Политика обработки персональных данных

1. Общие положения
1.1. Настоящие Правила обработки, хранения и уничтожения персональных данных (далее – Правила) разработаны в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
1.2. Настоящие Правила не исключают обязательного выполнения других руководящих документов по вопросам обработки, передачи, хранению и уничтожения персональных данных.
1.3. Общая ответственность за организацию обеспечения защиты персональных данных возлагается на ответственного за обработку персональных данных.
1.4. Должностные лица, допустившие нарушения требований руководящих и нормативных документов по вопросам защиты персональных данных, привлекаются
к ответственности в соответствии с законодательством Российской Федерации.
1.5. По фактам и попыткам несанкционированного доступа к персональным данным, а также случаям утечки персональных данных или утрат машинных носителей информации (далее – МНИ) с персональными данными проводятся служебные расследования.
1.7. В настоящих Правилах используются следующие основные понятия.
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, удаление, блокировку, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным, без использования дополнительной информации, определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку технических средств.

2. Общие требования к обработке персональных данных.
2.1. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.2. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

3. Порядок обработки персональных данных с использованием средств автоматизации.
3.1. Ответственность за обеспечение защиты персональных данных в информационной системе, возлагается на ответственного за обеспечение безопасности ПДн.
3.2. Допуск к работе в информационной системе персональных данных осуществляется после ввода её в эксплуатацию и назначения лиц, ответственных за эксплуатацию ПЭВМ в составе информационной системы, предназначенных для обработки персональных данных.
3.3. В информационной системе персональных данных должна соблюдаться парольная защита.
Полная плановая смена паролей пользователей проводится регулярно, не реже одного раза в течение 360 дней.
Внеплановая смена личного пароля или удаление учетной записи пользователя в случае прекращения его полномочий (увольнение, переход на другую работу и т.п.) производится ответственным за обеспечение безопасности немедленно после окончания последнего сеанса работы данного пользователя с системой.
Полная внеплановая смена паролей всех пользователей производится в случае прекращения полномочий (увольнение, переход на другую работу и т.п.) ответственным за обеспечение безопасности ПДн.
Хранение должностным лицом значений своих паролей на бумажном носителе допускается только в личном, опечатанном сейфе ответственного за обеспечение безопасности ПДн.
3.4. При эксплуатации информационной системы, предназначенной для обработки персональных данных, пользователям запрещается:
- вносить изменения в состав, конструкцию, конфигурацию и размещение технических средств информационной системы;
- вносить изменения в состав программного обеспечения, структуру файловой системы без письменного разрешения ответственного за обеспечение безопасности;
- осуществлять попытки несанкционированного доступа к резервам информационной системы и к информации других пользователей;
- подключать информационную систему персональных данных к информационным сетям общего пользования без использования дополнительных средств защиты (сертифицированные межсетевые экраны и средства криптографической защиты данных);
- использовать неучтенные машинные накопители информации.
3.5. При возникновении сбоев в работе информационной системы персональных данных, появления программ-вирусов немедленно сообщить ответственному за обеспечение безопасности ПДн.
3.6. При проведении технического обслуживания и ремонта информационной системы персональных данных, запрещается передавать ремонтным организациям узлы и блоки с элементами накопления и хранения персональных данных. Вышедшие из строя элементы и блоки заменяются на исправные.

4. Обязанности работника по обработке ПДн с использования средств автоматизации:
4.1. При работе с персональным компьютером использовать только установленное программное обеспечение, необходимое для выполнения должностных обязанностей работника.
4.2. Хранить парольную информацию в тайне.
4.3. При обработке персональных данных на персональном компьютере, исключить возможность ознакомления с электронными документами посторонних лиц. При отлучении с рабочего места закрывать все электронные документы, базы данных, содержащие персональные данные, блокировать рабочую станцию.
4.4. Использовать только учтенные внешние электронные носители информации, промаркированные и зарегистрированные ответственным за обеспечение безопасности ПДн (flash-накопители, компакт-диски, дискеты и др.).
4.5. В нерабочее время внешние электронные носители, содержащие персональные данные, хранить в запирающихся на ключ секциях рабочих столов или в металлических шкафах.
4.6. При достижении целей обработки ПДн, повреждении и выходе из строя носителей сдавать электронные носители ПДн для уничтожения ответственному за обеспечение безопасности.
4.7. Докладывать непосредственному руководителю о нарушениях правил
безопасности.

5. Порядок обработки персональных данных без использования средств автоматизации.
5.1. Персональные данные при их обработке без использования средств автоматизации, фиксируются на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков).
5.2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.
5.3. При использовании типовых форм документов, характер информации в которых предполагается включение в них персональных данных (далее – типовая форма), должно соблюдаться следующее условие:
типовая форма или связанные с ней документы должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных.
5.4. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

6. Обязанности работника по обработке ПДн без использования средств автоматизации:
6.1. Выполнять требования по обеспечению режима конфиденциальности проводимых работ, установленные Правилами обработки, хранения и уничтожения персональных данных.
6.2. Обеспечить сохранность бумажных документов в процессе обработки и хранения.
6.3. В рабочее время исключать просмотр вверенных документов посторонними людьми, а также работниками Оператора, которым не предоставлен доступ к ПДн.
6.4. Хранить документы на рабочем месте исключительно с целью обработки ПДн. При достижении целей работы с документами сдавать документы в архив либо осуществлять уничтожение документов с использованием средств уничтожения бумажных носителей.
6.5. В нерабочее время бумажные документы хранить в секциях рабочих столов или в шкафах (либо сдавать все помещение под охрану).

7. Порядок хранения персональных данных.
7.1. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
7.2. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
7.3. Машинные носители информации персональных данных в нерабочее время должны храниться в сейфах или несгораемых шкафах у должностных лиц, уполномоченных на обработку персональных данных.
7.4. Должностным лицам, уполномоченным на обработку персональных данных, запрещается:
- хранить машинные носители информации на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам без разрешения руководителя подразделения;
- делать несанкционированные копии с носителей персональных данных;
- выносить носители с персональными данными за пределы организации.

8. Передача персональных данных
8.1. При передаче персональных данных субъекта Оператор должен соблюдать следующие требования:
8.1.1. Не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральным законом.
8.1.2. Обработка персональных данных субъектов в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
8.1.3. Предупредить лиц, получивших персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные субъекта, обязаны соблюдать режим конфиденциальности. Данное Положение не распространяется на обмен персональными данными субъектов в порядке, установленном федеральными законами.
8.1.4. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом о персональных данных. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в
соответствии с Федеральным законом о персональных данных. Разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретной функции.
8.1.5. Не запрашивать у субъектов информацию об их расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
8.1.6. Передавать персональные данные работников представителям в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функции.

9 Доступ к персональным данным
9.1 Перечень лиц, имеющих право доступа к персональным данным, определяется документом «Перечень должностей, допущенных к обработке персональных данных», утверждённым приказом руководителя оператора.
9.2 Субъект персональных данных, чьи персональные данные обрабатываются в информационной системе имеет право: 9.2.1 Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные этого субъекта.
9.2.2 Требовать от Оператора уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для оператора персональных данных.
9.2.3 Получать от Оператора:
− сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
− перечень обрабатываемых персональных данных и источник их получения;
− сроки обработки персональных данных, в том числе сроки их хранения;
− сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
9.2.4 Требовать извещения Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
9.2.5 Копировать и делать выписки персональных данных субъекта разрешается исключительно в служебных целях с письменного разрешения руководителя или заместителя руководителя по кадрам.
9.3 Передача информации третьей стороне возможна только при письменном согласии субъектов.

10. Контроль и надзор за выполнением требований настоящего Положения
Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности, принятых мер. Он может проводиться ответственным за организацию обработки персональных данных, или на договорной основе сторонними организациями, имеющими лицензии на деятельность по технической защите конфиденциальной информации.


11. Ответственность за нарушение требований настоящего положения
Лица, виновные в нарушении требований настоящего Положения, несут гражданскую, уголовную, административную, дисциплинарную и иную ответственность, предусмотренную законодательством Российской Федерации.

12. Порядок уничтожения персональных данных.
12.1. Хранение персональных данных должно осуществляться не дольше чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, иным нормативным
правовым документом или договором, стороной которого, является субъект персональных данных.
12.2. Уничтожение персональных данных осуществляется комиссией с составлением акта, по истечению сроков хранения и обработки персональных данных.
12.3. Уничтожение бумажных носителей персональных данных осуществляется путем сожжения, либо измельчения в бумаго-уничтожающей машине.
12.4. При необходимости уничтожения части персональных данных, уничтожается материальный носитель с предварительным копированием сведений, не подлежащих уничтожению, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению.
12.5. Уничтожение машинных носителей информации производится следующим путем:
- оптические диски и дискеты – путем оплавления в бесформенную массу;
- флешь накопители – путем ударно-механического повреждения основной платы, на которой располагается флешь память;
- накопитель на жестком магнитном диске – путем ударно-механического повреждения исключения возможности восстановления информации в лабораторных условиях.
12.6. Для удаления информации с машинных носителях информации могут использоваться программные методы гарантированного удаления информации, в которых используются основные алгоритмы гарантированного удаления данных.
12.7. Для удаления информации, содержащей персональные данные, из электронных баз данных применяется метод обезличивания персональных данных с целью невозможности определить принадлежность персональных данных конкретному субъекту.

13. Работнику запрещается:
13.1. Разглашать ПДн в беседах с посторонними лицами, а также с сотрудниками, если этого не требуется для исполнения им своих служебных обязанностей.
13.2. Выносить носители ПДн (в том числе бумажные документы) за пределы помещений, если это не связано с выполнением должностных обязанностей работника
13.3. Передавать ПДн по незащищенным каналам связи (в том числе, с использованием общедоступных почтовых серверов типа mail.ru, yandex.ru и прочих).
13.4. Размещать и хранить ПДн на ресурсах, не предусмотренных технологическим процессом обработки ПДн в ИСПДн (в том числе, сетевых дисках, разделяемых папках, папках Exchange, а также локальных накопителях и жестких дисках компьютера) Подключать к техническим средствам ИСПДн нештатные устройства ввода-вывода.
13.5. Использовать неучтенные внешние электронные носители информации.
13.6. Использовать поступающие из сторонних организаций внешние электронные носители информации без предварительной проверки их на наличие вирусов. При обнаружении на носителе зараженного и не поддающегося лечению файла дальнейшее использование носителя не допускается.
13.7. Запускать и выполнять посторонние прикладные программы, не предусмотренные технологией работы на компьютере.
13.8. Обрабатывать ПДн в случае сбоев в работе средств защиты информации.
13.9. Использовать ресурсы Интернет (осуществлять обмен сообщениями электронной почты) в случае сбоев в работе средств антивирусной защиты.

14. Ответственность за нарушение безопасности при обработке ПДн в ИСПДн
14.1. Инструкция является локальным правовым актом, обязательным для выполнения работниками, допущенными к обработке ПДн.
14.2. На работника возлагается персональная ответственность за невыполнение и/или нарушение требований и положений, установленных настоящей Инструкцией.
14.3. Работник несет ответственность за сохранность в процессе обработки ПДн, к которым ему разрешен доступ, за сохранность и работоспособное состояние технических, программных средств, носителей ПДн (в том числе бумажных
документов), используемых им в работе.