V. Приказ Управления делами Президента РФ от 16.09.2024 N 390 "Об обработке персональных данных в Управлении делами Президента РФ" (вместе с "Правилами обработки персональных данных в Управлении делами Президента РФ", "Правилами рассмотрения запросов субъектов персональных данных или их представителей в Управлении делами Президента РФ", "Правилами осуществления в Управлении делами Президента РФ внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Управления делами Президента РФ", "Правилами работы в Управлении делами Президента РФ с обезличенными данными в случае обезличивания персональных данных", "Порядком доступа федеральных государственных гражданских служащих Управления делами Президента РФ в помещения, в которых ведется обработка персональных данных", "Перечнем персональных данных, обрабатываемых в Управлении делами Президента РФ в связи с реализацией служебных или трудовых отношений, а также основных задач, предусмотренных пунктом 2 Положения об Управлении делами Президента РФ, утвержденного Указом Президента РФ от 17 сентября 2008 г. N 1370", "Перечнем должностей федеральных государственных гражданских служащих Управления делами Президента РФ, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным", "Перечнем должностей федеральных государственных гражданских служащих Управления делами Президента РФ, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, в случае обезличивания персональных данных", "Должностным регламентом (должностными обязанностями) ответственного за организацию обработки персональных данных в Управлении делами Президента РФ") (Зарегистрировано в Минюсте России 28.12.2024 N 80867)

17. Доступ к информационным системам персональных данных Управления делами (далее - информационные системы) гражданских служащих, осуществляющих обработку персональных данных в информационных системах, предоставляется в соответствии с функциями, предусмотренными их должностными регламентами, и реализуется посредством учетной записи, содержащей имя пользователя и пароль.

18. Информация в информационные системы может вноситься как в автоматическом режиме, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

19. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, осуществляется Управлением информационных и коммуникационных технологий Управления делами в соответствии со статьей 19 Федерального закона N 152-ФЗ и с соблюдением требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119.

20. Управление информационных и коммуникационных технологий Управления делами в целях обеспечения безопасности персональных данных осуществляет:

предотвращение несанкционированного доступа к персональным данным и (или) их передачи лицам, не имеющим права на доступ к ним;

обнаружение фактов несанкционированного доступа к персональным данным и незамедлительное доведение этой информации до ответственного за организацию обработки персональных данных в Управлении делами и управляющего делами Президента Российской Федерации;

недопущение воздействия на технические средства обработки персональных данных, в результате которого может быть нарушено их функционирование;

постоянный контроль за обеспечением уровня защищенности персональных данных;

соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, машинных носителей персональных данных;

незамедлительное приостановление предоставления персональных данных пользователям информационных систем при обнаружении нарушений порядка предоставления персональных данных до выявления причин нарушений и устранения этих причин;

разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению последствий подобных нарушений;

незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

21. При обработке персональных данных осуществляется реализация организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, состав и содержание которых утверждены приказом ФСТЭК России от 18 февраля 2013 г. N 21 (зарегистрирован Минюстом России 14 мая 2013 г., регистрационный N 28375), с изменениями, внесенными приказами ФСТЭК России от 23 марта 2017 г. N 49 (зарегистрирован Минюстом России 25 апреля 2017 г., регистрационный N 46487) и от 14 мая 2020 г. N 68 (зарегистрирован Минюстом России 8 июля 2020 г., регистрационный N 58877).

22. Доступ гражданских служащих к персональным данным, находящимся в информационных системах, должен предусматривать обязательное прохождение процедуры идентификации и аутентификации.

23. При выявлении нарушений порядка обработки персональных данных в информационных системах уполномоченными должностными лицами Управления информационных и коммуникационных технологий Управления делами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

24. При установлении факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, уполномоченные должностные лица Управления делами обязаны с момента выявления такого инцидента уведомить уполномоченный орган по защите прав субъектов персональных данных:

1) в течение двадцати четырех часов о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий такого инцидента, а также предоставить сведения о лице, уполномоченном на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных по вопросам, связанным с выявленным инцидентом;

2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).