Политика
в отношении обработки и защиты персональных данных
федерального государственного бюджетного учреждения «Научно-технический институт межотраслевой информации»
(ОПЕРАТОР)
1. Общие положения
- 1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с пунктом 2 статьи 18.1 Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006г., а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – ПД), которые федеральное государственное бюджетное учреждение «Научно-технический институт межотраслевой информации» (НТИМИ) (далее – Оператор) может получить от субъекта персональных данных, являющегося стороной по гражданско-правовому договору, а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работник).
- 1.2. Политика Оператора определяет основные принципы, цели, условия и способы обработки ПД, перечни субъектов и состав обрабатываемых Оператором ПД, действия и операции, совершаемые с персональными данными, права субъектов ПД, а также содержит сведения о реализуемых Оператором требованиях к защите персональных данных.
- 1.3. Политика принята с целью защиты прав и свобод человека и гражданина при обработке ПД, в том числе, защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
- 1.4. Оператор обеспечивает защиту обрабатываемых ПД от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
- 1.5. Изменение Политики
- 1.5.1. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.
2. Термины и принятые сокращения
- 2.1. Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
- 2.2. Оператор персональных данных (Оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Оператором является федеральное государственное бюджетное учреждение «Научно-технический институт межотраслевой информации», расположенное по адресу: 125252, г. Москва, ул. Зорге д. 22, корп. 1,2. - 2.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
- 2.4. Автоматизированная обработка ПД – обработка персональных данных с помощью средств вычислительной техники.
- 2.5. Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств.
- 2.6. Блокирование персональных данных – временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения персональных данных).
- 2.7. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПД в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
- 2.8. Распространение персональных данных - действия, направленные на раскрытие ПД определенному кругу лиц;
- 2.9. Предоставление персональных данных - действия, направленные на раскрытие ПД определенному лицу или определенному кругу лиц;
- 2.10. Обезличивание ПД - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному субъекту ПД.
3. Принципы, цели сбора и обработки персональных данных
- 3.1. Оператор, являясь оператором ПД, осуществляет обработку ПД Работников и других субъектов ПД, не состоящих с Оператором в трудовых отношениях.
- 3.2. Обработка ПД Оператором осуществляется с учетом необходимости обеспечения защиты прав и свобод Работников и других субъектов ПД, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
- • обработка ПД осуществляется Оператором на законной и справедливой основе;
- • обработка ПД ограничивается достижением конкретных, заранее определенных и законных целей;
- • не допускается обработка ПД, несовместимая с целями сбора ПД;
- • не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой;
- • обработке подлежат только ПД, которые отвечают целям их обработки;
- • содержание и объем обрабатываемых ПД соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых ПД по отношению к заявленным целям их обработки;
- • при обработке ПД обеспечиваются точность ПД, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПД. Оператором принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных ПД;
- • хранение ПД осуществляется в форме, позволяющей определить субъекта ПД, не дольше, чем того требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого или поручителем по которому является субъект ПД;
- • обрабатываемые ПД уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
- 3.3. ПД обрабатываются Оператором в целях:
- • обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Оператора;
- • осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора, в том числе по предоставлению ПД в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
- • регулирования трудовых отношений с работниками Оператор (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
- • защиты жизни, здоровья или иных жизненно важных интересов субъектов ПД;
- • подготовки, заключения, исполнения и прекращения договоров с контрагентами;
- • обеспечения пропускного и внутриобъектового режимов в Оператор;
- • формирования справочных материалов для внутреннего информационного обеспечения деятельности Оператор»;
- • исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- • осуществления прав и законных интересов Оператор в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Оператора, или третьих лиц либо достижения общественно значимых целей;
- • в иных законных целях.
4. Правовые основания обработки персональных данных
- 4.1. Политика обработки ПД определяется в соответствии со следующими нормативными правовыми актами:
- • Трудовой кодекс Российской Федерации;
- • Федеральный закон от 27 июля 2006г. № 152-ФЗ «О персональных данных»;
- • Указ Президента Российской Федерации от 06 марта 1997г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
- • постановление Правительства Российской Федерации от 15 сентября 2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- • постановление Правительства Российской Федерации от 06 июля 2008г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- • постановление Правительства Российской Федерации от 01 ноября 2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- • приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13 февраля 2008г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
- • приказ ФСТЭК России от 18 февраля 2013г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- • приказ Роскомнадзора от 05 сентября 2013г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
- • иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
5. Обработка персональных данных
- 5.1. Получение ПД.
- 5.1.1. Все ПД следует получать от самого субъекта. Если ПД субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.
- 5.1.2. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПД, характере подлежащих получению ПД, перечне действий с ПД, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.
- 5.1.3. Документы, содержащие ПД, создаются путем:
- – копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);
- – внесения сведений в учетные формы;
- – получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).
- 5.2. Обработка ПД.
- 5.2.1. Обработка ПД осуществляется:
- – с согласия субъекта ПД на обработку его ПД;
- – в случаях, когда обработка ПД необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;
- – в случаях, когда осуществляется обработка ПД, доступ неограниченного круга лиц к которым предоставлен субъектом ПД либо по его просьбе (далее – ПД, сделанные общедоступными субъектом ПД).
- 5.2.2. Категории субъектов ПД.
- Обрабатываются ПД следующих субъектов ПД:
- – кандидатов, работников, родственников работников, лиц, ранее состоявших в трудовых отношениях с Оператором;
- – физических лиц по договорам гражданско-правового характера, авторов результатов интеллектуальной деятельности;
- – контрагентов - физических лиц, представителей и работников контрагентов (юридических лиц).
- 5.2.3. ПД, обрабатываемые Оператором:
- – данные, полученные при осуществлении трудовых отношений;
- – данные, полученные для осуществления отбора кандидатов на работу;
- – данные, полученные при осуществлении гражданско-правовых отношений.
- 5.2.4. Обработка ПД ведется:
- – с использованием средств автоматизации;
- – без использования средств автоматизации.
- 5.2.5. В случае предоставления субъектом ПД фактов о неполных, устаревших, недостоверных или незаконно полученных ПД Оператор обязан внести необходимые изменения, уничтожить или блокировать их, а также уведомить о своих действиях субъекта ПД.В случае подтверждения факта неточности ПД подлежат их актуализации Оператором, а при неисправности их обработки такая обработка должна быть прекращена.
- 5.3. Хранение ПД.
- 5.3.1. ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
- 5.3.2. ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
- 5.3.3. ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.
- 5.3.4. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.
- 5.3.5. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено федеральными законами.
- 5.4. Уничтожение ПД.
- 5.4.1. Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
- 5.4.2. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.
- 5.4.3. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей.
- 5.5. Передача ПД.
- 5.5.1. Оператор передает ПД третьим лицам в следующих случаях:
- – субъект выразил свое согласие на такие действия;
- – передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.
- 5.5.2. Перечень лиц, которым передаются ПД.
- Третьи лица, которым передаются ПД:
- – Пенсионный фонд РФ для учета (на законных основаниях);
- – налоговые органы РФ (на законных основаниях);
- – Фонд социального страхования РФ (на законных основаниях);
- – территориальный фонд обязательного медицинского страхования (на законных основаниях);
- – страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);
- – банки для начисления заработной платы (на основании договора);
- – органы МВД России в случаях, установленных законодательством;
- – военные комиссариаты РФ в случаях, установленных законодательством;
- – иным лицам в случаях, предусмотренных действующим законодательством Российской Федерации.
6. Защита персональных данных
- 6.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
- 6.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
- 6.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
- 6.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.
- 6.5. Основными мерами защиты ПД, используемыми Оператором, являются:
- 6.5.1. Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПД.
- 6.5.2. Определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мер и мероприятий по защите ПД.
- 6.5.3. Разработка политики в отношении обработки ПД.
- 6.5.4. Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД.
- 6.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
- 6.5.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
- 6.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
- 6.5.8. Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ.
- 6.5.9. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
- 6.5.10. Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
- 6.5.11. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о ПД, в том числе требованиям к защите ПД, документам, определяющим политику Оператора в отношении обработки ПД, локальным актам по вопросам обработки ПД.
- 6.5.12. Осуществление внутреннего контроля и аудита.
7. Основные права субъекта ПД и обязанности Оператора
- 7.1. Основные права субъекта ПД.
- Субъект имеет право на доступ к его ПД и следующим сведениям:
- – подтверждение факта обработки ПД Оператором;
- – правовые основания и цели обработки ПД;
- – цели и применяемые Оператором способы обработки ПД;
- – наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона;
- – сроки обработки ПД, в том числе сроки их хранения;
- – порядок осуществления субъектом ПД прав, предусмотренных настоящим Федеральным законом от 27 июля 2006г. № 152-ФЗ «О персональных данных»;
- – наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Оператора, если обработка поручена или будет поручена такому лицу;
- – обращение к Оператору и направление ему запросов;
- – обжалование действий или бездействия Оператора.
- 7.2. Обязанности Оператора.
- Оператор обязан:
- – при сборе ПД предоставить информацию об обработке ПД;
- – в случаях если ПД были получены не от субъекта ПД, уведомить субъекта;
- – при отказе в предоставлении ПД субъекту разъясняются последствия такого отказа;
- – опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;
- – принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
- – давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.