АО «Центр Информатизации РМ» - Политика в отношении обработки персональных данных

Электроника

 
15 | 10 | 2024
Подписка

Политика в отношении обработки персональных данных

Политика АО «ЦИРМ» в отношении обработки персональных данных и реализуемых требованиях к защите персональных данных


1. Общие положения
1.1. Настоящая Политика АО «ЦИРМ» в отношении обработки персональных данных и реализуемых требованиях к защите персональных данных (далее – Политика) разработана в целях соблюдения законодательства в области защиты персональных данных, защиты от несанкционированного доступа и разглашения персональных данных, обрабатываемых АО «ЦИРМ».
1.2. Настоящая Политика действует в отношении информации, относящейся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
1.3. Политика действует бессрочно после утверждения единоличным исполнительным органом АО «ЦИРМ» и подлежит изменению в случае появления новых законодательных актов и специальных нормативных документов, касающихся обработки персональных данных.
1.4. Перечень действий с персональными данными, общее описание используемых способов обработки персональных данных: смешанная обработка персональных данных с передачей по внутренней сети (информация доступна лишь для строго определенных сотрудников АО «ЦИРМ»).
2. Основные понятия
2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. Оператор - АО «ЦИРМ», организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.4. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.5. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.6. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
3. Условия обработки персональных данных
3.1. Обработка персональных данных осуществляется на законной основе, правовыми основаниями обработки являются:
•    Конституция Российской Федерации;
•    Трудовой кодекс Российской Федерации;
•    Гражданский кодекс Российской Федерации;
•    Налоговый кодекс Российской Федерации;
•    Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных»;
•    Федеральный закон от 06.04.2011г. № 63-ФЗ «Об электронной подписи»;
•    Федеральный закон от 04.05.2011г. № 99-ФЗ «О лицензировании отдельных видов деятельности»;
•    Федеральный закон от 07.07.2003г. № 126-ФЗ «О связи»;
•    Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
•    Федеральный закон от 29.12.2012 N 273-ФЗ «Об образовании в Российской Федерации».
3.2. Категории персональных данных, обрабатываемых АО «ЦИРМ»: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, ИНН, паспортные данные, пенсионное удостоверение, страховое свидетельство, гражданство и другие категории персональных данных, обрабатываемые оператором, не указанные в настоящем пункте.
3.3. Категории субъектов персональных данных: работники (субъекты), находящиеся в трудовых отношениях с АО «ЦИРМ», контрагенты.
4. Право субъекта персональных данных на доступ к его персональным данным
4.1. Субъект персональных данных имеет право на получение следующих сведений:
•    подтверждение факта обработки персональных данных оператором;
•    правовые основания и цели обработки персональных данных;
•    цели и применяемые оператором способы обработки персональных данных;
•    наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
•    обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
•    сроки обработки персональных данных, в том числе сроки их хранения;
•    порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
•    информацию об осуществленной или о предполагаемой трансграничной передаче данных;
•    наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
•    иные сведения, предусмотренные Федеральным законом или другими федеральными законами.
4.2. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.3. Указанные в пункте 1 настоящего Порядка сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
4.4. Указанные в пункте 1 настоящего Порядка сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
4.5. В случае, если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
4.6. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения указанных в п. 1 настоящего Порядка сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения 30 дней, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.
4.7. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 4 и 5 настоящего Порядка. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
4.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
5. Меры, применяемые для защиты персональных данных
5.1. АО «ЦИРМ» принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных субъектов.
К таким мерам, в частности, АО «ЦИРМ» относит:
•    назначение сотрудника, ответственного за организацию обработки персональных данных;
•    осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006г. № 152-ФЗ «О персональных данных»;
•    ознакомление работников АО «ЦИРМ», непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, с требованиями к защите персональных данных, с документами, определяющими политику АО «ЦИРМ» в отношении обработки персональных данных, локальными документами по вопросам обработки персональных данных;
•    определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных АО «ЦИРМ»;
•    применение прошедшей в установленном порядке процедуры оценки соответствия средств защиты информации;
•    систематическое осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;
•    осуществление учета машинных носителей персональных данных;
•    установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
•    контроль над принимаемыми мерами по обеспечению безопасности персональных данных и уровнями защищенности информационных систем персональных данных.
6. Методы защиты персональных данных
6.1. Методами защиты персональных данных являются:
•    реализация разрешительной системы допуска к обработке персональных данных;
•    ограничение доступа в помещения, где размещены технические средства, осуществляющие обработку персональных данных, а также хранятся носители информации;
•    разграничение доступа к персональным данным;
•    регистрация действий сотрудников, контроль несанкционированного доступа к персональным данным;
•    использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
•    резервное копирование информации для возможности восстановления;
•    использование защищенных каналов связи.