Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014

7.10.1. Руководство организации БС РФ должно установить цели обработки персональных данных (далее - ПДн).

7.10.2. В организации БС РФ должна быть установлена необходимость осуществления уведомления уполномоченного органа по защите прав субъектов ПДн об обработке ПДн и организована деятельность по своевременному направлению указанного уведомления в соответствии с требованиями Федерального закона "О персональных данных" в случае наличия такой необходимости.

7.10.3. В организации БС РФ должны быть установлены критерии отнесения АБС к ИСПДн.

7.10.4.1. Для каждого ресурса ПДн должно быть обеспечено:

7.10.4.2. В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться процедуры прекращения обработки ПДн и их уничтожения либо обезличивания в сроки, установленные Федеральным законом "О персональных данных", в следующих случаях:

7.10.4.3. В случае отсутствия возможности уничтожения ПДн либо обезличивания ПДн в течение срока, установленного Федеральным законом "О персональных данных", организация БС РФ обеспечивает их блокирование с последующим обеспечением уничтожения ПДн. Уничтожение ПДн производится не позднее шести месяцев со дня их блокирования.

7.10.5. В организации БС РФ должна быть определена, выполняться и контролироваться политика в отношении обработки ПДн, а также, в случае необходимости, установлены порядки обработки ПДн для отдельных ресурсов ПДн. Для ресурсов ПДн, обрабатываемых в АБС организации БС РФ, в том числе ИСПДн, порядок обработки ПДн может являться частью эксплуатационной документации на АБС и разрабатывается на этапе создания или модернизации АБС.

7.10.5.2. Организация БС РФ должна опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему ее политику в отношении обработки ПДн, а также к сведениям о реализуемых требованиях по обеспечению безопасности персональных данных. 

7.10.6. В организации БС РФ должно быть установлено, в каких случаях необходимо получение согласия субъектов ПДн, при этом форма и порядок получения согласия субъектов ПДн должны быть регламентированы. 

7.10.7. В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета лиц, имеющих доступ к ПДн. 
Документ, определяющий перечень лиц, имеющих доступ к ПДн, утверждается руководителем организации БС РФ. 
Обработка ПДн работниками организации БС РФ должны осуществляться только с целью выполнения их должностных обязанностей. 
В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться процедуры ознакомления работников организации БС РФ, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ и внутренними документами организации БС РФ, содержащими требования по обработке и обеспечению безопасности ПДн в части, касающейся их должностных обязанностей. Организация БС РФ может проводить указанное ознакомление работников в ходе проведения мероприятий по их обучению или повышению осведомленности. 

7.10.8. В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета помещений, в которых осуществляется обработка ПДн, а также доступа работников организации БС РФ и иных лиц в помещения, в которых ведется обработка ПДн. 

7.10.9. При работе с материальными носителями ПДн должно быть обеспечено:

Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. 

7.10.10. Общедоступные источники ПДн создаются и публикуются организацией БС РФ только для цели выполнения требований законодательства РФ. В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться процедуры публикации ПДн в общедоступных источниках ПДн. 

7.10.11. Поручение обработки ПДн третьему лицу (далее — обработчик) должно осуществляться на основании договора. В указанном договоре должны быть определены перечень действий (операций) с ПДн, которые будут совершаться обработчиком, и цели обработки, должна быть установлена обязанность обработчика обеспечивать безопасность ПДн (в том числе соблюдать конфиденциальность ПДн) при их обработке, не раскрывать и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом, а также должны быть указаны требования по обеспечению безопасности ПДн. При поручении обработки персональных данных обработчику организация БС РФ должна получить согласие субъекта ПДн, если иное не предусмотрено законодательством РФ. 

7.10.12. В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться процедуры, выполняемые в случаях необходимости осуществления трансграничной передачи ПДн. 

7.10.13. В организации БС РФ должно быть назначено лицо, ответственное за организацию обработки ПДн. Полномочия лица, ответственного за организацию обработки ПДн, а также его права и обязанности должны быть установлены руководством организации БС РФ.