ПРАВИЛА обработки персональных данных в Нотариальной палате Республики Адыгея

УТВЕРЖДНЕНЫ
Президентом Нотариальной палаты
Республики Адыгея
01.03.2023 г. приказ № 23

ПРАВИЛА
обработки персональных данных в Нотариальной палате
Республики Адыгея 

1. Основные понятия

 

В настоящем документе используются следующие основные понятия:
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределённому кругу лиц;
технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приёма и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

 2. Общие положения 

Настоящие правила обработки персональных данных (далее – Правила) разработаны для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Нотариальной палате Республики Адыгея (далее – НП РА), а также защиты прав и свобод граждан при обработке их персональных данных в НП РА, в том числе право на неприкосновенность частной жизни, личную и семейную тайну, а также разъяснение ответственности должностных лиц (служащих), имеющих доступ к персональным данным, за невыполнение требований норм и правил, регулирующих обработку и защиту персональных данных.
Настоящие Правила устанавливают порядок обработки персональных данных субъектов персональных данных в НП РАи направлены на выявление, предотвращение и профилактику нарушений законодательства Российской Федерации в сфере персональных данных.
Субъектами персональных данных в НП РА являются:
1)    граждане;
2)    работники (сотрудники) НП РА;
3)    нотариусы.
Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Настоящие Правила определяют необходимый минимальный объём мер, соблюдение которых позволяет предотвратить утечку сведений, относящихся к персональным данным. При необходимости могут быть введены дополнительные меры, направленные на усиление защиты персональных данных.
Настоящие Правила разработаны в соответствии со следующими нормативно-правовыми актами (документами) Российской Федерации:
1) Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года, ратифицированная Федеральным законом Российской Федерации от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» в рамках, определяемых данным Федеральным законом, заявлений;
2) Конституция Российской Федерации;
3) Гражданский кодекс Российской Федерации;
4) Кодекс об Административных Правонарушениях Российской Федерации;
5) Трудовой кодекс Российской Федерации;
6) Уголовный кодекс Российской Федерации;
7) Федеральный закон от 27 июля 2004 года № 79-ФЗ «О государственной гражданской службе Российской федерации»;
8) Федеральный закон от 2 марта 2007 года № 25-ФЗ «О муниципальной службе в Российской Федерации»;
9) Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ);
10) Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
11) Перечень сведений конфиденциального характера, утвержденный Указом Президента Российской Федерации от 6 марта 1997 года № 188;
12) Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждённое постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687;
13) Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утверждённый постановлением Правительства Российской Федерации от 21 марта 2012 года № 211;
14) Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119.
В соответствии с законодательством Российской Федерации об обработке и защите персональных данных персональные данные субъектов являются конфиденциальной информацией.
Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Обработке подлежат только те персональные данные, которые отвечают целям их обработки и не должны быть избыточными по отношению к заявленным целям.
При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
В случаях, предусмотренных действующим законодательством, сведения о доходах, об имуществе и обязательствах имущественного характера гражданского служащего, его супруги (супруга) и несовершеннолетних детей могут размещаться на официальном сайте НП РА или предоставляться региональным средствам массовой информации по их запросам для последующего опубликования.
Порядок регистрации, учёта, оформления, тиражирования, хранения, использования и уничтожения документов и других материальных носителей персональных данных определяют законодательство Российской Федерации об обработке и защите персональных данных, а также действующие нормативные правовые акты НП РА.
НП РА является оператором персональных данных субъектов, указанных в настоящем документе. На основании соглашения (договора) НП РА может поручать обработку персональных данных третьим лицам с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение НП РА). Лицо, осуществляющее обработку персональных данных НП РА, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ. В поручении НП РА должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона № 152-ФЗ.
Лицо, осуществляющее обработку персональных данных по поручению НП РА, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
В случаях, когда НП РА поручает обработку персональных данных третьему лицу, ответственность перед субъектом персональных данных за действия указанного лица несет НП РА. Лицо, осуществляющее обработку персональных данных по поручению НП РА, несет ответственность перед НП РА.
НП РА и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьёй 24 Конституции Российской Федерации, НП РА  вправе получать и обрабатывать данные о частной жизни гражданских служащих и(или) сотрудников НП РА только с их письменного согласия.
В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
НП РА не имеет права получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством Российской Федерации.
Настоящие Правила вступают в силу с момента их утверждения и действуют до замены их новыми «Правилами обработки персональных данных».
Все изменения в Правила вносятся распоряжением Президента НП РА .
 
3. Цель и содержание обработки персональных данных
 
Цели и содержание обработки персональных данных приведены в приложении 1 к настоящим Правилам.
 
4. Правила обработки персональных данных
 
Все персональные данные субъектов НП РА получает от них самих либо от их законных представителей.
Персональные данные ближайших родственников сотрудников (служащих), необходимые для ведения кадрового учёта, НП РА получает от самих сотрудников.
Обработка персональных данных осуществляется на законной и справедливой основе, а также с соблюдением принципов и правил, предусмотренных Федеральным законом № 152-ФЗ на основании согласия субъекта персональных данных на обработку его персональных данных, кроме случаев, предусмотренных Федеральным законом № 152-ФЗ. Форма согласия утверждается отдельным распоряжением. Допускается совмещение формы согласия субъекта с типовыми формами документов, содержащих персональные данные субъекта (например: анкеты, бланки).
Субъект персональных данных принимает решение о предоставлении своих персональных данных и даёт согласие на их обработку свободно, своей волей и в своём интересе.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных, НП РА вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ.
Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных, полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются НП РА.
В случае недееспособности субъекта персональных данных, согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
В случае смерти субъекта персональных данных, согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
НП РА оставляет за собой право не осуществлять свои функции в отношении субъекта персональных данных, в случае предоставления неполных или недостоверных персональных данных, а также в случае отказа дать письменное согласие на обработку персональных данных.
При установлении договорных отношений с субъектом персональных данных, получение письменного согласия на обработку его персональных данных не требуется.
Получение персональных данных субъекта у третьих лиц возможно только при предварительном уведомлении субъекта и с его письменного согласия. Форма согласия утверждается отдельным распоряжением. Допускается совмещение формы согласия субъекта с типовыми формами документов, содержащих персональные данные субъекта (например: анкеты, бланки).
Персональные данные могут быть получены НП РА от лица, не являющегося субъектом персональных данных, при условии предоставления НП РА подтверждения наличия оснований, указанных в Федеральном законе № 152-ФЗ.
Персональные данные субъектов НП РА обрабатываются в структурных подразделениях, в соответствии с исполняемыми ими функциями и обязанностями.
Доступ к персональным данным, обрабатываемым без использования средств автоматизации, осуществляется в соответствии со списком допущенных лиц, утверждённом в порядке, определяемом в НП РА.
Доступ к персональным данным, обрабатываемым в информационных системах персональных данных, осуществляется в соответствии со списком допущенных лиц, утверждённом в порядке, определяемом в НП РА.

Уполномоченные лица, допущенные к персональным данным субъектов НП РА, имеют право получать только те персональные данные субъекта, которые необходимы для выполнения конкретных функций, в соответствии с должностными инструкциями (обязанностями) указанных лиц.
Обработка персональных данных, осуществляемая без использования средств автоматизации, должна выполняться в соответствии с требованиями «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждённого постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687.
Персональные данные при такой их обработке, должны обособляться от иной информации, в частности путём фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.
Хранение материальных носителей персональных данных осуществляется в специально оборудованных шкафах и/или сейфах. Места хранения определяются распоряжением (приказом) об утверждении мест хранения материальных носителей персональных данных НП РА.
Персональные данные могут подлежать блокированию, уточнению, уничтожению либо обезличиванию в одном из следующих случаев:
1) выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его законного представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных;
2) выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных;
3) выявления неправомерной обработки персональных данных, осуществляемой НП РА или лицом, действующим по поручению НП РА и невозможности обеспечить правомерную обработку персональных данных;
4) достижения целей обработки или в случае утраты необходимости в их достижении;
5) отзыва согласия субъекта персональных данных на обработку его персональных данных;
6) представления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются неполными, неточными, неактуальными (устаревшими), незаконно полученными или не являются необходимыми для заявленной цели обработки.
В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его законного представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных, НП РА осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению НП РА) с момента такого обращения или получения указанного запроса на период проверки.
В случае выявления неточных персональных данных при обращении субъекта персональных данных или его законного представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных, НП РА осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению НП РА) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных, НП РА  на основании сведений, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению НП РА) в течение 7 рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
В случае выявления неправомерной обработки персональных данных, осуществляемой НП РА или лицом, действующим по поручению НП РА, НП РА  в срок, не превышающий 3-х рабочих дней с даты этого выявления, осуществляет прекращение неправомерной обработки персональных данных или обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим по поручению НП РА.
В случае, если обеспечить правомерность обработки персональных данных невозможно, НП РА в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, осуществляет уничтожение таких персональных данных или обеспечивает их уничтожение. Решение о неправомерности обработки персональных данных и необходимости уничтожения персональных данных принимает ответственный за организацию обработки персональных данных, который доводит соответствующую информацию до руководства. Об устранении допущенных нарушений или об уничтожении персональных данных НП РА уведомляет субъекта персональных данных или его законного представителя, а в случае, если обращение субъекта персональных данных или его законного представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
В случае достижения цели обработки персональных данных, НП РА  прекращает обработку персональных данных или обеспечивает ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению НП РА) и уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению НП РА) в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо, если НП РА не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами.
В случае отзыва субъектом персональных данных согласия на обработку его персональных данных, НП РА прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению НП РА) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению НП РА) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между НП РА и субъектом персональных данных либо, если НП РА не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами.
В срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, НП РА вносит в них необходимые изменения.
В срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его законным представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, НП РА уничтожает такие персональные данные. При этом НП РА уведомляет субъекта персональных данных или его законного представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
В случае отсутствия возможности уничтожения персональных данных в течение срока, указанные выше по тексту, НП РА осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению НП РА) и обеспечивает уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.
Уничтожение персональных данных осуществляет комиссия в составе руководителя и сотрудников структурного подразделения, обрабатывавшего персональные данные субъекта и установившего необходимость уничтожения персональных данных под контролем руководителя этого структурного подразделения.
Способ уничтожения материальных носителей персональных данных определяется комиссией. Допускается применение следующих способов:
1) сжигание;
2) шредирование (измельчение);
3) передача на специализированные полигоны (свалки);
4) химическая обработка.
При этом составляется «Акт уничтожения документов НП РА, содержащих персональные данные субъекта». Форма акта утверждается отдельным распоряжением.
При необходимости уничтожения большого количества материальных носителей или применения специальных способов уничтожения допускается привлечение специализированных организаций. В этом случае комиссия НП РА должна присутствовать при уничтожении материальных носителей персональных данных. При этом к акту уничтожения необходимо приложить накладную на передачу материальных носителей персональных данных, подлежащих уничтожению, в специализированную организацию.
Уничтожение полей баз данных НП РА, содержащих персональные данные субъекта, выполняется по заявке руководителя структурного подразделения, обрабатывавшего персональные данные субъекта и установившего необходимость их уничтожения.
Уничтожение осуществляет комиссия, в состав которой входят лица, ответственные за администрирование автоматизированных систем, которым принадлежат базы данных, сотрудники структурного подразделения, обрабатывавшего персональные данные субъекта и установившего необходимость их уничтожения.
Уничтожение достигается путём затирания информации на носителях информации (в том числе и резервных копиях) или путём механического нарушения целостности носителя информации, не позволяющего произвести считывание или восстановление персональных данных. При этом составляется «Акт уничтожения полей баз данных НП РА, содержащих персональные данные субъекта». Форма акта утверждается отдельным распоряжением.
Уничтожение архивов электронных документов и протоколов электронного взаимодействия может не производиться, если ведение и сохранность их в течение определённого срока предусмотрены соответствующими нормативными и (или) договорными документами.
При невозможности осуществления уничтожения информации в базах данных или на носителях, допускается проведение обезличивания путём перезаписи полей баз данных. Перезапись должна быть осуществлена таким образом, чтобы дальнейшая идентификация субъекта персональных данных была невозможна.
Контроль выполнения процедур уничтожения персональных данных осуществляет ответственный за организацию обработки персональных данных в НП РА.
Особенности обработки специальных категорий персональных данных, а также сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные), установлены соответственно статьями 10 и 11 Федерального закона № 152-ФЗ.
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 статьи 10 Федерального закона № 152-ФЗ. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 11 Федерального закона № 152-ФЗ.
Форма согласия утверждается отдельным распоряжением. Допускается совмещение формы согласия субъекта с типовыми формами документов, содержащих персональные данные субъекта (например: анкеты, бланки).
Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных.
Сотрудники (служащие) НП РА должны быть ознакомлены под роспись с требованиями законодательства Российской Федерации, касающимися обработки персональных данных, настоящими Правилами и другими документами НП РА, устанавливающими порядок обработки персональных данных субъектов, а также права и обязанности в этой области.
 
5. Передача персональных данных третьим лицам
 
При обработке персональных данных субъекта должны соблюдаться следующие требования:
1) не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта. Форма согласия утверждается отдельным распоряжением. Допускается совмещение формы согласия субъекта с типовыми формами документов, содержащими персональные данные субъекта, при условии соблюдения требований статьи 9 Федерального закона № 152;
2) предупреждать лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать режим конфиденциальности в отношении этих данных.
При необходимости трансграничной передачи персональных данных на территорию иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, НП РА запрашивает согласие субъекта в письменной форме. Форма согласия утверждается отдельным распоряжением. Допускается совмещение формы согласия субъекта с типовой формой документов, содержащих персональные данные субъекта (например: анкеты). Допускается совмещение формы согласия субъекта с другими формами согласий. 
 
6. Права субъектов персональных данных
 
В целях обеспечения своих законных интересов субъекты персональных данных или его представители имеют право:
1) получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
2) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ;
3) требовать уточнения его персональных данных, их блокирования или уничтожения в случаях, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Субъект персональных данных при отказе НП РА исключить или исправить, блокировать или уничтожить его персональные данные имеет право заявить в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера субъект персональных данных имеет право дополнить заявлением, выражающим его собственную точку зрения;
4) требовать от НП РА уведомления всех лиц, которым ранее были сообщены неверные или неполные, устаревшие, неточные, незаконно полученные или не являющиеся необходимыми для заявленной цели обработки персональные данные субъекта, обо всех произведённых в них изменениях или исключениях из них, в том числе о блокировании или уничтожении этих данных третьими лицами;
5) обжаловать в суде или в уполномоченном органе по защите прав субъектов персональных данных любые неправомерные действия или бездействие НП РА при обработке и защите персональных данных субъекта персональных данных, если субъект персональных данных считает, что НП РА  осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы.
В случае, если обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в НП РА  или направить ему повторный запрос в целях получения сведений, и ознакомления с персональными данными не ранее, чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Субъект персональных данных вправе обратиться повторно до истечения 30 дневного срока в случае, если сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.
НП РА вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 Федерального закона № 152-ФЗ. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на НП РА.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами Российской Федерации.
 
7. Порядок действий в случае запросов надзорных органов
 
В соответствии с частью 4 статьи 20 Федерального закона № 152-ФЗ НП РА сообщает в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение 30 дней с даты получения такого запроса.
Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет ответственный за организацию обработки персональных данных в НП РА при необходимости с привлечением сотрудников (служащих) НП РА.
В течение установленного законодательством срока ответственный за организацию обработки персональных данных в НП РА подготавливает и направляет в уполномоченный орган мотивированный ответ и другие необходимые документы.
 
8. Защита персональных данных субъекта
 
Защиту персональных данных субъектов от неправомерного их использования или утраты НП РА обеспечивает за счёт собственных средств в порядке, установленном законодательством Российской Федерации.
При обработке персональных данных должны быть приняты необходимые организационные и технические меры по обеспечению их конфиденциальности.
Технические меры защиты персональных данных при их обработке техническими средствами устанавливаются в соответствии с:
1) руководящим документом ФСТЭК России – «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (утверждены приказом ФСТЭК России от 18 февраля 2013 года № 21);
2) руководящим документом ФСТЭК России – «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (утверждены приказом ФСТЭК России от 11 февраля 2013 года № 17);
3) специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К), утвержденными приказом Гостехкомиссии России от 30 августа 2002 года № 282;
4) внутренними документами НП РА, действующими в сфере обеспечения информационной безопасности.
Защита персональных данных предусматривает ограничение к ним доступа.
Ответственные за организацию обработки персональных данных, администрирование средств и механизмов защиты, техническое обслуживание информационных систем персональных данных назначаются распоряжением Президента НП РА.
Руководитель структурного подразделения НП РА, осуществляющего обработку персональных данных:
1) несёт ответственность за организацию защиты персональных данных в структурном подразделении;
2) закрепляет за сотрудниками, уполномоченными обрабатывать персональные данные, конкретные материальные носители, на которых допускается хранение персональных данных в случае, если такие носители необходимы для выполнения возложенных на сотрудников функций и задач;
3) организовывает изучение подчинёнными сотрудниками, в чьи обязанности входит обработка персональных данных, нормативных правовых актов по защите персональных данных и требует их неукоснительного исполнения;
4) обеспечивает режим конфиденциальности в отношении персональных данных, обрабатываемых в структурном подразделении (отделе);
5) контролирует порядок доступа к персональным данным в соответствии с функциональными обязанностями сотрудников подразделения.
Сотрудники (служащие), допущенные к персональным данным дают письменное обязательство о неразглашении таких данных.
 
9. Обязанности лиц, допущенных к обработке персональных данных
 
Лица, допущенные к работе с персональными данными, обязаны:
1) знать законодательство Российской Федерации в области обработки и защиты персональных данных, нормативные документы НП РА по обработке и защите персональных данных;
2) сохранять конфиденциальность персональных данных;
3) обеспечивать сохранность закреплённых за ними носителей персональных данных;
4) контролировать срок истечения действия согласий на обработку персональных данных и, при необходимости дальнейшей обработки персональных данных, обеспечивать своевременное получение новых согласий или прекращение обработки персональных данных;
5) докладывать своему непосредственному руководителю структурного подразделения обо всех фактах и попытках несанкционированного доступа к персональным данным и других нарушениях.
Ответственный за организацию обработки персональных данных НП РА  организует проведение инструктажа и ознакомление сотрудников НП РА, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных.
 
10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных субъектов
 
Лица, виновные в нарушении норм, регулирующих получение, обработку, передачу и защиту персональных данных субъекта, привлекаются к материальной, административной, уголовной и гражданско-правовой ответственности на основании судебного решения, а также к дисциплинарной ответственности в соответствии с действующим законодательством Российской Федерации.
К данным лицам могут быть применены следующие дисциплинарные взыскания:
1) замечание;
2) выговор;
3) предупреждение о неполном должностном соответствии;
4) освобождение или отстранение от занимаемой должности.
 
 
Ответственный за организацию
обработки персональных данных                                        Детков П. В.
 

 

 

 

 

 

 

 

 
Приложение 1 к Правилам обработки персональных данных в НПРА

 

 

 
             
 
Информационная система «Нотариальная деятельность» НП РА  эксплуатируется для:
- осуществления уставной деятельности, осуществления функций, полномочий и обязанностей, возложенных законодательством РФ на Нотариальную палату, в том числе по предоставлению персональных данных в органы государственной власти и Федеральную нотариальную палату, регистрации нотариальных действий, совершенных в интересах физических лиц не нотариусами, обеспечение защиты прав и законных интересов граждан при осуществлении нотариальной деятельности, совершения иных действий в отношении физических лиц, предусмотренных действующим законодательством РФ;
- осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора, в том числе по предоставлению персональных данных в органы государственной власти, ведения кадровой работы и бухгалтерского учета, регулирования трудовых отношений.
Реализация указанных процессов достигается посредством обработки персональных данных следующих категорий:

1. Граждане:

  • · фамилия, имя, отчество;
  • · год, месяц, дата рождения;
  • · место рождения;
  • · гражданство;
  • · адрес регистрации;
  • · паспортные данные;
  • · сведения актовой записи о смерти;
  • · дата смерти.

Категория ПДн: иные.

Объем: менее чем 100 000 субъектов персональных данных.

 

2. Работники (сотрудники) Учреждения:

  • · фамилия, имя, отчество;
  • · контактный телефон;
  • · год, месяц, дата рождения;
  • · место рождения;
  • · гражданство;
  • · семейное положение;
  • · сведения о составе семьи;
  • · социальное положение;
  • · образование;
  • · сведения о доходах;
  • · e-mail;
  • · адрес регистрации;
  • · адрес проживания;
  • · ИНН;
  • · номер страхового свидетельства обязательного пенсионного страхования;
  • · номер расчетного счета, включающий наименование банка;
  • · сведения о местах работы;
  • · сведения о трудовом и общем стаже;
  • · паспортные данные;
  • · сведения о воинском учете;
  • · сведения о заработной плате сотрудника;
  • · сведения о социальных льготах;
  • · специальность;
  • · занимаемая должность;
  • · документы, передаваемые для формирования личного дела сотрудника;
  • · трудовая книжка сотрудника;
  • · сведения об отпусках;
  • · сведения о повышении квалификации;
  • · сведения о приеме на работу, перемещении по должности, увольнении;
  • · сведения о негосударственном пенсионном обеспечении.
  • · сведения о временной нетрудоспособности;
  • · фотографии.

Категория ПДн: иные.

Объем: менее чем 100 000 субъектов персональных данных.

3. Нотариусы (занимающиеся частной практикой на территории Республики Адыгея и вышедшие на пенсию):

  • · фамилия, имя, отчество;
  • · контактный телефон;
  • · год, месяц, дата рождения;
  • · место рождения;
  • · гражданство;
  • · семейное положение;
  • · сведения о составе семьи;
  • · образование;
  • · сведения о доходах;
  • · e-mail;
  • · адрес регистрации;
  • · адрес проживания;
  • · адрес нотариальной конторы;
  • · ИНН;
  • · номер страхового свидетельства обязательного пенсионного страхования;
  • · сведения о местах работы;
  • · сведения о трудовом и общем стаже;
  • · паспортные данные;
  • · данные загранпаспорта;
  • · сведения о воинском учете;
  • · специальность;
  • · занимаемая должность;
  • · документы, передаваемые для формирования личного дела;
  • · сведения об отпусках;
  • · сведения о командировках;
  • · сведения о повышении квалификации;
  • · сведения о приеме на работу, перемещении по должности, увольнении;
  • · сведения о временной нетрудоспособности;
  • · данные о лицензии на право нотариальной деятельности;
  • · образец печати и подписи.
  • · фотографии.

      Категория ПДн: иные.

      Объем: менее чем 100 000 субъектов персональных данных.

         4. Временно исполняющие обязанности нотариусов:

  • · фамилия, имя, отчество;
  • · контактный телефон;
  • · год, месяц, дата рождения;
  • · место рождения;
  • · гражданство;
  • · семейное положение;
  • · образование;
  • · e-mail;
  • · адрес регистрации;
  • · ИНН;
  • · номер страхового свидетельства обязательного пенсионного страхования;
  • · сведения о местах работы;
  • · сведения о трудовом и общем стаже;
  • · паспортные данные;
  • · сведения о воинском учете;
  • · специальность;
  • · занимаемая должность;
  • · документы, передаваемые для формирования личного дела;
  • · сведения о приеме на работу, перемещении по должности, увольнении;
  • · данные о лицензии на право нотариальной деятельности;
  • · образец подписи.
  • · фотографии.

         Категория ПДн: иные.

         Объем: менее чем 100 000 субъектов персональных данных.