Политика обработки персональных данных и информационной безопасности ООО "СЦТС"
ПОЛИТИКА
Общества с ограниченной ответственностью «Саратовская цифровая телефонная сеть» в отношении обработки персональных данных и реализации требований к защите персональных данных.
1.Общее положение
1.1.Настоящий документ определяет Политику ООО «СЦТС» в отношении обработки персональных данных и реализации требований к защите персональных данных (далее -Политика) в соответствии с требованиями Федерального закона от 27.07.2006 No 152-ФЗ «О персональных данных».
1.2.В настоящей Политике используются следующие основные понятия:
Персональные данные-любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) в том числе фамилия, имя, отчество, год, месяц, дата и место рождения, адрес регистрации, номер, серия основного документа, удостоверяющего личность, сведений о дате выдачи указанного документа и выдавшем его органе, ИНН, страховой номер обязательного пенсионного страхования и другая информация;
Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»
Оператор – ООО «СЦТС», самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемых с персональными данными;
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.Принципы обработки персональных данных Оператором:
2.1.Обработка персональных данных осуществляется на законной и справедливой основе;
2.2.Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.3.Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.4.Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.5.Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки.
2.6.При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Принимаются необходимые меры по удалению или уточнению неполных или неточных данных.
2.7.Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется в форме и порядке, предусмотренном положениями статьи 10.1 Закона № 152-ФЗ, с учетом установленных субъектом ПДн запретов и ограничений.
2.8.Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению либо обезличиванию.
3. Правовые основания обработки персональных данных.
3.1.Обработка персональных данных Оператором осуществляется на основании и в соответствии с Конституцией Российской Федерации, Постановлением Правительства РФ от 01.11.2012г.No 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства РФ от 6 июля 2008 г. No 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», Постановлением Правительства Российской Федерации от 15 сентября 2008 г. No 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России No 21 от 18 февраля 2013г., Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденных приказом ФСБ России от 21 февраля 2008 г. No 149/54-144., Федеральным законом РФ от 27 июня 2006 г. No 149-ФЗ «Об информации, информационных технологиях и о защите информации» Федеральным закономот 07.07.2003 N 126-ФЗ «О связи», «Трудовым кодексом Российской Федерации» от 30.12.2001 N 197-ФЗ, другими нормативными документами в соответствии с действующими нормами законодательства в области персональных данных, а так же положениями заключенных договоров с субъектами персональных данных и выданных ими согласий на обработку своих персональных данных.
3.2.При обработке персональных данных Оператор обеспечивает строгое соблюдение требований Федерального закона от 27 июля 2006 г. No 152-ФЗ «О персональных данных».
4. Цели сбора и обработки персональных данных.
4.1.Обработка персональных данных Оператором осуществляется с целью исполнения трудового законодательства, определения технической возможности заключения договоров об оказании телекоммуникационных услуг, взаимодействия в рамках заключенных договоров об оказании телекоммуникационных услуг и иных гражданско-правовых договоров, передачи иным операторам связи, от имени которых уполномочен действовать Оператор, для заключения договоров об оказании услуг, выполнения требований законодательных актов и нормативных документов.
5. Состав и субъекты персональных данных.
5.1.Оператор осуществляет обработку следующих категорий персональных данных: фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, телефон, семейное положение, социальное положение, образование, профессия, ИНН, номер страхового свидетельства государственного пенсионного страхования, сведения о документах удостоверяющих личность и иные необходимые сведения не запрещенные законодательством для целей обработки персональных данных.
5.2.Субъекты персональных данных (физические лица):
•работники Оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;
•физические лица, заключившие или желающие заключить договоры с Оператором на оказание услуг связи, или иными операторами связи, от имени которых уполномочен действовать Оператор, представители абонентов, пользователи услуг связи, оказываемых Оператором;
•физические лица-контрагентыпо гражданско-правовым договорам, заключенным с Оператором.
•представители/работники клиентов и контрагентов оператора (юридических лиц)
6. Порядок и условия обработки персональных данных.
6.1.Обработка персональных данных осуществляется Оператором с использованием средств автоматизации, а также без использования таких средств.
6.2.Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов, третьим лицам без письменного согласия субъекта персональных данных, за исключением случаев, установленных федеральными законами. Письменное согласие субъекта персональных данных может быть выражено в форме проставления специальной отметки в соответствующем поле на сайтеОператора, означающей выражениесогласия на обработку указанных им персональных данных, в том числе и с возможностью передачи третьим лицам, для целей, связанных с заключением и исполнение договора об оказании услуг связи и информирования Субъекта персональных данных о специальных предложениях в сфере телекоммуникационных услуг.
6.3.В целях обработки персональных данных оператор совершает следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
6.4.Сроки хранения персональных данных и носителей персональных данных составляет 3 года с момента расторжения договора, являющегося основанием для обработки персональных данных, а в случае отсутствия договора -3 года с момента начала хранения. Порядок уничтожения носителей персональных данных установлен Инструкцией по делопроизводству
6.5.При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
- иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
7.Конфиденциальность персональных данных
7.1.Информация, относящаяся к персональным данным, ставшая известной Оператору является конфиденциальной информацией и охраняется законом.
7.2.Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для защиты от неправомерного или случайного доступа, уничтожения, изменения, предоставления, распространения, а также иных неправомерных действий в отношении них.
7.3.Доступ к обработке персональных данных предоставляется сотрудникам Оператора на основании приказа уполномоченного лица при условии подписания обязательства о неразглашении конфиденциальной информации.
7.4.Работники Оператора и иные лица, получившие на основании приказа доступ к обрабатываемым персональным данным, предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области обработки персональных данных.
8.Права субъектов персональных данных
8.1.Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
8.1.1.подтверждение факта обработки персональных данных Оператором;
8.1.2.правовые основания и цели обработки персональных данных;
8.1.3.цели и применяемые Оператором способы обработки персональных данных;
8.1.4.наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
8.1.5.обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
8.1.6.сроки обработки персональных данных, в том числе сроки их хранения;
8.1.7.порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
8.1.8.информацию об осуществленной или о предполагаемой трансграничной передаче данных;
8.1.9.наименование или фамилию, имя, отчество, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
8.1.10.иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
8.2.Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.3.Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в вышестоящий орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций - Роскомнадзор) или в судебном порядке.
8.4.Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8.5.Иные права, определенные главой 3 Федерального закона «О персональных данных».
9. Меры, направленные на обеспечение выполнения Оператором обязанностей, предусмотренных Федеральным законом «О персональных данных».
9.1.Приказом уполномоченного лица Оператора назначен ответственный за организацию обработки персональных данных, утверждены Положение об обработке персональных данных Оператором, другие локальные акты, устанавливающее процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований, учет носителей персональных данных, правила доступа к персональным данным в информационных системах, а также учет действий, совершаемых в информационных системах персональных данных;
9.2.Оператор применяет, предусмотренные соответствующими нормативными правовыми актами правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Оператора.
9.3.При обработке персональных данных, осуществляемой без использования средств автоматизации, выполняются требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 г. No 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
9.4.В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям Оператором организовано проведение периодических проверок условий обработки персональных данных.
9.5.Осуществляется ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных.
9.6.В случае поступления запросов/обращений субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, Оператор персональных данных рассматривает такие обращения в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя. Типовая форма запроса/обращения отражена в Приложении No1 к настоящей политике. О принятом решении оператор уведомляет субъекта персональных данных в порядке, установленном ст. 14 Федерального закона от 27июля 2006 г. No 152-ФЗ «О персональных данных».
10. Заключительные положения.
10.1. Настоящая Политика в отношении обработки персональных данных и реализации требований к защите персональных данных утверждена приказом уполномоченного лица Оператора, является обязательной и подлежит соблюдению всеми сотрудниками Оператора.
Политика информационной безопасности ООО "СЦТС"
Для управления процессами информационной безопасности ООО «СЦТС» создана система управления информационной безопасностью (Далее - СУИБ).
Цель СУИБ
СУИБ неразрывно связана с бизнес-процессом оказания инфокоммуникационных услуг и обеспечивает:
- - доступность инфокоммуникационных услуг, предоставляемых ООО «СЦТС»;
- - целостность и подлинность данных, используемых для обеспечения деятельности ООО «СЦТС»;
- - конфиденциальность информации, охраняемой в соответствии с законами Российской Федерации и локальными нормативными актами ООО «СЦТС»;
- - непрерывность бизнеса;
- - минимизацию ущерба, нанесенного влиянием различных угроз информационной безопасности, бизнесу ООО «СЦТС»;
- - максимальный уровень качества и надежности предоставляемых услуг, конкурентоспособность, сохранение доброго имени и репутации компании, исполнение взятых обязательств.
Принципы построения СУИБ
Информационная безопасность (Далее - ИБ) ООО «СЦТС» строится на основе следующих принципов:
Законность - применяемые меры ИБ не должны быть запрещены требованиями законодательства Российской Федерации, не должны наносить ущерб здоровью человека и окружающей среде;
Комплексность защиты - меры ИБ принимаются на всех участках бизнес-процесса;
Непрерывность защиты – ИБ обеспечивается непрерывно в течение всего бизнес-процесса;
Адекватность защиты – принимаемые меры ИБ адекватны имеющим место рискам;
Эргономичность защиты – применяемые меры ИБ максимально удобны для пользователей информационных систем и прозрачны для технологических систем. Должны быть максимально использованы встроенные в эксплуатируемые системы программные и аппаратные средства обеспечения информационной безопасности;
Пассивность контроля – применяемые меры ИБ не имеют непосредственного доступа к защищаемым данным и системам управления технологическим оборудованием;
Минимизация полномочий – любой участник технологического процесса имеет минимально необходимый и достаточный для исполнения должностных обязанностей набор прав и полномочий в информационных системах;
Легитимность полномочий – все операции по предоставлению доступа и назначению полномочий осуществляются на основании оформленных в установленном порядке документов (заявок);
Гарантированность восстановления – система архивирования и аудита обеспечивает возможность гарантированного восстановления системы и анализа событий, повлекших нарушение работоспособности или безопасности;
Защита инвестиций – обеспечивается полная документированность мер безопасности информационных и технологических систем на стадиях проектирования и эксплуатации;
Персональная ответственность – ответственность за нарушения требований по обеспечению информационной безопасности возлагается персонально на работника, допустившего нарушение, и соответствующего руководителя подразделения.
Основы функционирования СУИБ
Достижение целей СУИБ и информационная безопасность ООО «СЦТС» обеспечивается применением соответствующего комплекса организационных и технических мер по управлению информационной безопасностью, которые могут быть представлены политиками, методами, процедурами, организационными структурами и функциями программного и аппаратного обеспечения.
Для успешного функционирования системы осуществляется повышение осведомленности и постоянное обучение работников ООО «СЦТС» вопросам информационной безопасности.
Все информационные ресурсы ООО «СЦТС» и средства их обработки, передачи и хранения используются исключительно для достижения целей, определяемых Уставом ООО «СЦТС», и не могут быть использованы в целях нанесения ущерба.
Недопустимо использование информационных ресурсов ООО «СЦТС» в личных целях или в интересах третьих лиц.
Защите подлежат все информационные ресурсы ООО «СЦТС», средства их обработки, передачи и хранения, применяемые для осуществления производственной деятельности компании, и информационные ресурсы, применяемые для исполнения договорных или иных обязательств.
Информационная безопасность при взаимодействии с третьей стороной.
Доступ работников сторонних организаций к информационным ресурсам ООО «СЦТС» осуществляется только при условии документально оформленной договоренности о совместной защите информационных ресурсов ООО «СЦТС» и документального подтверждения соблюдения мер ИБ в сторонней организации.
Доступ к информационным ресурсам ООО «СЦТС» может быть предоставлен только при условии соблюдения мер обеспечения информационной безопасности.
Инфокоммуникационные услуги, оказываемые ООО «СЦТС» абоненту, обеспечиваются минимально необходимым уровнем информационной безопасности. Расширение применяемых мер достигается за счет предоставления абонентам дополнительных сервисов и услуг информационной безопасности.
Ответственность за нарушение требований информационной безопасности.
Требования Политики обязательны для исполнения всеми работниками ООО «СЦТС» (в том числе временными), партнерами, консультантами, клиентами ООО «СЦТС» и третьими лицами, имеющими доступ к информационным ресурсам Общества на законных основаниях.
Каждый работник ООО «СЦТС» обязан исполнять требования Политики и локальных нормативных документов по информационной безопасности на своем рабочем месте, при необходимости вносить предложения по ее совершенствованию.
Все инциденты информационной безопасности подлежат обязательным расследованиям, результатом которых являются адекватные корректирующие воздействия.
К работникам, нарушившим требования информационной безопасности, могут применяться меры дисциплинарного взыскания в соответствии с действующим трудовым законодательством.
Сторонние организации, нарушившие требования информационной безопасности, несут ответственность в соответствии с установленными гражданско-правовыми нормами.
При выявлении фактов нарушения законодательства Российской Федерации материалы расследования передаются в правоохранительные органы.
Контроль соблюдения требований Политики возлагается на заместителя генерального директора по ИТ. Ответственность за соблюдение ИБ возлагается на администратора по безопасности.
Примечание: Данная политика информационной безопасности ООО «СЦТС» является политикой обработки персональных данных.