Политика в области обработки и обеспечения безопасности персональных данных АО «НПК «БИС»

1. Назначение и область применения
Политика в области обработки персональных данных (далее — Политика) разработана на основании Федерального закона № 152-ФЗ «О персональных данных», с учетом требований Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации в области персональных данных.
Действие Политики распространяется на отношения по обработке и обеспечению безопасности информации ограниченного доступа, относящейся в соответствии с законодательством Российской Федерации к персональным данным (далее — ПДн).
Политика определяет принципы, цели, порядок и условия обработки ПДн работников АО «НПК «БИС» (далее — Общество) и иных субъектов, чьи ПДн обрабатываются в Обществе. В настоящей Политике содержатся положения об ответственности Общества и его работников в случае выявления нарушений обработки ПДн законодательству.
Положениями настоящей Политики руководствуются все работники Общества.

2. Обозначения и сокращения
ПДн – персональные данные;
ИСПДн – информационная система персональных данных;
НСД – несанкционированный доступ.

3. Принципы обработки персональных данных
Обработка ПДн осуществляется в Обществе на основе следующих принципов:
обработка ПДн осуществляется на законных основаниях;
обработка ПДн ограничена достижением конкретных, заранее определенных и законных целей;
Общество обрабатывает только ПДн, которые отвечают целям их обработки;
содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки;
обрабатываемые ПДн не являются избыточными по отношению к заявленным целям их обработки;
при обработке ПДн обеспечиваются точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн;
принимаются необходимые меры либо обеспечиваться их принятие по удалению или уточнению неполных или неточных ПДн;
хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн;
обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4. Цели обработки персональных данных
Общество осуществляет обработку ПДн в целях осуществления деятельности Общества согласно законодательству Российской Федерации и Уставу Общества.

5. Категории субъектов персональных данных
Субъектами, ПДн которых обрабатываются в Обществе с использованием средств автоматизации или без использования таковых, являются:
кандидаты на работу в Обществе;
работники Общества и члены их семей (супруги и близкие родственники);
лица, имевшие ранее трудовые отношения с Обществом;
лица, имеющие гражданско-правовой характер договорных отношений с Обществом, или находящиеся на этапе преддоговорных или выполненных отношений подобного характера;
лица, проходящие различного рода практику (стажировку) в Обществе;
акционеры Общества;
контрагенты Общества, представленные индивидуальными предпринимателями, их работниками; учредителями, руководителями, представителями (лицами, действующими на основании доверенностей) и работниками юридических лиц, имеющих или имевших договорные отношения с Обществом, либо желающих заключить договоры с Обществом;
посетители Общества;
иные лица, обработка ПДн которых необходима Обществу для осуществления целей, указанных в разделе 4 настоящей Политики.

6. Состав лиц, организующих и участвующих в обработке и обеспечении безопасности персональных данных
В Обществе назначено лицо, ответственное за организацию обработки ПДн.
В Обществе назначено лицо, ответственное за обеспечение безопасности ПДн и ИСПДн.
В обработке ПДн в Обществе участвуют работники в рамках выполнения своих должностных обязанностей.

7. Обработка и обеспечение безопасности персональных данных
Обработка ПДн в Обществе допускается в следующих случаях:
обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем.
обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн.
осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом, а также обработка ПДн  возможна в иных случаях, предусмотренных федеральным законодательством.
Включение Обществом ПДн субъектов в общедоступные источники ПДн возможно только в случае наличия требований федерального законодательства, либо в случае получения письменного согласия субъекта ПДн.
Общество осуществляет трансграничную передачу ПДн работников в целях исполнения договорных обязательств с контрагентами только в случае наличия письменного согласия субъекта ПДн.
Общество не осуществляется принятие решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы на основании исключительно автоматизированной обработки ПДн
Общество обязуется и обязывает иных лиц, получивших доступ к ПДн не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
Обработка Обществом ПДн прекращается в следующих случаях:
достижения целей обработки ПДн;
истечении срока обработки ПДн, предусмотренного федеральным законодательством, договором или согласием субъекта ПДн на обработку его ПДн;
при отзыве субъектом ПДн согласия на обработку его ПДн, в случаях, не противоречащих требованиям федерального законодательства.

8. Сведения о реализуемых требованиях по защите ПДн
Общество принимает все необходимые правовые, организационные и технические меры при обработке ПДн для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн.
Реализуются меры по организации обработки и обеспечению безопасности ПДн, обрабатываемых без средств автоматизации, в том числе:
для каждой категории ПДн определены места хранения ПДн (материальных носителей) и установлен перечень лиц, осуществляющих обработку ПДн и имеющих к ним доступ;
обеспечено раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях;
соблюдаются условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ при хранении материальных носителей.
Реализуются меры по защите ПДн при их обработке в информационных системах ПДн, в том числе:
определяется уровень защищенности ПДн при их обработке в информационных системах;
выполняются требования по защите ПДн в информационных системах ПДн;
применяются необходимые средства защиты информации;
осуществляется оценка эффективности принимаемых мер по обеспечению безопасности ПДн;
осуществляется учет машинных носителей ПДн;
осуществляется обнаружение фактов НСД к ПДн и принятие необходимых мер;
осуществляется восстановление ПДн, модифицированных или уничтоженных вследствие НСД к ним;
устанавливаются правила доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечивается регистрация и учет действий, совершаемых с ПДн в ИСПДн, там, где это необходимо;
контролируются принимаемые меры по обеспечению безопасности ПДн и уровень защищенности ИСПДн.

9. Нарушение политики и ответственность
Общество несет ответственность за соответствие обработки и обеспечение безопасности ПДн законодательству. Все работники Общества, осуществляющие обработку ПДн, несут ответственность за соблюдение настоящей Политики и иных нормативных документов Общества по вопросам обработки и обеспечению безопасности ПДн.
Любой работник, которому стало известно о нарушении настоящей Политики или который подозревает о существовании такого нарушения, должен сообщить об этом лицу, ответственному за организацию обработки ПДн, в соответствии с существующими в Обществе процедурами.
Любые нарушения настоящей Политики и иных нормативных документов Общества по вопросам обработки и обеспечению безопасности ПДн будут расследоваться в соответствии с действующими в Обществе процедурами.
Лица, признанные виновными в нарушении установленных порядка и процедур обработки и обеспечения безопасности ПДн, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Российской Федерации.

Политика в области обработки персональных данных АО «НПК «БИС»

Комментарии недоступны