Политика в отношении обработки конфиденциальной информации, в том числе персональных данных
Политика в отношении обработки конфиденциальной информации, в том числе персональных данных
1. Общие положения
1.1. Настоящий документ определяет политику ООО «ГСКС «Профи» (далее – Организация) в отношении обработки конфиденциальной информации, в том числе персональных данных (далее – Политика), содержащихся в информационных системах Организации (далее – ИС).
1.2. Настоящая Политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных», Федеральным законом Российской Федерации от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации», иными нормативно-правовыми актами.
1.3. Настоящая Политика, все дополнения и изменения к ней утверждаются начальником Организации.
2. Основные понятия, используемые в настоящей Политике
2.1. Персональные данные (далее – ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
2.2. Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации (или без использования таких средств) с персональными данными, включая: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
2.3. Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих их обработку информационных технологий и технических средств.
3. Цели обработки персональных данных
3.1. Организация осуществляет обработку конфиденциальной информации, в том числе ПДн, в целях оказания государственных и муниципальных услуг.
4. Принципы обработки персональных данных
4.1. Обработка конфиденциальной информации, в том числе ПДн, осуществляется Организация на основе следующих принципов:
‒ обработка осуществляется на законной и справедливой основе;
‒ обработка ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора конфиденциальной информации, в том числе персональных данных;
‒ не допускается объединение баз данных, содержащих конфиденциальную информацию, в том числе персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
‒ содержание и объем обрабатываемых конфиденциальной информации, в том числе персональных данных, соответствуют заявленным целям обработки. Обрабатываемые данные не являются избыточными по отношению к заявленным целям их обработки;
‒ при обработке обеспечивается точность конфиденциальной информации, в том числе ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Организация принимает необходимые меры по удалению или уточнению неполных или неточных данных;
‒ хранение конфиденциальной информации, в том числе ПДн, осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки конфиденциальной информации, в том числе ПДн, если срок их хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.
‒ обрабатываемые данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5. Условия обработки персональных данных
5.1. Обработка конфиденциальной информации, в том числе ПДн, должна осуществляться на законной основе.
5.2. Условия обработки конфиденциальной информации, в том числе ПДн, должны соответствовать требованиям статьи 6 Федерального закона Российской Федерации от 27 июля 2006 года №152.
5.3. Условия обработки конфиденциальной информации, в том числе ПДн, должны быть обеспечены мерами, предусмотренными постановлением Правительства Российской Федерации от 01 ноября 2012 года №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (далее - постановление Правительства №1119).
6. Права субъектов персональных данных
6.1. Субъект ПДн, чьи ПДн обрабатываются в ИС, имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
‒ подтверждение факта обработки ПДн Организацией;
‒ правовые основания и цели обработки ПДн;
‒ цели и применяемые Организацией способы обработки ПДн;
‒ наименование и место нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Организации или на основании федеральных законов Российской Федерации;
‒ обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральными законами Российской Федерации;
‒ сроки обработки ПДн, в том числе сроки их хранения;
‒ иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
6.2. Субъект ПДн вправе требовать от Организации уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.3. Субъект ПДн вправе обжаловать действия или бездействие Организации в уполномоченном органе по защите прав субъектов ПДн или в судебном порядке.
6.4. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7. Реализация требований к защите персональных данных
7.1. Реализация требований к защите ПДн в Организации осуществляется применением мер защиты ПДн, предусмотренных Приказом №17 и постановлением Правительства №1119.
7.2. Реализация требований к защите ПДн в Организации включает в себя проведение следующих мероприятий:
‒ определение категории ПДн, обрабатываемых в ИС;
‒ определение угроз безопасности ПДн в ИС;
‒ определение необходимого класса защищенности ИС и уровня защищенности ПДн на основе анализа угроз безопасности и возможного ущерба субъектам ПДн при реализации угроз безопасности конфиденциальной информации, в том числе ПДн;
‒ реализация технических и организационных мер по защите конфиденциальной информации, в том числе ПДн, обрабатываемых в ИС, на основе требований постановления Правительства №1119;
‒ оценка эффективности принимаемых мер по обеспечению безопасности конфиденциальной информации, в том числе ПДн.
8. Заключительные положения
8.1. Настоящая Политика является общедоступной и подлежит размещению на официальном сайте Организации.
8.2. Настоящая Политика подлежит изменению, дополнению в случае принятия новых законодательных актов и специальных нормативных документов по обработке и защите конфиденциальной информации, в том числе ПДн.
8.3. Ответственность работников Организации, имеющих доступ к конфиденциальной информации, в том числе ПДн, за невыполнение требований норм, регулирующих обработку и защиту конфиденциальной информации, в том числе ПДн, определяется в соответствии с законодательством Российский Федерации.