Политика
в отношении обработки и защиты персональных данных

федерального государственного бюджетного учреждения «Научно-технический институт межотраслевой информации»

(ОПЕРАТОР)

1. Общие положения

• 1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с пунктом 2 статьи 18.1 Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006г., а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – ПД), которые федеральное государственное бюджетное учреждение «Научно-технический институт межотраслевой информации» (НТИМИ) (далее – Оператор) может получить от субъекта персональных данных, являющегося стороной по гражданско-правовому договору, а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работник).


• 1.2. Политика Оператора определяет основные принципы, цели, условия и способы обработки ПД, перечни субъектов и состав обрабатываемых Оператором ПД, действия и операции, совершаемые с персональными данными, права субъектов ПД, а также содержит сведения о реализуемых Оператором требованиях к защите персональных данных.


• 1.3. Политика принята с целью защиты прав и свобод человека и гражданина при обработке ПД, в том числе, защиты прав на неприкосновенность частной жизни, личную и семейную тайну.


• 1.4. Оператор обеспечивает защиту обрабатываемых ПД от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».


• 1.5. Изменение Политики


• 1.5.1. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.

2. Термины и принятые сокращения

• 2.1. Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).


• 2.2. Оператор персональных данных (Оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
  Оператором является федеральное государственное бюджетное учреждение «Научно-технический институт межотраслевой информации», расположенное по адресу: 125252, г. Москва, ул. Зорге д. 22, корп. 1,2.


• 2.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.


• 2.4. Автоматизированная обработка ПД – обработка персональных данных с помощью средств вычислительной техники.


• 2.5. Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств.


• 2.6. Блокирование персональных данных – временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения персональных данных).


• 2.7. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПД в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.


• 2.8. Распространение персональных данных - действия, направленные на раскрытие ПД определенному кругу лиц;


• 2.9. Предоставление персональных данных - действия, направленные на раскрытие ПД определенному лицу или определенному кругу лиц;


• 2.10. Обезличивание ПД - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному субъекту ПД.

3. Принципы, цели сбора и обработки персональных данных

• 3.1. Оператор, являясь оператором ПД, осуществляет обработку ПД Работников и других субъектов ПД, не состоящих с Оператором в трудовых отношениях.


• 3.2. Обработка ПД Оператором осуществляется с учетом необходимости обеспечения защиты прав и свобод Работников и других субъектов ПД, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:


• • обработка ПД осуществляется Оператором на законной и справедливой основе;


• • обработка ПД ограничивается достижением конкретных, заранее определенных и законных целей;


• • не допускается обработка ПД, несовместимая с целями сбора ПД;


• • не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой;


• • обработке подлежат только ПД, которые отвечают целям их обработки;


• • содержание и объем обрабатываемых ПД соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых ПД по отношению к заявленным целям их обработки;


• • при обработке ПД обеспечиваются точность ПД, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПД. Оператором принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных ПД;


• • хранение ПД осуществляется в форме, позволяющей определить субъекта ПД, не дольше, чем того требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого или поручителем по которому является субъект ПД;


• • обрабатываемые ПД уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.


• 3.3. ПД обрабатываются Оператором в целях:


• • обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Оператора;


• • осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора, в том числе по предоставлению ПД в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;


• • регулирования трудовых отношений с работниками Оператор (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);


• • защиты жизни, здоровья или иных жизненно важных интересов субъектов ПД;


• • подготовки, заключения, исполнения и прекращения договоров с контрагентами;


• • обеспечения пропускного и внутриобъектового режимов в Оператор;


• • формирования справочных материалов для внутреннего информационного обеспечения деятельности Оператор»;


• • исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;


• • осуществления прав и законных интересов Оператор в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Оператора, или третьих лиц либо достижения общественно значимых целей;


• • в иных законных целях.

4. Правовые основания обработки персональных данных

• 4.1. Политика обработки ПД определяется в соответствии со следующими нормативными правовыми актами:


• • Трудовой кодекс Российской Федерации;


• • Федеральный закон от 27 июля 2006г. № 152-ФЗ «О персональных данных»;


• • Указ Президента Российской Федерации от 06 марта 1997г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;


• • постановление Правительства Российской Федерации от 15 сентября 2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;


• • постановление Правительства Российской Федерации от 06 июля 2008г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;


• • постановление Правительства Российской Федерации от 01 ноября 2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;


• • приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13 февраля 2008г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;


• • приказ ФСТЭК России от 18 февраля 2013г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;


• • приказ Роскомнадзора от 05 сентября 2013г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;


• • иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.

5. Обработка персональных данных

• 5.1. Получение ПД.


• 5.1.1. Все ПД следует получать от самого субъекта. Если ПД субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.


• 5.1.2. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПД, характере подлежащих получению ПД, перечне действий с ПД, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.


• 5.1.3. Документы, содержащие ПД, создаются путем:


• – копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);


• – внесения сведений в учетные формы;


• – получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).


• 5.2. Обработка ПД.


• 5.2.1. Обработка ПД осуществляется:


• – с согласия субъекта ПД на обработку его ПД;


• – в случаях, когда обработка ПД необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;


• – в случаях, когда осуществляется обработка ПД, доступ неограниченного круга лиц к которым предоставлен субъектом ПД либо по его просьбе (далее – ПД, сделанные общедоступными субъектом ПД).


• 5.2.2. Категории субъектов ПД.


• Обрабатываются ПД следующих субъектов ПД:


• – кандидатов, работников, родственников работников, лиц, ранее состоявших в трудовых отношениях с Оператором;


• – физических лиц по договорам гражданско-правового характера, авторов результатов интеллектуальной деятельности;


• – контрагентов - физических лиц, представителей и работников контрагентов (юридических лиц).


• 5.2.3. ПД, обрабатываемые Оператором:


• – данные, полученные при осуществлении трудовых отношений;


• – данные, полученные для осуществления отбора кандидатов на работу;


• – данные, полученные при осуществлении гражданско-правовых отношений.


• 5.2.4. Обработка ПД ведется:


• – с использованием средств автоматизации;


• – без использования средств автоматизации.


• 5.2.5. В случае предоставления субъектом ПД фактов о неполных, устаревших, недостоверных или незаконно полученных ПД Оператор обязан внести необходимые изменения, уничтожить или блокировать их, а также уведомить о своих действиях субъекта ПД.В случае подтверждения факта неточности ПД подлежат их актуализации Оператором, а при неисправности их обработки такая обработка должна быть прекращена.


• 5.3. Хранение ПД.


• 5.3.1. ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.


• 5.3.2. ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.


• 5.3.3. ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.


• 5.3.4. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.


• 5.3.5. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено федеральными законами.


• 5.4. Уничтожение ПД.


• 5.4.1. Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.


• 5.4.2. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.


• 5.4.3. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей.


• 5.5. Передача ПД.


• 5.5.1. Оператор передает ПД третьим лицам в следующих случаях:


• – субъект выразил свое согласие на такие действия;


• – передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.


• 5.5.2. Перечень лиц, которым передаются ПД.


• Третьи лица, которым передаются ПД:


• – Пенсионный фонд РФ для учета (на законных основаниях);


• – налоговые органы РФ (на законных основаниях);


• – Фонд социального страхования РФ (на законных основаниях);


• – территориальный фонд обязательного медицинского страхования (на законных основаниях);


• – страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);


• – банки для начисления заработной платы (на основании договора);


• – органы МВД России в случаях, установленных законодательством;


• – военные комиссариаты РФ в случаях, установленных законодательством;


• – иным лицам в случаях, предусмотренных действующим законодательством Российской Федерации.

6. Защита персональных данных

• 6.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.


• 6.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.


• 6.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.


• 6.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.


• 6.5. Основными мерами защиты ПД, используемыми Оператором, являются:


• 6.5.1. Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПД.


• 6.5.2. Определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мер и мероприятий по защите ПД.


• 6.5.3. Разработка политики в отношении обработки ПД.


• 6.5.4. Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД.


• 6.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.


• 6.5.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.


• 6.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.


• 6.5.8. Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ.


• 6.5.9. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.


• 6.5.10. Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.


• 6.5.11. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о ПД, в том числе требованиям к защите ПД, документам, определяющим политику Оператора в отношении обработки ПД, локальным актам по вопросам обработки ПД.


• 6.5.12. Осуществление внутреннего контроля и аудита.

7. Основные права субъекта ПД и обязанности Оператора

• 7.1. Основные права субъекта ПД.


• Субъект имеет право на доступ к его ПД и следующим сведениям:


• – подтверждение факта обработки ПД Оператором;


• – правовые основания и цели обработки ПД;


• – цели и применяемые Оператором способы обработки ПД;


• – наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона;


• – сроки обработки ПД, в том числе сроки их хранения;


• – порядок осуществления субъектом ПД прав, предусмотренных настоящим Федеральным законом от 27 июля 2006г. № 152-ФЗ «О персональных данных»;


• – наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Оператора, если обработка поручена или будет поручена такому лицу;


• – обращение к Оператору и направление ему запросов;


• – обжалование действий или бездействия Оператора.


• 7.2. Обязанности Оператора.


• Оператор обязан:


• – при сборе ПД предоставить информацию об обработке ПД;


• – в случаях если ПД были получены не от субъекта ПД, уведомить субъекта;


• – при отказе в предоставлении ПД субъекту разъясняются последствия такого отказа;


• – опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;


• – принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;


• – давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.