Политика в отношении обработки персональных данных Акционерного общества «Первый Московский приборостроительный завод им. В.А. Казакова»

1.     Общие положения

1.1.  Настоящая Политика АО «1 МПЗ им В.А. Казакова» в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных).

1.2. Политика действует в отношении всех персональных данных, которые обрабатывает АО «1 МПЗ им В.А. Казакова» (далее по тексту – «Общество»).

1.3. Настоящая Политика определяет цели, принципы и условия обработки персональных данных сотрудников и иных лиц, чьи персональные данные обрабатываются Обществом, а также включает перечень мер, применяемых в целях обеспечения безопасности персональных данных при их обработке.

1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора: www.1mpz.ru

1.5. Настоящая Политика разработана в целях:

1.5.1. обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Оператора;

1.5.2. обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.5.3. обеспечения соблюдения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и иных правовых актов, регулирующих обработку персональных данных;

1.5.4. установления прав и обязанностей Оператора и Субъектов персональных данных в части работы с персональными данными;

1.5.5. установления механизмов защиты обеспечения безопасности персональных данных при их обработке.

2.     Основные термины и понятия.

2.1. Персональные данные - Это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его общие персональные данные: фамилия, имя, отчество, год, месяц, дата и место рождения, пол, гражданство, паспортные данные и данные других документов, удостоверяющих личность, адрес места регистрации и проживания, индивидуальный номер налогоплательщика, номер страхового свидетельства государственного пенсионного страхования, сведения о воинской обязанности, состояние в браке, состав семьи, сведения об образовании, профессии, специальности и квалификации, сведения о занимаемых ранее должностях и стаже работы, знание иностранного языка, занимаемая должность или профессия (специальность), размер заработной платы, реквизиты банковского счета для выплаты заработной платы, сведения о доходах, номер домашнего и сотового/мобильного телефона, сведения, которые будут указаны в собственноручно заполненных анкетах, опросах в течение действия трудового договора, сведения о трудовом договоре и его исполнении (занимаемые должности, существенные условия труда, сведения об аттестации, повышении квалификации и профессиональной переподготовке, поощрениях и наказаниях, видах и периодах отпуска, временной нетрудоспособности, социальных льготах, командировании, рабочем времени и пр.), а также о других договорах (индивидуальной, коллективной материальной ответственности, ученических, оказания услуг и т.п.), заключаемых при исполнении трудового договора, в случае необходимости иные данные, при наличии согласия на их обработку, для иностранных граждан, помимо указанных, - данные, указанные в разрешении/патенте на работу, свидетельстве о временной регистрации, а также другая информация; Если по совокупности сведений определить их принадлежность конкретному субъекту невозможно, то данные сведения не относятся к персональным данным.

2.1.1. Документами, которые содержат персональные данные работников, в том числе являются:

• комплекты документов, сопровождающих процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;

• комплекты материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность;

• подлинники и копии приказов (распоряжений) по кадрам;

• личные дела, трудовые книжки, сведения о трудовой деятельности работников;

• дела, содержащие материалы аттестаций работников;

• дела, содержащие материалы внутренних расследований;

• справочно-информационный банк данных по персоналу (картотеки, журналы);

• копии отчетов, направляемых в государственные контролирующие органы.

• Иные документы содержащие персональные данные

2.2. Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.5. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.6. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. 

2.7. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.8. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.9. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.10. Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.11. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2.12. Политика утверждается приказом Оператора, действует бессрочно после утверждения и до ее замены новой версией.

2.13.  Внесение изменений (дополнений) в Политику, включая приложения к ней, производится Оператором в одностороннем порядке, все изменения (дополнения), вносимые Оператором в Политику, вступают в силу и становятся обязательными с даты подписания приказа об утверждении новой версии Политики и последующего размещения актуальной версии на веб-сайте Оператора.

2.14. Политика распространяется на все действия Оператора, в рамках которых осуществляется обработка персональных данных, как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования таких средств.

2.15. Положения Политики распространяются на всех сотрудников Оператора (включая работников, работающих по трудовым договорам и сотрудников, работающих по договорам подряда) и все структурные подразделения Оператора, включая обособленные подразделения. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Оператором, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.

3.     Цели обработки персональных данных

3.1.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.1.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

3.1.3. Категории и перечень обрабатываемых персональных данных для целей заключения, исполнения и прекращения с субъектами персональных данных (гражданами, юридическими лицами, индивидуальными предпринимателями) любых договоров и соглашений, в рамках деятельности Оператора, предусмотренной Уставом: 

  • фамилия, имя, отчество;

  • паспортные данные и данные других документов, удостоверяющих личность;

  • адрес места регистрации и проживания;

  • индивидуальный номер налогоплательщика;

  • банковские реквизиты для проведения платежей по договорам;

  • номер домашнего и сотового/мобильного телефона и (или) сведения о других способах связи, в том числе адрес электронной почты.

3.1.4. Способы, сроки их обработки и хранения: смешанная обработка персональных данных (с использованием и без использования средств автоматизации), полученная в ходе обработки персональных данных информация передается по внутренней сети Общества, а также с использованием сети Интернет.

3.1.5. Сроки обработки устанавливаются до достижения цели обработки. 

3.1.6. Сроки хранения: в соответствии с требованиями действующего законодательства.

3.1.7. Порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований: документы, содержащие персональные данные на бумажных носителях путем физического уничтожения (сожжение либо измельчение в специальном устройстве) бумажных носителей, персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

3.1.8. В целях рассмотрения обращений граждан и юридических лиц, направленных в письменной форме либо в форме электронного документа, либо через систему IntraService.

3.1.9. Категории и перечень обрабатываемых персональных данных:

  • фамилия, имя, отчество;

  • паспортные данные и данные других документов, удостоверяющих личность;

  • адрес места регистрации и проживания;

  • индивидуальный номер налогоплательщика;

  • банковские реквизиты для выплаты произведения платежей по договорам;

  • номер домашнего и сотового/мобильного телефона и (или) сведения о других способах связи, в том числе адрес электронной почты.

3.1.10. Способы, сроки их обработки и хранения: смешанная обработка персональных данных (с использованием и без использования средств автоматизации), полученная в ходе обработки персональных данных информация передается по внутренней сети Общества, а также с использованием сети Интернет; 

3.1.11. Сроки обработки устанавливаются до достижения цели обработки;

3.1.12. Сроки хранения:

а) Срок хранения журнала входящей и исходящей корреспонденции — 5 лет. Журнал учёта исходящей документации хранят столько же. По истечении срока хранения входящей и исходящей документации все документы и письма уничтожают, о чем составляют акт.

б) 

Вид документа Срок хранения
    Переписка с исполнительными органами государственной власти РФ, субъектов РФ, органами местного самоуправления по основным вопросам деятельности     5 л.
    Переписка о проведении проверок и ревизий     5 л.
    Переписка о выполнении решений (предписаний) проверок и ревизий     5 л.
    Переписка по оперативным правовым вопросам     3 г.
    Переписка о разработке и ходе выполнения целевых программ     5 л.
    Переписка по вопросам планирования     5 л.
    Переписка по вопросам ценообразования     5 л. 
    Переписка о внесметных и целевых ассигнованиях     5 л. 
    Переписка о размещении акций, вкладов, начислении дивидендов     5 л.
    Переписка о нормах обязательных резервов, финансирования капиталовложений     5 л.
    Переписка об утверждении и уточнении балансов и отчетов     5 л.
    Переписка о сроках представления бухгалтерской и финансовой отчетности     1 г.
    Переписка по административно-хозяйственным вопросам, сопроводительные письма     1 г.
    Обращения граждан, жалобы     постоянно
    Гарантийные письма     5 л.
    Переписка с организациями     5 л.
    Переписка по вопросам бухгалтерии     5 л.
    Переписка в IntraService     5 л.
    Журнал входящей и исходящей корреспонденции     5 л.
    Переписка об установлении размера заработной платы, денежного содержания, начислении премий     5 л.
    Документы (акты, информации, докладные, служебные записки, справки, переписка) о соблюдении дисциплины труда     3 г.
    Документы (карточки, расписки, листки, повестки) по ведению воинского учета и бронированию граждан, пребывающих в запасе     5 л
    Переписка по аттестации, повышению квалификации и профессиональной переподготовке работников, по проведению независимой оценке квалификации     3 г.
    Подлинные личные документы (трудовая книжка, дипломы, аттестаты, удостоверения, свидетельства)     До востребования (невостребованные работниками - 50л. после расторжения Трудового Договора

3.1.13. Порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований: документы, содержащие персональные данные, путем на бумажных носителях путем физического уничтожения (сожжение либо измельчение в специальном устройстве) бумажных носителей, персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

3.1.14. В целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении на службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.1.15. Категории, перечень обрабатываемых персональных данных работников Общества, способы, сроки обработки и хранения, порядок уничтожения персональных данных при достижении цели их обработки регламентируются Положением о защите персональных данных в АО «1 МПЗ им.  В.А. Казакова», утвержденным Приказом Генерального директора АО «1 МПЗ им. В.А. Казакова» от 31 августа 2022 года № 91.04.

4.     Сбор, обработка, хранение и уничтожение персональных данных

4.1. Порядок получения персональных данных.

4.1.1.           Источником информации обо всех персональных данных является Субъект персональных данных. Все персональные данные Оператор получает у Субъекта персональных данных с его согласия, если иные случаи обработки не установлены законодательством (Приложение 1).

4.2. Порядок обработки, передачи, хранения и уничтожения персональных данных.

4.2.1.           Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения Обработка персональных данных работников работодателем возможна только с их согласия. Исключение составляют случаи, предусмотренные действующим законодательством РФ.

4.2.2.           Письменное согласие на обработку персональных данных, разрешенных для распространения, субъект персональных данных предоставляет Оператору лично, либо в форме электронного документа, подписанного электронной подписью в соответствии с действующим законодательством РФ.

4.2.3.           Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

4.2.4.           Согласие на обработку персональных данных, разрешенных для распространения (Приложение 2), прекращает свое действие с момента поступления Оператору требования Субъекта персональных данных, о прекращении распространения.

4.2.5.           Сведения о Субъектах персональных данных хранятся на бумажных и электронных носителях в помещении Общества по адресу: 121170, г. Москва, Кутузовский пр-т, д. 36, обеспечением ограниченного доступа к ним.

4.2.6.           Персональные данные в электронном виде, содержащиеся в соответствующих компьютерных программах, защищены паролями, доступ к которым предоставлен только лицам, работающим с соответствующими электронными документам.

4.2.7.           Защита персональных данных Субъекта от неправомерного их использования, утраты обеспечивается работодателем за счет его средств в порядке, установленном Трудовым кодексом РФ и иными федеральными законами.

4.2.8.           В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

а) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

б) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

4.2.9.           Факт уничтожения персональных данных оформляется документально - составляется акт об уничтожении носителей персональных данных и акт об удалении персональных данных из информационных систем.

4.2.10.       Персональные данные подлежат уничтожению (или обезличиванию) в следующих случаях в указанные сроки:

  • по достижении целей обработки персональных данных – в 30–дневный срок с даты достижения цели обработки;

  • в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных – в течение 10 рабочих дней с даты поступления указанного отзыва;

  • в случае отсутствия возможности уничтожения персональных данных, в соответствующие сроки, оператор осуществляет или обеспечивает блокирование таких персональных данных, далее обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

4.2.11.       Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

4.2.12.       Общество осуществляет смешанную обработку персональных данных (с использованием и без использования средств автоматизации). Полученная в ходе обработки персональных данных информация передается по внутренней сети Общества, а также с использованием сети Интернет.

5.     Права и обязанности субъекта и оператора персональных данных

5.1. Субъект персональных данных имеет право:

5.1.1. получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные законодательством о персональных данных;

5.1.2. требовать уточнения своих персональных данных, их блокирования и уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

5.1.3. принимать предусмотренные законом меры по защите своих прав;

5.1.4. отозвать свое согласие на обработку персональных данных (Приложение № 3);

5.1.5. обжаловать неправомерные действия или бездействие Оператора при обработке его персональных данных. 

5.2. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен законодательством о персональных данных;

5.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

5.4. Оператор имеет право:

5.4.1. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;

5.4.2. поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных, включая обязанность по соблюдению требований ч. 5 ст. 18 и ст. 18.1, обязанность по запросу Оператора в течение срока действия поручения Оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Оператора требований, установленных Законом о персональных данных, обязанность уведомлять Оператора о случаях, предусмотренных ч. 3.1 ст. 21 Закона о персональных данных;

5.4.3. в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в действующем законодательстве;

5.4.4. Оператор вправе передать информацию, которая относится к персональным данным субъекта, без его согласия, если такие сведения нужно передать по запросу в порядке, установленном действующим законодательством.  В случае если лицо, обратившееся с запросом, не уполномочено действующим законодательством на получение информации, относящейся к персональным данным субъекта, Оператор обязан отказать лицу в выдаче информации. 

5.4.5. иные права, предусмотренные законодательством в области персональных данных.

5.5. Оператор обязан:

5.5.1. организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных; 

5.5.2. разъяснять субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку, если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными;

5.5.3. отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;

5.5.4. сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 дней с даты получения такого запроса, если иное не предусмотрено Законом о персональных данных;

5.5.5. совершать иные действия для исполнения требований законодательства в области персональных данных.

5.6. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.

5.7. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов Общества в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

6.     Доступ

6.1. Внешний доступ.

6.1.1.           К числу лиц, допущенных к персональным данным субъекта, относятся организации (и соответственно должностные лица, работники данных организаций), осуществляющие контрольные и надзорные функции, а также другие лица, установленные федеральными законами, в частности:

-    Государственная инспекция труда;

-    Прокуратура РФ;

-    правоохранительные органы;

-    налоговые инспекции;

-    военные комиссариаты;

-    органы, осуществляющие миграционный учет иностранных граждан;

-    органы ФСС РФ;

-    органы Пенсионного фонда РФ

6.2. Внутренний доступ.

6.2.1.           Работники, которым предоставлен доступ к персональным данным, имеют право обрабатывать только те персональные данные субъектов, которые фактически необходимы для выполнения целей настоящей Политики.

6.2.2.           Доступ к обрабатываемым в Обществе персональным данным разрешается только работникам Общества, занимающим должности, включенные на основании приказа Общества в перечень должностей структурных подразделений Общества, при замещении которых осуществляется обработка персональных данных.

 

7.                 Защита персональных данных

7.1. Общество при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

7.2. Оператор определяет тип угроз безопасности и уровень защищенности персональных данных, которые хранятся в информационных системах, и предпринимает меры по защите информации.

7.2.1.           Угрозы защищенности персональных данных:

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

7.3. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

7.4. Защита персональных данных представляет собой жестко регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и в конечном счете обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности Общества:

7.4.1.           Класс защищенности информационной системы в Обществе -3 (третий). Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах, работодатель назначает должностное лицо (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.

7.4.2.           Все документы, содержащие персональные данные Субъектов, хранятся в помещениях Общества в специально отведенном для этого месте с применением специального оборудования (шкафы, металлические сейфы, ключи от специального оборудования хранятся у непосредственных работников – владельцев рабочего места без права передачи третьим лицам, на время отсутствия ключи хранятся у лица, исполняющего обязанности работника.

7.4.3.           Работникам Общества, имеющим доступ к персональным данным субъектов на бумажном носителе, не разрешается при выходе из помещения оставлять какие-либо документы на рабочем столе или оставлять шкафы незапертыми, передавать персональные данные лицам, не имеющим к ним доступа, а также выносить документы, содержащие персональные данные, из рабочего помещения без служебной необходимости.

7.4.4.           Работники Общества, имеющие доступ к персональным данным субъектов на бумажном носителе, должны незамедлительно сообщить в Дирекцию по защите ресурсов о факте утраты ключей, печатей и штампов.

7.4.5.           Все компьютеры, имеющие папки, содержащие персональные данные субъектов, защищены паролем, с которым ознакомлен только пользователь конкретного компьютера.

7.4.6.           В случаях необходимости документы уничтожаются специально созданной комиссией. Способ уничтожения определяется данной комиссией.

7.4.7.           Воспитательная и разъяснительная работа с работниками подразделений по предупреждению утраты ценных сведений при работе с конфиденциальными документами возложена на руководителей структурных подразделений, в подчинении которых находятся работники, допущенные к персональным данным.

7.4.8.           Отделом кадрового администрирования Общества ведется учет выдачи и возврата документов, содержащих персональные данные.

7.4.9.           Для внешней защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лиц, пытающихся совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.

Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности Общества (посетители, работники других организационных структур и др.). Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов.

7.5. Для внешней защиты персональных данных Субъектов Оператор предпринимает следующие меры:

-    прием, учет и контроль деятельности посетителей по договорам с охранной организацией;

-    обеспечен пропускной режим работников Общества;

-    помещения организации оборудованы техническими средствами охраны и сигнализации;

-    охрана территории, зданий, помещений, транспортных средств;

-    обеспечение программной защиты информационной системы организации.

-    по возможности персональные данные обезличиваются.

-    для защиты от угроз атак 3 (третьего) типа применяются средства криптографической защиты информации (далее - СКЗИ) класса КС1 и выше.

7.5.1.           Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

7.5.2.           Оператором предпринимаются следующие меры во исполнение обязанностей по обеспечению безопасности персональных данных при их обработке:

7.5.3.           носители информации, содержащие персональные данные, хранятся в специальных строго контролируемых помещениях, расположенных в пределах границ контролируемых и охраняемых зон;

7.5.4.           информационный доступ к техническим средствам, с помощью которых производится обработка персональных данных, реализован через автоматизированные рабочие места, защищенные от несанкционированного доступа. В зависимости от степени критичности информации разграничение (ограничение) доступа проводится программно-аппаратными средствами идентификации и аутентификации пользователей;

7.5.5.           разграничен (ограничен) доступ персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации, а также где хранятся носители с персональными данными;

7.5.6.           информация доступна лишь для строго определенных работников. Производится запись (логирование) входа / выхода сотрудников в / из операционную (ой) систему(ы), работы в автоматизированных рабочих местах, доступа к базам данных;

7.5.7.           реализована защита информации от сбоев оборудования и вредоносного программного обеспечения. Применяется система резервного копирования и восстановления информации;

7.5.8.           при работе в сетях безопасность информации обеспечивается средствами межсетевого экранирования, созданием демилитаризованных зон, виртуальных частных сетей, защищенных каналов связи, применением защищенных протоколов передачи информации и программно-аппаратных средств шифрования информации.

7.6. Средства обеспечения безопасности:

7.6.1.           пароли, программные средства защиты информации, ключи доступа (применение следующих основных методов и способов защиты информации: а) управление доступом; б) регистрация и учет; в) обеспечение целостности; анализ защищенности; использование межсетевых экранов, электронной подписи - при передаче персональных данных с использованием сети Интернет; г) Антивирус Касперского; д) NGFW; е) Active Directory (Доменные службы безопасности); ж) Инженерные укрепления системы хранения бумажных носителей; з) Системы управления доступом; и) Охранная сигнализация.

7.7. Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 (три) года.

7.8. При обработке различных категорий персональных данных для каждой категории персональных данных используются отдельные материальные носители (бумажные или съемные машинные), отдельные базы данных или файлы на несъемных машинных носителях.

7.9. Автоматизированная обработка персональных данных производится с помощью средств вычислительной техники, как установленных локально, так и объединенных в информационные системы.

7.10. Доступ к информационным системам, обрабатывающим персональные данные, предоставляется уполномоченным работникам в рамках функций, предусмотренных их должностными инструкциями.

7.11. Фиксация персональных данных на машинном носителе производится с использованием средств вычислительной техники (копирование персональных данных на любой съемный или несъемный машинный носитель, ввод персональных данных в базу данных и т.п.).

7.12. Уточнение персональных данных производится путем обновления или изменения данных на машинном носителе с помощью средств вычислительной техники. Если это не допускается особенностями машинного носителя, то уточнение производится путем изготовления нового машинного носителя с уточненными персональными данными.

7.13. Обезличивание персональных данных, обрабатываемых в информационных системах Общества, в случае необходимости осуществляется с учетом Требований и методов по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, утвержденных приказом Роскомнадзора от 5 сентября 2013 г. № 996.

7.14. При выявлении по обращению субъекта персональных данных либо Роскомнадзора неточных персональных данных в информационной системе Общества организуется блокирование таких персональных данных на период проверки. В течение 7 (семи) рабочих дней со дня подтверждения факта неточности персональные данные уточняются и разблокируются.

7.15. При выявлении по обращению субъекта персональных данных либо Роскомнадзора неправомерной обработки персональных данных в информационной системе Общества организуется блокирование таких персональных данных на период расследования.

7.16. В течение 3 (трех) рабочих дней с момента выявления неправомерной обработки персональных данных такая обработка прекращается. В случае если обеспечить правомерность обработки персональных данных невозможно, в срок, не превышающий 10 рабочих дней с момента выявления неправомерной обработки персональных данных, такие персональные данные уничтожаются.

7.17. Об устранении допущенных нарушений или об уничтожении (невозможности уничтожения) персональных данных письменно уведомляется автор обращения (субъект персональных данных либо Роскомнадзор).

7.18. Удаление персональных данных в информационных системах Общества производится в соответствии с процедурами, определенными в эксплуатационной документации на информационные системы, обрабатывающие персональные данные.

7.19. Удаление персональных данных на отдельных средствах вычислительной техники (рабочих местах уполномоченных работников) производится штатными средствами информационных и (или) операционных систем.

7.20. Удаление части персональных данных на съемном машинном носителе, если это допускает носитель, производится с использованием штатных средств информационных и (или) операционных систем с сохранением возможности обработки иных данных, зафиксированных на машинном носителе.

7.21. Копирование информации с одного съемного машинного носителя персональных данных на другой и уничтожение персональных данных на съемном машинном носителе производятся только на средствах вычислительной техники, предназначенных для обработки персональных данных.

7.22. При отправке средств вычислительной техники, предназначенных для обработки персональных данных, для проведения гарантийных и ремонтных работ машинные носители персональных данных из них предварительно удаляются.

7.23. Обнаружение фактов несанкционированного доступа обеспечивается обнаружением действий в информационной системе «АО 1 МПЗ им. В.А. Казакова», направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия.

7.24. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, как техническая мера защиты персональных данных, осуществляется посредством регулярного резервного копирования.

7.25. Персональные данные являются разновидностью информации ограниченного доступа, доступ к ним осуществляется в силу служебной необходимости и зависит от характера выполняемой работником трудовой функции. С технической точки зрения это реализуется посредством установления моделей разграничения доступа к информационным системам персональных данных, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

7.26. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных осуществляется посредством внутреннего и внешнего аудита, мониторинга реализации защитных мер, модификации системы безопасности по результатам проведенных аудитов.

 

8.     Ответственность за разглашение

8.1. Каждый работник Общества, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации. Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном действующим законодательством Российской Федерации.

 

9.     Порядок рассмотрения запросов

9.1. Запрос субъекта персональных данных (представителя субъекта персональных данных) может быть направлен в Общество:

-    лично в письменной форме;

-    в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации;

-    через систему IntraService.

9.2. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.

9.3. После регистрации запроса ответственный за организацию обработки персональных данных подготавливает мотивированный ответ на запрос и в случае необходимости направляет подготовленный ответ на рассмотрение всем задействованным лицам. Перечень лиц, привлекаемых для подготовки ответа, определяется ответственным за организацию обработки персональных данных в зависимости от предмета обращения.

9.4. Лица, задействованные в подготовке ответа, должны соблюдать порядок и сроки обработки запросов, установленные законодательством Российской Федерации в зависимости от их типов.

9.5. Ответственный за организацию обработки персональных данных контролирует соблюдение указанных сроков в соответствии с законодательством Российской Федерации.

 

10. Заключительные положения

10.1. Все работники Общества должны быть ознакомлены с настоящей Политикой под роспись в листе ознакомления. Подпись работника означает его согласие и обязательство исполнения настоящей Политики.