138. Уполномоченным должностным лицам, указанным в подпункте 1 пункта 32 настоящих Правил, запрещается на основании исключительно автоматизированной обработки персональных данных принимать решения, порождающие юридические последствия в отношении субъектов персональных данных или затрагивающие иным образом их права и законные интересы, за исключением следующих случаев:
1) когда достоверно установлен факт наличия со стороны субъекта персональных данных соответствующего согласия в письменной форме (устанавливающего право на принятие таких решений);
2) когда в федеральном законе, устанавливающем меры по обеспечению соблюдения прав и законных интересов субъектов персональных данных, имеется соответствующее положение для принятия такого решения.
139. Уполномоченные должностные лица, указанные в подпункте 1 пункта 32 настоящих Правил, в случае принятия решения, указанного в пункте 138 настоящих Правил, обязаны:
1) разъяснить субъекту персональных данных порядок и возможные юридические последствия принятия такого решения, а также порядок защиты субъектом персональных данных своих прав и законных интересов;
2) предоставить субъекту персональных данных возможность заявления возражений по принятому решению;
3) рассмотреть поданное субъектом персональных данных возражение на принятое решение в течение 30 дней со дня получения и уведомить его о результатах рассмотрения указанного возражения.
140. Защита персональных данных должна представлять собой регламентированный технологический процесс, направленный на предупреждение нарушений установленного порядка доступности, целостности, достоверности и конфиденциальности персональных данных, а также обеспечение безопасности указанных данных в соответствии с полномочиями Следственного комитета.
141. Обеспечение внешней защиты персональных данных достигается:
1) установлением пропускного режима и особого порядка приема, учета и контроля посетителей;
2) введением особого порядка выдачи пропусков и удостоверений субъектов персональных данных;
3) использованием технических средств охраны;
4) применением программно-технических комплексов защиты информации, содержащейся на электронных и магнитных носителях информации.
142. Обеспечение внутренней защиты персональных данных достигается:
1) ограничением и регламентацией состава уполномоченных должностных лиц, служебные (трудовые) обязанности которых требуют доступа к персональным данным;
2) избирательным и обоснованным распределением (разделением) доступа уполномоченных должностных лиц к персональным данным и материальным носителям информации, которые их содержат;
3) рациональным размещением рабочих мест, на которых обрабатываются персональные данные, в том числе автоматизированных, в целях исключения бесконтрольной обработки персональных данных;
4) регулярными проверками уполномоченных должностных лиц на знание ими требований нормативно-методических документов в области обработки персональных данных и обеспечения безопасности информации (защиты персональных данных);
5) формированием условий, необходимых для работы с материальными носителями информации, базами персональных данных, в том числе персональными данными, содержащимися на материальных (машинных) носителях информации, используемых в информационных системах персональных данных;
6) утверждением списков (перечней) уполномоченных должностных лиц (субъектов персональных данных), имеющих право доступа в помещения, в которых обрабатываются, в том числе хранятся персональные данные;
7) организацией контроля уничтожения персональных данных (материальных носителей информации) с истекшими сроками хранения;
8) выявлением нарушений при осуществлении обработки персональных данных и их устранением, в том числе связанных с нарушением требований к защите персональных данных и обеспечения безопасности информации;
9) проведением профилактической работы с уполномоченными должностными лицами, имеющими доступ к персональным данным, направленной на предупреждение случаев несанкционированной передачи таких данных.
143. При осуществлении обработки персональных данных без использования средств автоматизации уполномоченные должностные лица, указанные в подпункте 1 пункта 32 настоящих Правил, выполняют следующие действия:
1) определяют места хранения персональных данных;
2) обеспечивают раздельное хранение персональных данных, обработка которых предусмотрена в различных целях, в том числе не допускают их фиксации на одном материальном носителе информации, если цели сбора или обработки персональных данных заведомо несовместимы, и обособляют персональные данные, в частности, путем их записи в специальных разделах или на полях форм (бланков);
3) создают условия, обеспечивающие сохранность персональных данных, и исключение случаев несанкционированного (неправомерного или случайного) доступа к ним;
4) производят уточнение персональных данных, подлежащих обработке путем их обновления (изменения);
5) ведут учет сведений об обработке персональных данных, осуществляемой уполномоченными должностными лицами, указанными в подпункте 2 пункта 32 настоящих Правил, в том числе:
о целях обработки;
фамилиях, именах, отчествах, адресах регистрации (проживания) субъектов персональных данных, персональные данные которых обрабатываются;
наличии (получении) от субъектов персональных данных их согласий в письменной форме;
сроках осуществления обработки персональных данных;
действиях, которые должны совершаться с персональными данными в процессе обработки;
6) осуществляют контроль в части, их касающейся, за соблюдением порядка отбора персональных данных к уничтожению, уничтожения и (или) обезличивания персональных данных.
144. Организация защиты персональных данных при обработке в информационных системах персональных данных (с использованием средств автоматизации) осуществляется с учетом положений пунктов 145 - 155 настоящих Правил.
145. Безопасность персональных данных при их обработке в информационных системах персональных данных должна обеспечиваться с помощью системы защиты персональных данных, нейтрализующей угрозы безопасности персональных данных, актуальные при их обработке, путем исключения несанкционированного доступа к персональным данным (далее - система защиты персональных данных).
146. Система защиты персональных данных в Следственном комитете должна включать организационные и технические меры (по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных), а также современные информационные технологии, применяемые в информационных системах персональных данных.
147. Меры по обеспечению безопасности персональных данных должны разрабатываться и осуществляться уполномоченными должностными лицами на основании требований к защите персональных данных и в целях обеспечения требуемого уровня защищенности персональных данных, которого необходимо достичь исходя из имеющихся угроз безопасности персональных данных (их типа), актуальных при их обработке в информационных системах персональных данных.
148. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с приказом Федеральной службы по техническому и экспортному контролю Российской Федерации от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"*(14).
149. Определение типа угроз безопасности персональных данных, актуальных при их обработке в информационных системах персональных данных, производится во исполнение пункта 5 части 1 статьи 18.1 и части 5 статьи 19 Федерального закона "О персональных данных" с учетом оценки возможного вреда, к которому могут привести указанные угрозы.
150. Требуемый уровень защищенности персональных данных при их обработке в информационных системах персональных данных устанавливается в соответствии с требованиями о защите информации, определяемыми в соответствии с частью 5 статьи 16 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"*(15), а также требованиями к защите персональных данных, утвержденными постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"*(16) (далее - постановление Правительства Российской Федерации от 01.11.2012 N 1119).
151. Для обеспечения требуемого уровня защищенности персональных данных, в том числе биометрических персональных данных, соответствующего требованиям к защите персональных данных, применяются следующие организационные, технические и иные меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных:
1) назначается по каждой информационной системе персональных данных, а при необходимости - по каждой ее составной части, эксплуатируемой в субъектах Российской Федерации, уполномоченное должностное лицо (из числа указанных в подпункте 2 пункта 32 настоящих Правил), ответственное за эксплуатацию (обеспечение функционирования) и выполнение мер по обеспечению безопасности персональных данных при их обработке. Назначение осуществляется из уполномоченных подразделений (пункты 38 и 39 настоящих Правил), в ведении которых находятся соответствующие информационные системы персональных данных (их составные части), на основании организационно-распорядительных документов уполномоченных должностных лиц (из числа указанных в подпункте 1 пункта 32 настоящих Правил), в непосредственном подчинении которых находятся указанные подразделения;
2) организуется режим обеспечения безопасности помещений, в которых размещены информационные системы персональных данных (далее - помещения), препятствующий неконтролируемому проникновению или пребыванию в этих помещениях посторонних лиц, не имеющих права доступа в эти помещения, в том числе предусматривающий:
утверждение руководителями уполномоченных подразделений (пункты 38 и 39 настоящей инструкции), в ведении которых находятся информационные системы персональных данных (их составные части), в соответствии с Перечнем должностей списков уполномоченных должностных лиц, имеющих право доступа в помещения, а также порядка доступа уполномоченных должностных лиц в помещения в рабочее и нерабочее время, а также при возникновении нештатных ситуаций;
оснащение помещений входными дверями с замками;
обеспечение постоянного закрытия дверей помещений, в том числе на замок, при выходе уполномоченных должностных лиц, и их открытие только для санкционированного входа (прохода внутрь помещений);
оборудование окон помещений, расположенных на первых и последних этажах зданий, и окон помещений, находящихся около пожарных лестниц, балконов, водосточных труб и других мест, в том числе сооружений, откуда возможно проникновение в помещения посторонних лиц, внутренними металлическими раздвижными (распахивающимися внутрь помещения) решетками (ставнями), которые должны запираться на замок, а также охранной сигнализацией или другими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения;
оборудование окон и дверей помещений, в которых размещены серверы информационной системы персональных данных, прочными однопольными входными дверями с замками, обеспечивающими их надежное закрытие (один из замков должен быть с механизмом автоматического вывода засова из корпуса замка, допускается использование кодового автоматического или электромагнитного замков), а также охранной сигнализацией или другими Техническими средствами, препятствующими неконтролируемому проникновению посторонних лиц в помещения;