Политика

Верхне-Обского БВУ в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений

Общие положения

1. Настоящий документ определяет политику (далее – Политика) в отношении обработки персональных данных.

2. Верхне-Обское БВУ:

не осуществляет обработку биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются ГУП МСР для установления личности).

не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.

1. В Верхне-Обском БВУ могут быть созданы общедоступные источники персональных данных (справочники, адресные книги). Персональные данные, сообщаемые субъектом (фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и др.), включаются в такие источники только с письменного согласия субъекта персональных данных.

3. Настоящая Политика разработана и утверждена в соответствии с требованиями статьи 18.1 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных» и действует в отношении всех обрабатываемых персональных данных.

4. Целью настоящей Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, а также интересов Верхне-Обского БВУ.

5. Настоящая Политика определяет цели, принципы, порядок и условия обработки персональных данных сотрудников и иных лиц, чьи персональные данные обрабатываются, а также включает перечень мер, применяемых в целях обеспечения безопасности персональных данных при их обработке.

6. Политика является общедоступным документом, декларирующим концептуальные основы деятельности при обработке персональных данных.

1. Правовые основания обработки персональных данных

1. Правовой основой настоящей Политики в области обработки персональных данных является Федеральный закон № 152-ФЗ «О персональных данных» от 27 июля 2006 года, нормативные акты ФСБ России, ФСТЭК России, Роскомнадзора, иные нормативно-правовые акты.

2. Во исполнение настоящей Политики разрабатываются и утверждаются локальные акты, регламентирующие порядок организации обработки и обеспечения безопасности персональных данных.

1.1 Цели обработки персональных данных

Обработка персональных данных ведется в целях:

- заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическими лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и Положением о Верхне-Обском бассейновом водном управлении Федерального агентства водных ресурсов;

- организации кадрового учета, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами;

- оказания государственных услуг в сфере деятельности.

2. Принципы обеспечения безопасности персональных данных

1 Законность: защита ПДн основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПДн;

2 Системность: обработка ПДн осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн;

3 Комплексность: защита ПДн строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах и других имеющихся систем и средств защиты;

4 Непрерывность: защита ПДн обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки ПДн, в том числе при проведении ремонтных и регламентных работ;

5 Своевременность: меры, обеспечивающие надлежащий уровень безопасности ПДн, принимаются до начала их обработки;

6 Преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты ПДн осуществляется на основании результатов анализа практики обработки ПДн с учетом выявления новых способов и средств реализации угроз безопасности ПДн, отечественного и зарубежного опыта в сфере защиты информации;

7 Персональная ответственность: ответственность за обеспечение безопасности ПДн возлагается на сотрудников в пределах их обязанностей, связанных с обработкой и защитой ПДн;

8 Минимизация прав доступа: доступ к ПДн предоставляется сотрудникам только в объеме, необходимом для выполнения их должностных обязанностей;

9 Гибкость: обеспечение выполнения функций защиты ПДн при изменении характеристик функционирования информационных систем персональных данных (далее - ИСПДн), а также объема и состава обрабатываемых ПДн;

10 Открытость алгоритмов и механизмов защиты: структура, технологии и алгоритмы функционирования системы защиты ПДн (далее - СЗПДн) не дают возможности преодоления имеющихся систем защиты возможными нарушителями безопасности ПДн;

11 Научная обоснованность и техническая реализуемость: уровень мер по защите ПДн определяется современным уровнем развития информационных технологий и средств защиты информации;

12 Специализация и профессионализм: реализация мер по обеспечению безопасности ПДн и эксплуатация СЗПДн осуществляются сотрудниками, имеющими необходимые для этого квалификацию и опыт;

13 Эффективность процедур отбора кадров и выбора контрагентов: кадровая политика предусматривает тщательный подбор сотрудников и их мотивацию, позволяющую исключить или минимизировать возможность нарушения ими безопасности ПДн; минимизация вероятности возникновения угрозы безопасности ПДн, источники которых связаны с человеческим фактором, обеспечивается получением наиболее полной информации;

14 Наблюдаемость и прозрачность: меры по обеспечению безопасности ПДн должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;

15 Непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты ПДн, а результаты контроля регулярно анализируются.

3. Доступ к обрабатываемым персональным данным ( ПДн)

1.Доступ к обрабатываемым ПДн имеют лица, уполномоченные приказом, лица, которым поручена обработка ПДн на основании заключенного договора, а также лица, чьи ПДн подлежат обработке.

2.Доступ сотрудников к обрабатываемым ПДн осуществляется в соответствии с их должностными обязанностями и требованиями имеющихся документов.

3.Допущенные к обработке ПДн сотрудники под роспись знакомятся с документами, устанавливающими порядок обработки ПДн, включая документы, устанавливающие права и обязанности конкретных сотрудников.

4.Порядок доступа субъекта ПДн к его обрабатываемым ПДн, , определяется в соответствии с законодательством и имеющимися документами и приказами.

4. Реализуемые требования к защите персональных данных

1. Верхне-Обское БВУ принимает правовые, организационные и технические меры (или обеспечивает их принятие), необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных законодательством о ПДн и принятыми в соответствии с ним нормативными правовыми актами, для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

2. В предусмотренных законодательством случаях обработка ПДн осуществляется с согласия субъектов ПДн.

3. Верхне-Обское БВУ производится устранение выявленных нарушений законодательства об обработке и защите ПДн.

4. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше чем этого требуют цели обработки ПДн, если срок хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

5. Верхне-Обское БВУ осуществляет ознакомление сотрудников непосредственно осуществляющих обработку ПДн, с положениями законодательства о ПДн, в том числе требованиями к защите ПДн, Политикой и иными внутренними регулятивными документами по вопросам обработки ПДн, и (или) обучение указанных работников по вопросам обработки и защиты ПДн.

6.При обработке ПДн с использованием средств автоматизации, применяются следующие меры:

6. 1. назначается ответственный за организацию обработки ПДн, определяется его компетенция;

6. 2. утверждаются (издаются) документы, приказы по вопросам обработки и защиты ПДн, в том числе устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений;

6. 3. осуществляется внутренний контроль и (или) аудит соответствия обработки ПДн требованиям законодательства о ПДн и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн;

6. 4. проводится оценка вреда, который может быть причинен субъектам ПДн в случае нарушения законодательства о ПДн, определяется соотношение указанного вреда и принимаемых мер, направленных на обеспечение исполнения обязанностей, предусмотренных законодательством ПДн.

7. Обеспечение безопасности ПДн при их обработке в ИСПДн достигается в частности, путем:

7. 1. определения угроз безопасности ПДн. Тип актуальных угроз безопасности ПДн и необходимый уровень защищенности ПДн определяются в соответствии с требованиями законодательства и с учетом проведения оценки возможного вреда;

7. 2. определения в установленном порядке состава и содержания мер по обеспечению безопасности ПДн, выбора средств защиты информации. При невозможности технической реализации отдельных выбранных мер по обеспечению безопасности ПДн, а также с учетом экономической целесообразности Агентством могут разрабатываться компенсирующие меры, направленные на нейтрализацию актуальных угроз безопасности ПДн. В этом случае в ходе разработки СЗПДн проводится обоснование применения компенсирующих мер для обеспечения безопасности ПДн;

7. 3. применения организационных и технических мер по обеспечению безопасности ПДн, необходимых для выполнения требований к защите ПДн, обеспечивающих определенные уровни защищенности ПДн, включая применение средств защиты информации, прошедших процедуру оценки соответствия, когда применение таких средств необходимо для нейтрализации актуальных угроз.

В том числе, осуществляются:

· оценка эффективности принимаемых и реализованных мер по обеспечению безопасности ПДн;

• учет машинных носителей ПДн, обеспечение их сохранности;

· обнаружение фактов несанкционированного доступа к ПДн и принятие соответствующих мер;

· восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

· установление правил доступа к обрабатываемым ПДн, а также обеспечение регистрации и учета действий, совершаемых с ПДн;

· организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;

· контроль за принимаемыми мерами по обеспечению безопасности ПДн, уровня защищенности ИСПДн.

8. Обеспечение защиты ПДн при их обработке, осуществляемой без использования средств автоматизации, достигается, в частности, путем:

8.1. обособления ПДн от иной информации;

8.2. недопущения фиксации на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы;

8.3. использования отдельных материальных носителей для обработки каждой категории ПДн;

8.4. принятия мер по обеспечению раздельной обработки ПДн при несовместимости целей обработки ПДн, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку ПДн отдельно от других зафиксированных на том же носителе ПДн;

8.5. соблюдения требований:

· к раздельной обработке зафиксированных на одном материальном носителе ПДн и информации, не относящейся к ПДн;

• уточнению ПДн;
• уничтожению или обезличиванию части ПДн;

· использованию типовых форм документов, характер информации в которых предполагается или допускается включение в них ПДн;

· ведению журналов, содержащих ПДн, необходимых для выдачи однократных пропусков субъектам ПДн в занимаемые помещения;

· хранению ПДн, в том числе к обеспечению раздельного хранения ПДн (материальных носителей), обработка которых осуществляется в различных целях, и установлению перечня лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.

9. Сроки обработки персональных данных

9.1 Сроки обработки и архивного хранения персональных данных определяются в соответствии с требованиями действующего законодательством РФ (Гражданским кодексом РФ, Трудовым кодексом РФ, Налоговым кодексом РФ, Федеральным законом РФ №152-ФЗ от 27.07.2006 г. «О персональных данных», Федеральным законом 125 -ФЗ от 22.10.2004 г. «Об архивном деле», а также иными требованиями действующего законодательства РФ), нормативными актами и локальными актами

9.2 Обработка персональных данных прекращается по истечении срока, предусмотренного законом, иным нормативным правовым актом Российской Федерации, договором, или согласием субъекта персональных данных на обработку его персональных данных. При отзыве субъектом персональных данных согласия на обработку его персональных данных такая обработка осуществляется только в пределах, необходимых для исполнения заключенных с ним договоров и в целях, предусмотренных законодательством Российской Федерации.

10. Прекращение обработки персональных данных

10.1. При достижении цели обработки персональных данных;

10.2. При изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;

10.3. При выявлении неправомерной обработки персональных данных;

10.4. При отзыве субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Федеральным законом обработка персональных данных допускается только с согласия субъекта персональных данных.

Уничтожение персональных данных осуществляется в порядке и сроки, предусмотренные законодательством Российской Федерации.

11. Передача персональных данных

11.1. Верхне-Обское БВУ не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов персональных данных, третьей стороне без согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных Федеральными законами.

11.2. Верхне-Обское БВУ передает обрабатываемые персональные данные в уполномоченные организации, государственные органы, государственные внебюджетные фонды только на основаниях и в случаях, предусмотренных законодательством Российской Федерации,

11.3. По мотивированному запросу, исключительно для выполнения возложенных законодательством функций и полномочий, персональные данные субъекта персональных данных без его согласия могут быть переданы в судебные органы, в органы государственной безопасности, прокуратуры, полиции, следственные органы – в случаях, установленных нормативными правовыми актами, обязательными для исполнения.

12. Права субъектов персональных данных

В соответствии с Федеральным Законом от 27.07.2006 № 152-ФЗ «О персональных данных» субъект персональных данных имеет право:

12.1. Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

12.2. Требовать перечень своих обрабатываемых персональных данных и источник их получения.

12.3. Получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения.

12.4. Требовать извещения всех лиц, которым в рамках действующего законодательства РФ ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

12.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.

12.6. На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

12.7. Отозвать свое согласие на обработку своих персональных данных.

13. Соблюдение конфиденциальности персональных данных

13.1 Верхне-Обское БВУ обязано осуществить самостоятельно или обеспечить (если обработка персональных данных осуществляется другим лицом) конфиденциальность, блокирование, уточнение, прекращение обработки, уничтожение персональных данных субъекта персональных данных в соответствии с требованиями статьи 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

13.2 Персональные данные, обрабатываемые в Верхне-Обском БВУ, относятся к информации конфиденциального характера.

13.3 Сотрудники Верхне-Обское БВУ, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей, обязаны соблюдать конфиденциальность обрабатываемых персональных данных и информируются о том, что в соответствии со ст.24 ФЗ-152 от 27.07.2006 "О персональных данных" лица, виновные в нарушении требований закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

13.4 Сотрудники Верхне-Обское БВУ подписывают обязательство о неразглашении персональных данных.

14. Порядок, условия обработки персональных данных

Верхне-Обское БВУ обрабатывает персональные данные своих сотрудников, а также иных лиц, давших согласие на обработку персональных данных, во исполнение заключенных договоров или с целью их заключения, во исполнение обязательств, предусмотренных федеральным законодательством и иными нормативными правовыми актами, а также в иных целях в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

15. Условия обработки персональных данных

15.1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных Федеральным законодательством. Обработка персональных данных допускается в следующих случаях:

15.1.1 Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

15.1.2 Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

15.1.3 Обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);

15.1.4 Обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07. 2010 № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

15.1.5 Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

15.1.6 Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

15.1.7 Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

15.1.8 Обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

15.1.9 Обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона РФ от 27.07.2006 № 152-ФЗ "О персональных данных", при условии обязательного обезличивания персональных данных;

15.1.10 Осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);

15.1.11 Осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

15. 2 Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются Федеральным законодательством.

15. 3 Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.

15. 4 Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

15. 5 В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

1. Настоящая Политика является общедоступным документом и подлежит размещению на официальном сайте на основании п.2 ст.18.1 Федерального закона от 27.07.2006 №152-ФЗ.

2. Настоящая Политика подлежит пересмотру в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.

3. Контроль за исполнением требований настоящей Политики осуществляется заместителем руководителя, назначаемым в установленном порядке локальным актом.

4. Контроль за выполнением настоящих требований организуется и проводится уполномоченным лицом самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

5. Ответственность должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с действующим законодательством Российской Федерации в области персональных данных и локальными актами Верхне-Обского БВУ.