Назначение
Целью настоящей Политики является обеспечение обработки персональных данных (далее по тексту – ПДн) в соответствии с требованиями действующего законодательства в сфере ПДн; обеспечение защиты ПДн, обрабатываемых ООО «Проблеск» (далее по тексту – Общество) от внешних и внутренних, умышленных и непреднамеренных угроз безопасности; обеспечение минимизации ущерба от возможной реализации угроз безопасности ПДн.
В Политике определены перечень субъектов ПДн, ПДн которых обрабатываются в Обществе, цели сбора и обработки ПДн, условия обработки ПДн и их передача третьим лицам, методы защиты ПДн, реализуемые в Обществе, права субъектов ПДн и ответственность должностных лиц Общества.
«Владельцем» процесса является директор Общества, который организует и контролирует работу процесса в соответствии с данным документом и вносит корректировки в него для актуализации. Все изменения в Положение вносятся путем подачи предложений «Владельцу процесса».
Область применения
Настоящая Политика распространяется на всех работников Общества, обеспечивающих обработку ПДн.
Понятия, определения и сокращения
При составлении настоящего документа использовались следующие понятия и определения:
Автоматизированная обработка персональных данных – обработка ПДн с помощью средств вычислительной техники.
Администратор информационной безопасности — работник (в т.ч. работник другого юридического лица), должностные обязанности которого подразумевают обеспечение штатной работы парка компьютерной техники, сети и программного обеспечения в Обществе.
Блокирование персональных данных — временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн)
Информационная система персональных данных – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных – обязательное для соблюдения лицом, получившим доступ к ПДн, требование не допускать их распространения без согласия субъекта ПДн или наличия иного законного основания.
Несанкционированный доступ – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту ПДн).
Предоставление персональных данных — действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
Распространение персональных данных — действия, направленные на раскрытие ПДн неопределенному кругу лиц.
Субъект персональных данных — физическое лицо, которое прямо или косвенно определено или определяемо с помощью ПДн.
Трансграничная передача персональных данных — передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Угрозы безопасности — совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПДн, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение ПДн, а также иные неправомерные действия при их обработке в информационной системе ПДн.
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.
При составлении настоящего документа использовались следующие сокращения:
ИСПДн — информационная система персональных данных.
КоАП РФ — Кодекс административных правонарушений Российской Федерации.
НСД — несанкционированный доступ.
ПДн — персональные данные.
СЗИ — средство защиты информации.
СКЗИ — средство криптографической защиты информации.
ТК РФ — Трудовой кодекс Российской Федерации.
УК РФ — Уголовный кодекс Российской Федерации.
ФЗ — Федеральный Закон.
ФСТЭК — Федеральная служба по техническому и экспортному контролю.
Описание организации процесса / работ
Цель и принципы Политики
Целью настоящей Политики является обеспечение обработки ПДн в соответствии с требованиями действующего законодательства в сфере ПДн; обеспечение защиты ПДн, обрабатываемых от внешних и внутренних, умышленных и непреднамеренных угроз безопасности; обеспечение минимизации ущерба от возможной реализации угроз безопасности ПДн.
Политика разработана в соответствии с целями, задачами и принципами обеспечения безопасности ПДн в Обществе.
Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных», Постановления Правительства РФ от 01.11.2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и постановления Правительства Российской Федерации от 15.09.2008г. № 687 «Об утверждении Положения об особенностях обработки данных, осуществляемой без использования средств автоматизации.
Безопасность ПДн достигается путем выполнения необходимых правовых, организационных и технических мер защиты информации для исключения или существенного затруднения неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн и иных неправомерных действий в отношении ПДн.
При обработке ПДн, Общество придерживается следующих принципов:
соблюдение законности получения, обработки, хранения, а также других действий с ПДн;
обработка ПДн исключительно в целях, перечисленных в п.4.2 настоящей Политики;
хранение ПДн, обработка которых осуществляется с несвязанными между собой целями, в различных базах данных;
сбор только тех ПДн, которые необходимы для достижения заявленных целей обработки;
выполнение мер по обеспечению безопасности ПДн, их точности, достаточности и других характеристик при обработке и хранении;
соблюдение прав субъекта ПДн на доступ к его ПДн;
соблюдение требований по уничтожению либо обезличиванию ПДн по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
Общество не производит обработку ПДн субъектов ПДн в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации.
В Обществе не организованно принятие решений на основании исключительно автоматизированной обработки ПДн.
Цели сбора и обработки ПДн
Обработка ПДн работников и иных лиц производится с целью организации взаимодействия работников Общества, оформления трудовых отношений, оплаты труда работников и формирования установленных отчетов в соответствии с трудовым, налоговым, административным законодательством, законодательством о страховых взносах, трудовыми договорами и т.д.
Обработка ПДн представителей контрагентов и клиентов осуществляется с целью выполнения обязательств по заключенным договорам возмездного оказания услуг и контроля доступа посетителей на территорию Общества. При этом- согласие на обработку ПДн с контрагентов и клиентов не собирается.
Договоры должны предусматривать пункт о соблюдении конфиденциальности ПДн сторон.
Правовые основания обработки ПДн:
ТК РФ и иное законодательство РФ (налоговое, пенсионное, страховое), регулирующее трудовые отношения;
уставные документы;
договора, заключаемые между Обществом и физическими лицами, работниками контрагентов – юридических лиц;
согласие на обработку ПДн.
Обрабатываемые ПДн
Категории субъектов ПДн, обрабатываемых в Обществе:
работники, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников (бывших работников);
представители контрагентов;
клиенты;
иные лица, чьи данные необходимо обрабатывать в соответствии с трудовым и другими законодательствами (для выплаты алиментов по решению суда, в целях заполнения личной карточки работника (формы Т2) в соответствии с трудовым законодательством и т.д.).
Под обработкой ПДн в Обществе понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
В Обществе НЕ допускается обработка следующих категорий ПДн:
расовая принадлежность;
политические взгляды;
философские убеждения;
состояние интимной жизни;
национальная принадлежность;
религиозные убеждения.
В Обществе допускается обработка ПДн, касающихся состояния здоровья в случаях, если обработка осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях.
В целях информационного обеспечения, в Обществе могут создаваться общедоступные источники Пдн (справочники, адресные книги, сайт и т.д.). В общедоступные источники ПДн с письменного согласия субъекта ПДн могут включаться его фамилия, имя, отчество, абонентский номер, сведения о профессии, электронный адрес и иные Пдн, сообщаемые субъектом ПДн.
Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников ПДн по требованию субъекта ПДн, либо по решению суда или иных уполномоченных государственных органов.
Условия обработки ПДн и их передача третьим лицам
Обработка ПДн в Обществе происходит как с использованием средств автоматизации, так и без использования таких средств.
Обработка ПДн без использования средств автоматизации осуществляется в соответствии с Положением об особенностях обработки данных, осуществляемой без использования средств автоматизации, утвержденном Постановлением Правительства РФ от 15.09.2008г. № 687.
Обработка ПДн с использованием средств автоматизации осуществляется в соответствии с Постановлением Правительства Российской Федерации от 01.11.2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
К обработке ПДн в Обществе допускаются только работники, прошедшие определенную процедуру допуска, к которой относятся:
ознакомление работника под роспись с локальными документами Общества (положения, инструкции и т.д.), строго регламентирующими порядок и процедуру работы с ПДн;
взятие с работника Обязательства о конфиденциальности и неразглашении персональных данных;
получение работником и использование в работе индивидуальных атрибутов доступа к ИСПДн Общества, содержащим в себе ПДн, производится в соответствии с внутренними нормативными документами.
Перечень действий, совершаемых Обществом с ПДн субъектов ПДн:
сбор;
запись;
систематизация;
накопление;
хранение;
уточнение (обновление, изменение);
извлечение;
использование;
передача;
обезличивание;
блокирование;
удаление;
уничтожение.
Сроки обработки ПДн в Общесмтве определяются целями обработки, локальными нормативными актами Общества, но не более чем установлены приказом Министерства культуры Российской Федерации от 25 августа 2010 г. № 558 об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», «Перечнем типовых архивных документов, образующихся в научно-технической и производственной деятельности организаций, с указанием сроков хранения», утвержденным приказом Министерства культуры и массовых коммуникаций Российской Федерации от 31.072007г. № 1182, а также иными требованиями законодательства Российской Федерации (по срокам исковой давности, по оформлению трудовых отношений и т.д.), нормативных документов федеральных органов исполнительной власти, документов, фиксирующих договорные отношения с субъектами ПДн, и согласий субъектов на обработку ПДн.
В случае подтверждения факта неточности ПДн или неправомерности их обработки, Пдн подлежат их актуализации, а обработка должна быть прекращена.
При достижении целей обработки ПДн, а также в случае отзыва субъектом ПДн согласия на их обработку ПДн подлежат уничтожению, если:
иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект Пдн;
Общество не вправе осуществлять обработку ПДн без согласия субъекта Пдн на основаниях, предусмотренных Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных» или иными федеральными законами;
иное не предусмотрено иным соглашением между Обществом и субъектом ПДн.
Порядок хранения ПДн
ПДн хранятся в бумажном и электронном виде. В электронном виде ПДн хранятся в ИСПДн Общества, а так же в архивных копиях баз данных этих ИСПДн.
Хранение ПДн в структурных подразделениях Общества, работники которых имеют допуск к ПДн, осуществляется в порядке, исключающим к ним доступ третьих лиц.
Помещения, в которых хранятся бумажные документы и машинные носители, содержащие ПДн, должны обеспечивать их сохранность, исключать возможность бесконтрольного проникновения в них посторонних лиц.
В течение рабочего дня ключи от шкафов (ящиков, хранилищ), в которых содержатся ПДн, а также помещений, где находятся бумажные документы и машинные носители, а также средства вычислительной техники, предназначенные для хранения ПДн, находятся у работников, которые непосредственно выполняют обработку и хранение ПДн либо у руководителя подразделения.
По окончании рабочего времени помещения, предназначенные для хранения ПДн, должны быть закрыты на ключ. Бесконтрольный доступ в такие помещения должен быть исключен (например, применением опечатывания, видеонаблюдения или систем контроля доступа).
Машинные носители, на которых хранятся и передаются ПДн, должны быть зарегистрированы в журнале учета машинных носителей информации администратором информационной безопасности.
Безопасное хранение ПДн в ИСПДн обеспечивается применением сертифицированных СЗИ и СКЗИ.
Передача ПДн
Для целей обработки ПДн Общество может передавать ПДн исключительно своим работникам и третьим лицам, подписавшим личное обязательство о конфиденциальности и неразглашении ПДн. Лица, получившие ПДн, должны быть предупреждены, что данные могут быть использованы лишь в целях, для которых они переданы.
Передача ПДн третьим лицам возможна в исключительных случаях только с согласия субъекта ПДн и только с целью исполнения обязанностей перед субъектом ПДн в рамках договора только при наличии пункта о соблюдении конфиденциальности, либо когда такая обязанность у Общества наступает в результате требований федерального законодательства или при поступлении запроса от уполномоченных государственных органов. В последнем случае Общество ограничивает передачу ПДн запрошенным объемом.
Запрещается передавать кому-либо ПДн субъектов в коммерческих целях без письменного согласия субъектов ПДн.
Трансграничная передача ПДн не осуществляется.
Защита ПДн
Защита ПДн от неправомерного, в том числе случайного, доступа к ПДн обеспечивается в порядке, установленном действующим законодательством и локальными документами Общества, выполнением комплекса организационно-технических мер, обеспечивающих их безопасность.
В частности, обеспечение безопасности ПДн в Обществе достигается следующими мерами:
назначением работника, ответственного за организацию обработки ПДн;
проведением аудита ИСПДн, содержащих ПДн, проведением их классификации;
разработкой частной модели угроз безопасности ПДн;
назначением для ИСПДн ответственных лиц (администратор ИСПДн, администратор безопасности, ответственный пользователь СКЗИ);
определением перечня лиц, допущенных к работе с ПДн;
разработкой и утверждением локальных документов Общества, регламентирующих порядок обработки ПДн, разработкой для пользователей и ответственных лиц рабочих инструкций;
проведением периодического обучения и повышением осведомленности работников в области защиты ПДн;
реализацией технических мер, снижающих вероятность реализаций угроз безопасности ПДн, при помощи сертифицированных СЗИ и СКЗИ;
проведением периодических проверок состояния защищенности ИСПДн;
реализацией мер физического ограничения доступа к местам хранения бумажных документов и машинных носителей ПДн.
Обеспечение конфиденциальности ПДн не требуется в отношении общедоступных ПДн и в случае обезличивания ПДн.
Права субъектов ПДн
Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, за исключением случаев, когда право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами.
В частности, субъект ПДн имеет право на получение следующей информации, касающейся обработки его ПДн:
подтверждение факта обработки ПДн;
правовые основания и цели обработки ПДн;
цели и применяемые способы обработки ПДн;
сведения о лицах (за исключением работников Общества), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора или на основании федерального закона;
обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения;
сроки обработки ПДн, в том числе сроки их хранения;
порядок осуществления субъектом ПДн своих прав;
иные сведения, предусмотренные Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами.
Получить данную информацию субъект ПДн может, обратившись с письменным запросом в Общество или организацию, занимающуюся обработкой ПДн по поручению Общества. Ответ, содержащий запрашиваемую информацию, либо мотивированный отказ в ее предоставлении направляется по адресу, указанному в запросе. Срок предоставления ответа либо мотивированного отказа на обращение субъекта ПДн или его законного представителя устанавливается в соответствии с п. 1 ст. 20 Федерального закона № 152-ФЗ «О персональных данных» и составляет не более тридцати дней с момента получения обращения. Запросы субъектов ПДн и ответы на них регистрируются в установленном в Обществе порядке.
Обязанности Общества
Общество обязуется осуществлять обработку ПДн только с согласия субъектов ПДн, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных».
При сборе ПДн Общество обязуется по запросу субъекта ПДн предоставлять информацию, касающуюся обработки его ПДн, перечисленную в п.4.8 настоящей Политики. В случае если предоставление ПДн субъектом ПДн Общества является обязательным в соответствии с федеральным законом, Общество обязуется разъяснять субъекту ПДн юридические последствия отказа предоставить его ПДн.
Если ПДн получены не от субъекта ПДн, Общество до начала обработки таких ПДн обязуется предоставить субъекту ПДн сведения, касающиеся обработки его ПДн в соответствии с требованиями Федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных». В случаях, если Общество не является оператором ПДн, полученных от субъектов ПДн, обязанность по предоставлению субъекту ПДн соответствующих сведений возлагается на оператора ПДн, от которого эти данные получены.
Общество при обработке ПДн обязуется принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн. Описание принимаемых мер приведено в п.4.1 настоящей Политики.
Общество обязуется отвечать на запросы субъектов ПДн, их представителей, а также уполномоченного органа по защите прав субъектов ПДн касательно обрабатываемых ПДн в соответствии с требованиями законодательства.
В случае предоставления субъектом ПДн, либо его представителем сведений, подтверждающих факты каких-либо нарушений в процессе обработки ПДн, Общество обязуется устранить данные нарушения в течение 7 рабочих дней и уведомить субъекта ПДн любым удобным способом о внесенных изменениях и предпринятых мерах.
В случае достижения целей обработки ПДн Общество обязуется прекратить обработку ПДн и уничтожить ПДн в течение тридцати дней, если иное не предусмотрено условиями договора, заключенного с субъектом ПДн, либо иным соглашением.
Общество обязуется уведомлять уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных». В случае изменения предоставленных сведений Общество обязуется предоставлять актуализированные сведения в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки ПДн.
Ответственность
Лица, виновные в нарушении требований Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Общество несет административную ответственность согласно ст.13.11 КоАП за нарушение порядка сбора, хранения, использования или распространения ПДн. В соответствии с ТК РФ Общество имеет право расторгнуть трудовой договор с работником в случае разглашения им ПДн другого работника.
Должностные лица Общества, получившие доступ к ПДн в связи с исполнением служебных обязанностей, несут административную ответственность согласно ст.13.14 КоАП.
Неправомерный доступ к ПДн, обрабатываемым с использованием средств автоматизации, лицами, в том числе с использованием служебного положения, влечет уголовную ответственность согласно ст.272 УК РФ в случае, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование ПДн, а также нарушение работы средств автоматизации.
В соответствии с ТК РФ работник имеет право инициировать в судебном порядке индивидуальный трудовой спор о неправомерных действиях (бездействии) Общества при обработке и защите ПДн работника.
Изменение политики
Политика подлежит пересмотру в случае существенных изменений деятельности Общества, изменений в законодательстве в области защиты ПДн и иных подобных случаях.
Сопутствующая документация
При разработке данной Политики использовались следующие нормативные документы:
Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных»;
Постановление Правительства РФ от 01.11.2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Постановление Правительства от 15.09.2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Приказ ФСБ от 10.07.2014г. № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
Приказ ФСТЭК от 18.02.2013г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
Приказ Министерства культуры Российской Федерации от 25.08.2010г. № 558 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»;
Приказ Министерства культуры и массовых коммуникаций Российской Федерации от 31.07.2007г. № 1182 «Об утверждении Перечня типовых архивных документов, образующихся в научно-технической и производственной деятельности организаций, с указанием сроков хранения».