и паролей должно предусматривать прохождение уполномоченными должностными лицами обязательной процедуры аутентификации.
132. Доступ уполномоченных должностных лиц к прикладным программным подсистемам и персональным данным, используемым (обрабатываемым) в автоматизированных информационных системах персональных данных, должен организовываться в соответствии с содержанием их служебных (трудовых) обязанностей.
133. Персональные данные вносятся в автоматизированные информационные системы персональных данных в автоматическом режиме в порядке, установленном регламентами информационного взаимодействия между такими системами, либо уполномоченными должностными лицами в ручном (автоматизированном) режиме при получении персональных данных на бумажных, электронных и магнитных носителях информации, а также на немагнитных пленках в виде, не позволяющем осуществить их автоматическую регистрацию.
134. Уполномоченные должностные лица, назначенные в соответствии с подпунктом 1 пункта 151 настоящих Правил ответственными за эксплуатацию (обеспечение функционирования) и выполнение мер по обеспечению безопасности персональных данных при их автоматизированной обработке в информационных системах персональных данных, обязаны принимать меры, необходимые для восстановления персональных данных, которые были изменены (модифицированы или удалены) либо уничтожены, в том числе в случае выявления факта несанкционированного доступа к ним.
135. Обмен персональными данными при их обработке, в том числе такой обмен между автоматизированными информационными системами персональных данных, должен осуществляться по защищенным каналам связи путем выполнения в системе Следственного комитета необходимых организационных, технических мер и применения программных и (или) технических средств, соответствующих установленным требованиям.
136. При выявлении нарушений, касающихся порядка обработки персональных данных в автоматизированных информационных системах персональных данных, уполномоченные должностные лица, указанные в пункте 134 настоящих Правил, обязаны незамедлительно принимать меры по установлению причин возникновения таких нарушений и их устранению.
137. При обработке персональных данных в автоматизированных информационных системах персональных данных:
1) могут вводиться (устанавливаться) особенности учета персональных данных, в том числе касающиеся использования (применения) различных способов обозначения принадлежности персональных данных конкретному субъекту персональных данных;
2) не могут ограничиваться права и свободы субъекта персональных данных как человека и гражданина по мотивам, связанным с использованием различных способов обработки персональных данных;
3) не допускается использование (применение) способов обозначения принадлежности персональных данных конкретному субъекту персональных данных, которыми могут быть оскорблены их чувства или унижено их человеческое достоинство.