АО «Ставропольский городской расчетный центр»
Политика обработки персональных данных АО «Ставропольский городской расчётный центр»
24.05.2021 г.
АО «Ставропольский городской расчётный центр»
1.Общие положения
1.1. Настоящая Политика обработки персональных данных (далее – Политика):
является основополагающим внутренним документом АО «Ставропольский городской расчётный центр» (далее – АО «СГРЦ»), регулирующим вопросы обработки персональных данных;
разработана в целях обеспечения соответствия с законодательством Российской Федерации обработки, хранения и защиты персональных данных сотрудников, граждан;
раскрывает основные категории персональных данных, обрабатываемых АО «СГРЦ», цели и принципы обработки АО «СГРЦ», а также перечень мер, применяемых АО «СГРЦ» в целях обеспечения безопасности персональных данных при их обработке;
предназначена для сотрудников АО «СГРЦ», осуществляющих обработку персональных данных в целях непосредственной реализации ими закрепленных в Политике принципов, а также является информационным ресурсом для субъектов персональных данных, позволяющим определить концептуальные основы деятельности АО «СГРЦ» при обработке персональных данных.
2.Источники нормативного правового регулирования вопросов обработки персональных данных
2.1.Политика АО «СГРЦ» в области обработки персональных данных определяется на основании следующих нормативных правовых актов РФ:
Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 27.07.2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации»;
Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства Российской Федерации от 15 сентября 2008 г № 687;
Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные Постановлением Правительства Российской Федерации от 1 ноября 2012 г. №1119;
Указ Президента РФ от 06.03.1997 №188 «Об утверждении перечня сведений конфиденциального характера»;
Конституция Российской Федерации;
Трудовой кодекс Российской Федерации;
Гражданский кодекс Российской Федерации;
Налоговый кодекс Российской Федерации;
Уголовный кодекс Российской Федерации;
нормативные и методические документы ФСБ России, ФСТЭК России, Роскомнадзора.
2.2.Во исполнение настоящей Политики в АО «СГРЦ» приказами утверждаются следующие локальные нормативные правовые акты:
Инструкция ответственного за обеспечение безопасности и обработку персональных данных;
Инструкция администратора информационной безопасности информационных систем персональных данных;
Инструкция администратора информационных систем персональных данных;
Инструкция по действиям пользователей информационных систем персональных данных в нештатных ситуациях;
Инструкция по организации антивирусной защиты информационных систем персональных данных;
Инструкция по порядку проведения проверок состояния защиты персональных данных;
План внутренних проверок состояния защиты персональных данных;
Инструкция Пользователя информационных систем персональных данных;
Перечень персональных данных, обрабатываемых в АО «СГРЦ»;
План мероприятий по защите персональных данных;
Положение о порядке организации и проведению работ по обработке и защите персональных данных, обрабатываемых в информационных системах персональных данных АО «СГРЦ»;
Акты классификации информационных систем персональных данных АО «СГРЦ»;
Модель угроз и нарушителя безопасности персональных данных информационных систем персональных данных АО «СГРЦ» (в составе «Аналитического обоснования необходимости создания системы защиты персональных данных АО «СГРЦ»);
и иные локальные документы АО «СГРЦ», принимаемые во исполнение требований действующих нормативных правовых актов Российской Федерации в области обработки персональных данных.
3.Основные термины и понятия, используемые во внутренних нормативных актах АО «СГРЦ», принимаемых по вопросу обработки персональных данных
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Персональные данные (далее также – ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Предоставление персональных данных – действия, направленные на раскрытие ПДн определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие ПДн неопределенному кругу, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом.
Блокирование персональных данных – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители ПДн.
Информационная система персональных данных – информационная система, представляющая собой совокупность содержащихся в базе данных ПДн и их обработку, информационных технологий и технических средств.
Конфиденциальная информация – информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.
Трансграничная передача персональных данных – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
4.Принципы обработки персональных данных
Обработка ПДн в АО «СГРЦ» осуществляется на основе следующих принципов:
Законности и справедливости обработки ПДн.
Законности целей и способов обработки ПДн и добросовестности.
Соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям АО «СГРЦ».
Соответствия содержания и объема обрабатываемых ПДн целям обработки ПДн.
Достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн.
Недопустимости объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Субъект ПДн является собственником своих ПДн и самостоятельно решает вопрос передачи АО «СГРЦ» своих ПДн.
Держателем ПДн является АО «СГРЦ», которому субъект ПДн передает во владение свои ПДн. АО «СГРЦ» выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.
5.Меры по защите персональных данных
Комплекс мер по защите ПДн направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности ПДн и обеспечивает безопасность информации в процессе деятельности АО «СГРЦ».
АО «СГРЦ» при обработке ПДн обязано принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий, в соответствии с требованиями к обеспечению безопасности ПДн при их обработке в ИСПДн.
Мероприятия по защите ПДн определяются Положением, приказами, инструкциями и другими внутренними документами АО «СГРЦ».
Для защиты ПДн в АО «СГРЦ» применяются следующие принципы и правила:
Ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей ПДн.
Строгое избирательное и обоснованное распределение документов и информации между сотрудниками.
Рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации.
Знание сотрудниками требований нормативно-методических документов по защите ПДн.
Распределение персональной ответственности между сотрудниками, участвующими в обработке ПДн, за выполнение требований по обеспечению безопасности ПДн.
Установление режима конфиденциальности в соответствии с требованиями по обеспечению безопасности ПДн при работе с конфиденциальными документами и базами данных.
Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Исключение бесконтрольного пребывания посторонних лиц в помещениях, в которых ведется обработка ПДн и находится соответствующая вычислительная техника.
Организация порядка уничтожения персональных данных.
Своевременное выявление нарушений требований разрешительной системы доступа.
Воспитательная и разъяснительная работа с сотрудниками отделов по предупреждению утраты ценных сведений при работе с конфиденциальными документами.
Регулярное обучение работников по вопросам, связанным с обеспечением безопасности ПДн.
Ограничение доступа к техническим средствам и системам обработки информации, на которых содержатся ПДн.
Создание целенаправленных неблагоприятных условий и труднопреодолимых препятствий для лица, пытающегося совершить несанкционированный доступ и овладение информацией.
Резервирование защищаемых данных (создание резервных копий).
6. Цель обработки персональных данных
Обработка персональных данных в информационных системах персональных данных АО «СГРЦ» осуществляется в целях:
-исполнения обязательств АО «СГРЦ» в рамках Агентских договоров (Контрактов) по расчетам платы за жилищно-коммунальные и прочие услуги, заключенных с поставщиками жилищно-коммунальных услуг (производство расчетов размера платы за жилищно-коммунальные услуги, прием платы за жилищно-коммунальные услуги, поддержание в актуальном состоянии базы данных потребителей жилищно-коммунальных услуг).
-исполнения трудового законодательства (ведение кадрового и бухгалтерского учета сотрудников, предоставление отчетности по кадровому и бухгалтерскому учету сотрудников, начисление заработной платы).
7. Субъекты персональных данных
В информационных системах персональных данных АО «СГРЦ» обрабатываются персональные данные следующих категорий субъектов персональных данных:
-физические лица – потребители жилищно-коммунальных услуг;
-физические лица, состоящие с АО «СГРЦ» в трудовых отношениях (сотрудники АО «СГРЦ»);
-физические лица, являющиеся ближайшими родственниками сотрудников АО «СГРЦ»;
-физические лица, уволившиеся из АО «СГРЦ»;
-физические лица, являющиеся кандидатами на работу в АО «СГРЦ»;
8. Правовое основание обработки персональных данных
Обработка персональных данных осуществляется на основании:
-норм действующего законодательства РФ: ст.1005 Гражданского кодекса РФ, ст.153, ст.155, ст.157 Жилищного кодекса РФ, п.п."г" п.31, п.п."е" п.32, гл.VI, гл.VIII-IX Правил предоставления коммунальных услуг собственникам и пользователям помещений в многоквартирных домах и жилых домов, утвержденных Постановлением Правительства РФ от 06.05.2011 г. №354, ст.3, 4 Федерального закона от 03.06.2009 N 103-ФЗ "О деятельности по приему платежей физических лиц, осуществляемой платежными агентами", ст.ст.86-90 Трудового кодекса РФ, п.7 ч.1, ч.3-5 ст.6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", ст. 7, ст. 8 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного Постановлением Правительства Российской Федерации от 15 сентября 2008 г № 687, Федерального закона от 06.12.2011 N 402-ФЗ «О бухгалтерском учете», Налогового кодекса РФ, Федерального закона № 173-ФЗ от 17.12.2001 «О трудовых пенсиях в Российской Федерации»; Федерального закона № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе Обязательного пенсионного страхования», Федерального закона от 24.07.2009 г. № 212-ФЗ «О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования», Федерального закона от 02.10.2007 № 229-ФЗ «Об исполнительном производстве»;
-внутренних нормативных актов АО «СГРЦ»: Положения о порядке организации и проведении работ по обработке персональных данных в информационных системах персональных данных АО «СГРЦ»; Политики обработки персональных данных в АО «СГРЦ»;
-трудовых договоров;
-Агентских договоров (Контрактов) по расчетам платы за жилищно-коммунальные и прочие услуги, заключенные с поставщиками жилищно-коммунальных услуг;
-согласия субъекта персональных данных на обработку персональных данных.
01.09.2022 г.
Положение
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Актуальные угрозы безопасности персональных данных - совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.1 Целью настоящего Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
2.2 Настоящее Положение разработано в соответствии со следующими нормативными правовыми актами: - Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»; - Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» - Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства Российской Федерации от 15 сентября 2008 г № 687; - Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные Постановлением Правительства Российской Федерации от 1 ноября 2012 - Указ Президента РФ от 06.03.1997 № «Об утверждении перечня сведений конфиденциального характера»; - Конституция Российской Федерации; - Трудовой кодекс Российской Федерации; - Гражданский кодекс Российской Федерации; - Налоговый кодекс Российской Федерации; - Уголовный кодекс Российской Федерации; - нормативные и методические документы ФСБ России, ФСТЭК России, Роскомнадзора.
2.3 Настоящее Положение определяет порядок и условия обработки персональных данных, т.е. любых действий (операций) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных в АО «Ставропольский городской расчетный центр» (далее — АО «СГРЦ») с использованием средств автоматизации и без использования таких средств.
2.4 Настоящее положение определяет правовые, организационные и технические меры необходимые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
2.5 АО «СГРЦ» вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению АО «СГРЦ», обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных». В поручении АО «СГРЦ» должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
2.6 Во всех случаях, не урегулированных настоящим Положением или другими нормативными документами АО «СГРЦ», необходимо руководствоваться действующим законодательством Российской Федерации.
2.7 Настоящее Положение вступает в силу с момента его утверждения и действует до замены его новым Положением.
2.8 Все изменения в Положение вносятся приказом руководителя АО «СГРЦ».
2.9 Настоящее Положение и изменения к нему являются обязательными для исполнения всеми сотрудниками, имеющими доступ к персональным данным.
3.1 Обработка персональных данных должна осуществляться на законной и справедливой основе.
3.2 Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей.
3.3 Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3.4 Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.5 Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.6 Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.
3.7 Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
3.8 При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
3.9 Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
3.10 Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.1 Обработка персональных данных субъектов ПДн, являющихся сотрудниками АО «СГРЦ» осуществляется с их письменного согласия, которое действует со дня принятия их на работу.
4.2 Обработка персональных данных субъектов ПДн, не являющихся сотрудниками АО «СГРЦ», осуществляется на основании Агентских договоров (Контрактов) по расчётам оплаты за жилищно-коммунальные и прочие услуги».
4.3 Опубликование и распространение персональных данных субъектов АО «СГРЦ» допускается в случаях, установленных законодательством Российской Федерации.
4.4 Субъект персональных данных принимает решение о предоставлении персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
4.5 Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем.
4.6 Согласие на обработку ПДн может быть отозвано субъектом персональных данных в соответствии с положением статьи 9 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
4.7 В случае отзыва субъектом персональных данных согласия на обработку персональных данных АО «СГРЦ» вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии законных оснований.
4.8 В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
4.9 В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
4.10 Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, осуществляется с согласия в письменной форме (Приложение № 5) субъекта персональных данных на трансграничную передачу его персональных данных.
4.11 Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных.
4.12 Субъект персональных данных обязан предоставлять АО «СГРЦ» достоверные сведения о себе.
4.13 Если персональные данные субъекта получены из общедоступных источников, то сроки их хранения не ограничиваются.
4.14 Обработка осуществляется допущенными к обработке сотрудниками, определенными приказом руководителя АО «СГРЦ», которые действуют на основании инструкций, предусматривающих выполнение комплекса мероприятий по обеспечению безопасности персональных данных.
5.1 Обработка персональных данных, осуществляемая без использования средств автоматизации, должна выполняться в соответствии с требованиями «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утверждённого постановлением Правительства Российской Федерации от 15.09.2008 № 687.
5.2 При разработке и использовании типовых форм документов, необходимых для реализации возложенных на АО «СГРЦ» полномочий, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, адрес АО «СГРЦ», фамилию, имя, отчество и адрес субъекта персональных данных, чьи персональные данные вносятся в указанную типовую форму, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
- типовая форма должна предусматривать поле в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения согласия на обработку персональных данных;
- типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, чьи персональные данные содержатся в типовой форме, при ознакомлении со своими персональными данными, не имел возможности доступа к персональным данным иных лиц, содержащихся в указанной типовой форме;
- типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
5.3 При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, а также если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
- при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
- при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
5.4 Уничтожение части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
5.5 Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
5.6 При составлении типовых форм необходимо, чтобы каждый субъект персональных данных, чьи персональные данные указаны в документе, имел возможность ознакомиться со своими персональными данными, содержащими в документе, не нарушая прав и законных интересов иных лиц.
6.1 Обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6.2 Персональные данные уничтожаются в случае:
- если получен отзыв от субъекта персональных данных в срок, не превышающий десяти рабочих дней с даты поступления указанного отзыва. Указанный срок может быть продлен не более чем на пять рабочих дней по мотивированному уведомлению, которое оператор должен направить в адрес субъекта персональных данных;
- течение с даты получения требования.
- если АО «СГРЦ» не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами;
- если достигнуты цели обработки персональных данных, в срок, не превышающий десяти рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между АО «СГРЦ» и субъектом персональных данных;
- если представлены субъектом персональных данных или его представителем сведения, подтверждающие, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений;
- если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных.
6.3 В случае отсутствия возможности уничтожения персональных данных в течение срока, осуществляется блокирование персональных данных или обеспечивается их блокирование и обеспечивается уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
6.4 Об устранении допущенных нарушений или об уничтожении персональных данных АО «СГРЦ» уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
6.5 Уничтожение персональных данных в ИСПДн АО «СГРЦ» производится штатными средствами.
6.6 Уничтожение бумажных носителей персональных данных происходит путём измельчения на бумагорезательной машине, либо сжигания.
6.7 Уничтожение персональных данных осуществляет комиссия в составе членов комиссии и председателя.
6.8 Порядок уничтожения ПДн должен быть регламентирован в нормативных документах АО «СГРЦ».
6.9 Контроль за выполнением процедур уничтожения персональных данных осуществляет Ответственный за обеспечение безопасности и обработку персональных данных.
6.10 После проведенного уничтожения должен быть подготовлен акт об уничтожении персональных данных. Форма акта приведена в Приложении Приложение № 1.
7.1 Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».
7.2 АО «СГРЦ» не осуществляет трансграничную передачу персональных данных.
8.1. Обработка персональных данных в информационных системах персональных данных АО «СГРЦ» осуществляется в целях:
- исполнения обязательств АО «СГРЦ» в рамках Агентских договоров (Контрактов) по расчетам платы за жилищно-коммунальные и прочие услуги, заключенных с поставщиками жилищно-коммунальных услуг (производство расчетов размера платы за жилищно-коммунальные услуги; прием платы за жилищно-коммунальные услуги; поддержание в актуальном состоянии базы данных потребителей жилищно-коммунальных услуг);
- исполнения трудового законодательства (ведение кадрового и бухгалтерского учета сотрудников; предоставление отчетности по кадровому и бухгалтерскому учету сотрудников; начисление заработной платы).
9.1. В информационных системах персональных данных АО «СГРЦ» обрабатываются персональные данные следующих категорий субъектов персональных данных:
- физические лица – потребители жилищно-коммунальных услуг;
- физические лица, состоящие с АО «СГРЦ» в трудовых отношениях (сотрудники АО «СГРЦ»);
- физические лица, являющиеся ближайшими родственниками сотрудников АО «СГРЦ»;
- физические лица, уволившиеся из АО «СГРЦ»;
- физические лица, являющиеся кандидатами на работу в АО «СГРЦ».
9.2. В целях исполнения трудового законодательства (ведение кадрового и бухгалтерского учета сотрудников; предоставление отчетности по кадровому и бухгалтерскому учету сотрудников; начисление заработной платы) АО «СГРЦ» обрабатываются следующие персональные данные:
- ФИО;
-дата рождения (число, месяц, год);
-место рождения;
-паспортные данные (серия, номер, когда и кем выдан);
-сведения о регистрации по месту жительства;
-сведения о месте фактического проживания;
-пол;
-сведения об образовании;
-сведения о гражданстве;
-номер телефона;
-ИНН;
-номер страхового свидетельства государственного пенсионного страхования;
-сведения о трудовой деятельности;
-сведения о семейном положении;
-сведения о доходах (заработной плате);
-сведения о наградах (поощрениях), почетных званиях;
-сведения о воинском учете.
9.3. В целях исполнения обязательств АО «СГРЦ» в рамках Агентских договоров (Контрактов) по расчетам платы за жилищно-коммунальные и прочие услуги, заключенных с поставщиками жилищно-коммунальных услуг, обрабатываются следующие персональные данные:
-ФИО;
-дата рождения (число, месяц, год);
-место рождения;
-паспортные данные (серия и номер, когда и кем выдан);
-данные о регистрации по месту жительства;
-номер телефона;
-номер лицевого счёта;
-сведения о собственности на недвижимое имущество;
-сведения о начислениях платы за ЖКУ;
-сведения о платежах за ЖКУ;
-сведения о размере задолженности по оплате за ЖКУ.
10.1 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- цели и применяемые способы обработки персональных данных;
- наименование и место нахождения АО «СГРЦ», сведения о лицах (за исключением сотрудников), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с АО «СГРЦ» или на основании Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами.
10.2 Субъект персональных данных имеет право на получение сведений, об обработке его персональных данных, за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
10.3 Сведения, об обработке персональных данных, предоставляются субъекту персональных данных АО «СГРЦ» в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
10.4 Сведения, об обработке персональных данных, предоставляются субъекту персональных данных или его представителю АО «СГРЦ» при обращении либо при получении запроса субъекта персональных данных или его представителя.
10.5 Субъект персональных данных вправе обратиться повторно к АО «СГРЦ» или направить повторный запрос в целях получения сведений об обработке его персональных данных и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса.
10.6 Субъект персональных данных вправе требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
10.7 Субъект персональных данных вправе обратиться повторно к АО «СГРЦ» или направить повторный запрос в целях получения сведений об обработке его персональных данных, а также в целях ознакомления с обрабатываемыми персональными данными, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения.
10.8 Субъект персональных данных вправе требовать от АО «СГРЦ» разъяснения о порядке принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, а также, заявить возражение против такого решения.
10.9 Если субъект персональных данных считает, что АО «СГРЦ» осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие АО «СГРЦ» в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
10.10 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
11.1 АО «СГРЦ» вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
12.1 Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
12.2 Оператор обязан рассмотреть возражение субъекта персональных данных против принятия решения на основании исключительно автоматизированной обработки его персональных данных, в течение десяти рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
12.3 Оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
12.4 В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Оператор дает в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя.
12.5 В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения.
12.6 В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные.
12.7 Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
12.8 Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные./p>
12.9 Если персональные данные получены не от субъекта персональных данных, Оператор, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона от 27.07.2006 г. № 152 «О персональных данных», до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию (Приложение № 9):
1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» права субъекта персональных данных;
5) источник получения персональных данных.
12.10 Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти дней с даты получения такого запроса.
12.11 Блокирование персональных данных субъекта персональных данных осуществляется или обеспечивается в случае:
- выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных с момента такого обращения или получения указанного запроса на период проверки;
- выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных с момента такого обращения или получения указанного запроса на период проверки.
12.12 В случае подтверждения факта неточности персональных данных Оператор обязан персональные данные либо обеспечивает их уточнение в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
12.13 Обработка персональных данных прекращается или обеспечивается прекращение их обработки в случае:
- выявления неправомерной обработки персональных данных, в срок, не превышающий трех рабочих дней с даты этого выявления;
- достижения цели обработки персональных данных;
- отзыва субъектом персональных данных согласия на обработку его персональных данных.
12.14 Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
13.1 АО «СГРЦ» и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
13.2 Передача персональных данных сотрудников АО «СГРЦ» не допускается без письменного согласия, за исключением случаев, установленных федеральными законами.
13.3 Персональные данные сотрудников АО «СГРЦ» передаются в следующие государственные и негосударственные структуры:
- Межрайонная ИФНС №12;
- Пенсионный фонд Российской Федерации;
- Фонд социального страхования Российской Федерации;
- ПАО «Сбербанк»;
- АО «Банк Возрождение»;
- Военный комиссариат города Ставрополя.
13.4 Персональные данные потребителей ЖКУ передаются в государственные и негосударственные структуры в рамках заключенных агентских договоров (контрактов), а также в случаях, установленных законодательством РФ:
13.5 Не допускается передача персональных данных по открытым каналам связи, в том числе по телефону.
13.6 Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и/или путем применения программных и технических средств.
14.1 Комплекс мер по защите персональных данных направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности персональных данных и обеспечивает безопасность информации в процессе деятельности АО «СГРЦ».
14.2 АО «СГРЦ» при обработке персональных данных обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
14.3 Мероприятия по защите персональных данных определяются настоящим Положением, приказами, инструкциями и другими внутренними документами АО «СГРЦ».
14.4 Для защиты персональных данных в АО «СГРЦ» применяются следующие меры:
- назначение ответственного за обеспечение безопасности и обработку персональных данных;
- назначение администратора ИСПДн;
- назначение администратора информационной безопасности ИСПДн;
- издание, документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- осуществление внутреннего контроля и аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 г. № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике АО «СГРЦ» в отношении обработки персональных данных, локальным актам АО «СГРЦ»;
- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых АО «СГРЦ» мер;
- ознакомление сотрудников АО «СГРЦ», непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику АО «СГРЦ» в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и обучение указанных сотрудников;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учет машинных носителей персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных;
- ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей ПДн;
- распределение персональной ответственности между сотрудниками, участвующими в обработке персональных данных, за выполнение требований по обеспечению безопасности ПДн;
- исключение бесконтрольного пребывания посторонних лиц в помещениях, в которых ведется обработка персональных данных и находится соответствующая вычислительная техника;
- организация порядка уничтожения персональных данных;
- оборудованием помещений, в которых обрабатываются и хранятся персональные данные субъектов, замками;
- регулярные инструктажи сотрудников по вопросам, связанным с обеспечением безопасности персональных данных;
- закрытие помещений, в которых обрабатываются и хранятся персональные данные субъектов персональных данных, в рабочее время при отсутствии в них сотрудников;
- проведение уборки помещений, в которых хранятся персональные данные, производится в присутствии соответствующих сотрудников;
- запрещение самостоятельного подключения средств вычислительной техники, применяемых для хранения, обработки или передачи персональных данных к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к информационно-телекоммуникационной сети Интернет;
- резервирование персональных данных (создание резервных копий).
15.1 При допуске к обработке персональных данных необходимо руководствоваться Приказом о допуске сотрудников АО «Ставропольский городской расчётный центр» к обработке персональных данных
15.2 Доступ конкретных лиц к персональным данным в ИСПДн осуществляется на основании служебных записок (заявок). Служебные записки на доступ учитываются и хранятся администратором информационной безопасности ИСПДн.
15.3 Конкретный регламент предоставления доступа определен в «Инструкции по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам ИСПДн».
16.1 Должно проводиться регулярное обучение сотрудников по вопросам, связанным с обеспечением безопасности персональных данных.
16.2 Определены следующие форматы обучения:
- полные курсы (длительностью 5 дней и более);
- кратковременные курсы (длительностью от 1 до 3 дней);
- внешние и внутренние семинары;
- конференции;
- инструктажи.
16.3 Полные и кратковременные курсы, конференции, внешние семинары проводятся во внешних специализированных организациях для следующих категорий сотрудников:
- ответственный за обеспечение безопасности и обработку персональных данных;
- администратор информационной безопасности ИСПДн.
16.4 Для обучения остальных категорий персонала, участвующих в процессах обработки персональных данных, должны проводиться:
- внутренние семинары;
- инструктажи.
16.5 Внутренние семинары проводятся ответственным за обеспечение безопасности и обработку персональных данных, администратором информационной безопасности ИСПДн, а также приглашенными специалистами или другими подготовленными лицами. Все семинары следует проводить с использованием презентации.
16.6 Обучение каждой категории сотрудников должно проводиться не реже одного раза в год.
16.7 Инструктажи проводятся в отношении отдельных лиц, по мере необходимости администратором информационной безопасности ИСПДн, ответственным за обеспечение безопасности и обработку персональных данных.
16.8 При необходимости могут разрабатываться инструкции, описывающие особенности обработки персональных данных в каждой ИСПДн, для отдельных категорий (групп) персонала.
16.9 Проведение инструктажей должно фиксироваться в «Журнале учета проведения инструктажей по вопросам защиты информации».
17.1 Мероприятия по физическому контролю доступа включают:
- контроль доступа на территорию;
- контроль доступа в помещения с оборудованием ИСПДн;
- контроль доступа к техническим средствам ИСПДн;
- контроль перемещений физических компонентов ИСПДн.
17.2 Помещения с серверным, телекоммуникационным и сетевым оборудованием ИСПДн должны иметь прочные входные двери с надежными замками. Двери должны быть постоянно закрыты на замок и открываться только для санкционированного прохода сотрудников, отвечающих за обслуживание данного оборудования.
17.3 Двери помещений, в которых размещаются АРМ пользователей ИСПДн, должны быть оборудованы замками.
17.4 Нахождение в помещении лиц, не участвующих в технологических процессах обработки персональных данных (обслуживающий персонал, другие сотрудники), должно допускаться только в присутствии сотрудников, участвующих в соответствующих технологических процессах.
17.5 Расположение мониторов рабочих станций должно препятствовать их несанкционированному просмотру со стороны других лиц, не являющихся пользователями ИСПДн.
17.6 В нерабочее время, по окончании рабочего дня двери помещений должны быть закрыты на замок.
17.7 При выносе устройств, хранящих персональные данные, за пределы контролируемой зоны для ремонта, замены и т.п. должно быть обеспечено гарантированное уничтожение информации, хранимой на этих устройствах.
18.1 Резервирование персональных данных должно обеспечить возможность восстановления информации при нарушении целостности основных хранилищ данных.
18.2 Резервированию должна подвергаться информация на серверах ИСПДн.
18.3 Резервирование должно осуществляться на магнитные ленты или другие носители информации с соответствующим уровнем надежности и долговечности.
18.4 Хранение резервных копий должно осуществляться в сейфах (запираемых шкафах, ящиках). Хранение (по возможности) должно осуществляться в месте, территориально удаленном от основного хранилища информации.
18.5 Доступ к резервным копиям должен быть строго регламентирован.
18.6 Резервирование должно осуществляться в соответствии с инструкцией резервного копирования АО «СГРЦ».
19.1 Для эффективного реагирования на нештатные ситуации, возникающие при обработке персональных данных, в АО «СГРЦ» должны быть регламентированы следующие вопросы:
- порядок определения нештатной ситуации;
- порядок оповещения сотрудников при возникновении различных нештатных ситуаций;
- порядок действий персонала в нештатных ситуациях.
19.2 В АО «СГРЦ» должны проводиться расследования инцидентов, связанных с несанкционированным доступом и другими несанкционированными действиями.
19.3 В рамках данного процесса должны решаться следующие задачи:
- расследование инцидентов, связанных с безопасностью ПДн;
- ликвидация последствий инцидентов связанных с безопасностью ПДн;
- принятие мер по недопущению возникновения подобных инцидентов в дальнейшем.
- в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПД, повлекшей нарушение прав субъектов ПД, оператор обязан уведомить Роскомнадзор о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПД, и предполагаемом вреде, нанесенном правам субъектов ПД, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о контактном лице - в течение суток с момента выявления такого инцидента оператором, самим Роскомнадзором или иным заинтересованным лицом, а о результатах внутреннего расследования выявленного инцидента и о лицах, действия которых стали причиной выявленного инцидента (при наличии) - в течение трех суток
19.4 Реагирование на нештатные ситуации должно производиться в соответствии с «Инструкцией по действиям пользователей ИСПДн в нештатных ситуациях».
20.1 Ответственность за контроль соблюдения требований по обработке персональных данных, контроль соблюдения прав и свобод субъектов персональных данных возлагается на Генерального директора АО «СГРЦ».
20.2 Юридические и физические лица, в соответствии со своими полномочиями обрабатывающие информацию о гражданах, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
20.3 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
20.4 Каждый сотрудник АО «СГРЦ», получающий для работы конфиденциальный документ, несет персональную ответственность за сохранность носителя и конфиденциальность полученной информации.
20.5 В соответствии с Гражданским кодексом Российской Федерации лица, незаконными методами получившие информацию, содержащую ПДн, обязаны возместить причиненные убытки; такая же обязанность возлагается и на сотрудников, не обладающих правом доступа к персональным данным.