Cannot find 'cs_menu' template with page ''

Политика в отношении обработки конфиденциальной информации, в том числе персональных данных

Политика в отношении обработки конфиденциальной информации, в том числе персональных данных

1. Общие положения

1.1. Настоящий документ определяет политику ООО «ГСКС «Профи» (далее – Организация) в отношении обработки конфиденциальной информации, в том числе персональных данных (далее – Политика), содержащихся в информационных системах Организации (далее – ИС).

1.2. Настоящая Политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных», Федеральным законом Российской Федерации от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации», иными нормативно-правовыми актами.

1.3. Настоящая Политика, все дополнения и изменения к ней утверждаются начальником Организации.

2. Основные понятия, используемые в настоящей Политике

2.1. Персональные данные (далее – ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

2.2. Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации (или без использования таких средств) с персональными данными, включая: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.

2.3. Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих их обработку информационных технологий и технических средств.

3. Цели обработки персональных данных

3.1. Организация осуществляет обработку конфиденциальной информации, в том числе ПДн, в целях оказания государственных и муниципальных услуг.

4. Принципы обработки персональных данных

4.1. Обработка конфиденциальной информации, в том числе ПДн, осуществляется Организация на основе следующих принципов:

‒ обработка осуществляется на законной и справедливой основе;

‒ обработка ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора конфиденциальной информации, в том числе персональных данных;

‒ не допускается объединение баз данных, содержащих конфиденциальную информацию, в том числе персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

‒ содержание и объем обрабатываемых конфиденциальной информации, в том числе персональных данных, соответствуют заявленным целям обработки. Обрабатываемые данные не являются избыточными по отношению к заявленным целям их обработки;

‒ при обработке обеспечивается точность конфиденциальной информации, в том числе ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Организация принимает необходимые меры по удалению или уточнению неполных или неточных данных;

‒ хранение конфиденциальной информации, в том числе ПДн, осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки конфиденциальной информации, в том числе ПДн, если срок их хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

‒ обрабатываемые данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5. Условия обработки персональных данных

5.1. Обработка конфиденциальной информации, в том числе ПДн, должна осуществляться на законной основе.

5.2. Условия обработки конфиденциальной информации, в том числе ПДн, должны соответствовать требованиям статьи 6 Федерального закона Российской Федерации от 27 июля 2006 года №152.

5.3. Условия обработки конфиденциальной информации, в том числе ПДн, должны быть обеспечены мерами, предусмотренными постановлением Правительства Российской Федерации от 01 ноября 2012 года №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (далее - постановление Правительства №1119).

6. Права субъектов персональных данных

6.1. Субъект ПДн, чьи ПДн обрабатываются в ИС, имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

‒ подтверждение факта обработки ПДн Организацией;

‒ правовые основания и цели обработки ПДн;

‒ цели и применяемые Организацией способы обработки ПДн;

‒ наименование и место нахождения Организации, сведения о лицах (за исключением работников Организации), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Организации или на основании федеральных законов Российской Федерации;

‒ обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральными законами Российской Федерации;

‒ сроки обработки ПДн, в том числе сроки их хранения;

‒ иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

6.2. Субъект ПДн вправе требовать от Организации уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.3. Субъект ПДн вправе обжаловать действия или бездействие Организации в уполномоченном органе по защите прав субъектов ПДн или в судебном порядке.

6.4. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7. Реализация требований к защите персональных данных

7.1. Реализация требований к защите ПДн в Организации осуществляется применением мер защиты ПДн, предусмотренных Приказом №17 и постановлением Правительства №1119.

7.2. Реализация требований к защите ПДн в Организации включает в себя проведение следующих мероприятий:

‒ определение категории ПДн, обрабатываемых в ИС;

‒ определение угроз безопасности ПДн в ИС;

‒ определение необходимого класса защищенности ИС и уровня защищенности ПДн на основе анализа угроз безопасности и возможного ущерба субъектам ПДн при реализации угроз безопасности конфиденциальной информации, в том числе ПДн;

‒ реализация технических и организационных мер по защите конфиденциальной информации, в том числе ПДн, обрабатываемых в ИС, на основе требований постановления Правительства №1119;

‒ оценка эффективности принимаемых мер по обеспечению безопасности конфиденциальной информации, в том числе ПДн.

8. Заключительные положения

8.1. Настоящая Политика является общедоступной и подлежит размещению на официальном сайте Организации.

8.2. Настоящая Политика подлежит изменению, дополнению в случае принятия новых законодательных актов и специальных нормативных документов по обработке и защите конфиденциальной информации, в том числе ПДн.

8.3. Ответственность работников Организации, имеющих доступ к конфиденциальной информации, в том числе ПДн, за невыполнение требований норм, регулирующих обработку и защиту конфиденциальной информации, в том числе ПДн, определяется в соответствии с законодательством Российский Федерации.