- СВЕДЕНИЯ О ПОЛИТИКЕ
Цель политики - разработана в целях исполнения: Конституции Российской Федерации, Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», положений главы 14 Трудового кодекса Российской Федерации «Защита персональных данных работников», Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановления Правительства Российской Федерации от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и других нормативно-правовых актов, и нормативных-методических документов Российской Федерации, регулирующих отношения, связанные с обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных.
Определяет политику Общества, в отношении персональных данных и является общедоступным документом.
2.ОСНОВАНИЯ ОБРАБОТКИ ПДн ОБРАБАТЫВАЕМЫХ ОБЩЕСТВОМ Статьи 23,24 Конституции РФ;
Статьи 86-90 Трудового кодекса РФ;
Федеральных закон от 27.07.2006 № 152-ФЗ «О персональных данных»; Федеральный закон от 07.07.2003 № 126-ФЗ «О связи»; Постановление Правительства РФ от 23.01.2006 № 32 «Об утверждении Правил оказания услуг связи по передаче данных»; Постановление Правительства РФ от 10.09.2007 № 575 «Об утверждении Правил оказания телематических услуг связи»; Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Иные нормативные правовые акты РФ. Документы Общества, закрепляющие деятельность по обработке ПДн: а) устав Общества; б) лицензии на осуществляемые виды деятельности, связанные с обработкой персональных данных; в) настоящая Политика в отношении обработки ПДн; г) согласие на обработку ПДн, выраженным субъектом ПДн; д) договоры гражданско-правового характера, которые заключает Общество с Абонентами и контрагентами.
3.ТЕРМИНЫ И СОКРАЩЕНИЯ Персональные данные (ПДн)- любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка ПДн - любое действие (операция) или совокупность действий (операций) с ПДн, совершаемых с использованием средств автоматизации или без их использования. Включает в себя: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц.
Предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
Блокирование ПДн - временное прекращение обработки ПДн (за исключение случаев, если обработка необходима для уточнения ПДн).
Уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту персональных данных.
Информационная система ПДн (ИСПДн) - Совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача ПДН - передача ПДн на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Внутренний распорядительный документ (ВРД) - это документ, в котором фиксируются решения административных и организационных вопросов деятельности Общества, регулирует и координирует деятельность, позволяет органу управления обеспечить реализацию поставленных перед ним задач.
4.ОБЩИЕ ПОЛОЖЕНИЯ 4.1 Деятельность Общества (далее – организация или оператор ПДн), в соответствии с настоящей политикой, направлена на защиту прав и свобод человека и гражданина при обработке его ПДн.
4.2 Настоящая политика действует в отношении всех обрабатываемых в Обществе ПДн нижеуказанных лиц:
- работники Общества, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
- абоненты и контрагенты Общества (физические лица);
- представители /работники Абонентов и контрагентов Обшества (юридических лиц).
Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
4.3 В соответствии с законодательством РФ ПДн являются информацией ограниченного доступа. ПДн могут обрабатываться самостоятельно или в составе другой информации конфиденциального характера, порядок обработки которой устанавливается федеральными законами и нормативными правовыми актами, в частности, о коммерческой тайне (коммерческая тайна), о связи (сведения об абоненте и тайна связи), о банках (банковская тайна), об архивном деле и другими. Порядок обработки ПДн в организации регулируется настоящей политикой в соответствии с требованиями действующего законодательства РФ о ПДн и отраслевого законодательства РФ, если в нем установлен порядок обработки информации ограниченного доступа.
4.4 Организация хранения, учета и использования ПДн осуществляется в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» и ВРД.
4.5 Обращение с документами, переданными на хранение в соответствии с архивным законодательством РФ, не регулируется настоящей политикой.
4.6 Требования настоящей политики распространяются на все процессы, связанные с обработкой ПДн субъектов, и обязательны для исполнения всеми работниками, осуществляющими обработку ПДн.
4.7 Во всех случаях, не урегулированных настоящей политикой, необходимо руководствоваться действующим законодательством Российской Федерации.
5.ОБЕСПЕЧЕНИЕ КОНФИДЕНЦИАЛЬНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ Работники, а также лица, осуществляющие обработку ПДн по поручению организации, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
6. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ 6.1 Общество является оператором ПДн, самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку ПДн, а также определяет цели обработки ПДн, состав ПДн, подлежащих обработке, действия, совершаемые с ПДн.
6.2 Обработка персональных данных субъектов ПДн осуществляется в следующих целях:
- предоставление услуг связи и выполнения требований законодательства о связи;
- обеспечение трудовых и производственных процессов и выполнения требований законодательства РФ, связанного с трудовыми отношениями;
- предоставление услуг, неразрывно связанных с услугами связи;
- выполнение иных требований законодательства РФ.
6.3 Обработка ПДн должна осуществляться на законной основе. Обработке подлежат только ПДн, которые отвечают целям их обработки. Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки. Не допускается объединение ИСПДн, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
6.4 При обработке ПДн должны быть обеспечены их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Должны приниматься необходимые меры по удалению или уточнению неполных или неточных данных. Ответственность за своевременное предоставление сведений об изменении ПДн, обрабатываемых в ИСПДн, возлагается на субъектов ПДн.
6.5 Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если иной срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6.6 Обработка ПДн допускается в следующих случаях:
- обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
- обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
- обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом Российской Федерации;
- обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- обработка ПДн необходима для предоставления государственной или муниципальной услуги;
- обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
- обработка ПДн необходима для осуществления прав и законных интересов организации или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
- обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн;
- обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей продвижения товаров, работ, услуг на рынке, политической агитации, при условии обязательного обезличивания ПДн;
- осуществляется обработка ПДн, доступ неограниченного круга лиц, к которым предоставлен субъектом ПДн либо по его просьбе (общедоступные ПДн );
- осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
6.7 Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не осуществляется.
6.8 Обработка ПДн может осуществляться:
- работниками организации, имеющими допуск кПДн;
- другими лицами, осуществляющими обработку ПДн по поручению организации.
6.9 Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку ПДн по поручению оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Лицо, осуществляющее обработку ПДн по поручению оператора, не обязано получать согласие субъекта ПДн на обработку его персональных данных.
6.10 Обработка ПДн может осуществляться как с использованием, так и без использования средств автоматизации.
6.11 Автоматизированная обработка ПДн должна осуществляться в ИСПДн в соответствии с настоящей политикой.
6.12 Запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законодательством РФ.
6.13 Неавтоматизированная обработка ПДн должна осуществляться таким образом, чтобы ПДн обособлялись от иной информации, в частности, путем обработки их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм и иным способом.
6.14 Лица, осуществляющие обработку ПДн без использования средств автоматизации, должны быть проинформированы о факте обработки ими ПДн, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также ВРД.
6.15 При неавтоматизированной обработке ПДн, предполагающей использование типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн, необходимо выполнять следующие условия:
6.15.1 типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать:
- сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации;
- реквизиты организации;
- фамилию, имя, отчество и адрес субъекта ПДн;
- источник получения ПДн, сроки обработки ПДн;
- перечень действий с ПДн, которые будут совершаться в процессе их обработки;
- общее описание используемых оператором способов обработки ПДн;
6.15.2 типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку ПДн;
6.15.3 типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;
6.15.4 типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.
6.16 При сохранении ПДн на материальных носителях не допускается сохранение на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн следует использоваться отдельный материальный носитель.
7.ОБЕСПЕЧЕНИЕ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ 7.1 В предусмотренных законом случаях субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
7.2 Обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его персональных данных или доказательство наличия оснований, указанных в Федеральном законе от 27.07.2006 №152-ФЗ «О персональных данных», возлагается на оператора ПДн.
7.3 Субъект ПДн имеет право на получение информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект ПДн вправе требовать от организации уточнения его персональных данных, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.4 Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, допускается только при условии предварительного согласия субъекта ПДн. Оператор ПДн обязан немедленно прекратить по требованию субъекта персональных данных обработку его ПДн в вышеуказанных целях.
8.ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ 8.1 Все ПДн работника следует получать у него самого. Если ПДн работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие
8.2 Персональные данные иных лиц получаются в соответствии с требованиями действующего законодательства РФ.
8.3 В случае недееспособности субъекта ПДн письменное согласие на обработку его ПДн получается от его законного представителя.
8.4 ПДн могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»
9.СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 9.1 Порядок обработки ПДн, обрабатываемых в ИСПДн, определяется ВРД в соответствии с положениями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
9.2 Сроки обработки ПДн, регламентируются действующим законодательством Российской Федерации, в том числе Федеральным законом «О персональных данных», и указываются в Списке персональных данных, в документах, фиксирующих договорные отношения Оператора ПДн с субъектами персональных данных, и в согласиях субъектов на обработку их ПДн.
9.3 ПДн, срок обработки которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом. Хранение ПДн после истечения срока хранения допускается только после их обезличивания.
10.УТОЧНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ 10.1 Уточнение ПДн, обрабатываемых в ИСПДн осуществляется по запросам субъектов ПДн, их законных представителей или в случае обращения уполномоченного органа по защите прав субъектов ПДн.
10.2 Уточнение ПДн при осуществлении их обработки без использования средств автоматизации следует производить путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, то путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными, уничтожив информацию на старом.
11.ПРЕДОСТАВЛЕНИЕ И ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ 11.1 При предоставлении ПДн третьей стороне должны выполняться следующие условия:
- передача ПДн третьей стороне осуществляется на основании действующего законодательства РФ;
- наличие письменного согласия субъекта ПДн на передачу его ПДн третьей стороне, за исключением случаев предусмотренных законодательством. Передача ПДн третьей стороне осуществляется на основании договора, существенным условием которого является обеспечение третьей стороной безопасности ПДн при их обработке;
11.2 Трансграничная передача ПДн на территорию иностранных государств не осуществляется.
11.3 В целях информационного обеспечения могут создаваться специализированные справочники, содержащие ПДн, к которым с письменного согласия субъекта ПДн может предоставляться доступ неограниченному кругу лиц.
11.4 Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.
12.БЛОКИРОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ 12.1 Основанием блокирования ПДн, относящихся к соответствующему субъекту ПДн, является:
- В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки;
- В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц;
- В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
13.УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ 13.1 Основанием для уничтожения ПДн, обрабатываемых в ИСПДн является:
- достижение цели обработки ПДн;
- утрата необходимости в достижении цели обработки ПДн;
- отзыв субъектом ПДн согласия на обработку своих ПДн, за исключением случаев, когда обработка указанных ПДн является обязательной в соответствии с законом РФ или договором. Отзыв согласия на обработку персональных данных (в т.ч. изменения цели обработки) осуществляется путем направления Субъектом ПД соответствующего заявления Оператору ПД в свободной письменной форме по адресу г.Челябинск, Комсомольский пр., д.38-6;
- выявление неправомерных действий с ПДн и невозможности устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты такого выявления;
- истечение срока хранения ПДн, установленного законодательством РФ;
- предписание уполномоченного органа по защите прав субъектов ПДн, Прокуратуры России или решение суда.
13.2 При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн и при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию.
13.3 Уничтожение части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
14.ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ 14.1 При обработке ПДн в ИСПДн принимаются правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
14.2 Обеспечение безопасности ПДн осуществляется в рамках установления режима безопасности информации конфиденциального характера.
14.3 Обеспечение безопасности ПДн, в частности, достигается:
- определением угроз безопасности ПДн при их обработке в ИСПДн;
- применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
- учетом машинных носителей ПДн;
- обнаружением фактов несанкционированного доступа к ПДн и принятием мер к блокированию каналов несанкционированного доступа;
- восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к ПДн, обрабатываемым в ИСПДн,. а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
- контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ПДн в ИСПДн.
14.4 Обеспечение безопасности тайны связи и сведений об абонентах при обработке информации в системах и сетях связи осуществляется в соответствии с требованиями законодательства РФ о связи.
14.5 Обеспечение безопасности ПДн, обрабатываемых в информационных системах при обеспечении оперативно-розыскных мероприятий, осуществляется в соответствии с законодательством РФ об оперативно-розыскной деятельности.
14.6 Уровни защищенности ПДн при их обработке в ИСПДн, требования к защите ПДн, обеспечивающих уровни защищенности ПДн, определяются в зависимости от угроз безопасности персональным данным с учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн, актуальности (уровня) угроз безопасности ПДн в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлениями Правительства РФ, иными нормативными правовыми актами.
14.7 Защита ПДн при неавтоматизированной обработке осуществляется в соответствии с требованиями нормативных правовых актов РФ и ВРД по работе с материальными носителями информации.
15.ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ 15.1 Субъект ПДн, чьи персональные данные обрабатываются в ИСПДн, имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
- подтверждение факта обработки ПДн оператором;
- правовые основания и цели обработки ПДн;
- цели и способы обработки ПДн;
- сроки обработки ПДн, в том числе сроки их хранения;
- информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;
- наименование и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.
15.2 Сведения, указанные в п. 15.1, предоставляются субъекту ПДн в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.
16.ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ 16.1 Работники организации, виновные в нарушении требований законодательства РФ о ПДн, а также положений настоящей политики, несут предусмотренную законодательством Российской Федерации ответственность.
16.2 Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, а также требований к защите ПДн подлежит возмещению в соответствии с законодательством Российской Федерации.
17.ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ 17.1 Настоящая Политика является общедоступной. Общедоступность Политики обеспечивается путем ее опубликования на Интернет-сайте: www.is74.ru
17.2 Настоящая Политика подлежит пересмотру по мере необходимости.
17.3 Лица, чьи персональные данные обрабатываются, могут получить разъяснения по вопросам обработки своих персональных данных, направив соответствующий письменный запрос по почтовому адресу: г.Челябинск, Комсомольский пр., д.38-6.
ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ АО «Интерсвязь-2» 1. СВЕДЕНИЯ О ПОЛИТИКЕ Цель политики - разработана в целях исполнения: Конституции Российской Федерации, Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», положений главы 14 Трудового кодекса Российской Федерации «Защита персональных данных работников», Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановления Правительства Российской Федерации от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и других нормативно-правовых актов, и нормативных-методических документов Российской Федерации, регулирующих отношения, связанные с обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных.
Определяет политику Общества, в отношении персональных данных и является общедоступным документом.
2. ОСНОВАНИЯ ОБРАБОТКИ ПДн ОБРАБАТЫВАЕМЫХ ОБЩЕСТВОМ Статьи 23,24 Конституции РФ;
Статьи 86-90 Трудового кодекса РФ;
Федеральных закон от 27.07.2006 № 152-ФЗ «О персональных данных»; Федеральный закон от 07.07.2003 № 126-ФЗ «О связи»; Постановление Правительства РФ от 23.01.2006 № 32 «Об утверждении Правил оказания услуг связи по передаче данных»; Постановление Правительства РФ от 10.09.2007 № 575 «Об утверждении Правил оказания телематических услуг связи»; Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Иные нормативные правовые акты РФ. Документы Общества, закрепляющие деятельность по обработке ПДн: а) устав Общества; б) лицензии на осуществляемые виды деятельности, связанные с обработкой персональных данных; в) настоящая Политика в отношении обработки ПДн; г) согласие на обработку ПДн, выраженным субъектом ПДн; д) договоры гражданско-правового характера, которые заключает Общество с Абонентами и контрагентами.
3. ТЕРМИНЫ И СОКРАЩЕНИЯ Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка ПДн - любое действие (операция) или совокупность действий (операций) с ПДн, совершаемых с использованием средств автоматизации или без их использования. Включает в себя: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц.
Предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
Блокирование ПДн - временное прекращение обработки ПДн (за исключение случаев, если обработка необходима для уточнения ПДн).
Уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту персональных данных.
Информационная система ПДн (ИСПДн) - Совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача ПДН - передача ПДн на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Внутренний распорядительный документ (ВРД) - это документ, в котором фиксируются решения административных и организационных вопросов деятельности Общества, регулирует и координирует деятельность, позволяет органу управления обеспечить реализацию поставленных перед ним задач.
4. ОБЩИЕ ПОЛОЖЕНИЯ 4.1. Деятельность Общества (далее – организация или оператор ПДн), в соответствии с настоящей политикой, направлена на защиту прав и свобод человека и гражданина при обработке его ПДн.
4.2. Настоящая политика действует в отношении всех обрабатываемых в Обществе ПДн нижеуказанных лиц:
- работники Общества, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
- абоненты и контрагенты Общества (физические лица);
- представители /работники Абонентов и контрагентов Обшества (юридических лиц).
Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
4.3. В соответствии с законодательством РФ ПДн являются информацией ограниченного доступа. ПДн могут обрабатываться самостоятельно или в составе другой информации конфиденциального характера, порядок обработки которой устанавливается федеральными законами и нормативными правовыми актами, в частности, о коммерческой тайне (коммерческая тайна), о связи (сведения об абоненте и тайна связи), о банках (банковская тайна), об архивном деле и другими. Порядок обработки ПДн в организации регулируется настоящей политикой в соответствии с требованиями действующего законодательства РФ о ПДн и отраслевого законодательства РФ, если в нем установлен порядок обработки информации ограниченного доступа.
4.4. Организация хранения, учета и использования ПДн осуществляется в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» и ВРД.
4.5. Обращение с документами, переданными на хранение в соответствии с архивным законодательством РФ, не регулируется настоящей политикой.
4.6. Требования настоящей политики распространяются на все процессы, связанные с обработкой ПДн субъектов, и обязательны для исполнения всеми работниками, осуществляющими обработку ПДн.
4.7. Во всех случаях, не урегулированных настоящей политикой, необходимо руководствоваться действующим законодательством Российской Федерации.
5. ОБЕСПЕЧЕНИЕ КОНФИДЕНЦИАЛЬНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ Работники, а также лица, осуществляющие обработку ПДн по поручению организации, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
6. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ 6.1. Общество является оператором ПДн, самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку ПДн, а также определяет цели обработки ПДн, состав ПДн, подлежащих обработке, действия, совершаемые с ПДн.
6.2. Обработка персональных данных субъектов ПДн осуществляется в следующих целях:
- предоставление услуг связи и выполнения требований законодательства о связи;
- обеспечение трудовых и производственных процессов и выполнения требований законодательства РФ, связанного с трудовыми отношениями;
- предоставление услуг, неразрывно связанных с услугами связи;
- выполнение иных требований законодательства РФ.
6.3. Обработка ПДн должна осуществляться на законной основе. Обработке подлежат только ПДн, которые отвечают целям их обработки. Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки. Не допускается объединение ИСПДн, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
6.4. При обработке ПДн должны быть обеспечены их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Должны приниматься необходимые меры по удалению или уточнению неполных или неточных данных. Ответственность за своевременное предоставление сведений об изменении ПДн, обрабатываемых в ИСПДн, возлагается на субъектов ПДн.
6.5. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если иной срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6.6. Обработка ПДн допускается в следующих случаях:
- обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
- обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
- обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом Российской Федерации;
- обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- обработка ПДн необходима для предоставления государственной или муниципальной услуги;
- обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
- обработка ПДн необходима для осуществления прав и законных интересов организации или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
- обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн;
- обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей продвижения товаров, работ, услуг на рынке, политической агитации, при условии обязательного обезличивания ПДн;
- осуществляется обработка ПДн, доступ неограниченного круга лиц, к которым предоставлен субъектом ПДн либо по его просьбе (общедоступные ПДн );
- осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
6.7. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не осуществляется.
6.8 Обработка ПДн может осуществляться:
- работниками организации, имеющими допуск кПДн;
- другими лицами, осуществляющими обработку ПДн по поручению организации.
6.9. Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку ПДн по поручению оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Лицо, осуществляющее обработку ПДн по поручению оператора, не обязано получать согласие субъекта ПДн на обработку его персональных данных.
6.10. Обработка ПДн может осуществляться как с использованием, так и без использования средств автоматизации.
6.11. Автоматизированная обработка ПДн должна осуществляться в ИСПДн в соответствии с настоящей политикой.
6.12. Запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законодательством РФ.
6.13. Неавтоматизированная обработка ПДн должна осуществляться таким образом, чтобы ПДн обособлялись от иной информации, в частности, путем обработки их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм и иным способом.
6.14. Лица, осуществляющие обработку ПДн без использования средств автоматизации, должны быть проинформированы о факте обработки ими ПДн, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также ВРД.
6.15. При неавтоматизированной обработке ПДн, предполагающей использование типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн, необходимо выполнять следующие условия:
6.15.1. типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать:
- сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации;
- реквизиты организации;
- фамилию, имя, отчество и адрес субъекта ПДн;
- источник получения ПДн, сроки обработки ПДн;
- перечень действий с ПДн, которые будут совершаться в процессе их обработки;
- общее описание используемых оператором способов обработки ПДн;
6.15.2. типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку ПДн;
6.15.3. типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;
6.15.4. типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.
6.16. При сохранении ПДн на материальных носителях не допускается сохранение на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн следует использоваться отдельный материальный носитель.
7. ОБЕСПЕЧЕНИЕ ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ 7.1. В предусмотренных законом случаях субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
7.2. Обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его персональных данных или доказательство наличия оснований, указанных в Федеральном законе от 27.07.2006 №152-ФЗ «О персональных данных», возлагается на оператора ПДн.
7.3. Субъект ПДн имеет право на получение информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект ПДн вправе требовать от организации уточнения его персональных данных, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.4. Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, допускается только при условии предварительного согласия субъекта ПДн. Оператор ПДн обязан немедленно прекратить по требованию субъекта персональных данных обработку его ПДн в вышеуказанных целях.
8. ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ 8.1. Все ПДн работника следует получать у него самого. Если ПДн работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие
8.2. Персональные данные иных лиц получаются в соответствии с требованиями действующего законодательства РФ.
8.3. В случае недееспособности субъекта ПДн письменное согласие на обработку его ПДн получается от его законного представителя.
8.4. ПДн могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»
9. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 9.1. Порядок обработки ПДн, обрабатываемых в ИСПДн, определяется ВРД в соответствии с положениями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
9.2. Сроки обработки ПДн, регламентируются действующим законодательством Российской Федерации, в том числе Федеральным законом «О персональных данных», и указываются в Списке персональных данных, в документах, фиксирующих договорные отношения Оператора ПДн с субъектами персональных данных, и в согласиях субъектов на обработку их ПДн.
9.3. ПДн, срок обработки которых истек, должны быть уничтожены, если иное не предусмотрено федеральным законом. Хранение ПДн после истечения срока хранения допускается только после их обезличивания.
10. УТОЧНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ 10.1. Уточнение ПДн, обрабатываемых в ИСПДн осуществляется по запросам субъектов ПДн, их законных представителей или в случае обращения уполномоченного органа по защите прав субъектов ПДн.
10.2. Уточнение ПДн при осуществлении их обработки без использования средств автоматизации следует производить путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, то путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными, уничтожив информацию на старом.
11. ПРЕДОСТАВЛЕНИЕ И ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ 11.1. При предоставлении ПДн третьей стороне должны выполняться следующие условия:
- передача ПДн третьей стороне осуществляется на основании действующего законодательства РФ;
- наличие письменного согласия субъекта ПДн на передачу его ПДн третьей стороне, за исключением случаев предусмотренных законодательством. Передача ПДн третьей стороне осуществляется на основании договора, существенным условием которого является обеспечение третьей стороной безопасности ПДн при их обработке;
11.2. Трансграничная передача ПДн на территорию иностранных государств не осуществляется.
11.3. В целях информационного обеспечения могут создаваться специализированные справочники, содержащие ПДн, к которым с письменного согласия субъекта ПДн может предоставляться доступ неограниченному кругу лиц.
11.4. Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.
12. БЛОКИРОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ 12.1. Основанием блокирования ПДн, относящихся к соответствующему субъекту ПДн, является:
- В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки;
- В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц;
- В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
13. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ 13.1. Основанием для уничтожения ПДн, обрабатываемых в ИСПДн является:
- достижение цели обработки ПДн;
- утрата необходимости в достижении цели обработки ПДн;
- отзыв субъектом ПДн согласия на обработку своих ПДн, за исключением случаев, когда обработка указанных ПДн является обязательной в соответствии с законом РФ или договором. Отзыв согласия на обработку персональных данных (в т.ч. изменения цели обработки) осуществляется путем направления Субъектом ПД соответствующего заявления Оператору ПД в свободной письменной форме по адресу г.Челябинск, Комсомольский пр., д.38-6;
- выявление неправомерных действий с ПДн и невозможности устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты такого выявления;
- истечение срока хранения ПДн, установленного законодательством РФ;
- предписание уполномоченного органа по защите прав субъектов ПДн, Прокуратуры России или решение суда.
13.2. При несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн и при необходимости уничтожения или блокирования части ПДн уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию.
13.3. Уничтожение части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
14. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ 14.1. При обработке ПДн в ИСПДн принимаются правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
14.2. Обеспечение безопасности ПДн осуществляется в рамках установления режима безопасности информации конфиденциального характера.
14.3. Обеспечение безопасности ПДн, в частности, достигается:
- определением угроз безопасности ПДн при их обработке в ИСПДн;
- применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности ПДн;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
- учетом машинных носителей ПДн;
- обнаружением фактов несанкционированного доступа к ПДн и принятием мер к блокированию каналов несанкционированного доступа;
- восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к ПДн, обрабатываемым в ИСПДн,. а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
- контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ПДн в ИСПДн.
14.4. Обеспечение безопасности тайны связи и сведений об абонентах при обработке информации в системах и сетях связи осуществляется в соответствии с требованиями законодательства РФ о связи.
14.5. Обеспечение безопасности ПДн, обрабатываемых в информационных системах при обеспечении оперативно-розыскных мероприятий, осуществляется в соответствии с законодательством РФ об оперативно-розыскной деятельности.
14.6. Уровни защищенности ПДн при их обработке в ИСПДн, требования к защите ПДн, обеспечивающих уровни защищенности ПДн, определяются в зависимости от угроз безопасности персональным данным с учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн, актуальности (уровня) угроз безопасности ПДн в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлениями Правительства РФ, иными нормативными правовыми актами.
14.7. Защита ПДн при неавтоматизированной обработке осуществляется в соответствии с требованиями нормативных правовых актов РФ и ВРД по работе с материальными носителями информации.
15. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ 15.1. Субъект ПДн, чьи персональные данные обрабатываются в ИСПДн, имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
- подтверждение факта обработки ПДн оператором;
- правовые основания и цели обработки ПДн;
- цели и способы обработки ПДн;
- сроки обработки ПДн, в том числе сроки их хранения;
- информацию об осуществленной или о предполагаемой трансграничной передаче ПДн;
- наименование и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.
15.2. Сведения, указанные в п. 15.1, предоставляются субъекту ПДн в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.
16. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ 16.1. Работники организации, виновные в нарушении требований законодательства РФ о ПДн, а также положений настоящей политики, несут предусмотренную законодательством Российской Федерации ответственность.
16.2. Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, а также требований к защите ПДн подлежит возмещению в соответствии с законодательством Российской Федерации.
17. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ 17.1. Настоящая Политика является общедоступной. Общедоступность Политики обеспечивается путем ее опубликования на Интернет-сайте: www.is74.ru
17.2. Настоящая Политика подлежит пересмотру по мере необходимости.
17.3. Лица, чьи персональные данные обрабатываются, могут получить разъяснения по вопросам обработки своих персональных данных, направив соответствующий письменный запрос по почтовому адресу: г.Челябинск, Комсомольский пр., д.38-6.