Общие требования по обработке персональных данных в организации БС РФ

7.10.1. В организации БС РФ должны быть определены, документально зафиксированы и утверждены руководством организации БС РФ цели обработки персональных данных.

7.10.2. В организации БС РФ должна быть определена необходимость уведомления Уполномоченного органа по защите прав субъектов персональных данных об обработке персональных данных

7.10.3. Для каждой цели обработки персональных данных должны быть определены, документально зафиксированы и утверждены руководством организации БС РФ:

- объем и содержание персональных данных;

- сроки обработки, в том числе сроки хранения персональных данных;

- необходимость получения согласия субъектов персональных данных.

7.10.4. В организации БС РФ рекомендуется проводить классификацию персональных данных в соответствии со степенью тяжести последствий потери свойств безопасности персональных данных для субъекта персональных данных.

Рекомендуется выделять следующие категории персональных данных:

- персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных» [5] к специальным категориям персональных данных;

- персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных» [5] к биометрическим персональным данным;

- персональные данные, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным персональным данным;

- персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных» [5] к общедоступным или обезличенным персональным данным.

7.10.5. Передача персональных данных организацией БС РФ третьему лицу должна осуществляться с согласия субъекта персональных данных и на основании договора, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

7.10.6. Организация БС РФ должна прекратить обработку персональных данных и уничтожить собранные персональные данные, если иное не установлено законодательством РФ в следующих случаях и в сроки, установленные законодательством РФ:

- по достижении целей обработки или при утрате необходимости в их достижении;

- по требованию субъекта персональных данных или Уполномоченного органа по защите прав субъектов персональных данных - если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- при отзыве субъектом персональных данных согласия на обработку своих персональных данных, если такое согласие требуется в соответствии с законодательством РФ.

В организации БС РФ должен быть определен и документально зафиксирован порядок уничтожения персональных данных (в том числе и материальных носителей персональных данных).

7.10.7. В организации БС РФ должен быть определен и документально зафиксирован порядок обработки обращений субъектов (или их законных представителей) по вопросам обработки их персональных данных.

7.10.8. В организации БС РФ должен быть определен и документально зафиксирован порядок действий в случае запросов Уполномоченного органа по защите прав субъектов персональных данных или иных надзорных органов, осуществляющих контроль и надзор в области персональных данных.

7.10.9. В организации БС РФ должны быть определен и документально зафиксирован подход к отнесению АБС к информационным системам персональных данных (ИСПДн).

В организации БС РФ должен быть определен и документально зафиксирован перечень ИСПДн. В перечень ИСПДн должны быть включены, как минимум, АБС, целью создания и использования которых является обработка персональных данных.

АБС, реализующие банковские платежные технологические процессы, не относятся к ИСПДн.

7.10.10. Для каждой ИСПДн организации БС РФ должны быть определены и документально зафиксированы:

- цель обработки персональных данных;

- объем и содержание обрабатываемых персональных данных;

- перечень действий с персональными данными и способы их обработки.

Объем и содержание персональных данных, а также перечень действий и способы обработки персональных данных должны соответствовать целям обработки. В том случае, если для выполнения банковского информационного технологического процесса, реализацию которого поддерживает ИСПДн, нет необходимости в обработке определенных персональных данных, эти персональные данные должны быть удалены.

7.10.11. Банковские информационные технологические процессы, в рамках которых обрабатываются персональные данные в ИСПДн, должны быть документированы в организации БС РФ.

При этом рекомендуется исключать фиксацию на одном материальном носителе и персональных данных, и иных видов информационных активов, а также персональных данных, цели обработки которых заведомо несовместимы.

При обработке различных категорий персональных данных для каждой категории персональных данных рекомендуется использоваться отдельный материальный носитель.

7.10.12. В организации БС РФ должен быть определен и документально зафиксирован перечень (список) работников, осуществляющих обработку персональных данных в ИСПДн либо имеющих доступ к персональным данным.

Допускается указание работников в перечне (списке) на ролевой основе в соответствии с занимаемой должностью на основании требований раздела 7.2 настоящего стандарта.

Возможно существование перечня (списка) в электронном виде, при условии предоставления работникам прав доступа в ИСПДн только на основании распорядительного документа в документально зафиксированном в организации БС РФ порядке.

Доступ работников организации БС РФ к персональным данным и обработка персональных данных работниками организации БС РФ должны осуществляться только для выполнения их должностных обязанностей.

7.10.13. Работники организации БС РФ, осуществляющие обработку персональных данных в ИСПДн, должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также должны быть ознакомлены под роспись со всей совокупностью требований по обработке и обеспечению безопасности персональных данных в части касающейся их должностных обязанностей.

7.10.14. В организации БС РФ должен быть определен и документально зафиксирован порядок доступа работников организации БС РФ и иных лиц в помещения, в которых ведется обработка персональных данных.

7.10.15. В организации БС РФ должен быть определен и документально зафиксирован порядок хранения материальных носителей персональных данных, устанавливающий:

- места хранения материальных носителей персональных данных;

- требования по обеспечению безопасности персональных данных при хранении их носителей;

- работников, ответственных за реализацию требований по обеспечению безопасности персональных данных;

- порядок контроля выполнения требований по обеспечению безопасности персональных данных при хранении материальных носителей персональных данных.

7.10.16. При использовании в организации БС РФ типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных, должны соблюдаться требования установленные «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденным Постановлением Правительства РФ от 15 сентября 2008 г. N 687 [6].